24 апреля в крутой компании Георгия Лобушкина и автора телеграмм канала Сачок, будем размышлять о тех предсказаниях и технологических ожиданиях, которые когда-то выдвигались сообществом и почему ожидание и реальность иногда расходились

Все будет происходить в пространстве Futurione (ВДНХ), на конференции от Информзащиты

Новая операционная система ImmigrationOS!

Если честно, то я медленно (иногда ускоренно) охреневаю от использования наших данных везде и всяко. Но, когда вижу, что происходит на гос уровнях в других странах, охреневание становится x2-x3

Иммиграционная и таможенная полиция США (ICE - Immigration and Customs Enforcement) заключила контракт с Palantir Technologies на 30 миллионов баксов. В рамках контракта, выпускники акселератора стартапов ЦРУ (Palantir) должны предоставлять агентству данные "почти в режиме реального времени" о лицах, самостоятельно депортируемых из США. Данный продукт должен помогать ICE кого депортировать, отдавая особый приоритет просроченным визам.

ICE работает с Палантиром с 2011 года, как раз, когда они только только стали выходить из тени гос котрактов - с 2005 по 2008 их единственным заказчиком было ЦРУ, дальше подтянулась другая госуха. И после 2011 года, когда, по слухам, Палантир использовали для поиска и устранения Бил Ладена, они пошли в массы - банки, фонды, Кока Колла и другие корпоративные монстры. Сейчас же ICE нужно решить сложную задачу по трекингу просроченных виз. Сложность возникает в области сбора биографических и биометрических данных уезжающих путешественников, особенно если они уезжают по суше. И вот новую систему для такого сложного отслеживания хотят назвать Immigration Lifecycle Operating System, или проще говоря ImmigrationOS. MVP продукта планируют выкатить к 25 сентября 2025 года, а сам контракт до сентября 2027 года. Это все связано с политикой администрации Трампа, которая требует, чтобы тысячи иммигрантов самодепортировались или покинули США добровольно.

Если верить документу, то цель всего этого - борьба с бандами M-13 и Tren de Aragua, члены которых остаются по просроченным визам и пересекают границы по суше.

Чуть больше деталей о последней версии Палантира для ICE приводит 404Media - людей можно искать на основе сотней разных и весьма специфических категорий - как человек въехал в страну, какой текущий правовой статус, страна происхождения, цвет волос, шрамы, татуировки плюс корелляция с данными о номерных знаков авто (куда ездит, где бывает и с кем). А новый контракт лишь расширяет возможности текущей версии продукта

Судостроительная компания и вакансии для носителей русского языка

Тут мне один прекрасный человек скинул интересную вакансию с сайта indeed (аналог нашего хедхантера). В ней американская судостроительная компания HII ищет людей со знанием русского языка, для работы в локации Fort Meade, MD, Maryland, United States. По случайному стечению обстоятельств, эта же локация является штаб квартирой NSA.

Таки кого же ищет себе судостроительная комания? Нужен Russian Cryptologic Language Analyst - человек со знанием русского языка, платят до 120К баксов в год, требуется высокий уровень доступа к секретной информации. Нужно находиться на customer's side и работать какую-то там работу. Ну кастомер в этой локации, с такими требованиями только один. Может парочка.

Какую работу работать? Тут тоже все просто - нужно изучать и сортировать письменные и аудио материалы, чтобы извлекать нужную инфу, понимать сложные разговоры и переписки, чекать работы себе подобных, писать intelligence отчеты

Если говорить проще, то корабликостроители выступают прокладкой для NSA. Знаю, что такое регулярно появляется на просторах интренетов, но первый раз вижу корабельщиков в этом грязном деле

А еще сегодня вышел видос со мной от Кибердома, где я рассказывал простыми словами (я надеюсь) про всякие целевые атаки, фишинг, рейдерские захваты и Лас-Вегас. А самое главное - как защищаться

Там в посте ссылка на ютюбчик с полной версией

Новая и очень интересная атака

Уже можно по чуть чуть выносить в паблик. Коллеги из GReAT вместе с Т-Технологиями нашли сложную атаку на ру сегмент. Скоро будет больше деталей, но штука очень серьезная и технологичная

Мне вспоминается кулуарная беседа с одним журналистом из России. Он рассказывал, как сидел и болтал с друзьями дома. Один из собеседников поделился, что у него скончался брат. И далее, спустя какое-то время по ходу разговора спросили рядом стоящую Алису - «как дела?». На что умная колонка ответила «получше, чем у вашего брата»

Сегодня Яндекс презентовал умную колонку камеру. Слайд называется «Увидеть все детали»

Комментировать - только портить

Неделя кибербезопасности от Кафедры криптографии и безопасности компьютерных систем НЯУ МИФИ

Узнал тут, что мои крутые коллеги (в том числе и бывшие) будут делать крутую штуку - недельное мероприятие по хардкорным темам в кибербезе: фаззинг, аппаратные атаки, обратный инжиниринг и тд.

Например, Саша Козлов и Сережа Ануфриенко - парни, которые поломали модемы, тачки много других классных технологий.

Роланд был в моей команде когда-то давно. Он классно прокачался в фаззинге, обратном инжиниринге и поиске уязвимостей. Он, между прочим, сам выучил русский язык и теперь прекрасно на нем говорит.

В общем, если вам интересна эта тема - записывайтесь. там раз в день по докладу и плюсом то, что всё онлайн

С Днём космонавтики, друзья!

Кажется хакерскую площадку для хакеров похакали

Bugcrowd- платформа для проведения bugbounty - разослала письма «счастья», что нужно сменить пароль. Такое бывает чаще всего из-за утечек. Посмотрим как быстро признают или дадут объяснения

UPD: кажысь перестраховочка со стороны площадки, но пока мониторят чего и как

Ahoy! А у нас вышел тизер нового эпизода ОБИБЭ - говорили про взлом судов и пароходов ⛴️

Отличный пример шикарной, очень изящной идеи с ужасной финансовой моделью

В общем, мы тут одновременно с прекрасными профессионалами своего дела, друзьями и коллегами (Влад, Сергей Солдатов, ЕК, Игорь Кузнецов, moi) задумались о великом и вечном – ИИ. 2 вопроса взбудоражили наше сознание:
1. Стоит ли ждать в ближайшиегоды появления сильного (также известного как общего) искусственного интеллекта (AGI, artificial general intelligence)?
2. Может ли искусственный интеллект уничтожить человечество?Короткий ответ – да фиг его знает, но предпосылки есть

