ФРАНЦУЗСКИЕ СПЕЦСЛУЖБЫ РЕШИЛИ ЗАБРАТЬ У ДУРОВА КЛЮЧИ ШИФРОВАНИЯ ОТ ТЕЛЕГРАМ.
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
Media is too big
VIEW IN TELEGRAM
Ну а в целом, реакция большей части СНГ-сообщества сегодня выглядит так:
ЧТОБЫ СТАТЬ БЕЗОПАСНИКОМ, НУЖНО ВСЕГО ЛИШЬ...
В общем, я тут решил собрать свои знания по старту карьеры в информационной безопасности в единый гайд - практика, теория, стажировки и всё остальное. Если кому будет полезно - пользуйтесь.
#кибербез #войтивАйТи
В общем, я тут решил собрать свои знания по старту карьеры в информационной безопасности в единый гайд - практика, теория, стажировки и всё остальное. Если кому будет полезно - пользуйтесь.
#кибербез #войтивАйТи
Кстати, в хакеры тоже через Телеграм вербовать начали. (Хотя, может, не начали, просто я только сейчас стал светиться в профильных ИБ-шных международных сообществах). Весёлые ребята. За один вирус предлагали 200 долларов. За 5 минут моих отказов дошли до 350, потом слились.
Эх, если б у меня так за офферы торговаться получалось...)
Эх, если б у меня так за офферы торговаться получалось...)
Вообще, кстати, я решил в одном месте собрать ссылки на все свои основные соцсети. Возможно, скоро там и ютуб появится, но пока имеем то, что имеем)
https://allmylinks.com/fiexagon
https://allmylinks.com/fiexagon
КРОШКА СЫН К ОТЦУ ПРИШЁЛ…
Хочу затронуть такую тему, как менторство в ИТ и диджитал-профессиях. Так случилось, что я сам около полу года назад начал заниматься этим непотребством, поэтому, некоторый опыт уже имеется, и могу рассуждать о менторстве с позиции экспертного эксперта…
Так вот, начнём с того, что же такое менторство – для тех, кто совсем не знаком с этой темой. Рано или поздно любой человек на своём карьерном пути сталкивается с вопросом, на который было бы неплохо получить совет-консультацию от более опытных коллег, от тех, кто уже проходил этот путь и т.д. Это может быть, как выбор карьеры, образовательного вектора, поиск первой работы, горизонтальный или вертикальный рост, выгорание и т.д. и т.п. Классно, если рядом есть человек, обладающий нужным опытом. Но, зачастую, такого человека нет. Тут на помощь и приходит менторство.
Услуга может быть, как бесплатной (предоставляемой человеком на голом энтузиазме), так и платной. Как однократной (если нужна короткая консультация), так и регулярной (если вы пришли к ментору, как к преподавателю, который помогает выстроить вам план обучения). Неполный список проблем, которые может помочь закрыть ментор, я описал чуть выше. Повторяться не хочу.
Так вот, поговорить сегодня хочу о том, как же искать менторов… Для этого существует несколько путей.
Первый – самый распространённый. Если организация заинтересована в росте своих сотрудников, она сама внедряет в том или ином виде систему менторства/кураторства (эх, что-то чачи захотелось… к чему бы это?).
Второй – геморный и не всегда работающий – поиск кураторов по профильным чатам, в LinkedIn и т.д. Неоднократно видел, как потенциальные кураторы сами публикуют посты с призывом обращаться к ним. Либо же менти (сам узнал этот термин полгода назад) пишут объявления о поиске ментора, пишут потенциальным кандидатам в личку…
Ну и третий, который я теперь могу рекомендовать всем – поиск менторов на профильных сайтах. Это избавит от проблем объяснения человеку, чего же именно от него хотят – там уже можно оценить число проведённых консультаций, даже рейтинг ментора, иногда даже отзывы почитать можно. Но тут, опять же, возникает уже вопрос – «А как выбрать площадку?» На этот вопрос однозначного ответа я, точно, не дам, но распишу опыт работы с каждой из площадок, с которой доводилось взаимодействовать…
1. Начнём не с конкретной площадки, а с собирательного термина «Мелкие сайты» (как пример - easyoffer.ru/mentor) - с ними хорошо работать, если вы выбрали для себя популярную профессию, у вас есть какой-то типовой запрос. На них, обычно, невысокие цены на консультации (но, справедливости ради, совсем бесплатных менторов тоже мало), и не самый удобный интерфейс. Плюс, мало потенциальных менторов и, как следствие, узкий перечень закрываемых вопросов.
2. Хабр.Эксперты. Да, немногие в курсе, но у самой популярной платформы ИТшников в РФ есть свой менторский раздел. За счёт большого числа пользователей, менторских аккаунтов, широкий перечень потенциально закрываемых вопросов, но есть большая проблема – уведомление менторов о новых заявках. Уведомления прилетают на почту… Как итог – мне несколько человек, обращавшихся через Хабр, говорили, что подавали заявку десятку менторов, но ответил только я… В общем, шанс найти там кого-то есть, но для этого придётся продраться через кучу мёртвых аккаунтов.
3. Solvery. Одна из самых популярных менторских платформ. Берёт комиссию 20%, но за счёт этой комиссии закупает рекламу, контролирует актуальность аккаунтов и т.д. У платформы достаточно серьёзная модерация (я её, кстати, не прошёл).
