ФРАНЦУЗСКИЕ СПЕЦСЛУЖБЫ РЕШИЛИ ЗАБРАТЬ У ДУРОВА КЛЮЧИ ШИФРОВАНИЯ ОТ ТЕЛЕГРАМ.
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
👍4❤3
Media is too big
VIEW IN TELEGRAM
Ну а в целом, реакция большей части СНГ-сообщества сегодня выглядит так:
😁4
ЧТОБЫ СТАТЬ БЕЗОПАСНИКОМ, НУЖНО ВСЕГО ЛИШЬ...
В общем, я тут решил собрать свои знания по старту карьеры в информационной безопасности в единый гайд - практика, теория, стажировки и всё остальное. Если кому будет полезно - пользуйтесь.
#кибербез #войтивАйТи
В общем, я тут решил собрать свои знания по старту карьеры в информационной безопасности в единый гайд - практика, теория, стажировки и всё остальное. Если кому будет полезно - пользуйтесь.
#кибербез #войтивАйТи
🔥7❤1
Кстати, в хакеры тоже через Телеграм вербовать начали. (Хотя, может, не начали, просто я только сейчас стал светиться в профильных ИБ-шных международных сообществах). Весёлые ребята. За один вирус предлагали 200 долларов. За 5 минут моих отказов дошли до 350, потом слились.
Эх, если б у меня так за офферы торговаться получалось...)
Эх, если б у меня так за офферы торговаться получалось...)
😱4🦄1
Вообще, кстати, я решил в одном месте собрать ссылки на все свои основные соцсети. Возможно, скоро там и ютуб появится, но пока имеем то, что имеем)
https://allmylinks.com/fiexagon
https://allmylinks.com/fiexagon
🔥4
КРОШКА СЫН К ОТЦУ ПРИШЁЛ…
Хочу затронуть такую тему, как менторство в ИТ и диджитал-профессиях. Так случилось, что я сам около полу года назад начал заниматься этим непотребством, поэтому, некоторый опыт уже имеется, и могу рассуждать о менторстве с позиции экспертного эксперта…
Так вот, начнём с того, что же такое менторство – для тех, кто совсем не знаком с этой темой. Рано или поздно любой человек на своём карьерном пути сталкивается с вопросом, на который было бы неплохо получить совет-консультацию от более опытных коллег, от тех, кто уже проходил этот путь и т.д. Это может быть, как выбор карьеры, образовательного вектора, поиск первой работы, горизонтальный или вертикальный рост, выгорание и т.д. и т.п. Классно, если рядом есть человек, обладающий нужным опытом. Но, зачастую, такого человека нет. Тут на помощь и приходит менторство.
Услуга может быть, как бесплатной (предоставляемой человеком на голом энтузиазме), так и платной. Как однократной (если нужна короткая консультация), так и регулярной (если вы пришли к ментору, как к преподавателю, который помогает выстроить вам план обучения). Неполный список проблем, которые может помочь закрыть ментор, я описал чуть выше. Повторяться не хочу.
Так вот, поговорить сегодня хочу о том, как же искать менторов… Для этого существует несколько путей.
Первый – самый распространённый. Если организация заинтересована в росте своих сотрудников, она сама внедряет в том или ином виде систему менторства/кураторства (эх, что-то чачи захотелось… к чему бы это?).
Второй – геморный и не всегда работающий – поиск кураторов по профильным чатам, в LinkedIn и т.д. Неоднократно видел, как потенциальные кураторы сами публикуют посты с призывом обращаться к ним. Либо же менти (сам узнал этот термин полгода назад) пишут объявления о поиске ментора, пишут потенциальным кандидатам в личку…
Ну и третий, который я теперь могу рекомендовать всем – поиск менторов на профильных сайтах. Это избавит от проблем объяснения человеку, чего же именно от него хотят – там уже можно оценить число проведённых консультаций, даже рейтинг ментора, иногда даже отзывы почитать можно. Но тут, опять же, возникает уже вопрос – «А как выбрать площадку?» На этот вопрос однозначного ответа я, точно, не дам, но распишу опыт работы с каждой из площадок, с которой доводилось взаимодействовать…
1. Начнём не с конкретной площадки, а с собирательного термина «Мелкие сайты» (как пример - easyoffer.ru/mentor) - с ними хорошо работать, если вы выбрали для себя популярную профессию, у вас есть какой-то типовой запрос. На них, обычно, невысокие цены на консультации (но, справедливости ради, совсем бесплатных менторов тоже мало), и не самый удобный интерфейс. Плюс, мало потенциальных менторов и, как следствие, узкий перечень закрываемых вопросов.