Развернутый ответ:
сами того не понимая, мы движемся в этом направлении большими шагами. Пока AGI нет, но это вопрос времени, вычислительных мощностей и данных. В целом, ИИ уже разводит людей и, кажется, справляется с этим неплохо. Stanford провел исследованияс 2017 по 2022 года – как и где люди знакомятся в США.
Ну, кроме того, что люди становятся асоциальными (знакомства через друзей падают) в процентах, количество знакомств онлайн летит на 50%+! Прекрасные технологии и все такое. Но давайте взглянем на это под другим углом – большаячасть сервисов онлайн знакомств имеют «под капотом» тонны математики, нейроночек и ИИшниц. То есть, бездушная машина искусственного интеллектаформирует выборки того, кто, по мнению этой бездушной машины, вам подходит. То есть, ИИшницы уже, по сути, занимаются разведением людей. Когда я приводил этотпример своим студентам в МГИМО, то они разделились на две категории:

🟢Да круто, что ИИ помогает мне отмести тех, кто мне не интересен
🟢Это же жуть, что бездушная машина выбирает с кем мне спариваться, а с кем нет

Прагматизм и делегирование важных социальных функций могут
загнать нас в черную дыру под названием «нужно больше данных чтобы выбрать вам одобренного партнера». И вот потеряв важные опорные точки для нас, как для человечества, мы не будем уничтожены ИИ, но будем мягко подсажены на его иглу удобства и незаменимости

Вчера в одном из чатиков наткнулся на вполне резонный вопрос - зачем нужон этот ваш атрибуция в кибер атаках?

У меня, как мне кажется, развита эмпатия и я прям задумался а ведь и вправду зачем? Тезис человека был резонным - ну строй ты себе эшелонированную защиту своих активов, применяй вот это вот всё, но какая тебе разница кто тебя ломает? Серверная или Южная Корея? Или может Китай? Или Асашай? да пофиг же! Я призадумался и понял, что не так все гладко в датском королевстве.

Атрибуция в кибербезе - попытки понять, кто же стоит за атакой. Атрибуция стала одним из мячиков, которыми жонглируют политики на мировой арене. Но и для бизнеса это достаточно важная штука.

В кибер страховании (я по этому делу аж курс в МГИМО читаю) атрибуция является рычагом в спорных ситуациях при реализации инцидента - были случаи, когда страховые компании отказывали в выплатах, считая, что атака исходила от state-sponsored actor и малвара таким образом автоматом относится к кибер оружию

Атрибуция важна на уровне государств, чтобы понимать откуда что прилетает, кто друг, а кто не очень

Атрибуция позволяет хорошо выделять характерные TTP (tactics, techniques, and procedures) для группировок и регионов. А также следить за тем, какие технологии используются частными и государственными командами. Хороший пример тут - Project Raven/Fruity armor/Stealth Falcon - кибер наёмники, бывшие сотрудники американских спецслужб, работают на Ближнем Востоке. Их обнаружение, атрибуция и расследование в итоге привели к закрытию (и ребрендингу) такой компании, как DarkMatter. Есть отличное предствление о том, что и как делает эта группировка, кто цели и тд. Или связь группировки Regin с Shadowbrokers показывает на сколько подготовлены те или иные государственные группировки

Атрибуция, как бы это не было смешно, важна для американских частных и гос компаний, если они пострадали от действий шифровальщиков. Например, группировка LockBit под санкциями США. Если частная или гос компания пострадает от них и захочет заплатить выкуп, то им еще и от регулятора местного прилетит - проведение сделок с подсанкционными сущностями. И смех и грех. Поэтому вымогатели проводили ребрендинги, меняли активно техники и тактики, чтобы удержать "бизнес" на плаву. Cyber resilience курильщика, одним словом

Но, будучи обоюдоострым самурайским мечом, атрибуция является и штукой для запутывания следов. Тут на сцене появляются False Flags - мимикрирование одних группировок под другие. Цель очень проста - кибер камуфляж при выполнении операций, чаще всего связанных с кибер шпионажем. Хорошим и очень ярким примером тут является Olympic Destroyer. Сказ о том, как глобальное сообщество по кибербезопаснсоти не могло определиться, кто же стоит за одной из серьезнейших атак во время Олимпийских игр 2018 года. Но ребята из GReAT разобрали по косточкам и нашли примеры, что атакующие мимикрировали под Северную Корею.

В общем, атрибуция важна, но use at your own risk - в интернете никто не знает, что ты собака

Вчера в одном из чатиков наткнулся на вполне резонный вопрос - зачем нужон этот ваш атрибуция в кибер атаках?

У меня, как мне кажется, развита эмпатия и я прям задумался а ведь и вправду зачем? Тезис человека был резонным - ну строй ты себе эшелонированную защиту своих активов, применяй вот это вот всё, но какая тебе разница кто тебя ломает? Серверная или Южная Корея? Или может Китай? Или Асашай? да пофиг же! Я призадумался и понял, что не так все гладко в датском королевстве.

Атрибуция в кибербезе - попытки понять, кто же стоит за атакой. Атрибуция стала одним из мячиков, которыми жонглируют политики на мировой арене. Но и для бизнеса это достаточно важная штука.

В кибер страховании (я по этому делу аж курс в МГИМО читаю) атрибуция является рычагом в спорных ситуациях при реализации инцидента - были случаи, когда страховые компании отказывали в выплатах, считая, что атака исходила от state-sponsored actor и малвара таким образом автоматом относится к кибер оружию

Атрибуция важна на уровне государств, чтобы понимать откуда что прилетает, кто друг, а кто не очень

Атрибуция позволяет хорошо выделять характерные TTP для группировок и регионов.

Зацените, какая прикольная штука. Чувак нашел чей-то кошелек и составил объявление так, чтобы только хозяин колешька, в котором лежал какой-то документ, судя по всему, смог с ним связаться

А помог ему в этом шифр Цезаря (вариация шифра подстановки). Это классный и очень элегантный способ. Но, помнится, находили мы использование шифра Цезаря в одном оборудовании Siemens. А там пароли так хранились (сдвиг по слову Siemens хехе). Вот так делать точно не нужно

UPD: коллеги поправили меня - речь про шифр Вернама :) но все равно красиво

MITRE ATT&CK и задержки в обновлениях

все из мира ибэ знают, что такое майтре матрица. это такая база знаний по техникам и тактикам, которые используются атакующими. внезапно отсылки на этот фреймворк стали must-have штукой практически для всех отчетов по исследованию атак.

