Реальные угрозы безопасности — это вовсе не то, что впаривают консультанты или как в кино показывают. Основной принцип отлично показан в XKCD#538. Нет никакой необходимости перебирать все биты невзламываемого ключа эллиптической кривой, если можно просто подсадить троянца через уязвимый канал. Я как-то был на конференции по ИТ-безопасности, там был, естественно, вайфай, название точки доступа и ключ были в буклетах. Ну и товарищ на ноуте поднял ханипот с таким же именем и паролем и туда полезли коннекты. Вы можете заклеить все USB-порты на рабочей станции, но базу клиентов всё равно уведут, просто сфотографировав на телефон экран монитора.
И главное помните: если вас не взломали, это не значит, что не взломали. Просто вы ещё этого не обнаружили.
И главное помните: если вас не взломали, это не значит, что не взломали. Просто вы ещё этого не обнаружили.
xkcd
Security
Очень не нравится, что слово “crypto” теперь в мейнстриме ассоциируется с криптовалютами и, следовательно, с разными видами скама.
Запомоили ещё один один нормальный термин.
Запомоили ещё один один нормальный термин.
Тут вот текст про типичные ошибки в bash: https://mywiki.wooledge.org/BashPitfalls
Я на эти грабли настолько много понаступал, что от bash отказываюсь практически всегда в пользу питона. Как только возникает необходимость итерации по файлам или обработки строк — bash сразу нужно выбрасывать. Это не язык программирования, а беспросветная параша.
Я на эти грабли настолько много понаступал, что от bash отказываюсь практически всегда в пользу питона. Как только возникает необходимость итерации по файлам или обработки строк — bash сразу нужно выбрасывать. Это не язык программирования, а беспросветная параша.
Многие айтишники неправильно понимают слово «документация». Это не тексты для конечных пользователей, это в принципе любые _тексты_, описывающие или определяющие что-нибудь. Важно, что это именно тексты, видео, диаграммы и прочие комиксы абсолютно не способны дать описание/определение без существенной поддержки текста.
Подавляющее большинство писать документацию не умеет, а просто большинство и читать тоже не умеет. Функциональному чтению в принципе нигде не учат, с этим я смирился, но вот смириться с якобы обучением написанию не могу. Умение писать документацию — это не умение следовать ЕСДК или ещё какому стандарту, это умение чётко, последовательно и понятно излагать суть дела. Универсальный навык, вроде, а нет, именно ему специально никто нигде не учит. Есть фанатики с частными курсами типа Максима Ильяхова, но их очень мало.
Текст можно отлично уложить в проектную парадигму, применяя все аспекты: жизненный цикл, проектные роли (владелец, рецензент, qa, ...), релиз, апгрейд, вывод из эксплуатации и так далее. Но проектная парадигма предполагает соответствующую организационную структуру, а из-за всеобщего восприятия документации как чего-то вторичного и непервостепенного, на всё это конкретно забивается. В итоге документация устаревает в момент написания, дальше не обновляется, знания начинают передаваться доисторическими методами (в виде сказаний и мифов) и в итоге теряются.
Я пока из этой ситуации только один выход вижу: нужно поменять название и начать с чистого листа. Объявить документацию, скажем, «знаниями» и начать под это дело форсить функциональные вещи с детальным объяснением, нагнать хайпа от корифеев и корпораций, чтобы польза была в явном виде описана, без намёков и замечаний. И тогда настанет счастье: можно будет учить «записывать знания», «читать знания», «обновлять знания».
Подавляющее большинство писать документацию не умеет, а просто большинство и читать тоже не умеет. Функциональному чтению в принципе нигде не учат, с этим я смирился, но вот смириться с якобы обучением написанию не могу. Умение писать документацию — это не умение следовать ЕСДК или ещё какому стандарту, это умение чётко, последовательно и понятно излагать суть дела. Универсальный навык, вроде, а нет, именно ему специально никто нигде не учит. Есть фанатики с частными курсами типа Максима Ильяхова, но их очень мало.
