Membrana можно не только любоваться – её можно создавать. Вместе с нами.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
Ну что, где проведёте выходные? Впрочем, это не наше дело. И ничьё.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?🙂
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
Please open Telegram to view this post
VIEW IN TELEGRAM
Но если не секрет – какие планы?
(Можно выбрать не один 🙂)
(Можно выбрать не один 🙂)
Anonymous Poll
26%
Буду трудиться
18%
Шашлыкиии!
9%
Выставки, театр, кино, концерты
13%
Я на спорте: велосипед, волейбол и всё такое
19%
А у меня огород
3%
А я иду в поход
13%
Путешествие ✈️
41%
Дома отдохну 😌
Эх, грустно будет без Тиндера 🥺
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
Будем скучать по Тиндеру?
Anonymous Poll
8%
Да, есть что вспомнить 😁
5%
Да, он помог найти любовь
13%
Нет, мне там встречались странные люди
74%
Нет, меня там не было и не будет
На неделе многие СМИ и Telegram-каналы облетела новость о том, что хакеры впервые в истории получили контроль над спутником и человечество в опасности.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
А вы обращаете внимание на домен сайта, где покупаете авиабилеты? Чем экзотичнее домен, тем выше вероятность, что такому ресурсу не стоит передавать данные банковской карты. Даже если билеты там дешевле.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
Коммерсантъ
Хакеры нащупали точку роста
Фишинг переходит с доменов .ru
Пентестер? Ждём тебя во Future Crew
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференцияхпо новым технологиям и защите компьютерных программ. Кстати, весь код писать не нужно – этим занимается отдельная команда разработки.
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференциях
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
Уязвимость в Telegram: у кого есть доступ к камере?
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда🙂
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда
Please open Telegram to view this post
VIEW IN TELEGRAM
19 и 20 мая в Парке Горького в Москве пройдёт масштабный киберфестиваль Positive Hack Days 12. Мы тоже заглянем.
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
Как мы используем МТС Ocean и К8 в разработке – рассказывает CTO Membrana Пётр Левшин
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
This media is not supported in your browser
VIEW IN TELEGRAM
Хотите создавать продукт, который обеспечивает право частной собственности на личные данные?
Мы немного рассказывали про Цифровой профиль раньше, и даже показывали его. А сейчас расширяем команду. Кстати, этот пост не только для разработчиков.
Кого приглашаем сейчас:
• Юрист
• Rust developer
• iOS разработчик
• Системный аналитик
• Менеджер по продукту
• Бизнес-аналитик
Мы создаём продукт, который даёт возможность безопасно сёрфить в интернете, защищать свои данные от злонамеренного использования и видеть свой цифровой след – аналог ДНК человека, в котором собрана вся онлайн жизнь.
Важно – можно не только изучать его, но и управлять им. Данные о каждом нашем шаге собирают разные компании и сервисы, иногда с нашего согласия, а чаще – нет. Зачастую данные уже не удалить, но прекратить делиться ими в один момент вполне возможно. Мы делаем это возможным.
Некоторые фичи продукта:
• специальные профили пользователя для анонимности в интернете;
• импорт данных из популярных сервисов;
• отзыв согласий на обработку персональных данных;
• защищённое хранилище данных;
• защита от профилирования: блокировка фингерпринтинга, подмена кук и других технологий, которые следят за нами.
Мы не любим, когда кто-то пытается навязать нам не только товары, но и мнение. Мы хотим в любой момент иметь возможность передумать, когда мы уже на что-то согласились (да, это не всегда возможно). Наконец, мы не считаем нужным для получения простой услуги заполнять анкету с датой рождения и телефоном.
Приходите, будет интересно.
Мы немного рассказывали про Цифровой профиль раньше, и даже показывали его. А сейчас расширяем команду. Кстати, этот пост не только для разработчиков.