Чуваки из ZScaler выпустили отчет по малваре CoffeeLoader. Судя по названию - это loader, или загрузчик. Малвара активна с сентября 2024 года. В целом, мы его детектим как одну из вариаций Trojan.Win32.Shelma и детектим это семейство очень давно

Интересно в отчете, что малвара использует две техники для обхода детектирования антивирусными движками - подмена стека (stack spoofing) и обфускация в спящем режиме (sleep obfuscation). Первая техника - техника, которая подделывает стек вызовов для маскировки источника вызова самой функции. Второе - код и данные малвары шифруются в спящем состоянии (sleep state). Таким образом, артефакты малвары (незашифрованные) присутствуют в памяти только тогда, когда ее код выполняется. Но интересно то, что оба этих метода описаны в одном и том же источнике друг за другом :) будто бы малварщики наткнулись на блог и такие - "о, норм, давай бахнем"!

Но вот что еще интересно - ни первая, ни вторая техники не указаны в MITRE матрице для тактики Defense Evasion! что странно - чувакам из ZScaler было бы неплохо туда закинуть и получить мини ачивку

Поживем-увидим

Я давно увлекаюсь всякой электронной музыкой и в прошлой жизни занимался организацией рейв-вечеринок (даже урывками писал об этом раз, два, три). Таки следуя постулатам "можно вевезти человека из %s, но нельзя вывезти %s из человека", я продолжаю слушать тоннами всякие странные звуки. Есть такой крутой музыкант - Пол Калькбреннер. На мой взгляд - отличный пример как музыканта, так и бизнесмена в своей нише. У него есть прекрасная и невероятно гипнотическая переделка песенки группы 2raumwohnung - wir werden sehen. Хочу себе заказать эту пластинку когда-нибудь. Пол, кстати, еще снимался в кино.

К чему я это всё? слушал его в наушниках в который раз и наткнулся на интересные размышления о том, как тренировали ИИ модели META (признанные экстремисты) и OpenAI. Они тупо спарсили пиратский контент из LibGen. Дурное дело- не хитрое, скажете вы. И будете правы. Только частично.

На эту проблему обратила внимание в том числе и Kim Zetter - автор книги про Stuxnet. Она возмущена, что компании взяли пиратскую версию ее книги, а не лицензию и обучили свои модели. А также она подняла вот какую проблему - многие издатели не умеют в факт-чекинг. Это означает, что любой ИИ, который обучили на такой непроверенной выборке (особенно, если речь идет про нишевые истории, как кибербез, например) будет воспроизводить фактические ошибки. Книги факт-чекают только в том случае, если автор платит из своего кармана, чтобы кто-то это сделал, или если автор сам проверяет факты после написания книги. А это косты, бабки, мани-мани. И еще время!

Авторы книг уже подали в суд на LibGen за пиратство книг, и разоблачения об использовании Meta (известные и признанные экстремисты) этих пиратских книг появились из-за судебного иска. Вообще статья прекрасна!

Интересно, кто победит - авторы, которые вложили огромный труд в свои книги, или IT-гиганты, которым нужно все больше и больше обучать и переобучать свои модели? как грица, wir werden sehen

Навеяло недавними разговорами с представителями бизнеса одного крупного, которые хотят быстро, дешево и шоб не поломали

Для себя сейчас открываю новую неочевидную нишу бизнеса, которому очень очень очень скоро придется как-то защищаться, ибо там разброд и шатание в этом плане. Парадокс в том, что это не КИИ (критическая информационная инфраструктура), но при кибер атаке там могут умереть люди (и уже были случаи смертей, кстати)

Айтишное искусство заправить шубу в трусы

Я тут наткнулся на крутое исследование, которое вышло в самом конце февраля этого года. Оно посвящено исследованию безопасности коммуникационным протоколам Apple со спутниками. Ресеч сделан силами целой команды из Института цифровой инженерии Хассо Платтнера и ребят из SEEMOO (The Secure Mobile Networking Lab, команда из департамента компьютерны хнаук Дармштадтского технического университета).

Прежде всего ребята провели обратный инжиниринг проприетарных коммуникационных протоколов Apple для свези устройств выпущенных после 2022 года со спутниками. Эти протоколы обеспечивают связь для хорошо известного сервиса Find My – поиск своих устройств или же доверенных людей на карте. Учитываяособенности спутниковой связи, протокол оптимизирован для работы с ограниченной пропускной способностью и задержками, но имеет проблемы в безопасности. Например, было найдено отсутствие защиты целостности отправляемых сообщений: в некоторых режимах (например, экстренные сообщения) используется AES-CTR безаутентификации, что позволяет подменять данные. Чуть подробнее: каждое изменение бита в шифротексте соответствует изменению бита в открытом тексте в той же позиции. Злоумышленник может использовать это для изменения ответов в сообщении-запросе (которое передается как битовый массив) и, как следствие, например, изменить местоположениеустройства. Используя эту находку, удалось отправлять произвольный текст, «завернутый» в этот протокол. Ограничение по длине сообщения - до 83 байт. Но атакующий может отправлять до 160 байт. Также этот функционал позволяет обходить разного рода блокировки контента и функционала устройств по географическому местоположению – в своем эксперименте ребята «меняли» положение телефона с Германии на Польшу и на Корею (жаль, что не Северную).

Apple использует шифрование на двух уровнях: транспортный (защищённый) и прикладной (оптимизированный для скорости). Однако внутренний уровень (например, для экстренных сообщений) не обеспечивает целостность.

Как итог – чуваки показали приложение для обмена сообщениямичерез спутники (типа бесплатно без смс можно переписываться). ЭТО ОЧЕНЬ КРУТО! Особенно для экстренной связи в локациях, где нет ничего рядом. Это дешевый способ связи. Но тут есть куча но – сомневаюсь, что такие данные отслеживаются тем же СОРМ’ом и схожими системами :) тут и плюс и минус хехе.

А еще мне вспоминаются хулиганские способы DNS-туннелирования, когда подняв свой ДНС сервер можно было сидеть в интернете бесплатно во время авиа-перелетов. Там весь трафик в DNS запросы-ответы заворачивался. Но эту штуку прикрыли много где(но не везде)

Примаковские чтения

Тут внезапно ярко зажглась и быстро потухла уязвимость нулевого дня под Google Chrome. Мои дорогие коллеги (Игорь Кузнецов и Борис Ларин) нашли сложную уязвимость в Хроме, которая эксплуатировалась очень таргетированно. Целью были посетители форума Примаковские Чтения. Это форум для представителей государственных организаций. В целом, атаки на верхний политический эшелон любого государства - не новость, такое происходит регулярно по всей планете. Но эта атака очень инетерсна.