Хочу затронуть такую тему, как менторство в ИТ и диджитал-профессиях. Так случилось, что я сам около полу года назад начал заниматься этим непотребством, поэтому, некоторый опыт уже имеется, и могу рассуждать о менторстве с позиции экспертного эксперта…
Так вот, начнём с того, что же такое менторство – для тех, кто совсем не знаком с этой темой. Рано или поздно любой человек на своём карьерном пути сталкивается с вопросом, на который было бы неплохо получить совет-консультацию от более опытных коллег, от тех, кто уже проходил этот путь и т.д. Это может быть, как выбор карьеры, образовательного вектора, поиск первой работы, горизонтальный или вертикальный рост, выгорание и т.д. и т.п. Классно, если рядом есть человек, обладающий нужным опытом. Но, зачастую, такого человека нет. Тут на помощь и приходит менторство.
Услуга может быть, как бесплатной (предоставляемой человеком на голом энтузиазме), так и платной. Как однократной (если нужна короткая консультация), так и регулярной (если вы пришли к ментору, как к преподавателю, который помогает выстроить вам план обучения). Неполный список проблем, которые может помочь закрыть ментор, я описал чуть выше. Повторяться не хочу.
Так вот, поговорить сегодня хочу о том, как же искать менторов… Для этого существует несколько путей.
Первый – самый распространённый. Если организация заинтересована в росте своих сотрудников, она сама внедряет в том или ином виде систему менторства/кураторства (эх, что-то чачи захотелось… к чему бы это?).
Второй – геморный и не всегда работающий – поиск кураторов по профильным чатам, в LinkedIn и т.д. Неоднократно видел, как потенциальные кураторы сами публикуют посты с призывом обращаться к ним. Либо же менти (сам узнал этот термин полгода назад) пишут объявления о поиске ментора, пишут потенциальным кандидатам в личку…
Ну и третий, который я теперь могу рекомендовать всем – поиск менторов на профильных сайтах. Это избавит от проблем объяснения человеку, чего же именно от него хотят – там уже можно оценить число проведённых консультаций, даже рейтинг ментора, иногда даже отзывы почитать можно. Но тут, опять же, возникает уже вопрос – «А как выбрать площадку?» На этот вопрос однозначного ответа я, точно, не дам, но распишу опыт работы с каждой из площадок, с которой доводилось взаимодействовать…
1. Начнём не с конкретной площадки, а с собирательного термина «Мелкие сайты» (как пример - easyoffer.ru/mentor) - с ними хорошо работать, если вы выбрали для себя популярную профессию, у вас есть какой-то типовой запрос. На них, обычно, невысокие цены на консультации (но, справедливости ради, совсем бесплатных менторов тоже мало), и не самый удобный интерфейс. Плюс, мало потенциальных менторов и, как следствие, узкий перечень закрываемых вопросов.
2. Хабр.Эксперты. Да, немногие в курсе, но у самой популярной платформы ИТшников в РФ есть свой менторский раздел. За счёт большого числа пользователей, менторских аккаунтов, широкий перечень потенциально закрываемых вопросов, но есть большая проблема – уведомление менторов о новых заявках. Уведомления прилетают на почту… Как итог – мне несколько человек, обращавшихся через Хабр, говорили, что подавали заявку десятку менторов, но ответил только я… В общем, шанс найти там кого-то есть, но для этого придётся продраться через кучу мёртвых аккаунтов.
3. Solvery. Одна из самых популярных менторских платформ. Берёт комиссию 20%, но за счёт этой комиссии закупает рекламу, контролирует актуальность аккаунтов и т.д. У платформы достаточно серьёзная модерация (я её, кстати, не прошёл).
КРОШКА СЫН К ОТЦУ ПРИШЁЛ… Ч.2
4. Эйч. Ребят, вы там ёбу дали? Какие 60% комиссии???... Кхм, простите, эмоции) Да, эта платформа берёт целые 60%, и, как и солвери, закупает на них рекламу, платит зарплату сотрудникам, но, как ни странно, главная проблема платформы даже не в конской комиссии. Дело в том, что подход Эйча к взаимодействию менти с менторами отличается от подхода других платформ. Если на остальных сайтах есть анкеты менторов, есть менти, и подразумевается, что менти может сам выбрать того, кто его нужен, простым поиском по сайту, то у Эйча всё куда веселее – менти оставляет заявку с описанием проблемы. Сотрудники Эйча анализируют заявку, пишут потенциальным менторам, которые, как им кажется, могут решить проблему менти, готовы ли они взяться, передают анкеты согласившихся менти, и он выбирает уже из этой пачки.
И всё бы хорошо, система странная, но она имеет право на существование, если бы не одно НО – судя по всему, сотрудники Эйча работают за миску риса и обещание кошко-жены. Чем ещё объяснить настолько абсурдные предложения (например, мне предлагали взять бывшего техдира крупной конторы с 15 годами опыта просто потому что у него в начале карьеры значилась информационная безопасность) – я не знаю.
Плюс ко всему, ментор должен до первой сессии, по текстовому описанию проблемы, понять, сколько сессий ему потребуется, и работа начинается после полной предоплаты менти. Так, в другой раз, например, я оценил запрос человека в 2 встречи. По итогу, всё решилось за одну. В итоге, на вторую он пришёл уже с оффером и настроем «ну, давай просто за жизнь поговорим, раз уж заплатил»… В общем, странная это платформа. Очень странная. За счёт рекламы, заявок там много. Модерация менторов и контроль «живости» их аккаунта – присутсвует. Выбор менторов тоже немалый, но минусов очень уж много.