Текст можно отлично уложить в проектную парадигму, применяя все аспекты: жизненный цикл, проектные роли (владелец, рецензент, qa, ...), релиз, апгрейд, вывод из эксплуатации и так далее. Но проектная парадигма предполагает соответствующую организационную структуру, а из-за всеобщего восприятия документации как чего-то вторичного и непервостепенного, на всё это конкретно забивается. В итоге документация устаревает в момент написания, дальше не обновляется, знания начинают передаваться доисторическими методами (в виде сказаний и мифов) и в итоге теряются.
Я пока из этой ситуации только один выход вижу: нужно поменять название и начать с чистого листа. Объявить документацию, скажем, «знаниями» и начать под это дело форсить функциональные вещи с детальным объяснением, нагнать хайпа от корифеев и корпораций, чтобы польза была в явном виде описана, без намёков и замечаний. И тогда настанет счастье: можно будет учить «записывать знания», «читать знания», «обновлять знания».
Парадоксальная штука: чтобы напрячься, нужно расслабиться. Чтобы сконцентрироваться, нужно расфокусироваться. Это работает как для мысленных, так и для телесных практик. Универсальнее всего это для вторых демонстрируется: когда вы танцуете в паре (или в спаринге дерётесь), вам категорически нельзя концентрироваться на чём либо, это очень сильно всё роняет и ухудшает. Концентрация допускается только при обучении, как только вы начинаете в «рабочем» процессе думать, какую ногу куда двигать или какой рукой куда бить, вы гарантированно проиграете и сломаете работу.
Поразительнее всего то, что к этому люди часто приходят сами, так как преподаватели вообще ничего про такое не говорят прямым текстом. Скорее всего, потому что сами не осознали этого, потому что как только это понимаешь, стараешься сразу же объяснить, к чему нужно стремиться — не к точной концентрации, а к расслабленному тонусу, когда с минимальным напряжением держишь под контролем сразу несколько элементов «работы». Парные танцы и боевые искусства очень близки в этом смысле, поскольку там в реальной ситуации разные части тела работают по абсолютно разным «программам», это называется диссоциацией. И вот удержать в сознании одновременно две-три-четыре работающих программы фантастически тяжело или даже невозможно. Цель преподавателя вывести максимально эти программы в «низкоуровневую прошивку» мозга, чтобы вы в процессе не думали, какой ногой/рукой куда двигать, это должно происходить как бы само собой. Естественно, это достигается тренировками, однако если они проходят бессистемно, то процесс очень и очень сильно тормозится. «Прошивка» базовых навыков должна проходить максимально эффективно, иначе можно что-нибудь не то запомнить.
И всё это полностью применимо к интеллектуальной работе тоже. Программист, когда работает над информационной системой (я специально не говорю «пишет код»!), основную часть рабочего «выхлопа» производит автоматически, особо не задумываясь, что именно он делает в данную секунду. На разных уровнях эти автоматические действия разные: кодер автоматически пишет блоки кода, не задумываясь, из каких слов они состоят; а системный архитектор пишет сразу архитектурными паттернами. И чтобы всё это работало, нужно расслабиться, но при этом оставаться в тонусе.
P.S. Тонус в разных источниках определяется по-разному, мне больше нравится такое объяснение: Тонус — это состояние организма, позволяющее быстро и эффективно реагировать на внутренние и внешние раздражители. Мышечный тонус — это не напряжённые постоянно мышцы (как это у новичков постоянно), а в состоянии, близком к готовности.
Поразительнее всего то, что к этому люди часто приходят сами, так как преподаватели вообще ничего про такое не говорят прямым текстом. Скорее всего, потому что сами не осознали этого, потому что как только это понимаешь, стараешься сразу же объяснить, к чему нужно стремиться — не к точной концентрации, а к расслабленному тонусу, когда с минимальным напряжением держишь под контролем сразу несколько элементов «работы». Парные танцы и боевые искусства очень близки в этом смысле, поскольку там в реальной ситуации разные части тела работают по абсолютно разным «программам», это называется диссоциацией. И вот удержать в сознании одновременно две-три-четыре работающих программы фантастически тяжело или даже невозможно. Цель преподавателя вывести максимально эти программы в «низкоуровневую прошивку» мозга, чтобы вы в процессе не думали, какой ногой/рукой куда двигать, это должно происходить как бы само собой. Естественно, это достигается тренировками, однако если они проходят бессистемно, то процесс очень и очень сильно тормозится. «Прошивка» базовых навыков должна проходить максимально эффективно, иначе можно что-нибудь не то запомнить.