Во-первых, это технически сложная атака. Как пишут парни, уязвимость логическая и живет на на стыке песочницы и операционной системы Windows

Во-вторых, стоимость. Российский эксплойт брокер предлагает $500К за подобную багу в Хроме. Но, международные брокеры предлагают обычно больше. Смею предположить, что стоимость логической уязвимости с обходом песочниц(ы) в Хроме с последующим выполнением кода обошлась в $1 миллион баксов (плюс минус). Здесь дело в том, что она логическая. Такие обычно работают куда более стабильно, чем бинарные, где все зависит от памяти и, порой, от того, как "болотный газ из метеозонда попал в теплые слои атмосферы и отразил свет Венеры".

В-третьих, там был еще один эксплойт уже для выполнения кода в операционной системе. То есть, скорее всего, это LPE (local privilege escalation) для Windows. Но я могу тут ошибаться. Однако если это LPE под свежие версии винды, то стоимость эксплойтов возрастает, примерно, на $150-$200К.

Уязвимость быстро была исправлена командой Гугла. Также Гугель поблагодарил парней за находку. Думаю, что очень скоро ребята расскажут про технические особенности уязвимости и самой атаки.

Тут инетерсна атрибуция, но, как мне кажется, куча факторов указывает на, как напишут западные издания, Eastern Europe APT Actor :) Сжечь так быстро зиродей под Хром и, вероятно, еще один ценный зиродей - уметь нада

Большие данные, маленькие люди. Или поиск иголок в стогахсена

Я тут внезапно обнаружил, что людей, которым интересны мои заметки на полях, стало много. Всем привет таки!

Поэтому я решил запилить пост про одну из забавных штук, которую я показываю своим студентам в МГИМО. Этот пост про маркетинг, данные и нашу с вами приватность

Ни для кого не секрет, что любое приложение, сайт или другая сущность в интернетах собирает о вас вообще всё (и даже больше), что можно собрать. Данные эти собираются, складируются, анализируются и потом используются. Иногда даже против вас. Так, некоторое время назад, я открыл для себя абсолютно прекрасный сервис горячо любимого Яндекса – Яндекс Аудитории. Эта штука создана для создания выборок пользователей, всякой таргетированной рекламы и прочей маркетинговой вакханалии. Но мне тут видится технологи ядвойного назначения, то есть не только анализировать количество людей, их интересы и тд, которые тусуются около ТЦ, станции метро или вашего бизнес центра, а как эксплуатировать эту систему с точки зрения сбора других данных.. Например, при сборе данных на основе ID мобильных устройств. То есть вы загружаете минимум 100 номеров телефонов и мониторите их в локации и под этот сегмент можете делать определенный таргет: созданные специально под этот сегмент изображения, видео, тексты, поисковая выдача. А что если вы в выборку добавляете 99 заведомо левых и 1 нужный вам номер? 😊
Дальше – интереснее. Давайте окунемся в географию. Я решил протестировать сразу на экстремальных вариантах использования этого сервиса – попросил Яндекс найти устройства в таких странах, как Мали, Банги (ЦАР), Ракка, Дейр-эз-Зор, аэропорт и автовокзалы Мосула, Алеппо, Пальмира и окрестности. Причем для Алеппо и Пальмиры я выбралопцию, что «устройства находятся сейчас там». Для других – регулярно посещают.

Мощь и сила Аудиторий позволяют также анализировать устройства, которые классифицируются, как «Работает», «Живет» и «Была за N дней за неделю/месяц/3 месяца». А также можно делать ретроспективный анализ. Например, я попросил Яндекс дать стату по устройствам, которые были с 25 по 27 июля 2024
года недалеко у населенного пункта Тинзауатен (на севере Мали в районе алжиро-малийской границы). И, вы знаете, там есть результаты…

Для таких, мягко говоря, интересных выборок, можно давать специфическую таргет и контекст рекламу, чтобы заманить к себе на сайт человека из нужной аудитории и дальше уже куча вариантов.
В общем, это очень-очень интересный инструмент. Думаю, что светлые умы инфобеза придумают еще варианты использования его для OSINT ине только

Уэээээу! @CyberSachok и команда провели опрос по тематическим (ибэшным) тг каналам. Внезапно, у меня там почетное 3 место (вместе как раз с Сачком)

Happy Friday, guys and dolls!

Курс на B2B

Чуть больше недели назад, тем, кто активно пользуется всякими специализированными поисковыми системами, типа Shodan и вот Censys, пришло письмо, в котором говорится, что классический поиск в Censys будет закрыт, а на его место придет поисковая платформа.

Из новенького - внедряют CenQL. Это язык запросов к поисковой платформе. Для удобства сделали даже конвертер из старого формата в новый - чтобы удобно было мигрировать со всеми своми bulk-поисками. Также, судя по всему, сделали более удобную штуку для формирования отчетов.

Censys - полезная штука. Не такая удобная и юзер-френдли, как Shodan, но данные там лучше. В Шодане топорный механизм обнаружения ханипотов, который очень часто не работает нормально (ага, твоя система управления солнечными панелями или котроллер хостятся в Digital Ocean, верю-верю). Censys же лучше фильтрует эти данные. Также в Censys более гибкий и кастомизируемый синтаксис для поиска, который позволяет находить интересные результаты - панели управления Cobalt Strike, малварные/фиш/мошеннические панельки, специфическое оборудование и тд.

Кажется, что Censys легонько подталкивает всех бесплатных пользователей переходить на платную историю. Что, в целом, логично. И делают более серьезный упор на корпов b2b историю. Надеюсь, что они сделают прикольные визуализации скриншотов камер, RDP, VNC и других удаленных штук, как это сделано в Shodan - такой подход точно расшири аудиторию и приведет мелких платных пользователей

Отличная иллюстрация того, что же такое приватность и конфиденциальность данных. Нужно использовать в презентациях для студентов своих

Хозяйке на заметку

На гитхабе залили proof of concept (PoC) повышения привелегий в Microsoft Windows Hyper-V NT Kernel Virtual Service Provider (CVE-2025-21333). Повышение привелегий стало возможным из-за уязвимости типа переполнения кучи (heap buffer overflow).