2. Хабр.Эксперты. Да, немногие в курсе, но у самой популярной платформы ИТшников в РФ есть свой менторский раздел. За счёт большого числа пользователей, менторских аккаунтов, широкий перечень потенциально закрываемых вопросов, но есть большая проблема – уведомление менторов о новых заявках. Уведомления прилетают на почту… Как итог – мне несколько человек, обращавшихся через Хабр, говорили, что подавали заявку десятку менторов, но ответил только я… В общем, шанс найти там кого-то есть, но для этого придётся продраться через кучу мёртвых аккаунтов.
3. Solvery. Одна из самых популярных менторских платформ. Берёт комиссию 20%, но за счёт этой комиссии закупает рекламу, контролирует актуальность аккаунтов и т.д. У платформы достаточно серьёзная модерация (я её, кстати, не прошёл).
Хочу затронуть такую тему, как менторство в ИТ и диджитал-профессиях. Так случилось, что я сам около полу года назад начал заниматься этим непотребством, поэтому, некоторый опыт уже имеется, и могу рассуждать о менторстве с позиции экспертного эксперта…
Так вот, начнём с того, что же такое менторство – для тех, кто совсем не знаком с этой темой. Рано или поздно любой человек на своём карьерном пути сталкивается с вопросом, на который было бы неплохо получить совет-консультацию от более опытных коллег, от тех, кто уже проходил этот путь и т.д. Это может быть, как выбор карьеры, образовательного вектора, поиск первой работы, горизонтальный или вертикальный рост, выгорание и т.д. и т.п. Классно, если рядом есть человек, обладающий нужным опытом. Но, зачастую, такого человека нет. Тут на помощь и приходит менторство.
Услуга может быть, как бесплатной (предоставляемой человеком на голом энтузиазме), так и платной. Как однократной (если нужна короткая консультация), так и регулярной (если вы пришли к ментору, как к преподавателю, который помогает выстроить вам план обучения). Неполный список проблем, которые может помочь закрыть ментор, я описал чуть выше. Повторяться не хочу.
Так вот, поговорить сегодня хочу о том, как же искать менторов… Для этого существует несколько путей.
Первый – самый распространённый. Если организация заинтересована в росте своих сотрудников, она сама внедряет в том или ином виде систему менторства/кураторства (эх, что-то чачи захотелось… к чему бы это?).
Второй – геморный и не всегда работающий – поиск кураторов по профильным чатам, в LinkedIn и т.д. Неоднократно видел, как потенциальные кураторы сами публикуют посты с призывом обращаться к ним. Либо же менти (сам узнал этот термин полгода назад) пишут объявления о поиске ментора, пишут потенциальным кандидатам в личку…
Ну и третий, который я теперь могу рекомендовать всем – поиск менторов на профильных сайтах. Это избавит от проблем объяснения человеку, чего же именно от него хотят – там уже можно оценить число проведённых консультаций, даже рейтинг ментора, иногда даже отзывы почитать можно. Но тут, опять же, возникает уже вопрос – «А как выбрать площадку?» На этот вопрос однозначного ответа я, точно, не дам, но распишу опыт работы с каждой из площадок, с которой доводилось взаимодействовать…
1. Начнём не с конкретной площадки, а с собирательного термина «Мелкие сайты» (как пример - easyoffer.ru/mentor) - с ними хорошо работать, если вы выбрали для себя популярную профессию, у вас есть какой-то типовой запрос. На них, обычно, невысокие цены на консультации (но, справедливости ради, совсем бесплатных менторов тоже мало), и не самый удобный интерфейс. Плюс, мало потенциальных менторов и, как следствие, узкий перечень закрываемых вопросов.
2. Хабр.Эксперты. Да, немногие в курсе, но у самой популярной платформы ИТшников в РФ есть свой менторский раздел. За счёт большого числа пользователей, менторских аккаунтов, широкий перечень потенциально закрываемых вопросов, но есть большая проблема – уведомление менторов о новых заявках. Уведомления прилетают на почту… Как итог – мне несколько человек, обращавшихся через Хабр, говорили, что подавали заявку десятку менторов, но ответил только я… В общем, шанс найти там кого-то есть, но для этого придётся продраться через кучу мёртвых аккаунтов.
3. Solvery. Одна из самых популярных менторских платформ. Берёт комиссию 20%, но за счёт этой комиссии закупает рекламу, контролирует актуальность аккаунтов и т.д. У платформы достаточно серьёзная модерация (я её, кстати, не прошёл).
