Информация о спикере: Ермаков Кирилл из Qiwi: Образование, профессиональный опыт, участие в конференцияx. СТО компании QIWI. Альхова Дарья и Ермаков Кирилл, отрывок: Том Сойер и Бэкки Тэтчер, сцена признания.
Внезапно: Кирилл Ермаков
| Давайте знакомиться! | Кирилл Ермаков | Дзен | новости культуры и искусства Pulses PRO. |
| Ермаков Кирилл Владимирович | Видеогалерея. Главная Лица Партии Ермаков Кирилл Юрьевич. |
| Давайте знакомиться! | Кирилл Ермаков | Дзен | СТО компании QIWI. |
| Кирилл Ермаков, Москва, 28 лет — Адвокат, отзывы | Ермаков Кирилл Иванович 114. |
| Портал правительства Москвы | Происшествия - 9 июня 2023 - Новости Кирова - |
Кирилл Ермаков - достойный участник предварительного голосования
Друзья, уточняю тем, с кем состою в личном контакте: телефон не менял и не планирую. Тем, кто впервые получает сообщения от меня: не имею привычки прежде не позвонить лично», — объяснил Кирилл Ермаков. Он напомнил, что благодаря современным технологиям, аферисты могут подделать голос, интонацию и даже мимику. Поэтому аудио- или видеосообщение не гарантирует, что вы общаетесь со своим знакомым.
Вот в этом беда современных пентестеров — у многих недостаточно технического бэкграунда. Они уже знают, как поломать, но не знают, как защититься. О работе и о том, кто приходит собеседоваться Говорят, если человек чего-то не знает, но горит желанием — его возьмут.
У меня так не работает. Есть минимальный чек-лист — стандартные двадцать вопросов, по которым я гоняю соискателя. И по плюсам начинаем разговаривать. Это такие опорные точки для диалога, чтобы копнуть знания. Вопросы из самых разнообразных областей, в основном база. Она позволяет общаться на одном языке.
Не только внутри команды, но и с разработчиками и эксплуатацией. Если ты придешь к админам и скажешь поставить вот такой параметр ядра вот в такое значение, то первое, что у тебя спросят: а что он делает? И почему именно в такое значение? И тут, если ты плаваешь, тебя могут просто вежливо попросить вначале разобраться самому и только потом давать советы другим. Надо, чтобы ты знал теорию. Иначе как ты будешь секьюрить, если ты не знаешь, какую информацию надо защищать?
Знание комплаенса, хоть в общих чертах, нам очень важно. Но это не будет стоп-сигналом на самом деле. Если чел скилловый, этому мы научить можем. Дальше — про вебочку. То есть мне не нужно слушать байки про XSS. Вначале надо вообще разобраться, на чем строится безопасность веба, как вообще браузер работает хоть в общих чертах :.
Eсли мы здесь ни о чем не поговорили, значит, дальше мы расходимся. Следующий вопрос — методы сегментации сети. Крутой вопрос. Типовой безопасник, который ко мне приходит, вообще никогда не видел большую сеть, и, что с ней делать, он точно не знает. Этот вопрос, по правде говоря, можем простить. Если человек всегда работал «с той стороны» читай: ломал извне , естественно, он не знает, как секьюрить корпоративные сети.
Мы ищем у человека общее понимание, как работает сеть. Если он знает, что такое IP-адрес, и на этом его понимание заканчивается — not really cool. Надо уметь читать чужой код и понимать его концепцию, идею, а не кусками пытаться что-то уловить. Видел когда-нибудь код на Spring и Struts? Он же совершенно нечитабелен, пока не повернешь голову под определенным углом. Если мы возьмем к себе чувака без понимания и дадим ему наши 19 миллионов строк кода на Spring, он сможет нам в чем-то помочь?