Это компонент, используемый для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG). Он не находится в традиционной среде виртуальных машин Hyper-V. В то время как традиционные виртуальные машины Hyper-V имеют строгую границу между хостом и гостем в целях изоляции, виртуальные машины контейнерного типа, такие как MDAG, имитируют, что они работают на хосте. Драйвер Hyper-V NT Kernel Integration VSP имеет функциональность, которая как раз позволяет эту имитацию

Большие виртуальные монстры не совсем в опасности. А вот песочницы…. интересно, быстро эту багу интегрируют в малвару? 🤔

А код тут

Пространство для лавирования корабликовым ИБ

Вчера послушал вебинар одной компании - CyberOwl (нейминг в стиле Гарри Поттера). Это дочерняя контора DVN - датский судоходно оффшорный сверх-монстр, который управляет 21% мирового рынка грузовых судов и мобильных оффшорных платформ. ДО-ФИ-ГА короче

На вебинаре эти кибер совы рассказывали новый отчет про кибер инциденты на судоходстве. Делюсь с вами, дружочки

Честно скажу, у меня смешанные чувства. С одной стороны - текущий уровень кибербеза на этих многотонных монстрах выглядит как катастрофа. С другой стороны - это гигантсвое пространство для роста и создания чего-то нового. Удивительно, что еще никто не адаптирует АСУТПшные продукты под суда - структура абсолютно такая же. Такие же управляющие протоколы, контроллеры и тд. Другие только технологические процессы. Но это вопрос адаптации и, как мне кажется, короткого времени. Мы проходили это в 2015, когда наша команда активно участвовала в сервисах для промышленных компаний, чтобы быстро и эффективно адаптировать продукты (KICS). Здесь же, в судоходстве, скоуп выглядит даже более узким

Проблемы, с которыми сталкиваются владельцы судов и управляющие компании - вьетнамские флешбеки. Как раз 2013-2017 года: операторы на судах тыкают непонятные флешки и заражают (и они не знают что с этим делать хехехе), как строить защиту, как проектировать и тд. По данным отчета, только 32% владельцев судов включают вопросы ИБ на этапе проектирования судна. Если честно, мне кажется, что это СЛИШКОМ оптимистично. На деле - куда меньше

Проблема репортинга, как делиться знаниями и тд. Нет регуляторки, чтобы владельцы судов и управляющие компании сообщали об инцидентах. Ну никому ж не нужно. Но тут кроличья нора ох как глубока. На самом деле, нет продуктов и технологий для детектирования угроз и их предотвращения, нет телеметрии и нет вообще понимания что там происходит. Ставлю 5 штук, что в огромном количестве судов, во внутренних сетях живут такие динозавры как Sality, Kido и тд. И никто на них не обращает внимания.

В своей статистике они приводят, что 60% инцидентов за 2024 год связаны с вредоносами. И 77% малвары доставляется через USB. Просто фантастика. Я прям удивляюсь, что до сих пор никто не предложил одно easy решение, которое прям на поверхности. Причем, с него можно было бы и статистику собирать. Но самый смак в том, что 12% малвары попадает на судно ЧЕРЕЗ ИНТЕРНЕТ! А 4% через фишинг!

Авторы отчета, причем, сами понимают, что делать ИБ нужно на этапе проектировки судна, в самом начале. Но самое интересное, что 52% компаний, которые поставлют OEM продукты на судна сталкивались с кибератаками за последний год. То есть supply chain "привет-как дела-один тут отдыхаешь"?

Чем опасно это все? У нас вот вот выдет новый эпизод подкаста ОБИБЭ, который посвящен кибербезу на судоходстве. Но, если чуть спойлеров, то судно - кладезь информации для кибершпонажа, шифровальщиков-вымогателей и тд. Мы, как человечество, к сожалению, об этом еще просто не задумывались плотно. Самое, что печальное, что 93% команды на корабле не подготовлены, если на судне произойдет кибер инцидент. А еще вот что инетерсное - эти же 93% респондентов из числа корабельной команды говорят, что им недостаточно знаний и тренингов по ИБ, чтобы справляться с задачами более эффективно. Причем 56% опрошеных готовы взять на себя больше ролей в плане ИБ. А среди владельцев судов и управлющих компаний 86% говорят, что им нужно больше знаний и тренингов

Но хватит о плохом! Во-перых, это огромное море-океан для бизнес и технологических возможностей. Во-вторых, Кибер Совы пишут про потребность в secure-by-design подходу, но только 38% респондентов осведомлены о том, какие требования и что нужно делать. То есть им нужно сначала объяснить, создать стандарты, сделать (адаптировать) продукты и потом создатьбезопасный флот. Это много работы. Пожалуй, что это даже ДО-ХРЕ-НА работы, но это интересно

В общем, сначала стало жуть как страшно, а потом я понял, что это прекраснейший отчет, который можно и нужно использовать во благо

Enjoy и семь футов под килем!

Shipowners must decide at the design stage whether to mandate pre-certified cyber-secure equipment or rely on a case-by-case approval for different systems.

А еще вот что инетерсное - 93% респондентов из числа корабельной команды говорят, что им недостаточно знаний и тренингов по ИБ, чтобы справляться с задачами более эффективно. Причем 56% опрошеных готовы взять на себя больше ролей в плане ИБ. А среди владельцев судов и управлющих компаний 86% говорят, что им нужно больше знаний и тренингов

В общем, сначала стало жуть как страшно, а потом я понял, что это прекраснейший отчет, который можно и нужно использовать во благо

Enjoy и семь футов под килем!

Пространство для лавирования корабликовым ИБ

Вчера послушал вебинар одной компании, которая называется CyberOwl (нейминг с вопросиками и в стиле Гарри Поттера). Это дочерняя контора DVN - датский судоходно оффшорный сверх-монстр, который управляет 21% мирового рынка грузовых судов и мобильных оффшорных платформ. ДО-ФИ-ГА короче

На вебинаре эти кибер совы рассказывали про кибер инциденты на судоходстве и представили новый отчет. Делюсь с вами, дружочки

Честно скажу, у меня очень смешанные чувства. С одной стороны - текущий уровень кибербеза на этих многотонных монстрах выглядит как катастрофа. С другой стороны - это гигантсвое пространство для роста и создания чего-то нового. Удивительно, что еще никто не адаптирует АСУТПшные продукты под суда. Ибо структура абсолютно такая же. Точно такие же управляющие протоколы, такие же контроллеры и тд. Другие только технологические процессы. Но это вопрос адаптации и, как мне кажется, очень короткого времени. В 2015 году, когда наша команда активно участвовала в сервисах для промышленных компаний, чтобы быстро и эффективно адаптировать продукты (KICS) под те или иные технологические процессы, мы научились быстро адаптироваться под те или иные системы, технологические процессы, новые протоколы и контроллеры. Здесь же, в судоходстве, скоуп выглядит даже более узким

Проблемы, с которыми сталкиваются владельцы судов и управляющие компании - вьетнамские флешбеки. Как раз 2013-2017 года: операторы на судах тыкают непонятные флешки и заражают (и они не знают что с этим делать хехехе), как строить защиту, как проектировать и тд. По данным отчета, только 32% владельцев судов включают вопросы кибербеза на этапе проектирования судна. Если честно, мне кажется, что это СЛИШКОМ оптимистично. На деле - куда меньше

Проблема репортинга, как делиться знаниями и тд. Нет регуляторки, чтобы владельцы судов и управляющие компании сообщали об инцидентах. Ну никому ж не нужно. Но тут кроличья нора ох как глубока. На самом деле, нет продуктов и технологий для детектирования угроз и их предотвращения, нет телеметрии и нет вообще понимания что там происходит. Ставлю 5 штук, что в огромном количестве судов, во внутренних сетях живут такие динозавры как Sality, Kido и тд. И никто на них не обращает внимания.

