Конкурент Роскомнадзора?
Кажется, у Роскомнадзора появился соратник по построению "суверенного рунета"... При чём, соратник этот не из российских госорганов, не из числа серийных доносчиков и даже не из числа российских компаний. Это свернувшая официальную продажу своего оборудования в РФ компания Apple!
Эти ребята прилежно блокируют VPN-приложения в российском AppStore по запросу российских госорганов. Число заблокированных VPN-клиентов перевалило за несколько сотен. И, более того, они блокируют уже не только платные VPN-сервисы, но и клиенты для отдельных протоколов и open-source решений - то есть, по сути, ограничивают пользователям подключение к их собственным серверам (Сегодня, например, снесли мою любимую AmneziaVPN). Учитывая, что у пользователей этой ОС нет возможности поставить приложения не из магазина - проблема, реально, серьёзная. Вроде как, решить её можно сменой региона, но тогда вам могут стать недоступны для установки уже российские приложения. А как компания отнесётся к постоянным прыжкам аккаунта из региона в регион - непонятно.
Уже установленные приложения остаются на телефонах, но обновить их возможности нет, а при покупке нового девайса или сброса старого - вы не сможете восстановить и то, что имеете.
Пока глобальная рекомендация - не покупайте устройства Apple. Если уже купили - по возможности, меняйте регион.
P.S. Пользователи уже создали подробный перечень всего, заблокированного Apple для российского региона. Ознакомиться можно здесь.
Кажется, у Роскомнадзора появился соратник по построению "суверенного рунета"... При чём, соратник этот не из российских госорганов, не из числа серийных доносчиков и даже не из числа российских компаний. Это свернувшая официальную продажу своего оборудования в РФ компания Apple!
Эти ребята прилежно блокируют VPN-приложения в российском AppStore по запросу российских госорганов. Число заблокированных VPN-клиентов перевалило за несколько сотен. И, более того, они блокируют уже не только платные VPN-сервисы, но и клиенты для отдельных протоколов и open-source решений - то есть, по сути, ограничивают пользователям подключение к их собственным серверам (Сегодня, например, снесли мою любимую AmneziaVPN). Учитывая, что у пользователей этой ОС нет возможности поставить приложения не из магазина - проблема, реально, серьёзная. Вроде как, решить её можно сменой региона, но тогда вам могут стать недоступны для установки уже российские приложения. А как компания отнесётся к постоянным прыжкам аккаунта из региона в регион - непонятно.
Уже установленные приложения остаются на телефонах, но обновить их возможности нет, а при покупке нового девайса или сброса старого - вы не сможете восстановить и то, что имеете.
Пока глобальная рекомендация - не покупайте устройства Apple. Если уже купили - по возможности, меняйте регион.
P.S. Пользователи уже создали подробный перечень всего, заблокированного Apple для российского региона. Ознакомиться можно здесь.
😭2🤷♂1❤1🙈1
Залез тут в переписки с бывшими коллегами (нужна была их консультация, на днях релизну статью-диссертацию), и наткнулся на одну нетленку..
Немного контекста... Был у меня на предыдущем месте работы один проект, по которому я осуществлял поддержку оборудования довольно критичного. Как итог - мне писали только тогда, когда там что-то отваливалось (обычно, не с моей стороны, но всегда надо было разбираться). Стреляло это редко, но метко - поиск проблемы там, обычно, затягивался надолго. При чём, написать могли когда угодно - моя любимая история - это когда мне такое сообщение поступило 30 декабря посреди Сахары...
Как итог, мой диалог с техлидом этого проекта, обычно, выглядел так:
Немного контекста... Был у меня на предыдущем месте работы один проект, по которому я осуществлял поддержку оборудования довольно критичного. Как итог - мне писали только тогда, когда там что-то отваливалось (обычно, не с моей стороны, но всегда надо было разбираться). Стреляло это редко, но метко - поиск проблемы там, обычно, затягивался надолго. При чём, написать могли когда угодно - моя любимая история - это когда мне такое сообщение поступило 30 декабря посреди Сахары...
Как итог, мой диалог с техлидом этого проекта, обычно, выглядел так:
❤4🌚1
Пара слов об ИТ-менторстве курильщика...
Не так давно я писал о том, какие бывают адекватные площадки для поиска менторов в ИТ. Сегодня же хочу затронуть обратную сторону этого вопроса.
В последние годы рынок поиска первой работы в ИТ звереет, требования к джунам повышаются всё быстрее. Многие соискатели же, часто, хотят начинать получать обещанные 100500 миллионов сразу по окончании вузов или онлайн-курсов. Как результат - появляются различные сообщества менторов, которые учат сотрудников, как правильно обманывать компании при устройстве на работу - рассказывают, какие позиции в каких компаниях указывать в резюме, чтобы работодатель не смог их проверить; обучают прохождению собеседований в формате подготовки к ЕГЭ (учат ответам на типовые вопросы); помогают не спалиться на испытательном сроке и т.д. В общем, делают всё, чтобы человек, не обладающий реальными скиллами и опытом работы, смог получить сразу позицию миддла/сеньора.