И всё это полностью применимо к интеллектуальной работе тоже. Программист, когда работает над информационной системой (я специально не говорю «пишет код»!), основную часть рабочего «выхлопа» производит автоматически, особо не задумываясь, что именно он делает в данную секунду. На разных уровнях эти автоматические действия разные: кодер автоматически пишет блоки кода, не задумываясь, из каких слов они состоят; а системный архитектор пишет сразу архитектурными паттернами. И чтобы всё это работало, нужно расслабиться, но при этом оставаться в тонусе.
P.S. Тонус в разных источниках определяется по-разному, мне больше нравится такое объяснение: Тонус — это состояние организма, позволяющее быстро и эффективно реагировать на внутренние и внешние раздражители. Мышечный тонус — это не напряжённые постоянно мышцы (как это у новичков постоянно), а в состоянии, близком к готовности.
Напомню классическую историю: когда в корпорации ввели систему stack rating — когда в конце периода проводится аттестация и все сотрудники ранжируются по рейтингу, а нижние 5% увольняют — отделы стали специально нанимать людей, чтобы выбивать им низкий рейтинг и потом увольнять.
Мне всегда было легко с математикой и абстракциями. С самого детства мог мысленно переключить контекст на любую ахинею, принять её за аксиому и в такой системе отсчёта что-нибудь помыслить.
Но оказалось, что для понимания теории категорий этого решительно недостаточно, там нужно совсем был наглухо двинутым, чтобы настолько абстрагироваться от реальности.
Но оказалось, что для понимания теории категорий этого решительно недостаточно, там нужно совсем был наглухо двинутым, чтобы настолько абстрагироваться от реальности.
Статья о людях, способных с первой встречи запомнить более 80% лиц людей при встрече и потом позднее опознать их среди других. Обычный человек запоминает не более 20%.
Скилл этот врождённый, присутствует у одного процента людей и пока непонятно, как именно он работает (собственно, как почти любой другой скилл). Причём под опознанием имеется в виду не видел/не видел, а конкретная идентификация: человек с фотографии номер такой-то или старший брат школьной подруги, которого я видела мельком один раз в шестилетнем возрасте.
Люди с таким умением работают в полиции, распознавая с очень высокой точностью лица, например, хулиганов в потоке людей на спортивном матче.
Скилл этот врождённый, присутствует у одного процента людей и пока непонятно, как именно он работает (собственно, как почти любой другой скилл). Причём под опознанием имеется в виду не видел/не видел, а конкретная идентификация: человек с фотографии номер такой-то или старший брат школьной подруги, которого я видела мельком один раз в шестилетнем возрасте.
Люди с таким умением работают в полиции, распознавая с очень высокой точностью лица, например, хулиганов в потоке людей на спортивном матче.
Vice
How Police Are Using 'Super Recognizers' Like Me to Track Criminals
Kelly Hearsey's job is to identify people from CCTV footage. She's freakishly good at it.
Apple запрещает для игр Epic Games использование фичи “Sign in with Apple”.
Это даже не звоночек, а прямо колокол. Причём это вовсе не про apple, а про глобальную проблему: infrastructure lock, которая является более общим вариантом vendor lock.
Если вы используете любой неподконтрольный вам ресурс (логин через apple/facebook/google, загружаемую библиотеку со стороннего CDN, сторонную систему биллинга итп), то всегда должны иметь стратегию выхода из использования этого ресурса. Как минимум нужно осознавать, что вы можете лишиться доступа, как максимум — иметь на готове несколько запасных вариантов, на которые можно переключиться с минимальными потерями.