В своей статистике они приводят, что 60% инцидентов за 2024 год связаны с вредоносами. И 77% малвары доставляется через USB. Просто фантастика. Я прям удивляюсь, что до сих пор никто не предложил одно easy решение, которое прям на поверхности. Причем, с него можно было бы и статистику собирать. Но самый смак в том, что 12% малвары попадает на судно ЧЕРЕЗ ИНТЕРНЕТ! А 4% через фишинг!

Авторы отчета, причем, сами понимают, что делать ИБ нужно на этапе проектировки судна. То есть в самом начале. Самое интересное, что 52% компаний, которые поставлют OEM продукты на судна сталкивались с кибератаками за последний год. То есть supply chain "привет-как дела-один тут отдыхаешь"?

Чем опасно это все? У нас вот вот выдет новый эпизод подкаста ОБИБЭ, который посвящен кибербезу на судоходстве. Но, если чуть спойлеров, то судно - кладезь информации для кибершпонажа, шифровальщиков-вымогателей и тд. Мы, как человечество, к сожалению, об этом еще просто не задумывались плотно. Самое, что печальное, что 93% команды на корабле не подготовлены, если на судне произойдет кибер инцидент

Но хватит о плохом! Во-перых, это огромное море-океан для бизнес и технологических возможностей. Во-вторых, Кибер Совы пишут про потребность в secure-by-design подходу, но только 38% респондентов осведомлены о том, какие требования и что нужно делать. То есть им нужно сначала объяснить, создать стандарты, сделать (адаптировать) продукты и потом создатьбезопасный флот. Это много работы. Пожалуй, что это даже ДО-ХРЕ-НА работы, но это интересно. Вот что пишут:
Furthermore, the availability of cybersecure solutions is still limited, and challenges remain in ensuring they meet both regulatory standards and operational requirements. Shipyards and OEMs may lack awareness of certified solutions or opt for cheaper, uncertified alternatives.

Корпоративный мамонтизм в арсенале APT

ну что, технологический синкансэн мчит вперед, а нам только нужно успевать следовать заветам прекрасного Хантера Томпсона - "Buy the Ticket, Take the Ride!"

Фееричное развитие ИИ привело к тому, что абсолютно все сейчас желают его как-нибудь использовать. А это генерит новые рабочие места, а это генерит новые разработки, а это генерит внимание со стороны кибер-негодяев. Особенно APT (advanced persistent threat).

Для APT все сложнее и сложнее находить этот самый лакомый первоначальный доступ - то 0day нужно спалить, то внедрить бекдор, то еще что-то. Но, как грица, голь на выдумки хитра, и атакующий выходят на новый уровень.

На днях, мой друг с работы, Влад, скинул странное предложение по работе, которое пришло в запрещенный Линкедын. В нем писали буквально следующее - мы вам организуем супер топ профиль в линкедыне, подаемся за вас на вакансии связанные с AI/ML в США. Вам только нужно пройти собеседования и быть принятыми на работу. А дальше мы за вас поработаем. За это они обещают от 5 до 20 тыщ баксов в месяц (ох уж эти пассивные доходы)

Тут мы оба сошлись, что пахнет жареным. И да, одна мадам из США уже признала себя виновной в том, что повелась на такое и дала таким образом доступ, предположительно, товарищам из Северной Кореи. Тут сложно говорить что-то об атрибуции, ибо это уже давно элемент геополитических игрищ. Да и Гугл выпустили отчет по этой проблеме. Они пишут про insider threat, но мне, если честно, кажется, что тут попахивает новой техникой для MITRE ATT&CK матрицы. В Initial Access так и просится "fooled/scammed newcomer" :)

И, как мне каежтся, такого будет больше. А еще не удивлюсь, если и в России есть такие же левые сотрудники, работающие удаленно. И тут, самое главное, чтобы у вас нормально была выстроена эшелонированная ИБ и хорошо настроен SIEM

А вы, пожалуйста, внимательно читайте условия работы и не забывайте, что северокорейские апт хитры и изобретательны

Так, я вернулся! Неделя выдалась загруженной и жаркой (в Москве +8). На видосике чисто я

Ahoy! Не теряйте, я укатил в экспедицию на Кольский полуостров, за полярный круг

через неделю back to business

Легкий способ для начинающих разобраться в странных кодах состояния HTTP

читал тут пост в Секаторе пост про уязвимости в Palo Alto Networks. И до меня вот что дошло.

Palo Alto Networks назвали свой софт PAN-OS. Панос хехехехехе))) понимаю, что не смешно, но я хожу и ржу как не знаю кто :) забавно, если тамошний маркетолог русский

Согласитесь, звучит же:
🔴 выполнение произвольного кода на PAN-OS’е
🔴 хакеры взломали PAN-OS
🔴 новое обновление выводит ваш PAN-OS на новый уровень производительности
🔴 при выборе конфигурации ваш PAN-OS может работать как в домашних условиях, так и малом, среднем бизнесе и даже в КРОВАВОМ ЭНТЕРПРАЙЗЕ
🔴 стабильно работающий PAN-OS - залог вашего бизнеса!