Кого приглашаем сейчас:
• Юрист
• Rust developer
• iOS разработчик
• Системный аналитик
• Менеджер по продукту
• Бизнес-аналитик
Мы создаём продукт, который даёт возможность безопасно сёрфить в интернете, защищать свои данные от злонамеренного использования и видеть свой цифровой след – аналог ДНК человека, в котором собрана вся онлайн жизнь.
Важно – можно не только изучать его, но и управлять им. Данные о каждом нашем шаге собирают разные компании и сервисы, иногда с нашего согласия, а чаще – нет. Зачастую данные уже не удалить, но прекратить делиться ими в один момент вполне возможно. Мы делаем это возможным.
Некоторые фичи продукта:
• специальные профили пользователя для анонимности в интернете;
• импорт данных из популярных сервисов;
• отзыв согласий на обработку персональных данных;
• защищённое хранилище данных;
• защита от профилирования: блокировка фингерпринтинга, подмена кук и других технологий, которые следят за нами.
Мы не любим, когда кто-то пытается навязать нам не только товары, но и мнение. Мы хотим в любой момент иметь возможность передумать, когда мы уже на что-то согласились (да, это не всегда возможно). Наконец, мы не считаем нужным для получения простой услуги заполнять анкету с датой рождения и телефоном.
Приходите, будет интересно.
This media is not supported in your browser
VIEW IN TELEGRAM
В День защиты детей мы хотим поговорить о том, как важен баланс контроля и доверия. И на улице, и в интернете ребёнок может познакомиться с теми, с кем не стоит знакомиться, и увидеть то, что не стоит видеть. Важно, чтобы дети знали, как действовать в таких ситуациях, и доверяли мнению своих родителей.
Мы во Future Crew создаём сервисы не только для приватности взрослых, но и для безопасности детей в интернете, и мы учитываем мнения детей – в том числе мнения о разных сервисах, которыми они делятся в App Store и Google Play.
Рейтинг большинства приложений для родительского контроля низкий: дети не любят, когда ограничивают их свободу. Как и мы все. И решительно высказываются о том, чем они недовольны (орфография и пунктуация отзывов сохранены):
2Уважаемые разработчики. Я уверен, что не только мне, но и всем остальным пользователям вашего приложения не нравится присутствие контроля на телефоне. Подскажите пожалуйста, как его отключить без сообщения родителям и без блокировки телефона. Ставлю одну звезду. Если напишете совет изменю оценку.
Удалите приложение! Все мои друзья с этим приложением и меня бесит то что я например, не могу с другом поиграть вместе потому что он не может скачать Майн, потому что ему запрещают.
Телефон лагает, дети очень обиженны за лемит, и не хотят со мной разговаривать, мол:Ты и так всё знаёшь, через родительский контроль!Они не отвечают на звонки, веть у них истрачен лимит, перестали мне доверять!!!
ПОЙМИТЕ,МНЕ И МОИМ СВЕРСТНИКАМ НЕНУЖЕН ТАКОЙ СИЛЬНЫЙ КОНТРОЛЬЛЬ,ДОСТАТОЧНО ГИОЛОКАЦИИ
Для тех, кто впервые читает о родительском контроле в интернете: такие приложения защищают от нежелательного контента, позволяют управлять временем ребёнка в разных сервисах и определять, какие приложения ему можно скачать, а какие нет. Ещё одна полезная функция – возможность видеть местоположение ребёнка.
А как вы считаете, полезны ли такие приложения? Пользуетесь ли вы и какие впечатления у вас? И как вы решаете проблему баланса ребёнка между виртуальным и реальным мирами?
Мы во Future Crew создаём сервисы не только для приватности взрослых, но и для безопасности детей в интернете, и мы учитываем мнения детей – в том числе мнения о разных сервисах, которыми они делятся в App Store и Google Play.