❤2
КРОШКА СЫН К ОТЦУ ПРИШЁЛ… Ч.2
4. Эйч. Ребят, вы там ёбу дали? Какие 60% комиссии???... Кхм, простите, эмоции) Да, эта платформа берёт целые 60%, и, как и солвери, закупает на них рекламу, платит зарплату сотрудникам, но, как ни странно, главная проблема платформы даже не в конской комиссии. Дело в том, что подход Эйча к взаимодействию менти с менторами отличается от подхода других платформ. Если на остальных сайтах есть анкеты менторов, есть менти, и подразумевается, что менти может сам выбрать того, кто его нужен, простым поиском по сайту, то у Эйча всё куда веселее – менти оставляет заявку с описанием проблемы. Сотрудники Эйча анализируют заявку, пишут потенциальным менторам, которые, как им кажется, могут решить проблему менти, готовы ли они взяться, передают анкеты согласившихся менти, и он выбирает уже из этой пачки.
И всё бы хорошо, система странная, но она имеет право на существование, если бы не одно НО – судя по всему, сотрудники Эйча работают за миску риса и обещание кошко-жены. Чем ещё объяснить настолько абсурдные предложения (например, мне предлагали взять бывшего техдира крупной конторы с 15 годами опыта просто потому что у него в начале карьеры значилась информационная безопасность) – я не знаю.
Плюс ко всему, ментор должен до первой сессии, по текстовому описанию проблемы, понять, сколько сессий ему потребуется, и работа начинается после полной предоплаты менти. Так, в другой раз, например, я оценил запрос человека в 2 встречи. По итогу, всё решилось за одну. В итоге, на вторую он пришёл уже с оффером и настроем «ну, давай просто за жизнь поговорим, раз уж заплатил»… В общем, странная это платформа. Очень странная. За счёт рекламы, заявок там много. Модерация менторов и контроль «живости» их аккаунта – присутсвует. Выбор менторов тоже немалый, но минусов очень уж много.
5. Getmentor. Пожалуй, мой любимый, на данный момент, портал. Живёт на донатах, поэтому, нет ни активной рекламы, ни комисии. Большой выбор менторов (если вам надо найти человека, создававшего, например, порталы мэрии в каком-нибудь шведском Усть-Зажопинске – есть высокий шанс найти именно такого человека. Плюс, там тоже есть серьёзная модерация и очень удобная (для меня) система информирования ментора о новой заявке – через ТГ-бот.
Как итог – менторских платформ немало, они существую на разные случаи жизни. Думаю, подобное можно найти не только в рунете, но и в любых интересующих регионах. Так что, совет – приглядитесь. И, если надо – пользуйтесь. А, если возникли какие-то вопросы – буду рад ответить!
4. Эйч. Ребят, вы там ёбу дали? Какие 60% комиссии???... Кхм, простите, эмоции) Да, эта платформа берёт целые 60%, и, как и солвери, закупает на них рекламу, платит зарплату сотрудникам, но, как ни странно, главная проблема платформы даже не в конской комиссии. Дело в том, что подход Эйча к взаимодействию менти с менторами отличается от подхода других платформ. Если на остальных сайтах есть анкеты менторов, есть менти, и подразумевается, что менти может сам выбрать того, кто его нужен, простым поиском по сайту, то у Эйча всё куда веселее – менти оставляет заявку с описанием проблемы. Сотрудники Эйча анализируют заявку, пишут потенциальным менторам, которые, как им кажется, могут решить проблему менти, готовы ли они взяться, передают анкеты согласившихся менти, и он выбирает уже из этой пачки.
И всё бы хорошо, система странная, но она имеет право на существование, если бы не одно НО – судя по всему, сотрудники Эйча работают за миску риса и обещание кошко-жены. Чем ещё объяснить настолько абсурдные предложения (например, мне предлагали взять бывшего техдира крупной конторы с 15 годами опыта просто потому что у него в начале карьеры значилась информационная безопасность) – я не знаю.
Плюс ко всему, ментор должен до первой сессии, по текстовому описанию проблемы, понять, сколько сессий ему потребуется, и работа начинается после полной предоплаты менти. Так, в другой раз, например, я оценил запрос человека в 2 встречи. По итогу, всё решилось за одну. В итоге, на вторую он пришёл уже с оффером и настроем «ну, давай просто за жизнь поговорим, раз уж заплатил»… В общем, странная это платформа. Очень странная. За счёт рекламы, заявок там много. Модерация менторов и контроль «живости» их аккаунта – присутсвует. Выбор менторов тоже немалый, но минусов очень уж много.