Не думаю. Об анонимности Базовый принцип безопасности — разделяй дом и работу. То есть машину, на которой ты что-то делаешь, и машину, на которой ты ничего не делаешь. На одном компьютере ты хакер-мегапавнер, на другом — обычный Вася, и будет счастье. Если этого не делать, рано или поздно ты ошибешься. Тебя сливают именно те данные, которые ты вводишь сам.
Никто, кроме тебя самого, тебя не сдаст. Настроил все как бы секьюрно — Tor, виртуалка, а потом лезешь на свой блог проверять, работает ли интернет :. Если мы говорим про «защиту об блеков», это разделение машин очень хорошо работает. Заведи два компа. И вот другая машина, на которой ты занимаешься всякой фигней. Ну поймаешь ты малварь, ну похекают тебя.
А на машине ничего ценнее пароля от одноразовой почты нет. Надо иметь разные физические машины. Виртуалки — это тлен. Отдельная машина, только так. Виртуалки удобны, но рано или поздно спутаешь браузеры, все путают. Собственно, так обычно блеков и ловят, они сами палятся.
Возьми хотя бы VPN. Ты работаешь, павнишь что-то. VPN моргнул на секундочку — и этого хватило. Всего один пакет, и отсветился твой реальный IP. Провайдер пишет трафик, три месяца минимум. Один-единственный трейс — и finita la comedia.
Ломать из-под «мака» — вообще дурная затея, там слишком много intercommunications. Ни один Little Snitch тебя не спасет. Никто не знает, что там в точности происходит, — вдруг OS X стучит на более низком уровне в обход всех твоих VPN и файрволов? Если тебе надо захайдиться, есть только одна реальная схема. Едешь в Митино, там покупаешь бэушную симку, бэушную мобилу и бэушный ноут. Едешь в ближайший большой город и там делаешь то, что тебе надо.
А когда сделал — выкидываешь все в ближайшую речку. Вот это работает. Блечить с использованием общедоступных утилит — это тоже глупость. Стучат все. Особенно пентест-утилиты следят за тем, кто, что и как пентестит. Например, надо быть наивным, чтобы поверить, будто Burp Collaborator не записывает те запросы, которые на него приходят.
Даже нет, похек бывает везде! Один раз ради шутки мы выложили плагин для Burp Suite с небольшой закладкой. Около нее написали: «Это шутка, парень! Если ты это нашел, то ты крутой, напиши нам! Ни разу. Любое ПО, в котором используются сторонние либы, которые ты хотя бы не вычитал, — это по определению несекьюрно.
Даже в энтерпрайзе используются мутные либы, которые никто не проверяет, что говорить об обычных приложениях?
Запрещается использование "гостями" сайта "Имен" Никнеймов , которые вводят в заблуждение других пользователей, о причастности человека, оставившего комментарий, к "команде сайта". Например, администратор, админ, руководитель сайта и другие. Все комментарии от лица под такими именами Никнеймами будут удалены. Администрация сайта может ограничить доступ к сайту пользователей с определёнными IP-адресами диапазонами адресов , вслучае если посчитает это нужным.
Они и подключились. Ребята знают тему не понаслышке и сами используют Vulners в повседневной работе. Это просто наше желание сделать мир лучше.
Мы бы все равно придумали что-то похожее в QIWI, ну так что бы не сделать самим, покрасить в оранжевый цвет и дать всем пользоваться бесплатно? Я никогда не искал инвесторов. И не хочу. Они заходили, но я не понимаю, зачем мне деньги в этом проекте. Сейчас приходит инвестор с улицы и говорит мне: «Я даю тебе двадцать миллионов на три года». А я за это должен кодить то, что зарабатывает деньги. Блин, я не хочу кодить то, чего они хотят. Я хочу кодить то, что мне интересно.
Функционал базы знаний с удобным API останется бесплатным навсегда. Если я вдруг решу, что какой-то дополнительный функционал стоит денег, — ну что же, придется прикручивать кнопку оплаты. О программистах, хакерах и безопасниках Что-то поломать, поовнить или денег заработать — нормальная мотивация, это должен пройти каждый. Люди таким образом развивают себя, AppSec. Просто дальше есть два пути. Первый — они продолжают втыкать кавычку куда ни попадя и находить фигню, это так называемые рандомщики. Или они начинают разбираться, как те или иные вещи работают, и они становятся ценными кадрами AppSec. На самом деле в Enterprise нужны и те и другие.