Понятно, что специалистов, накручивающих опыт, не любят ни HR, ни компании, ни коллеги (которым приходится работать за других), ни другие соискатели, требования к которым растут ещё быстрее. Но неделю назад обнаружилось странное - оказывается, людей, накручивающих опыт, не любят ещё и люди, накручивающие опыт! В крупнейшем сообществе по обучению накрутке опыта забанили ментора за накрутку опыта такого менторства!)
Не так давно я писал о том, какие бывают адекватные площадки для поиска менторов в ИТ. Сегодня же хочу затронуть обратную сторону этого вопроса.
В последние годы рынок поиска первой работы в ИТ звереет, требования к джунам повышаются всё быстрее. Многие соискатели же, часто, хотят начинать получать обещанные 100500 миллионов сразу по окончании вузов или онлайн-курсов. Как результат - появляются различные сообщества менторов, которые учат сотрудников, как правильно обманывать компании при устройстве на работу - рассказывают, какие позиции в каких компаниях указывать в резюме, чтобы работодатель не смог их проверить; обучают прохождению собеседований в формате подготовки к ЕГЭ (учат ответам на типовые вопросы); помогают не спалиться на испытательном сроке и т.д. В общем, делают всё, чтобы человек, не обладающий реальными скиллами и опытом работы, смог получить сразу позицию миддла/сеньора.
Понятно, что специалистов, накручивающих опыт, не любят ни HR, ни компании, ни коллеги (которым приходится работать за других), ни другие соискатели, требования к которым растут ещё быстрее. Но неделю назад обнаружилось странное - оказывается, людей, накручивающих опыт, не любят ещё и люди, накручивающие опыт! В крупнейшем сообществе по обучению накрутке опыта забанили ментора за накрутку опыта такого менторства!)
😁3
Я тут решил недавно написать пост про то, как правильно хантить безопасников. Так как в посте ТГ это всё не опишешь, решил приложить ссылки на гайды в интернете... И, внезапно обнаружил, что хороших гайдов на эту тему нет!
Возможно, именно поэтому меня периодически зовут, например, на роль Application Security Engineer (для слабо погружённых в ИБ - это, по сути, отдельная профессия, на которую мне придётся переучиваться почти с 0).
А, значит, что? Значит, надо запилить такой гайд самому! Как итог, я постарался расписать все основные моменты - от важнейших скиллов и самых популярных сертификаций до того, с каких ролей можно рассматривать сотрудника, если не получается найти идеального кандидата со 100% релевантным опытом. На всякий случай, отревьювил разделы, неблизкие мне, у коллег, работающих в этих сферах - и... Теперь гайд в открытом доступе на Хабре и Ln!
https://www.linkedin.com/posts/fiexagon_cybersecurity-auqauoauhaulauwauhaulaunauuauvaugauxautauuauxauyavi-ugcPost-7259440742962487296-bOKE?utm_source=share&utm_medium=member_desktop
https://habr.com/ru/articles/855788/
Возможно, именно поэтому меня периодически зовут, например, на роль Application Security Engineer (для слабо погружённых в ИБ - это, по сути, отдельная профессия, на которую мне придётся переучиваться почти с 0).
А, значит, что? Значит, надо запилить такой гайд самому! Как итог, я постарался расписать все основные моменты - от важнейших скиллов и самых популярных сертификаций до того, с каких ролей можно рассматривать сотрудника, если не получается найти идеального кандидата со 100% релевантным опытом. На всякий случай, отревьювил разделы, неблизкие мне, у коллег, работающих в этих сферах - и... Теперь гайд в открытом доступе на Хабре и Ln!
https://www.linkedin.com/posts/fiexagon_cybersecurity-auqauoauhaulauwauhaulaunauuauvaugauxautauuauxauyavi-ugcPost-7259440742962487296-bOKE?utm_source=share&utm_medium=member_desktop
https://habr.com/ru/articles/855788/
Linkedin
Aleksey Pyrinov on LinkedIn: Как хантить безопасников?
В жизни каждого HR-а рано или поздно встречается ОН… Безопасник! И как подступиться к хантингу людей на эту позицию - обычно, бывает непонятно.
Поэтому, я…
Поэтому, я…
👍7🔥2
Насколько всё плохо с утечками данных?
Вчера все СМИ облетела оценка Сбера числа утекших персональных данных россиян - их представитель на форуме SOC назвал цифру 90%. Тут хотелось бы спросить, а куда они дели оставшиеся 10%, но сейчас разговор немного не о том... Мне стало интересно, насколько плохо с этим дела обстоят в РФ в относительном формате, в сравнении с другими странами. "Я вышел в интернет с таким вопросом" (с)
Самую подробную публичную статистику, которую удалось найти при беглом поиске, ведут ребята из Surfshark (не реклама ни в коем случае, продукты их не очень люблю). У них даже есть интерактивная карта, отображающая число утечек E-mail-адресов. Но одними почтами руководствоваться в 2024 - как будто, немного странно... К счастью, ребята приложили ссылку на ежеквартально обновляемую статистику , в которой есть информация по утечкам, в целом. Сразу стоит оговориться - подсчёт весьма топорный, так как абсолютно все утечки учесть не может. Плюс, есть 14,5 млрд утекших данных без конкретной географической принадлежности.