Рейтинг большинства приложений для родительского контроля низкий: дети не любят, когда ограничивают их свободу. Как и мы все. И решительно высказываются о том, чем они недовольны (орфография и пунктуация отзывов сохранены):
2Уважаемые разработчики. Я уверен, что не только мне, но и всем остальным пользователям вашего приложения не нравится присутствие контроля на телефоне. Подскажите пожалуйста, как его отключить без сообщения родителям и без блокировки телефона. Ставлю одну звезду. Если напишете совет изменю оценку.
Удалите приложение! Все мои друзья с этим приложением и меня бесит то что я например, не могу с другом поиграть вместе потому что он не может скачать Майн, потому что ему запрещают.
Телефон лагает, дети очень обиженны за лемит, и не хотят со мной разговаривать, мол:Ты и так всё знаёшь, через родительский контроль!Они не отвечают на звонки, веть у них истрачен лимит, перестали мне доверять!!!
ПОЙМИТЕ,МНЕ И МОИМ СВЕРСТНИКАМ НЕНУЖЕН ТАКОЙ СИЛЬНЫЙ КОНТРОЛЬЛЬ,ДОСТАТОЧНО ГИОЛОКАЦИИ
Для тех, кто впервые читает о родительском контроле в интернете: такие приложения защищают от нежелательного контента, позволяют управлять временем ребёнка в разных сервисах и определять, какие приложения ему можно скачать, а какие нет. Ещё одна полезная функция – возможность видеть местоположение ребёнка.
А как вы считаете, полезны ли такие приложения? Пользуетесь ли вы и какие впечатления у вас? И как вы решаете проблему баланса ребёнка между виртуальным и реальным мирами?
Пользуетесь ли вы приложениями для родительского контроля?
Anonymous Poll
23%
Да, пользуюсь, в целом нравится
18%
Да, пользуюсь, но не очень нравится
31%
Не пользуюсь
21%
Я не родитель, но такие приложения поддерживаю
7%
Я не родитель, но такие приложения осуждаю
This media is not supported in your browser
VIEW IN TELEGRAM
На ЦИПРе в Нижнем Новгороде работают не только кожаные 😀
Если бы у вас был такой робот, чему бы вы его обучили?
Если бы у вас был такой робот, чему бы вы его обучили?
This media is not supported in your browser
VIEW IN TELEGRAM
С 1 июня в России действует не только лето, но и новые правила обработки биометрии. Компаниям необходимо заново выстроить процессы работы с данными, а граждане получат возможность управлять доступом к своим биометрическим данным через Госуслуги. Рассказываем, что изменилось и почему это важно.
Нововведения для бизнеса
Согласно Федеральному закону № 572, государственные и коммерческие компании должны до 30 сентября 2023 года передать все собранные биометрические данные в Единую биометрическую систему (ЕБС). Затем аутентификация людей с помощью биометрических персональных данных будет возможна только с задействованием данных из этой системы. Доступ к ЕБС будет только у аккредитованных организаций.
Если к 1 июня 2023 года в организации уже действуют информационные системы, обеспечивающие аутентификацию с использованием биометрии, то они могут продолжить работать в течение 180 дней, в течение которых уполномоченный орган примет решение об их аккредитации.
В Единой биометрической системе будут размещаться и обрабатываться:
1. изображение лица человека, полученное с помощью фотовидеоустройств;
2. запись голоса человека, полученная с помощью звукозаписывающих устройств.
После 1 сентября 2024 года действие закона будет распространяться на виды биометрических персональных данных, определенные Правительством РФ.
Теперь единый государственный регулятор будет отвечать за хранение всех биометрических данных граждан и контролировать их использование компаниями.
Управление своей биометрией
В будущем можно будет управлять доступом к своим биометрическим персональным данным через Госуслуги, а сейчас подать отзыв согласия на обработку персональных данных можно в МФЦ и через банки. При действующем согласии своей биометрией можно пользоваться для оплаты проезда в метро, доступа в офис, оформления электронной подписи, получения финансовых и других услуг.
Как вы считаете, как закон повлияет на развитие сервисов на базе биометрии? Пользуетесь ли вы такими сервисами?
