Блиц-интервью: Алексей Лукацкий о построении защиты, «Гидре» и формуле взлома

Алексей Лукацкий — именитый эксперт в области ИБ, а также владелец самой узнаваемой шляпы в российском инфосек-сообществе. Не исключено, что ты уже бывал на его выступлениях. Мы же задали ему несколько важных, провокационных и не совсем серьезных вопросов в продолжение нашей серии коротких интервью.

INFO

Материал подготовлен ведущими канала @rusecmedia эксклюзивно для «Хакера».

— Насущный вопрос: если работу обезьяны-пентестера можно уже давно автоматизировать и нужды в этих специалистах нет, когда мы сможем заменить экспертов, которые занимаются нормативными документами, ФЗ и процессами в области ИБ?

— Если бы работа законодателей была предсказуемой и формализованной, то, действительно, их можно было бы заменить роботами, штампующими новые нормативные акты. Но, увы, в отличие от обезьяны, обладающей хоть малым, но все-таки интеллектом, у законодателей часто нет даже небольшой искры сознания, поэтому никакой искусственный интеллект заменить их не может. Так что работа бумажных безопасников, трактующих результаты деятельности депутатов, будет нужна всегда. И чем дальше, тем больше.

— Формула взлома любой компании?

— Если верить Плутарху, то еще Юлий Цезарь в 47 году до нашей эры придумал эту формулу, и она звучит так: «Пришел. Увидел. И взломал!»

— IDA Pro, Radare2 или Ghidra?

— Конечно же, «Гидра». Она не только разработана моими друзьями из АНБ, которым можно доверять, но и бесплатна в отличие от той же «Иды».

— Бизнес ИБ построен на том, чтобы продать страх другим компаниям (например, можно вспомнить MaxPatrol). Плюс клоуны-исследователи находят настолько сложные уязвимости, что в реальности обычному блекхету найти не в силах. Как понять, что вашей компании пора задуматься о ИБ?

— Если вам написал человек по имени Ашот или позвонила журналистка по имени Вероника или Маша, то компании непременно стоит задуматься о ИБ. Это стопроцентные индикаторы!

— Скажите, что делать людям, которых шантажируют утекшими персональными данными какие-нибудь злоумышленники, например с именем Огот Ашотесян?

— Я бы задумался о смене паспорта, ника в соцсети, номера мобильного, адреса проживания, а также обратился бы к пластическому хирургу для смены лица и голосовых связок (может быть, и пол поменял, на всякий случай). Потому что прайвеси — это такая тема, с которой лучше не шутить! А то еще будут названивать непонятные люди из службы безопасности Опербанка...

— Любимая уязвимость?

— Memory leak. Ее преимущество в том, что про нее быстро забываешь и можно не устранять.

— Продолжите анекдот: «Заходят в бар три специалиста по ИБ...»

— ...

— Пять практических советов специалистам по информационной безопасности.

— Любой специалист по ИБ должен помнить про пять важнейших в его деятельности измерений: 1. Длина важнее всего, когда мы говорим о паролях. 2. Глубина важнее всего, когда мы говорим об эшелонированной защите. 3. Ширина важнее, когда перед нами стоит выбор защитных и компенсирующих мер. 4. Скорость важнее, когда мы занимаемся реальной безопасностью, а не бумагомарательством. 5. Деньги важнее всего, так как именно это измерение лучше воспринимается людьми, которые платят деньги специалистам по ИБ за их работу.

rusecmedia: Шуточный канал о ИБ. Любые совпадения с реальными компаниями и людьми случайны.

Комментарии (8)

  • это пост или метаирония?
    я не понял

  • @Длина важнее всего, когда мы говорим о паролях.@ - спорный вопрос, где то статистику видел что сейчас уже длина пароля не актуальна, минимум 8-ми значный с использованием заглавных и малых регистров, но смысл в 16 значном например если тебе быстрее зальют key-logger или аналог.

    • Длина

      Глубина

      Ширина

      Скорость

      Деньги

      ХЗ как это можно было воспринять всерьёз :)

    • А вы попробуйте использовать в пароле тысячи или миллионы символов. Пусть даже это будет пароль только из букв "a" - как злоумышленник узнает, какие длины пароля пытаться подобрать? :-) Просто это неудобно(

      • И ещё надо, чтобы софт поддерживал такой ввод, конечно.

  • Я не знаю этого человека, но после его ответа на 1-й вопрос уже стал в какой-то степени уважать его. 👍

    А вообще в этой роли пока что нужны люди просто потому что машина не знает, как нужно делать так, чтобы всем было хорошо. Она не знает, что такое хорошо и что такое плохо. Люди учатся этому на опыте - собственном и эмпатическом. Задача политика - как-то прочувствовать ситуацию в широком масштабе и оценить последствия тех или иных своих действий (или бездействия). Беда просто в том, что принимать социально значимые решения поручают людям, которые, в общем-то, не озабочены всерьёз всеобщим благополучием и процветанием. Ведь "всем не угодишь". Зато, во-первых, это отличная возможность потешить своё ЧСВ и, во-вторых, надо же как-то отрабатывать, иначе уволят/понизят - вот и приходится лоббировать свои интересы.
    Интересно, проводятся ли исследования компьютеризации добра и зла на основе наказания искуственной нейросети? Хотя на первый взгляд выглядит просто, но там могут быть свои подводные камни. В общем, было бы интересно понаблюдать за такими исследованиями.

Похожие материалы