5. Getmentor. Пожалуй, мой любимый, на данный момент, портал. Живёт на донатах, поэтому, нет ни активной рекламы, ни комисии. Большой выбор менторов (если вам надо найти человека, создававшего, например, порталы мэрии в каком-нибудь шведском Усть-Зажопинске – есть высокий шанс найти именно такого человека. Плюс, там тоже есть серьёзная модерация и очень удобная (для меня) система информирования ментора о новой заявке – через ТГ-бот.
Как итог – менторских платформ немало, они существую на разные случаи жизни. Думаю, подобное можно найти не только в рунете, но и в любых интересующих регионах. Так что, совет – приглядитесь. И, если надо – пользуйтесь. А, если возникли какие-то вопросы – буду рад ответить!
❤2
СОЛЬЮТ ВСЁ!
В последние дни инфополе по теме приватности и анонимности целиком и полностью заняла одна новость – получением одним небезызвестным человеком практического опыта ответа на загадку о двух стульях. При чём, на французском языке. И из-за этого совершенно незамеченной осталась другая новость. Пожалуй, куда более важная для жителей РФ – слив огромной базы данных.
С одной стороны – слив данных от частных компаний уже давно стал обыденностью для жителей России. Это было не такой большой редкостью до начала войны, а с её стартом – превратилось в рутину. Слив государственных баз (особенно, крупных, вроде, госуслуг) усиленно отрицался всеми публичными спикерами соответсвующих ведомств. Хотя, когда я начинаю рассказывать истории о состоянии ИБ государственных учреждений, многие друзья начинают воспринимать их, как анекдоты, считая, что так плохо всё быть не может (Спойлер – может. И, на практике, всё даже хуже. Потерянные сервера антивирусов, абсолютно некомпетентные сотрудники, удаление средств защиты по причине «с ними работать не так удобно» — это всё норма в госучреждениях (при чём, судя по рассказам, не только российских).
Но, несмотря на все эти многочисленные сливы, одно ведомство стояло особняком, так как ни одного доказанного слива, о котором узнала бы широкая публика, за ним не числилось (по крайней мере, я о таком за последние годы не слышал). Речь, конечно, об ФСБ.
И вот на днях ситуация изменилась. Говоря цитатами человека, не знающего ответы ни на один задаваемый ему вопрос – «Пройдена очередная красная линия». В сети появилась огромная база, содержащая информацию о всех пересечениях границы РФ за последние годы. Если быть точным, часть этой базы была опубликована ещё пару месяцев назад под видом базы покидавших РФ в определённые даты – после начала войны, мобилизации и мятежа Пригожина. Но по той базе не было точного подтверждения, что утекла она, именно, от ФСБ – подобную базу вполне могли сформировать и передать другим органам – тому же МВД или ФНС. А вот новая база, содержащая все данные всех, пересекавших границу за долгое-долгое время – такое храниться должно только в одном ведомстве.
И, с одной стороны, с тем, что все данные, которые обо мне есть у государства, рано или поздно, скорее всего, утекут, я смирился ещё на первом месте работы. С другой – наблюдать за тем, как рушится очередной рубеж приватности – всегда грустно.
В последние дни инфополе по теме приватности и анонимности целиком и полностью заняла одна новость – получением одним небезызвестным человеком практического опыта ответа на загадку о двух стульях. При чём, на французском языке. И из-за этого совершенно незамеченной осталась другая новость. Пожалуй, куда более важная для жителей РФ – слив огромной базы данных.
С одной стороны – слив данных от частных компаний уже давно стал обыденностью для жителей России. Это было не такой большой редкостью до начала войны, а с её стартом – превратилось в рутину. Слив государственных баз (особенно, крупных, вроде, госуслуг) усиленно отрицался всеми публичными спикерами соответсвующих ведомств. Хотя, когда я начинаю рассказывать истории о состоянии ИБ государственных учреждений, многие друзья начинают воспринимать их, как анекдоты, считая, что так плохо всё быть не может (Спойлер – может. И, на практике, всё даже хуже. Потерянные сервера антивирусов, абсолютно некомпетентные сотрудники, удаление средств защиты по причине «с ними работать не так удобно» — это всё норма в госучреждениях (при чём, судя по рассказам, не только российских).
Но, несмотря на все эти многочисленные сливы, одно ведомство стояло особняком, так как ни одного доказанного слива, о котором узнала бы широкая публика, за ним не числилось (по крайней мере, я о таком за последние годы не слышал). Речь, конечно, об ФСБ.