5. Getmentor. Пожалуй, мой любимый, на данный момент, портал. Живёт на донатах, поэтому, нет ни активной рекламы, ни комисии. Большой выбор менторов (если вам надо найти человека, создававшего, например, порталы мэрии в каком-нибудь шведском Усть-Зажопинске – есть высокий шанс найти именно такого человека. Плюс, там тоже есть серьёзная модерация и очень удобная (для меня) система информирования ментора о новой заявке – через ТГ-бот.
Как итог – менторских платформ немало, они существую на разные случаи жизни. Думаю, подобное можно найти не только в рунете, но и в любых интересующих регионах. Так что, совет – приглядитесь. И, если надо – пользуйтесь. А, если возникли какие-то вопросы – буду рад ответить!
4. Эйч. Ребят, вы там ёбу дали? Какие 60% комиссии???... Кхм, простите, эмоции) Да, эта платформа берёт целые 60%, и, как и солвери, закупает на них рекламу, платит зарплату сотрудникам, но, как ни странно, главная проблема платформы даже не в конской комиссии. Дело в том, что подход Эйча к взаимодействию менти с менторами отличается от подхода других платформ. Если на остальных сайтах есть анкеты менторов, есть менти, и подразумевается, что менти может сам выбрать того, кто его нужен, простым поиском по сайту, то у Эйча всё куда веселее – менти оставляет заявку с описанием проблемы. Сотрудники Эйча анализируют заявку, пишут потенциальным менторам, которые, как им кажется, могут решить проблему менти, готовы ли они взяться, передают анкеты согласившихся менти, и он выбирает уже из этой пачки.
И всё бы хорошо, система странная, но она имеет право на существование, если бы не одно НО – судя по всему, сотрудники Эйча работают за миску риса и обещание кошко-жены. Чем ещё объяснить настолько абсурдные предложения (например, мне предлагали взять бывшего техдира крупной конторы с 15 годами опыта просто потому что у него в начале карьеры значилась информационная безопасность) – я не знаю.
Плюс ко всему, ментор должен до первой сессии, по текстовому описанию проблемы, понять, сколько сессий ему потребуется, и работа начинается после полной предоплаты менти. Так, в другой раз, например, я оценил запрос человека в 2 встречи. По итогу, всё решилось за одну. В итоге, на вторую он пришёл уже с оффером и настроем «ну, давай просто за жизнь поговорим, раз уж заплатил»… В общем, странная это платформа. Очень странная. За счёт рекламы, заявок там много. Модерация менторов и контроль «живости» их аккаунта – присутсвует. Выбор менторов тоже немалый, но минусов очень уж много.
5. Getmentor. Пожалуй, мой любимый, на данный момент, портал. Живёт на донатах, поэтому, нет ни активной рекламы, ни комисии. Большой выбор менторов (если вам надо найти человека, создававшего, например, порталы мэрии в каком-нибудь шведском Усть-Зажопинске – есть высокий шанс найти именно такого человека. Плюс, там тоже есть серьёзная модерация и очень удобная (для меня) система информирования ментора о новой заявке – через ТГ-бот.
Как итог – менторских платформ немало, они существую на разные случаи жизни. Думаю, подобное можно найти не только в рунете, но и в любых интересующих регионах. Так что, совет – приглядитесь. И, если надо – пользуйтесь. А, если возникли какие-то вопросы – буду рад ответить!
ЛИГА ЗАБЛОКИРОВАННОГО ИНТЕРНЕТА
Тут наткнулся на интересную статью на тему того, как и почему попытки российских властей заблокировать отдельные сайты или протоколы влияют на интернет-трафик соседних стран. Статья написана про Казахстан, но, в целом, актуальна и для остальных стран Центральной Азии и Кавказа. А так же для многих стран, граничащих с "большими соседями", любящими цензурировать интернет.
https://taspanews.kz/novosti-kazakhstana/tsifrovoe-rabstvo-ili-tekhnicheskaya-zavisimost-kak-kazakhstan-stal-zalozhnikom-rossiyskogo-interneta-746612452884/
Тут наткнулся на интересную статью на тему того, как и почему попытки российских властей заблокировать отдельные сайты или протоколы влияют на интернет-трафик соседних стран. Статья написана про Казахстан, но, в целом, актуальна и для остальных стран Центральной Азии и Кавказа. А так же для многих стран, граничащих с "большими соседями", любящими цензурировать интернет.
https://taspanews.kz/novosti-kazakhstana/tsifrovoe-rabstvo-ili-tekhnicheskaya-zavisimost-kak-kazakhstan-stal-zalozhnikom-rossiyskogo-interneta-746612452884/
Если вдруг кто-то, как и я, является активным пользователем Notion, и напрягся после их объявления о грядущей блокировке российских аккаунтов, я пару дней потерроризировал их поддержку и смог добиться ответа на два вопроса.
1. Как проверяется принадлежность аккаунта к России? - Это происходит по платёжным документам. Если вы никогда не платили за Notion с российских счетов/карт - вам не о чем волноваться, под блокировку ваш аккаунт не попадёт.