Нововведения для бизнеса
Согласно Федеральному закону № 572, государственные и коммерческие компании должны до 30 сентября 2023 года передать все собранные биометрические данные в Единую биометрическую систему (ЕБС). Затем аутентификация людей с помощью биометрических персональных данных будет возможна только с задействованием данных из этой системы. Доступ к ЕБС будет только у аккредитованных организаций.
Если к 1 июня 2023 года в организации уже действуют информационные системы, обеспечивающие аутентификацию с использованием биометрии, то они могут продолжить работать в течение 180 дней, в течение которых уполномоченный орган примет решение об их аккредитации.
В Единой биометрической системе будут размещаться и обрабатываться:
1. изображение лица человека, полученное с помощью фотовидеоустройств;
2. запись голоса человека, полученная с помощью звукозаписывающих устройств.
После 1 сентября 2024 года действие закона будет распространяться на виды биометрических персональных данных, определенные Правительством РФ.
Теперь единый государственный регулятор будет отвечать за хранение всех биометрических данных граждан и контролировать их использование компаниями.
Управление своей биометрией
В будущем можно будет управлять доступом к своим биометрическим персональным данным через Госуслуги, а сейчас подать отзыв согласия на обработку персональных данных можно в МФЦ и через банки. При действующем согласии своей биометрией можно пользоваться для оплаты проезда в метро, доступа в офис, оформления электронной подписи, получения финансовых и других услуг.
Как вы считаете, как закон повлияет на развитие сервисов на базе биометрии? Пользуетесь ли вы такими сервисами?
Как устроен Firewall в Membrana?
CTO Membrana Пётр Левшин – о том, как мы фильтруем трафик
Пожалуй, самая востребованная функциональность Membrana – это Firewall, который защищает от рекламы, трекеров и других вредоносных сущностей интернета.
Ключевая особенность – это реализация на сети. Мы никак не влияем на смартфон клиента, не изменяем его настройки и не сажаем батарею. Мы реализовали это за счёт сложных сервисов коммутации четырёх сетевых контуров:
• внешней общей сотовой сети,
• сети внутри нашей инфраструктуры, которая управляется сервисами Membrana,
• транспортной сети,
• внешней коммутации до серверов, расположенных в разных странах.
Под сервисами Membrana скрывается целый ансамбль микросервисов, Kafka и сетевых модулей. Мы попробовали 11 реализаций механизма блокировок паразитного трафика и трекеров, и в итоге развиваем свой движок на Rust, он оптимален по скорости и безопасности. За этим скрывается тонкая настройка планов маршрутизации и интеграции сервисов. Чуть позже мы планируем провести митап и рассматриваем возможность сделать технологию оупенсорсной. На митап пригласим 😊
О сборе статистики заблокированного трафика и трекеров
Возможно, вы интересовались, какой объём интернет-трафика проходит через ваш браузер и приложения, и проверяли с помощью специальных сервисов. Обычно можно увидеть примерную генерацию. Искусный мастер делает красиво не только витрину, но и всё, что скрыто, поэтому мы разработали более точный механизм подсчёта статистики. При обращении к узлу мы запоминаем, какие части мы заблокировали. Далее специальный робот (на нашей стороне, трафик абонента не расходуется) проходит по сохранённым адресам и оценивает, сколько трафика ушло бы на их открытие. Мы накапливаем базу знаний о рекламе, трекерах и прочих вредоносах, чтобы лучше их блокировать и оценивать потенциальное потребление ими трафика без повторной проверки.
На скриншоте – данные о том, сколько трафика мы заблокировали за пару дней на тестовом смартфоне.
А предзаказы на Membrana мы собираем тут.
CTO Membrana Пётр Левшин – о том, как мы фильтруем трафик
Пожалуй, самая востребованная функциональность Membrana – это Firewall, который защищает от рекламы, трекеров и других вредоносных сущностей интернета.