Скоро снимут санкции, западные вендоры попросятся обратно. Нужно будет продать им эти рекламные слоганы

Картинка - тест на возраст

Your bunny wrote…

Прекрасный закон о рекламе, который почти никак не выполняется, кроме как внедрения этих рекламных айдишников

Пригнал тут в командировку в одну страну и обнаружил интересный «дизайнерский ход» в ванной. Центральная часть зеркала в ванной комнате не запотевает при атаке паром :)

И вот тут два варианта. Либо это и вправду дизайнерский ход, чтобы видеть себя даже когда слишком жарко. Либо «улыбнитесь, вас снимает скрытая камера». Это место подогревается с обратной стороны, зеркало абсолютно цельной конструкции и не видно что там внутри. Кстати, во время этого эксперимента мне позвонили и сказали, что у меня сработала panic alarm :)

Кстати, я уже находил скрытые камеры во всяких местах

Две статьи на границе разумности

Истерия вокруг DeepSeek набирает какие-то фантастические обороты. Кроме уже выпущенных "отчетов", появился "разносный" отчет yet another компании, которая резюмирует, что приложение DeepSeek для iOS просто капец какое дырявое, что за вами следят, что все ваши промты попадают на стол великому Си Цзиньпиню (а копия, само собой каждому члену политбюрю) в специальной красной папочке с надписьмю "СРОЧНО". Что приложение нужно удалить и под угрозу поставлена демократия на планете. Отчет туть.

Что там нашли:
🌼Передача незашифрованных данных - исследователи ссылаются на передачу данных по HTTP, а не HTTPS. Больше похоже на косяк разработки, если честно
🌼Слабые и захардкоженные ключи шифрования (проще говоря нашли использование 3DES) - 3DES устаревший стандарт шифрования данны, это факт. Но в отчете нет инфы о том, что именно шифруется. Они просто нашли его использование. Я допускаю его использования для некритичных данных внутри приложения. В этом нет никаких проблем. Ибо обмазываться AES'ами в прикуску с RSA может быть очень громоздко для мобильного приложения. Странно, что не написали про использование base64 внутри приложения...
🌼Небезопасное хранение данных (локальных) - да, такое тоже бывает. незашифрованное хранения данных в локальных стораджах приложения. однако, если там и вправду хранится пользовательский пароль в чистом виде - это необходимо исправить. Но, в случае, если на iOS есть вредоносное ПО типа Триангуляции или другого продвинутого зловреда - сомневаюсь, что это поможет :)
🌼Расширенный сбор данных и профилирование пользователей - господи, чуваки открыли для себя маркетинговый сбор данных что ли? В своем "техническом" отчете компания и не скрывает, что их сценарии надуманы и притянуты за уши ("While the above example is contrived"). Также они ссылаются, что имея часть данных (10 юнитов инфы о пользователе), которые собраны DeepSeek, можно прикупить еще данные с миллионов прилодений на рынке о том же пользователе и задеанонить этого бедного пользователя. Цитата:
Bear in mind that not only are 10’s of data points collected in the DeepSeek iOS app but related data is collected from millions of apps and can be easily purchased, combined and then correlated to quickly de-anonymize users
Жаль, что исследователи забыли, что эти данные генерятся в основном US-based компаниями. Жаль, что они забыли про историю с Cambridge Analytica. Печально, что забыли про то, что Apple собирает и отправляет все данные о пользователях даже тогда, когда сбор данных отключен. Про Яндекс говорить не буду. Я обычно в своем курсе в МГИМО показываю как они собирают данные о нас и как можно деанонимизировать людей с использованием их легитимных сервисов
🌼Данные отправляются в Китай и регулируются законами КНР (не ну тут интернет вообще нужно запретить) - это смешно. В любой стране или анклаве (EU) передача, хранение и обработка данных РЕГУЛИРУЮТСЯ. Представляете? И эти данные используются этими данными и государствами. И в РФ, и в Саудовской Аравии, и в США, и в Китае, и тд и тп. Исследователи ссылаются на то, что DeepSeek (уберите от экранов людей со слабым сердцем, детей и беременных женщин) в своих публичных документах пишут, что хранят данные на серваках в Китае, что могут поделиться данными с правоохранительными органами и партнерами, что делятся по запросу гос органов, пишут про то, что именно они собирают и в каких юрисдикциях подавать в суд на них. НЕМЫСЛИМО! Они озвучили то, что и прописывают в пользовательских соглашениях другие компании? А некоторые и даже так открыто не прописывают

Вывод - отчет выпущен срочно, ибо ставит под немыслимый удар пользователей. Спасли планету и человечество. DeepSeek удалить, запретить.

Ах да, чуть не забыл. Вторая статья на границе разумности! Тут не так интересно и не такие охваты в мировых СМИ - правительство Великобритании выпустило Секретный приказ, в котором требует полного доступа к зашифрованным облачным резервным копиям пользователей Apple по всему миру. Но тут не переживайте, это не 3DES для локального хранения данных... не так страшно

Сегодня выступал на Инфофоруме 2025. Выступал вместе в рамках секции с Еленой Борисовной Торбенко (одна из руководителей ФСТЭК), Мошковым Алексеем Николаевичем (помощник полпреда по ЦФО), Ивановым Алексеем Владимировичем (замдиректора НКЦКИ)

Выступал первый после представителей регуляторов и получилось неплохо. Рассказал некоторые факапы промышленности и условия, которые привели к взломам этой самой промышленности

Кажется, нас ждут новости

кажется, нас ждут новости о новой, активно эксплуатируемой уязвимости - повышение привилегий в AD (Active Directory). Один ресечер из Дании запостил детальное описание эксплуатации уязвимости CVE-2025-21293.

Уязвимость нашли в сентябре 2024, закрыли в январе 2025. Уязвимость была в Network Configuration Operators, встроенная секьюрити группа в AD. Эта группа нужна для предоставления ограниченных прав конфигурации сети пользователям без полных административных прав, и, как выяснилось, имела чрезмерные разрешения на чувствительные разделы реестра. Например, можно было создавать подразделы в разделах реестра DnsCache и NetBT

Сама проблема крылась в манипуляциях счетчиками производительности (Performance Counters) через права в этих подразделах разделов DnsCache и NetBT. И, кроме самого считания этой производительности и всяких там мониторингов, можно выполнять пользовательский код через подгрузку вредоносных DLL. ГДЕ-ТО Я ТАКОЕ УЖЕ ВИДЕЛ ХЕХЕХЕ. Ну да ладно :)
Используя разрешения группы «Network Configuration Operators», атакующий подгружает DLL-ки в счетчики производительности в разделе реестра службы DnsCache. После подгрузки и регистрации эти DLL выполняются с привилегиями уровня SYSTEM. Очень удобно!

Ладно, если отбросить все хиханьки и хахоньки, то эта бага, к сожалению и скорее всего, уже сейчас экплуатируется и довольно активно. Выглядит как довольно удобный инструмент без взаимодействия с памятью и тд. Да и доступен код для её эксплуатации. Так что, к сожалению, услышим новые рансомварно-вайперные историй

Сам же ресечер Sebastian Birk из Дании, работает на Retest security пентестером. И уязвимость нашел во время пентеста. Очень крутая находка

Хотел было глянуть сколько могут предложить Zerodium за такую находку, но, внезапно, они убрали прайс-лист из паблика. Неужели веяния новой администрации?