2. Можно ли сменить юрисдикцию аккаунта при наличии документов, подтверждающих то, что в РФ я не проживаю? - Предусмотрен только один механизм определения юрисдикции аккаунта - по платёжным документам. Если хоть раз вы оплачивали аккаунт с российских счетов - спасти его не выйдет.
1. Как проверяется принадлежность аккаунта к России? - Это происходит по платёжным документам. Если вы никогда не платили за Notion с российских счетов/карт - вам не о чем волноваться, под блокировку ваш аккаунт не попадёт.
2. Можно ли сменить юрисдикцию аккаунта при наличии документов, подтверждающих то, что в РФ я не проживаю? - Предусмотрен только один механизм определения юрисдикции аккаунта - по платёжным документам. Если хоть раз вы оплачивали аккаунт с российских счетов - спасти его не выйдет.
ВЕТЕР И ЛАВОВЫЕ ЛАМПЫ НА СТРАЖЕ ВАШЕЙ БЕЗОПАСНОСТИ
Сегодня криптография имеет одну фундаментальную проблему – современные компьютеры не умеют генерировать случайные числа, необходимые для любого надёжного алгоритма шифрования. Каждая компания-производитель криптографических средств изощряется по-своему в попытке создать свой собственный генератор случайных чисел, обычно, прикручивая его к чему-то из реального мира – просят поводить пользователя по экрану, постучать по клавиатуре и т.д. Но такие способы работают, когда случайные числа надо генерировать нечасто.
Самые оригинальные варианты ГСЧ, конечно, появляются, когда у компании образовывается необходимость генерировать случайные числа в «промышленных» объёмах. Часто, в таких случаях используют особенности той среды, где работает генератор случайных чисел. Колебания температуры, вибрации, ядерный распад, квантовые флуктуации – всё может идти в ход, но, наверное, самыми красивыми вариантами для меня являются примеры random.org и Cloudfare
Первый – это просто сайт, генерирующий случайные числа всем желающим. И делает он это из шума ветра… Ну, точнее, не только ветра – ещё и молнии, дождя и прочих атмосферных явлений. Ребята просто берут звуковую дорожку с записью этих звуков и преобразуют её в набор чисел.
Вторые – это, пожалуй, самый известный поставщик услуг для безопасности в интернете. CDN, анти-DDoS, TLS-сертификаты и вот это вот всё… И эти ребята решили соригинальничать ещё больше. Они просто взяли 100 лавовых ламп, поставили их к стенке… И начали снимать. Преобразовывая кадры в числовые последовательности, они тоже получили отличный генератор случайных чисел.
Что это, если не математическая поэзия – я не знаю)
Сегодня криптография имеет одну фундаментальную проблему – современные компьютеры не умеют генерировать случайные числа, необходимые для любого надёжного алгоритма шифрования. Каждая компания-производитель криптографических средств изощряется по-своему в попытке создать свой собственный генератор случайных чисел, обычно, прикручивая его к чему-то из реального мира – просят поводить пользователя по экрану, постучать по клавиатуре и т.д. Но такие способы работают, когда случайные числа надо генерировать нечасто.
Самые оригинальные варианты ГСЧ, конечно, появляются, когда у компании образовывается необходимость генерировать случайные числа в «промышленных» объёмах. Часто, в таких случаях используют особенности той среды, где работает генератор случайных чисел. Колебания температуры, вибрации, ядерный распад, квантовые флуктуации – всё может идти в ход, но, наверное, самыми красивыми вариантами для меня являются примеры random.org и Cloudfare
Первый – это просто сайт, генерирующий случайные числа всем желающим. И делает он это из шума ветра… Ну, точнее, не только ветра – ещё и молнии, дождя и прочих атмосферных явлений. Ребята просто берут звуковую дорожку с записью этих звуков и преобразуют её в набор чисел.
Вторые – это, пожалуй, самый известный поставщик услуг для безопасности в интернете. CDN, анти-DDoS, TLS-сертификаты и вот это вот всё… И эти ребята решили соригинальничать ещё больше. Они просто взяли 100 лавовых ламп, поставили их к стенке… И начали снимать. Преобразовывая кадры в числовые последовательности, они тоже получили отличный генератор случайных чисел.
Что это, если не математическая поэзия – я не знаю)
Немного об ИБ-образовании
Когда я учился в универе, меня очень бесило то, что половина профильных преподавателей в универе никогда не работали по специальности. Сейчас, когда я около года сам периодически взаимодействую со сферой ИБ-образования уже с другой стороны, я начал понимать, в чём же причина. Об этом состоялась интересная дискуссия в комментариях к этому посту - https://t.me/cyber_edu/380 Но я решил расписать свои мысли подробнее здесь…
Помимо эволюции образования, в целом и ИТ-образования, в частности, о котором написано в посте, есть не менее важная проблема – зарплаты преподавателй. Понятно, что ситуация отличается от города к городу, от региона к региону, но, в среднем, они получаются, минимум, процентов на 20-30 ниже, чем зарплаты специалистов того же уровня в том же регионе. А, учитывая рост удалёнки для ИБ-шников в компаниях из Мск/СПб последние годы, зарплаты в вузах выглядят совсем грустно. Тягаться они могут, разве что, с зарплатами ИБ-специалистов на госслужбе. И то, не всегда.