И вот на днях ситуация изменилась. Говоря цитатами человека, не знающего ответы ни на один задаваемый ему вопрос – «Пройдена очередная красная линия». В сети появилась огромная база, содержащая информацию о всех пересечениях границы РФ за последние годы. Если быть точным, часть этой базы была опубликована ещё пару месяцев назад под видом базы покидавших РФ в определённые даты – после начала войны, мобилизации и мятежа Пригожина. Но по той базе не было точного подтверждения, что утекла она, именно, от ФСБ – подобную базу вполне могли сформировать и передать другим органам – тому же МВД или ФНС. А вот новая база, содержащая все данные всех, пересекавших границу за долгое-долгое время – такое храниться должно только в одном ведомстве.
И, с одной стороны, с тем, что все данные, которые обо мне есть у государства, рано или поздно, скорее всего, утекут, я смирился ещё на первом месте работы. С другой – наблюдать за тем, как рушится очередной рубеж приватности – всегда грустно.
😢3😐1🫡1
ЛИГА ЗАБЛОКИРОВАННОГО ИНТЕРНЕТА
Тут наткнулся на интересную статью на тему того, как и почему попытки российских властей заблокировать отдельные сайты или протоколы влияют на интернет-трафик соседних стран. Статья написана про Казахстан, но, в целом, актуальна и для остальных стран Центральной Азии и Кавказа. А так же для многих стран, граничащих с "большими соседями", любящими цензурировать интернет.
https://taspanews.kz/novosti-kazakhstana/tsifrovoe-rabstvo-ili-tekhnicheskaya-zavisimost-kak-kazakhstan-stal-zalozhnikom-rossiyskogo-interneta-746612452884/
Тут наткнулся на интересную статью на тему того, как и почему попытки российских властей заблокировать отдельные сайты или протоколы влияют на интернет-трафик соседних стран. Статья написана про Казахстан, но, в целом, актуальна и для остальных стран Центральной Азии и Кавказа. А так же для многих стран, граничащих с "большими соседями", любящими цензурировать интернет.
https://taspanews.kz/novosti-kazakhstana/tsifrovoe-rabstvo-ili-tekhnicheskaya-zavisimost-kak-kazakhstan-stal-zalozhnikom-rossiyskogo-interneta-746612452884/
❤1
Если вдруг кто-то, как и я, является активным пользователем Notion, и напрягся после их объявления о грядущей блокировке российских аккаунтов, я пару дней потерроризировал их поддержку и смог добиться ответа на два вопроса.
1. Как проверяется принадлежность аккаунта к России? - Это происходит по платёжным документам. Если вы никогда не платили за Notion с российских счетов/карт - вам не о чем волноваться, под блокировку ваш аккаунт не попадёт.
2. Можно ли сменить юрисдикцию аккаунта при наличии документов, подтверждающих то, что в РФ я не проживаю? - Предусмотрен только один механизм определения юрисдикции аккаунта - по платёжным документам. Если хоть раз вы оплачивали аккаунт с российских счетов - спасти его не выйдет.
1. Как проверяется принадлежность аккаунта к России? - Это происходит по платёжным документам. Если вы никогда не платили за Notion с российских счетов/карт - вам не о чем волноваться, под блокировку ваш аккаунт не попадёт.
2. Можно ли сменить юрисдикцию аккаунта при наличии документов, подтверждающих то, что в РФ я не проживаю? - Предусмотрен только один механизм определения юрисдикции аккаунта - по платёжным документам. Если хоть раз вы оплачивали аккаунт с российских счетов - спасти его не выйдет.
🔥2👏1
ВЕТЕР И ЛАВОВЫЕ ЛАМПЫ НА СТРАЖЕ ВАШЕЙ БЕЗОПАСНОСТИ
Сегодня криптография имеет одну фундаментальную проблему – современные компьютеры не умеют генерировать случайные числа, необходимые для любого надёжного алгоритма шифрования. Каждая компания-производитель криптографических средств изощряется по-своему в попытке создать свой собственный генератор случайных чисел, обычно, прикручивая его к чему-то из реального мира – просят поводить пользователя по экрану, постучать по клавиатуре и т.д. Но такие способы работают, когда случайные числа надо генерировать нечасто.