Рандомщики тоже нужны. Мы вот сейчас попали в дурацкую ситуацию. У нас есть Игорь Videns и Ваня Vancouver. Они оба из тех чуваков, которые сначала прочтут всех исходники, а потом пойдут ломать. А нам вот не хватает чувака, который просто может помахать кроличьей лапкой и попасть, куда нужно. Вот тебе пара примеров с Яндексом. Это уже старая история, думаю — можно рассказать. Есть там такой параметр — xmlns.
Единственное, что омрачало, — это то, что я при каждом новом запросе попадал на новую ноду из балансировщика нагрузки. До RCE довести не получилось, только чтение памяти было. Точно такая же история была с их почтой для домена. Я смотрю на запрос и понимаю, что мне как программисту просто было бы лень на него писать регулярку. Натравил на него sqlmap — и в базе. Чутье — вот что нужно. Важно понимание, где с той стороны можно нахалтурить. Человек, который писал веб, становится хорошим пентестером.
Потому что он понимает, что существуют вот такие уязвимости, там-то можно накосячить, понимает, как остальные пишут такие же куски. Ибо все пишут абсолютно одинаково. Например, недавно мне захотелось сделать автоматическое приведение типов на Вульнерсе. Я открываю первый топик со Stack Overflow, там советуют сделать eval. Ты представляешь, сколько сейчас проектов в продакшене с eval? Ничего подобного! Если ты обычный программист, у тебя задача — сделать, чтобы работало. Ты просто не думаешь о том, что в инпут можно что-то еще подсунуть, особенно в запарке.
У тебя голова в эту сторону не работает. Главная концепция безопасности в том, что мы считаем любой user input вредоносным априори. А девелопер не считает. Вот разница мышления безопасника и девелопера. Разработчик просто не знает, что можно вот так, да и все. В этом и состоит работа корпоративного безопасника — объяснить девелоперу, что user input бывает зловредным. Вот тогда сразу весь код становится секьюрным. У пентестеров тоже не все хорошо, они не знают, как писать безопасный код.
Вот приходит ко мне человек, вроде скилловый. Нашел инъекцию, все рассказал. Ну а дальше-то что он будет с этим делать? Как он объяснит программистам, как надо сделать правильно? Он же никогда не писал бэкенд, для него параметризованные SQL-запросы — это неизвестное словосочетание, он не знает про технологии защиты. Не знает, что делать concat в SQL-запросе теперь даже разработчики не советуют. Не потому, что это несекьюрно, а просто потому, что можно случайно нарушить запрос и все поломается. Вот в этом беда современных пентестеров — у многих недостаточно технического бэкграунда.
Они уже знают, как поломать, но не знают, как защититься. О работе и о том, кто приходит собеседоваться Говорят, если человек чего-то не знает, но горит желанием — его возьмут. У меня так не работает. Есть минимальный чек-лист — стандартные двадцать вопросов, по которым я гоняю соискателя. И по плюсам начинаем разговаривать. Это такие опорные точки для диалога, чтобы копнуть знания. Вопросы из самых разнообразных областей, в основном база. Она позволяет общаться на одном языке.
Не только внутри команды, но и с разработчиками и эксплуатацией. Если ты придешь к админам и скажешь поставить вот такой параметр ядра вот в такое значение, то первое, что у тебя спросят: а что он делает? И почему именно в такое значение? И тут, если ты плаваешь, тебя могут просто вежливо попросить вначале разобраться самому и только потом давать советы другим. Надо, чтобы ты знал теорию. Иначе как ты будешь секьюрить, если ты не знаешь, какую информацию надо защищать? Знание комплаенса, хоть в общих чертах, нам очень важно. Но это не будет стоп-сигналом на самом деле.