При этом, активно развивается параллельная отрасль – онлайн-курсы. С одной стороны, они штампуют выпускников потоковым методом, при выдаче сертификатов об окончании, часто, закрывая глаза на их успехи, усердие и т.д., тем самым зарабатывая хорошие деньги, но формируя у профильных сообществ негативное отношение к себе. С другой стороны, они могут позволить привлекать для преподавания практикующих специалистов, платя им неплохие деньги (Тут вспоминается мой разговор с коллегой, который преподаёт в универе. Когда я ему озвучил сумму, которую мне платила одна из школ за полуторачасовую лекцию, он схватился за голову со словами «Я полугодовую программу курса за меньшую сумму составил»). И, в целом, если люди туда идут с конкретной целью – научиться, думаю, профильных знаний они оттуда вынести могут не меньше, чем из среднестатистического вуза, а то и больше. А по актуальности эти знания, точно, опережают вузовские от преподов-теоретиков на несколько порядков.
Вот и получается, что в вузы сейчас идут, в основном, либо энтузиасты своего дела, либо просто люди, которые не умеют продавать себя на рынке труда… Что с этим делать – ответа у меня нет. Наверное, это естественная эволюция системы образования, которая должна произойти. Но наблюдать за этим интересно, хоть и, порой, немного грустно.
Когда я учился в универе, меня очень бесило то, что половина профильных преподавателей в универе никогда не работали по специальности. Сейчас, когда я около года сам периодически взаимодействую со сферой ИБ-образования уже с другой стороны, я начал понимать, в чём же причина. Об этом состоялась интересная дискуссия в комментариях к этому посту - https://t.me/cyber_edu/380 Но я решил расписать свои мысли подробнее здесь…
Помимо эволюции образования, в целом и ИТ-образования, в частности, о котором написано в посте, есть не менее важная проблема – зарплаты преподавателй. Понятно, что ситуация отличается от города к городу, от региона к региону, но, в среднем, они получаются, минимум, процентов на 20-30 ниже, чем зарплаты специалистов того же уровня в том же регионе. А, учитывая рост удалёнки для ИБ-шников в компаниях из Мск/СПб последние годы, зарплаты в вузах выглядят совсем грустно. Тягаться они могут, разве что, с зарплатами ИБ-специалистов на госслужбе. И то, не всегда.
При этом, активно развивается параллельная отрасль – онлайн-курсы. С одной стороны, они штампуют выпускников потоковым методом, при выдаче сертификатов об окончании, часто, закрывая глаза на их успехи, усердие и т.д., тем самым зарабатывая хорошие деньги, но формируя у профильных сообществ негативное отношение к себе. С другой стороны, они могут позволить привлекать для преподавания практикующих специалистов, платя им неплохие деньги (Тут вспоминается мой разговор с коллегой, который преподаёт в универе. Когда я ему озвучил сумму, которую мне платила одна из школ за полуторачасовую лекцию, он схватился за голову со словами «Я полугодовую программу курса за меньшую сумму составил»). И, в целом, если люди туда идут с конкретной целью – научиться, думаю, профильных знаний они оттуда вынести могут не меньше, чем из среднестатистического вуза, а то и больше. А по актуальности эти знания, точно, опережают вузовские от преподов-теоретиков на несколько порядков.
Вот и получается, что в вузы сейчас идут, в основном, либо энтузиасты своего дела, либо просто люди, которые не умеют продавать себя на рынке труда… Что с этим делать – ответа у меня нет. Наверное, это естественная эволюция системы образования, которая должна произойти. Но наблюдать за этим интересно, хоть и, порой, немного грустно.
Почему VPN заблокировать сложнее, чем сайты?
Периодически встречаю комментарии к новостям о блокировках с паническими настроениями. Что-то вроде «Ещё немного, и заблокируют вообще все VPN и средства обхода!» Пару слов о том, почему это не случится.
Как выглядит механизм блокировок сейчас? Росвласти выпустили постановление о необходимости установки провайдерами на своих сетях так называемых «технических средств противодействия угрозам». По сути, это обычный межсетевой экран – штука, существующая несколько десятков лет, только получившая очередное новое название. Ну и то, что теперь эти МСЭ получают правила фильтрации напрямую из РКН – тоже не то, чтобы сильно новый функционал .
И тут надо понимать их особенность работы – фильтрация проходящих через него данных по имени ресурса, на который (или с которого) они направлены, никак его не нагружает. А вот если им приходится смотреть глубже, включать более серьёзные правила, внимательнее анализировать трафик (а это всё необходимо для отслеживания разных VPN-протоколов)… В общем, пример того, как падает их пропускная способность с усилением глубины проверки, приведён на скрине (То, как эти цифры получаются – разговор отдельный, но, если даже сам производитель заявляет о падении пропускной способности в 10 раз при полном наборе алгоритмов анализа – значит, ситуация, и впрямь, очень серьёзная.
И тут ещё накладывается несовершенство в алгоритмах определения нужных протоколов VPN. И вопрос даже не в том, что многие протоколы сегодня эти устройства обнаружить не могут. Вопрос в том, что государство тоже пользуется VPN (да-да, а вам не даёт) - гостовыми VPN, и, когда провайдеры начинают звереть, выкручивать алгоритмы определения VPN на максимум, ТСПУ начинают блокировать эти самые ГОСТовые VPN-ки. Например, как раз, сегодня наблюдаю жалобы на это в нескольких чатах, посвящённым этим самым ГОСТовым VPN.