Самые оригинальные варианты ГСЧ, конечно, появляются, когда у компании образовывается необходимость генерировать случайные числа в «промышленных» объёмах. Часто, в таких случаях используют особенности той среды, где работает генератор случайных чисел. Колебания температуры, вибрации, ядерный распад, квантовые флуктуации – всё может идти в ход, но, наверное, самыми красивыми вариантами для меня являются примеры random.org и Cloudfare
Первый – это просто сайт, генерирующий случайные числа всем желающим. И делает он это из шума ветра… Ну, точнее, не только ветра – ещё и молнии, дождя и прочих атмосферных явлений. Ребята просто берут звуковую дорожку с записью этих звуков и преобразуют её в набор чисел.
Вторые – это, пожалуй, самый известный поставщик услуг для безопасности в интернете. CDN, анти-DDoS, TLS-сертификаты и вот это вот всё… И эти ребята решили соригинальничать ещё больше. Они просто взяли 100 лавовых ламп, поставили их к стенке… И начали снимать. Преобразовывая кадры в числовые последовательности, они тоже получили отличный генератор случайных чисел.
Что это, если не математическая поэзия – я не знаю)
Сегодня криптография имеет одну фундаментальную проблему – современные компьютеры не умеют генерировать случайные числа, необходимые для любого надёжного алгоритма шифрования. Каждая компания-производитель криптографических средств изощряется по-своему в попытке создать свой собственный генератор случайных чисел, обычно, прикручивая его к чему-то из реального мира – просят поводить пользователя по экрану, постучать по клавиатуре и т.д. Но такие способы работают, когда случайные числа надо генерировать нечасто.
Самые оригинальные варианты ГСЧ, конечно, появляются, когда у компании образовывается необходимость генерировать случайные числа в «промышленных» объёмах. Часто, в таких случаях используют особенности той среды, где работает генератор случайных чисел. Колебания температуры, вибрации, ядерный распад, квантовые флуктуации – всё может идти в ход, но, наверное, самыми красивыми вариантами для меня являются примеры random.org и Cloudfare
Первый – это просто сайт, генерирующий случайные числа всем желающим. И делает он это из шума ветра… Ну, точнее, не только ветра – ещё и молнии, дождя и прочих атмосферных явлений. Ребята просто берут звуковую дорожку с записью этих звуков и преобразуют её в набор чисел.
Вторые – это, пожалуй, самый известный поставщик услуг для безопасности в интернете. CDN, анти-DDoS, TLS-сертификаты и вот это вот всё… И эти ребята решили соригинальничать ещё больше. Они просто взяли 100 лавовых ламп, поставили их к стенке… И начали снимать. Преобразовывая кадры в числовые последовательности, они тоже получили отличный генератор случайных чисел.
Что это, если не математическая поэзия – я не знаю)
⚡2❤1
Немного об ИБ-образовании
Когда я учился в универе, меня очень бесило то, что половина профильных преподавателей в универе никогда не работали по специальности. Сейчас, когда я около года сам периодически взаимодействую со сферой ИБ-образования уже с другой стороны, я начал понимать, в чём же причина. Об этом состоялась интересная дискуссия в комментариях к этому посту - https://t.me/cyber_edu/380 Но я решил расписать свои мысли подробнее здесь…
Помимо эволюции образования, в целом и ИТ-образования, в частности, о котором написано в посте, есть не менее важная проблема – зарплаты преподавателй. Понятно, что ситуация отличается от города к городу, от региона к региону, но, в среднем, они получаются, минимум, процентов на 20-30 ниже, чем зарплаты специалистов того же уровня в том же регионе. А, учитывая рост удалёнки для ИБ-шников в компаниях из Мск/СПб последние годы, зарплаты в вузах выглядят совсем грустно. Тягаться они могут, разве что, с зарплатами ИБ-специалистов на госслужбе. И то, не всегда.
При этом, активно развивается параллельная отрасль – онлайн-курсы. С одной стороны, они штампуют выпускников потоковым методом, при выдаче сертификатов об окончании, часто, закрывая глаза на их успехи, усердие и т.д., тем самым зарабатывая хорошие деньги, но формируя у профильных сообществ негативное отношение к себе. С другой стороны, они могут позволить привлекать для преподавания практикующих специалистов, платя им неплохие деньги (Тут вспоминается мой разговор с коллегой, который преподаёт в универе. Когда я ему озвучил сумму, которую мне платила одна из школ за полуторачасовую лекцию, он схватился за голову со словами «Я полугодовую программу курса за меньшую сумму составил»). И, в целом, если люди туда идут с конкретной целью – научиться, думаю, профильных знаний они оттуда вынести могут не меньше, чем из среднестатистического вуза, а то и больше. А по актуальности эти знания, точно, опережают вузовские от преподов-теоретиков на несколько порядков.