В случае Epic хочется надеяться, что у них есть какой-то способ вернуть пользователям доступ к аккаунтам, когда они его лишатся по прихоти apple.
Это даже не звоночек, а прямо колокол. Причём это вовсе не про apple, а про глобальную проблему: infrastructure lock, которая является более общим вариантом vendor lock.
Если вы используете любой неподконтрольный вам ресурс (логин через apple/facebook/google, загружаемую библиотеку со стороннего CDN, сторонную систему биллинга итп), то всегда должны иметь стратегию выхода из использования этого ресурса. Как минимум нужно осознавать, что вы можете лишиться доступа, как максимум — иметь на готове несколько запасных вариантов, на которые можно переключиться с минимальными потерями.
В случае Epic хочется надеяться, что у них есть какой-то способ вернуть пользователям доступ к аккаунтам, когда они его лишатся по прихоти apple.
В понедельник, 7 сентября, один из крупнейших банков Чили BancoEstado был вынужден закрыть все свои отделения из-за атаки вымогательского ПО, имевшей место на прошлых выходных. Подробности об инциденте пока не раскрываются, однако по данным источников издания ZDNet, банк стал жертвой вымогательского ПО REvil (Sodinokibi).
Атака началась с получения одним из сотрудников BancoEstado вредоносного документа Microsoft Office. Предполагается, что после его открытия в корпоративную сеть банка установился бэкдор. По версии следствия, в ночь с 4 на 5 сентября злоумышленники воспользовались бэкдором для доступа к сети банка и установили в ней вымогательское ПО. Атака была обнаружена в субботу, 5 сентября, когда, придя на работу, сотрудники не смогли получить доступ к файлам.
https://www.securitylab.ru/news/511789.php
Атака началась с получения одним из сотрудников BancoEstado вредоносного документа Microsoft Office. Предполагается, что после его открытия в корпоративную сеть банка установился бэкдор. По версии следствия, в ночь с 4 на 5 сентября злоумышленники воспользовались бэкдором для доступа к сети банка и установили в ней вымогательское ПО. Атака была обнаружена в субботу, 5 сентября, когда, придя на работу, сотрудники не смогли получить доступ к файлам.
https://www.securitylab.ru/news/511789.php
Главная проблема в безопасности — это начальники. Парадоксально, но именно у руководителей больше всего свободы и послаблений, хотя именно у них гораздо больше возможностей нанесения вреда. В итоге самые затравленные — операционисты и подобные, а наибольший ущерб от коррумпированных руководителей.
Forwarded from Банкста
Экс-начальника сектора управления прямых продаж Московского банка Сбербанка Сергея Зеленина осудили за кражу данных клиентов.
Его приговорили к колонии-поселению на два года и штрафу в 25 млн рублей.
Летом появились сообщение о продаже данных 60 млн кредитных карт, но Сбербанк признался в утечке только 5000 учётных записей.
После сообщений о продаже начались массовые обзвоны мошенников, которые окучили практически всех клиентов Сбербанка. У Зеленина изьяли несколько жёстких дисков с данными клиентов, которые суд постановил уничтожить. @banksta
Его приговорили к колонии-поселению на два года и штрафу в 25 млн рублей.
Летом появились сообщение о продаже данных 60 млн кредитных карт, но Сбербанк признался в утечке только 5000 учётных записей.
После сообщений о продаже начались массовые обзвоны мошенников, которые окучили практически всех клиентов Сбербанка. У Зеленина изьяли несколько жёстких дисков с данными клиентов, которые суд постановил уничтожить. @banksta
Вынесу из комментриев прекрасную статью про устройство SSL/TLS. Там очень подробно, очень точно и очень понятно написано всё.
https://tls.dxdt.ru/tls.html
https://tls.dxdt.ru/tls.html
“A new scientific truth does not triumph by convincing its opponents and making them see the light, but rather because its opponents eventually die, and a new generation grows up that is familiar with it.”
― Max Planck, Scientific Autobiography and Other Papers
― Max Planck, Scientific Autobiography and Other Papers