Если чел скилловый, этому мы научить можем.
Мошенники притворились главой новокузнецкого аэропорта для обмана кузбассовцев
Молодой певец и композитор Кирилл Ермаков (Гуд) записывает собственные треки и сочиняет песни для Валерии, Zivert, рэперов из Black Star и других артистов. Новый фигурант дела о теракте в подмосковном "Крокус Сити Холле" ранее мог быть арестован на 15 суток за мелкое хулиганство, сообщили РИА Новости в Хорошевском. Как сообщают поисковики отряда «Лиза Алерт», в Курске пропал 19-летний Кирилл Ермаков. Турнир посвятили памяти гвардии старшего лейтенанта ВДВ Ильи Ермакова, героически погибшего в бою при проведении специальной военной операции на Украине. Кубок от «МегаФона» у Кирилла Ермакова хранится с 2009 года, когда он работал в агентстве «Реал-Плюс».
Кирилл Ермаков.
Кирилл Ермаков а именно так зовут нашего Лирика появился на свет 9 июля 1996 года в Минске. Как и многие исполнители, он еще с детства был увлечен музыкой. Но связать с этой стезей жизнь мальчика решили далеко не родители. Однажды прогуливаясь с мамой по парку, он напевал песню. Там пятилетнего Кирилла заметила педагог по вокалу. Она-то и предложила его матери отправить будущую звезду в музыкальную школу. В ней юное дарование отучилось по классу скрипки и фортепиано. Плюс ко всему с ранних лет парень профессионально занимался вокалом. Так что, как говорится, музицировал еще с пеленок. Затем Ермаков продолжил совершенствовать свои навыки и окончил Республиканскую гимназию-колледж при Белорусской государственной академии музыки по направлению «Хоровое дирижирование».
Кстати, там же учился Тима Белорусских. Пересекались ли парни — вопрос открытый, как-никак у них разница три года. В вузе юноша заочно освоил специальность «компьютерная музыка». Создается ощущение, что Кирилл разбирается абсолютно во всем, что касается создания композиций. Поэтому, видимо, из-за высокого профессионализма его треки выстреливают один за другим у исполнителей, которые обращаются за материалом к парню. Хотя сам он отмечает, что творческие силы черпает от кольца-талисмана. Аксессуар Ермаков не снимает уже с 16 лет и бережет подарок бабушки как зеницу ока.
Он был найден живым. О его местонахождении не сообщается. В «Лиза Алерт» выразили благодарность всем за помощь.
Белово, ул. Юбилейная, д. Главный редактор Халетина М. Электронная почта редакции: tvmaria2011 mail.
Новости сайта дублируются в социальных сетях. К каждой новости можно добавить комментарий. В разделе «Фоторепортажи», мы размещаем интересные фотографии, а также видеоролики со всего света. Раздел «Комментарии» - мнения известных людей по актуальным вопросам. Особый взгляд на факты и события в разделе «В цифрах». Мы проводим еженедельные «Опросы» среди наших читателей.
Кирилл Ермаков - достойный участник предварительного голосования
Статья автора «Кирилл Ермаков» в Дзене: Меня зовут Кирилл Юрьевич Ермаков, я генеральный директор международного аэропорта Новокузнецк имени Бориса Волынова. Дисквалификации. О турнире. Новости. новости культуры и искусства Pulses PRO.
«Телефон не менял и не планирую»: еще один известный в Кузбассе человек сообщил о фейковом аккаунте
Директор новокузнецкого аэропорта Кирилл Ермаков и пресс-служба аэропорта пока никак не прокомментировали инцидент. Подписаться на новости BIS Journal / Медиа группы Авангард. страна возможностей». Кубок от «МегаФона» у Кирилла Ермакова хранится с 2009 года, когда он работал в агентстве «Реал-Плюс». Ермаков Кирилл. Новости востоковедения.