Вот и получается, что в вузы сейчас идут, в основном, либо энтузиасты своего дела, либо просто люди, которые не умеют продавать себя на рынке труда… Что с этим делать – ответа у меня нет. Наверное, это естественная эволюция системы образования, которая должна произойти. Но наблюдать за этим интересно, хоть и, порой, немного грустно.
Когда я учился в универе, меня очень бесило то, что половина профильных преподавателей в универе никогда не работали по специальности. Сейчас, когда я около года сам периодически взаимодействую со сферой ИБ-образования уже с другой стороны, я начал понимать, в чём же причина. Об этом состоялась интересная дискуссия в комментариях к этому посту - https://t.me/cyber_edu/380 Но я решил расписать свои мысли подробнее здесь…
Помимо эволюции образования, в целом и ИТ-образования, в частности, о котором написано в посте, есть не менее важная проблема – зарплаты преподавателй. Понятно, что ситуация отличается от города к городу, от региона к региону, но, в среднем, они получаются, минимум, процентов на 20-30 ниже, чем зарплаты специалистов того же уровня в том же регионе. А, учитывая рост удалёнки для ИБ-шников в компаниях из Мск/СПб последние годы, зарплаты в вузах выглядят совсем грустно. Тягаться они могут, разве что, с зарплатами ИБ-специалистов на госслужбе. И то, не всегда.
При этом, активно развивается параллельная отрасль – онлайн-курсы. С одной стороны, они штампуют выпускников потоковым методом, при выдаче сертификатов об окончании, часто, закрывая глаза на их успехи, усердие и т.д., тем самым зарабатывая хорошие деньги, но формируя у профильных сообществ негативное отношение к себе. С другой стороны, они могут позволить привлекать для преподавания практикующих специалистов, платя им неплохие деньги (Тут вспоминается мой разговор с коллегой, который преподаёт в универе. Когда я ему озвучил сумму, которую мне платила одна из школ за полуторачасовую лекцию, он схватился за голову со словами «Я полугодовую программу курса за меньшую сумму составил»). И, в целом, если люди туда идут с конкретной целью – научиться, думаю, профильных знаний они оттуда вынести могут не меньше, чем из среднестатистического вуза, а то и больше. А по актуальности эти знания, точно, опережают вузовские от преподов-теоретиков на несколько порядков.
Вот и получается, что в вузы сейчас идут, в основном, либо энтузиасты своего дела, либо просто люди, которые не умеют продавать себя на рынке труда… Что с этим делать – ответа у меня нет. Наверное, это естественная эволюция системы образования, которая должна произойти. Но наблюдать за этим интересно, хоть и, порой, немного грустно.
❤2😢1
Почему VPN заблокировать сложнее, чем сайты?
Периодически встречаю комментарии к новостям о блокировках с паническими настроениями. Что-то вроде «Ещё немного, и заблокируют вообще все VPN и средства обхода!» Пару слов о том, почему это не случится.
Как выглядит механизм блокировок сейчас? Росвласти выпустили постановление о необходимости установки провайдерами на своих сетях так называемых «технических средств противодействия угрозам». По сути, это обычный межсетевой экран – штука, существующая несколько десятков лет, только получившая очередное новое название. Ну и то, что теперь эти МСЭ получают правила фильтрации напрямую из РКН – тоже не то, чтобы сильно новый функционал .
И тут надо понимать их особенность работы – фильтрация проходящих через него данных по имени ресурса, на который (или с которого) они направлены, никак его не нагружает. А вот если им приходится смотреть глубже, включать более серьёзные правила, внимательнее анализировать трафик (а это всё необходимо для отслеживания разных VPN-протоколов)… В общем, пример того, как падает их пропускная способность с усилением глубины проверки, приведён на скрине (То, как эти цифры получаются – разговор отдельный, но, если даже сам производитель заявляет о падении пропускной способности в 10 раз при полном наборе алгоритмов анализа – значит, ситуация, и впрямь, очень серьёзная.
И тут ещё накладывается несовершенство в алгоритмах определения нужных протоколов VPN. И вопрос даже не в том, что многие протоколы сегодня эти устройства обнаружить не могут. Вопрос в том, что государство тоже пользуется VPN (да-да, а вам не даёт) - гостовыми VPN, и, когда провайдеры начинают звереть, выкручивать алгоритмы определения VPN на максимум, ТСПУ начинают блокировать эти самые ГОСТовые VPN-ки. Например, как раз, сегодня наблюдаю жалобы на это в нескольких чатах, посвящённым этим самым ГОСТовым VPN.