По сути, единственный вариант, при котором заблокировать могут все лазейки – это северокорейский сценарий, т.е., переход с работы по блэклисту на работу по вайтлисту. Насколько это будет губительно для экономики - представить сложно…
Периодически встречаю комментарии к новостям о блокировках с паническими настроениями. Что-то вроде «Ещё немного, и заблокируют вообще все VPN и средства обхода!» Пару слов о том, почему это не случится.
Как выглядит механизм блокировок сейчас? Росвласти выпустили постановление о необходимости установки провайдерами на своих сетях так называемых «технических средств противодействия угрозам». По сути, это обычный межсетевой экран – штука, существующая несколько десятков лет, только получившая очередное новое название. Ну и то, что теперь эти МСЭ получают правила фильтрации напрямую из РКН – тоже не то, чтобы сильно новый функционал .
И тут надо понимать их особенность работы – фильтрация проходящих через него данных по имени ресурса, на который (или с которого) они направлены, никак его не нагружает. А вот если им приходится смотреть глубже, включать более серьёзные правила, внимательнее анализировать трафик (а это всё необходимо для отслеживания разных VPN-протоколов)… В общем, пример того, как падает их пропускная способность с усилением глубины проверки, приведён на скрине (То, как эти цифры получаются – разговор отдельный, но, если даже сам производитель заявляет о падении пропускной способности в 10 раз при полном наборе алгоритмов анализа – значит, ситуация, и впрямь, очень серьёзная.
И тут ещё накладывается несовершенство в алгоритмах определения нужных протоколов VPN. И вопрос даже не в том, что многие протоколы сегодня эти устройства обнаружить не могут. Вопрос в том, что государство тоже пользуется VPN (да-да, а вам не даёт) - гостовыми VPN, и, когда провайдеры начинают звереть, выкручивать алгоритмы определения VPN на максимум, ТСПУ начинают блокировать эти самые ГОСТовые VPN-ки. Например, как раз, сегодня наблюдаю жалобы на это в нескольких чатах, посвящённым этим самым ГОСТовым VPN.
По сути, единственный вариант, при котором заблокировать могут все лазейки – это северокорейский сценарий, т.е., переход с работы по блэклисту на работу по вайтлисту. Насколько это будет губительно для экономики - представить сложно…
Платформа для тренировки ИБ-специалистов.
Российская ИБ-компания Positive technologies выкатила в свободный доступ свою платформу для тренировки специалистов по реагированию на инциденты - Standoff365 - cyberbones.standoff365.com До этого доступ к ней был только участникам различных профессиональных ИБ-конференций, сейчас же подключиться и опробовать свои навыки может любой желающий.
P.S. Из забавных моментов - требование подключения по OpenVPN (который заблокирован множеством провайдеров в РФ) для доступа к платформе. Почему компания, которая этим летом релизнула свой NGFW, решила для подключения использовать, именно OpenVPN - не сильно понятно (Возможно, VPN они туда просто не успели ещё прикрутить). Но, так или иначе, необходимость отдельным пользователям настраивать VPN over VPN для обучения ИБ - выглядит иронично.
P.P.S. Кстати, в моей подборке материалов по старту карьеры в Иб есть и неплохая подборка подобных сайтов для тренировки - https://www.notion.so/aleksei-pyrinov/59aae1207b07454a8deb87334e98f042
Российская ИБ-компания Positive technologies выкатила в свободный доступ свою платформу для тренировки специалистов по реагированию на инциденты - Standoff365 - cyberbones.standoff365.com До этого доступ к ней был только участникам различных профессиональных ИБ-конференций, сейчас же подключиться и опробовать свои навыки может любой желающий.
P.S. Из забавных моментов - требование подключения по OpenVPN (который заблокирован множеством провайдеров в РФ) для доступа к платформе. Почему компания, которая этим летом релизнула свой NGFW, решила для подключения использовать, именно OpenVPN - не сильно понятно (Возможно, VPN они туда просто не успели ещё прикрутить). Но, так или иначе, необходимость отдельным пользователям настраивать VPN over VPN для обучения ИБ - выглядит иронично.
P.P.S. Кстати, в моей подборке материалов по старту карьеры в Иб есть и неплохая подборка подобных сайтов для тренировки - https://www.notion.so/aleksei-pyrinov/59aae1207b07454a8deb87334e98f042
Взломать нейросеть
Если вы хотели попробовать себя в роли хакера, да ещё и супер-современного хакера, который ломает Web3, а не этот ваш древний Web2?) Короче, хотели ли когда-то попробовать взломать нейросеть?
Если да, то представляю вашему вниманию платформа от Lakera - gandalf.lakera.ai. По сути, это такой шуточный полигон для тренировки навыков обмана нейросети с целью получения у неё важной засекреченной информации. С каждым уровнем подключаются новые слои защиты. И, если на первом уровне можно просто попросить её сказать кодовое слово, то дальше это будет сделать всё сложнее. Когда-то давно, когда она состояла из 7 основных уровней, я сумел пробраться через их всех. А вот бонусный уровень, который сейчас стал 8, я, насколько я помню, пройти уже не смог...
Если вы хотели попробовать себя в роли хакера, да ещё и супер-современного хакера, который ломает Web3, а не этот ваш древний Web2?) Короче, хотели ли когда-то попробовать взломать нейросеть?