Ключевая особенность – это реализация на сети. Мы никак не влияем на смартфон клиента, не изменяем его настройки и не сажаем батарею. Мы реализовали это за счёт сложных сервисов коммутации четырёх сетевых контуров:
• внешней общей сотовой сети,
• сети внутри нашей инфраструктуры, которая управляется сервисами Membrana,
• транспортной сети,
• внешней коммутации до серверов, расположенных в разных странах.
Под сервисами Membrana скрывается целый ансамбль микросервисов, Kafka и сетевых модулей. Мы попробовали 11 реализаций механизма блокировок паразитного трафика и трекеров, и в итоге развиваем свой движок на Rust, он оптимален по скорости и безопасности. За этим скрывается тонкая настройка планов маршрутизации и интеграции сервисов. Чуть позже мы планируем провести митап и рассматриваем возможность сделать технологию оупенсорсной. На митап пригласим 😊
О сборе статистики заблокированного трафика и трекеров
Возможно, вы интересовались, какой объём интернет-трафика проходит через ваш браузер и приложения, и проверяли с помощью специальных сервисов. Обычно можно увидеть примерную генерацию. Искусный мастер делает красиво не только витрину, но и всё, что скрыто, поэтому мы разработали более точный механизм подсчёта статистики. При обращении к узлу мы запоминаем, какие части мы заблокировали. Далее специальный робот (на нашей стороне, трафик абонента не расходуется) проходит по сохранённым адресам и оценивает, сколько трафика ушло бы на их открытие. Мы накапливаем базу знаний о рекламе, трекерах и прочих вредоносах, чтобы лучше их блокировать и оценивать потенциальное потребление ими трафика без повторной проверки.
На скриншоте – данные о том, сколько трафика мы заблокировали за пару дней на тестовом смартфоне.
А предзаказы на Membrana мы собираем тут.
CTO Cicada 8 Алексей Кузнецов в интервью CNews рассказал о проактивной защите от кибератак, о том, что стоит нанять хорошего тренера, если хочешь научиться драться, и о разнице между Red Team и Purple Team. А ещё – о платформе Cicada 8.
Это облачная платформа, уникальность которой — в комплексном подходе. Она объединяет в себе не только управление внешними угрозами, менеджмент внешнего периметра, но и анализ информации о взломах или утечках данных. Например, платформа отслеживает появление в СМИ, Telegram и даркнете публикаций об инцидентах кибербезопасности у заказчика.
В текущей конфигурации платформа ориентирована на enterprise компании. Мы пока не готовы делать её полностью автоматизированной, все рекомендации проходят экспертную валидацию и верификацию. Но в будущем она может стать доступной и для middle сегмента — когда качество автоматизации будет обеспечивать стабильно высокий результат для заказчика. Это будет более доступная версия в виде облачного решения, которое можно будет загрузить себе, оплатив подписку в личном кабинете.
Кстати, оставить предзаказ на Cicada 8 или задать вопросы о продукте можно здесь.
Это облачная платформа, уникальность которой — в комплексном подходе. Она объединяет в себе не только управление внешними угрозами, менеджмент внешнего периметра, но и анализ информации о взломах или утечках данных. Например, платформа отслеживает появление в СМИ, Telegram и даркнете публикаций об инцидентах кибербезопасности у заказчика.
В текущей конфигурации платформа ориентирована на enterprise компании. Мы пока не готовы делать её полностью автоматизированной, все рекомендации проходят экспертную валидацию и верификацию. Но в будущем она может стать доступной и для middle сегмента — когда качество автоматизации будет обеспечивать стабильно высокий результат для заказчика. Это будет более доступная версия в виде облачного решения, которое можно будет загрузить себе, оплатив подписку в личном кабинете.
Кстати, оставить предзаказ на Cicada 8 или задать вопросы о продукте можно здесь.
CNews.ru
Алексей Кузнецов, МТС RED: Деятельность хакеров в отношении России стала декриминализированной - CNews
Еще несколько лет назад вопрос информационной безопасности российским компаниям казался второстепенным — угроз...