По-моему, это просто шедевр. Ради такого и изобретали ИИ

В новогодние праздники абсолютно спонтанно сгонял в Мурманск. Купил билет и через 6 часов был в самолёте.

Крайний север - восторг. Полярная ночь (или уже раннее утро) - восторг.

Взял тачку и погнал в сторону Териберки. Гнал и переслушивал альбомы Tricky. У него есть проект, по мотивам альбома False Idols, который точно так же называется - False Idols. Он пригласил своих дружочков и они забацали трип-хоп. И там есть финальный трек альбома - Big bang blues. Если вы любите трип-хоп - вам точно понравится. Она очень круто подошла под дорогу по заснеженным, многомерно серо-розовым просторам крайнего севера

Немного фоток с моей Лейки

Хорошей пятницы!

Великая битва за ИИ и ИИ курильщика

Короче суета вокруг китайских ИИ вообще не детская. Сразу же случился DDoS на инфраструктуру DeepSeek (я даже это назвал «дудос-пендос», простите), потом сразу несколько каких-то неизвестных стартапов по ИБ решили сказать лучшим практикам по разглашению уязвимостей «нам поибэ» и выкатили отчеты, мол дырявый этот ваш DeepSeek. Майкрософт возбудился что DeepSeek что-то воровал у OpenAI. Короче пока похоже на цирк с конями и жирафами. Но тут, скорее, сработает эффект Барбары Стрейзен, чем случится обкатанная культура отмены

DeepSeek сделал свою основную задачу - навел шороху. И это очень интересно.

Meanwhile горячо «любимый» мною Яндекс со своим искусственным интеллектом. Пока идет битва титанов, он собирает пупочные катышки в банку 👆

UPD: в комментах тестим знания ИИ касательно министра обороны РФ

НИФРИТОВЫЙ ДРАКОН УДАР БУРГЕР КОВБОЙ! ДВА ЧАШКА РИСА РАДОСТЬ

в общем, все тут уже увидели новости про ололо инвестиции в 1 триллион юаней (138 лярда usd) от Bank of China, плюс обвал рынка ценных бумаг на 1.2 триллиона usd. Суета нарисовалась ух

А суета, как вы знаете, из-за двух вещей:
1. Китай выкатил в паблик пару мощных ИИшечек. Да не просто бесплатных и без ВПН, а еще и у себя развернуть можно
2. Обучение моделей заняло в 100 раз меньше (в деньгах), чем у OpenAI

Тут я активно с Владом Тушкановым обсуждал эту суету. Он очь верно подметил:
кто сказал, что хороший метод + много компьюта не дадут результат выше, чем хороший метод + мало компьюта

В общем, чо имеем после быстрого тыкания кнопочек:
1. ChatGPT в бесплатной версии (где есть о1-мини) запоминает вас и ваши привычки, вкусы и тд. Чтобы создать ощущение "дружбана". Китайски ИИшки (DeepSeek и Qwenlm) пока не могут. Но это, как сказал Влад, несложно допилить
2. У ChatGPT бесплатной версии интернет память основна на данных 2021 года (для o1 по его же словам) и октябрь 2023 (для о4 - там очень небольшое количество запросов, но чуток бесплатно) . Справедливости ради, о1 дополняет актуальность данных и после 2021 года. Проверили на британском премьер министре. У китайских ИИшек это октябрь 2023 (DeepSeek и Qwenlm). То есть, судя по всему, китайские ИИшки обучались на одних и тех же данных. Очень любопытно.
3. Влад заметил, что у ChatGPT (бесплатная с о1-мини) нет связки интернет+ризонинг. то есть он пока не умеет искать в интернете в варианте с ризонингом. Говоря простым языком - искать в интернете и думать, делать выводы. В отличии от DeepSeek. Qwenlm не может. Но обе могут делать сложные выводы, спрашивать дополнительную инфу, работать со всякими "кудрявыми" и вложенными логиками и тд. Честно - мне очень понравилось на тестах

Reasoning модель - такая штука, которая может сначала подумать, а потом дать тебе обдуманный ответ. Вот как бы что круто. И сейчас китайский вариант завирусился

Влад круто пояснил расстановку про китайцев
Есть очень интересная статья, где показывается, как китайцы обошли экспортные ограничения, которые на них наложили США. В Китае официально продаются только видеокарты, так называемые 800-й серии NVIDIA, которые, в отличие от 100-й серии, от H100, имеют в 6, по-моему, раз урезанную ширину шины. Там не 900 Мбит в секунду, а 150 Мбит в секунду, что-то в таком роде. Они нашли способ очень быстро подавать данные на вычисления, алгоритмически, что позволило им, собственно, обойти ограничения на ширину шины и обучать модели быстро. Это одна из крутых вещей, которые они сделали
И это вообще не значит, что если американцы не возьмут свои самые лучшие дата-центры и не будут использовать те же алгоритмы, а также именно те наработки в обучении ризенингу, которые использовали китайцы, у них не получится лучше. Просто за счет того, что у них больше данных, больше вычислительных мощностей, и они, соответственно, могут больше запускать параллельных экспериментов для получения лучшей модели.

И, наконец, насчет рынка. А станет ли дешевле обучать модели? Смотрите, для обучения ризонинг моделей на каждый ответ тратится в 20, в 30, в 40, в 100 раз больше токенов, чтобы ответить, чем обычная модель типа GPT-4о. Если модель тратит больше токенов, то нужно больше серверных мощностей для того, чтобы просто ее захостить. А это значит, что нужно больше GPU для того, чтобы языковые модели достаточно быстро отвечали, которые развернуты в качестве сервиса. Поэтому сейчас, если этот test-time compute станет основной парадигмой, денег на самом деле на Compute нужно будет больше, но не на обучение моделей, а на то, чтобы делать их inference, то есть делать более доступными для людей.

В общем, пока выглядит классно. DeepSeek чуть чуть лучше справился с некоторыми неочевидными деталями по моим запросам, чем Qwenlm.

Рынки, стабилизируются. Но вопросы о том, как справиться с новым вау-эффектом и что делать с открытостью кода - стоят ребром в калифорнийской волости. А еще и новая гонка вычислений, йоу!

Отдельная благодарность Владу за погружение в дебри ИИ бизнеса