Если да, то представляю вашему вниманию платформа от Lakera - gandalf.lakera.ai. По сути, это такой шуточный полигон для тренировки навыков обмана нейросети с целью получения у неё важной засекреченной информации. С каждым уровнем подключаются новые слои защиты. И, если на первом уровне можно просто попросить её сказать кодовое слово, то дальше это будет сделать всё сложнее. Когда-то давно, когда она состояла из 7 основных уровней, я сумел пробраться через их всех. А вот бонусный уровень, который сейчас стал 8, я, насколько я помню, пройти уже не смог...
Почему сейчас не стоит идти в пентест?
Суть поста вынесена в его заголовок. И я, действительно, считаю, что сейчас не лучшее время для того, чтобы становиться пентестером в РФ и русскоязычных странах. По крайней мере, для тех, кто только начинает свой путь в ИТ. Но, чтобы полностью донести свою мысль, надо начать с небольшой исторической справки.
Приход ковида очень сильно увеличил число вакансий, предлагающих удалённую работу во всём ИТ и диджитале. Из побочных эффектов - такой рост популярности удалёнки привлёк в ИТ большое количество людей. При чём, заходить они пытались через онлайн-школы. И, не подумайте, против онлайн-школ, в целом, я ничего не имею (сам преподавал в парочке). Вот только их популярность привела к тому, что рынок оказался перенасыщен джунами по самым "мейнстримным" специальностям. Работодатели, просто, не понимали, как выбрать специалиста, из-за чего требования к джунам взмыли до небес.
При всём при этом, тот самый буст удалёнки минимально коснулся ИБ. ИБшник на удалёнке, ещё 4-5 лет назад - было что-то за гранью понимания работодателей. В тот момент такой формат работы предлагали, в основном, только интеграторы-аутсорсеры (куда я, кстати, очень удачно и залетел в тот период). При всём при этом, начало войны спровоцировало резкий взлёт потребности в специалистах по информационной безопасности в РФ. А начало мобилизации и отток специалистов лишь усилил её. Всё это заставило компании пересмотреть свой подход к найму безопасников. Москва/Питер начали "пылесосить" регионы. А это значит, что? Это значит - запуск огромного числа курсов по безопасности в онлайн-школах.
При этом, многие школы пошли по пути наименьшего сопротивления, решив запустить курсы по самой популярной, самой романтизированной фильмами и играми, области ИБ - пентесту. И, если дефицит специалистов по ИБ, в целом, до сих пор не закрыт даже близко, рынок джунов-пентестеров вот-вот переполнится так же, как это случилось с другими ИТ специальностями ранее. И одно дело - если вы переходите в пентест с другой ИТ-специальности и можете претендовать на позицию, хотя бы, джун+, а, лучше, миддла... И совсем другое, если вы планируете искать в этом направлении свою первую работу... Во втором случае поиск затянется на очень долгое время, и не факт, что завершится успешно. (По поводу SOC, кстати, у меня есть такое же опасение, но пока это направление меньше подвержено данному веянию)
Поэтому, мой совет если вы только начинаете свой путь в ИБ, а, особенно, если только планируете начать обучение - присмотритесь к другим специальностям. Cloud Security, AppSec, DevSecOps, да даже та же сетевая безопасность или комплайенс - если не сильно горите желанием в будущем перебраться на международный рынок - будут гораздо более выигрышными вариантами.
Суть поста вынесена в его заголовок. И я, действительно, считаю, что сейчас не лучшее время для того, чтобы становиться пентестером в РФ и русскоязычных странах. По крайней мере, для тех, кто только начинает свой путь в ИТ. Но, чтобы полностью донести свою мысль, надо начать с небольшой исторической справки.
Приход ковида очень сильно увеличил число вакансий, предлагающих удалённую работу во всём ИТ и диджитале. Из побочных эффектов - такой рост популярности удалёнки привлёк в ИТ большое количество людей. При чём, заходить они пытались через онлайн-школы. И, не подумайте, против онлайн-школ, в целом, я ничего не имею (сам преподавал в парочке). Вот только их популярность привела к тому, что рынок оказался перенасыщен джунами по самым "мейнстримным" специальностям. Работодатели, просто, не понимали, как выбрать специалиста, из-за чего требования к джунам взмыли до небес.
При всём при этом, тот самый буст удалёнки минимально коснулся ИБ. ИБшник на удалёнке, ещё 4-5 лет назад - было что-то за гранью понимания работодателей. В тот момент такой формат работы предлагали, в основном, только интеграторы-аутсорсеры (куда я, кстати, очень удачно и залетел в тот период). При всём при этом, начало войны спровоцировало резкий взлёт потребности в специалистах по информационной безопасности в РФ. А начало мобилизации и отток специалистов лишь усилил её. Всё это заставило компании пересмотреть свой подход к найму безопасников. Москва/Питер начали "пылесосить" регионы. А это значит, что? Это значит - запуск огромного числа курсов по безопасности в онлайн-школах.