По сути, единственный вариант, при котором заблокировать могут все лазейки – это северокорейский сценарий, т.е., переход с работы по блэклисту на работу по вайтлисту. Насколько это будет губительно для экономики - представить сложно…
Периодически встречаю комментарии к новостям о блокировках с паническими настроениями. Что-то вроде «Ещё немного, и заблокируют вообще все VPN и средства обхода!» Пару слов о том, почему это не случится.
Как выглядит механизм блокировок сейчас? Росвласти выпустили постановление о необходимости установки провайдерами на своих сетях так называемых «технических средств противодействия угрозам». По сути, это обычный межсетевой экран – штука, существующая несколько десятков лет, только получившая очередное новое название. Ну и то, что теперь эти МСЭ получают правила фильтрации напрямую из РКН – тоже не то, чтобы сильно новый функционал .
И тут надо понимать их особенность работы – фильтрация проходящих через него данных по имени ресурса, на который (или с которого) они направлены, никак его не нагружает. А вот если им приходится смотреть глубже, включать более серьёзные правила, внимательнее анализировать трафик (а это всё необходимо для отслеживания разных VPN-протоколов)… В общем, пример того, как падает их пропускная способность с усилением глубины проверки, приведён на скрине (То, как эти цифры получаются – разговор отдельный, но, если даже сам производитель заявляет о падении пропускной способности в 10 раз при полном наборе алгоритмов анализа – значит, ситуация, и впрямь, очень серьёзная.
И тут ещё накладывается несовершенство в алгоритмах определения нужных протоколов VPN. И вопрос даже не в том, что многие протоколы сегодня эти устройства обнаружить не могут. Вопрос в том, что государство тоже пользуется VPN (да-да, а вам не даёт) - гостовыми VPN, и, когда провайдеры начинают звереть, выкручивать алгоритмы определения VPN на максимум, ТСПУ начинают блокировать эти самые ГОСТовые VPN-ки. Например, как раз, сегодня наблюдаю жалобы на это в нескольких чатах, посвящённым этим самым ГОСТовым VPN.
По сути, единственный вариант, при котором заблокировать могут все лазейки – это северокорейский сценарий, т.е., переход с работы по блэклисту на работу по вайтлисту. Насколько это будет губительно для экономики - представить сложно…
🤔2❤1
Платформа для тренировки ИБ-специалистов.
Российская ИБ-компания Positive technologies выкатила в свободный доступ свою платформу для тренировки специалистов по реагированию на инциденты - Standoff365 - cyberbones.standoff365.com До этого доступ к ней был только участникам различных профессиональных ИБ-конференций, сейчас же подключиться и опробовать свои навыки может любой желающий.
P.S. Из забавных моментов - требование подключения по OpenVPN (который заблокирован множеством провайдеров в РФ) для доступа к платформе. Почему компания, которая этим летом релизнула свой NGFW, решила для подключения использовать, именно OpenVPN - не сильно понятно (Возможно, VPN они туда просто не успели ещё прикрутить). Но, так или иначе, необходимость отдельным пользователям настраивать VPN over VPN для обучения ИБ - выглядит иронично.
P.P.S. Кстати, в моей подборке материалов по старту карьеры в Иб есть и неплохая подборка подобных сайтов для тренировки - https://www.notion.so/aleksei-pyrinov/59aae1207b07454a8deb87334e98f042
Российская ИБ-компания Positive technologies выкатила в свободный доступ свою платформу для тренировки специалистов по реагированию на инциденты - Standoff365 - cyberbones.standoff365.com До этого доступ к ней был только участникам различных профессиональных ИБ-конференций, сейчас же подключиться и опробовать свои навыки может любой желающий.
P.S. Из забавных моментов - требование подключения по OpenVPN (который заблокирован множеством провайдеров в РФ) для доступа к платформе. Почему компания, которая этим летом релизнула свой NGFW, решила для подключения использовать, именно OpenVPN - не сильно понятно (Возможно, VPN они туда просто не успели ещё прикрутить). Но, так или иначе, необходимость отдельным пользователям настраивать VPN over VPN для обучения ИБ - выглядит иронично.
P.P.S. Кстати, в моей подборке материалов по старту карьеры в Иб есть и неплохая подборка подобных сайтов для тренировки - https://www.notion.so/aleksei-pyrinov/59aae1207b07454a8deb87334e98f042
❤2