При этом, многие школы пошли по пути наименьшего сопротивления, решив запустить курсы по самой популярной, самой романтизированной фильмами и играми, области ИБ - пентесту. И, если дефицит специалистов по ИБ, в целом, до сих пор не закрыт даже близко, рынок джунов-пентестеров вот-вот переполнится так же, как это случилось с другими ИТ специальностями ранее. И одно дело - если вы переходите в пентест с другой ИТ-специальности и можете претендовать на позицию, хотя бы, джун+, а, лучше, миддла... И совсем другое, если вы планируете искать в этом направлении свою первую работу... Во втором случае поиск затянется на очень долгое время, и не факт, что завершится успешно. (По поводу SOC, кстати, у меня есть такое же опасение, но пока это направление меньше подвержено данному веянию)
Поэтому, мой совет если вы только начинаете свой путь в ИБ, а, особенно, если только планируете начать обучение - присмотритесь к другим специальностям. Cloud Security, AppSec, DevSecOps, да даже та же сетевая безопасность или комплайенс - если не сильно горите желанием в будущем перебраться на международный рынок - будут гораздо более выигрышными вариантами.
РКН заблокирует 96% VPN!!!!
Эту новость с вопросом "неужели, всё настолько плохо?" мне прислали уже человек 5, поэтому, грех не воспользоваться инфоповодом и не высказаться тут) Итак, по-порядку...
Первое - откуда взялась эта цифра? Из федерального проекта «Инфраструктура кибербезопасности», входящего в национальный проект «Экономика данных и цифровая трансформация государства».
Второе - как это считали? И тут вопрос уже более интересный. Потому что, если смотреть полностью, то цифра в 96% должна быть достигнута к 2028 году. При чём, уже в 2025 она должна достичь 90%. То есть, сейчас показатель - процентов 85, минимум, исходя из логики документа. И это при том, что в Москве и СПб на многих провайдерах до сих пор продолжают работать почти все протоколы. Даже условные Wireguard/OpenVPN, заблокированные во многих регионах (Хотя, у некоторых провайдеров даже в Челябинске, который, по ощущениям, в числе лидеров, они до сих пор пашут. О своих мыслях на тему того, чем вызвана такая неоднородность блокировок - напишу как-нибудь другой пост.) То есть, до сих пор по стране, реально, не заблокировано и половины популярных протоколов.
Возможно, в документе идёт речь о блокировке IP-адресов известных VPN-сервисов... Но тогда встаёт вопрос, как считали 100% этих адресов. Если их обнаружили 100%, а заблокировали всего 96% - непонятно, почему пощадили 4% оставшихся. Если они предполагают, что осталось 4%, то как их посчитали, если их не обнаружили?
Как итог, вижу два варианта появления этой цифры, обе абсурдно-бюрократичные, какой вам нравится больше - выбирайте сами. Вариант первый - она она взята совсем их воздуха и не имеет ничего общего с реальностью. Вариант второй - составители документа понимают, что после блокировки одних адресов, VPN-сервису ничего не будет стоить перебраться на другие. И, поэтому, они считают, что существуют, условно, 100 активных адресов. Они их заблокировали, сервисы сменили свои адреса, старые адреса остались в блоке, теперь заблокировано 100 адресов, 100 активно. Результат - блокировка 50% VPN. Процедура повторяется - заблокировано 200, 100 активно. Результат - уже 66%! И так повторяем до достижения нужного результата)
Эту новость с вопросом "неужели, всё настолько плохо?" мне прислали уже человек 5, поэтому, грех не воспользоваться инфоповодом и не высказаться тут) Итак, по-порядку...
Первое - откуда взялась эта цифра? Из федерального проекта «Инфраструктура кибербезопасности», входящего в национальный проект «Экономика данных и цифровая трансформация государства».
Второе - как это считали? И тут вопрос уже более интересный. Потому что, если смотреть полностью, то цифра в 96% должна быть достигнута к 2028 году. При чём, уже в 2025 она должна достичь 90%. То есть, сейчас показатель - процентов 85, минимум, исходя из логики документа. И это при том, что в Москве и СПб на многих провайдерах до сих пор продолжают работать почти все протоколы. Даже условные Wireguard/OpenVPN, заблокированные во многих регионах (Хотя, у некоторых провайдеров даже в Челябинске, который, по ощущениям, в числе лидеров, они до сих пор пашут. О своих мыслях на тему того, чем вызвана такая неоднородность блокировок - напишу как-нибудь другой пост.) То есть, до сих пор по стране, реально, не заблокировано и половины популярных протоколов.
Возможно, в документе идёт речь о блокировке IP-адресов известных VPN-сервисов... Но тогда встаёт вопрос, как считали 100% этих адресов. Если их обнаружили 100%, а заблокировали всего 96% - непонятно, почему пощадили 4% оставшихся. Если они предполагают, что осталось 4%, то как их посчитали, если их не обнаружили?
Как итог, вижу два варианта появления этой цифры, обе абсурдно-бюрократичные, какой вам нравится больше - выбирайте сами. Вариант первый - она она взята совсем их воздуха и не имеет ничего общего с реальностью. Вариант второй - составители документа понимают, что после блокировки одних адресов, VPN-сервису ничего не будет стоить перебраться на другие. И, поэтому, они считают, что существуют, условно, 100 активных адресов. Они их заблокировали, сервисы сменили свои адреса, старые адреса остались в блоке, теперь заблокировано 100 адресов, 100 активно. Результат - блокировка 50% VPN. Процедура повторяется - заблокировано 200, 100 активно. Результат - уже 66%! И так повторяем до достижения нужного результата)