Но статистика, всё равно, интересная. В абсолютном рейтинге числа утечек по этим данным РФ занимает гордое второе место. (Так сказать, "Догнать и перегнать Америку!") Если же пересчитать число утечек на количество жителей - тут статистика уже не такая страшная - за счёт стран-оффшоров РФ опускается на 16 место (так же чуть-чуть уступая США).
В общем и целом, ситуация печальная. И с каждым годом лучше не становится - утечек в РФ, и так, было не мало, но всплеск их числа, ожидаемо, пришёлся на 2022 год и до окончания войны вряд ли следует ожидать сильного его снижения.
#утечки #персональные_данные
Вчера все СМИ облетела оценка Сбера числа утекших персональных данных россиян - их представитель на форуме SOC назвал цифру 90%. Тут хотелось бы спросить, а куда они дели оставшиеся 10%, но сейчас разговор немного не о том... Мне стало интересно, насколько плохо с этим дела обстоят в РФ в относительном формате, в сравнении с другими странами. "Я вышел в интернет с таким вопросом" (с)
Самую подробную публичную статистику, которую удалось найти при беглом поиске, ведут ребята из Surfshark (не реклама ни в коем случае, продукты их не очень люблю). У них даже есть интерактивная карта, отображающая число утечек E-mail-адресов. Но одними почтами руководствоваться в 2024 - как будто, немного странно... К счастью, ребята приложили ссылку на ежеквартально обновляемую статистику , в которой есть информация по утечкам, в целом. Сразу стоит оговориться - подсчёт весьма топорный, так как абсолютно все утечки учесть не может. Плюс, есть 14,5 млрд утекших данных без конкретной географической принадлежности.
Но статистика, всё равно, интересная. В абсолютном рейтинге числа утечек по этим данным РФ занимает гордое второе место. (Так сказать, "Догнать и перегнать Америку!") Если же пересчитать число утечек на количество жителей - тут статистика уже не такая страшная - за счёт стран-оффшоров РФ опускается на 16 место (так же чуть-чуть уступая США).
В общем и целом, ситуация печальная. И с каждым годом лучше не становится - утечек в РФ, и так, было не мало, но всплеск их числа, ожидаемо, пришёлся на 2022 год и до окончания войны вряд ли следует ожидать сильного его снижения.
#утечки #персональные_данные
👀4
РКН может заблокировать до 10% сайтов в зоне .ru
Думаю, все уже слышали про историю с внедрением ECH компанией Cloudflare. Если коротко, то американская компания, услугами котрой пользуются около 10% всех сайтов в зоне .ru внедрила на стороне серверов новый протокол, позволяющий обходить блокировки РКН (то есть, сайты, заблокированные РКН, владельцы которых пользовались Cloudflare заработали сами собой без VPN у пользователей из РФ). В ответ на это, многие провайдеры без официальных заявлений со своей стороны или со стороны РКН включили блокировку ECH, чем, по сути, ограничили доступ ко всем сайтам, работающим с Cloudflare. Подробнее об этом прочитать можно тут. Как и ознакомиться с комментариями экспертов-конкурентов Cloudflare.
Хорошая новость - владельцы сайтов смогли просто отключить ECH, и сайты снова стали доступны. Плохая - РКН выпустил заявление с призывом отказаться от использования Cloudflare. Обычно, такие заявления, пусть и не сразу, но приводят к блокировке сервисов.
И, в целом, компаний, предоставляющих услуги CDN и анти-DDoS в РФ хватает. И это даже не альтернативы уровня Rutube. Но... конечно, есть "НО"... Во-первых, услуг защиты от DDoS-атак физическим лицам они, в принципе, не предоставляют, то есть, все личные сайты будут вынуждены либо закрыться, либо быть заблокированными, либо лишиться защиты от DDoS. Во-вторых, у этих сервисов нет бесплатных тарифов, которые бы позволяли небольшим сайтам, существующим в 0 или в убыток пользоваться этим функционалом. Как итог - опять же, либо закрытие, либо блокировка, либо возрастание затрат...
В общем, что делать владельцам этих сайтов в случае блокировки Cloudflare, куда им деваться - пока не очень понятно.
#vpn #блокировки #ркн
Думаю, все уже слышали про историю с внедрением ECH компанией Cloudflare. Если коротко, то американская компания, услугами котрой пользуются около 10% всех сайтов в зоне .ru внедрила на стороне серверов новый протокол, позволяющий обходить блокировки РКН (то есть, сайты, заблокированные РКН, владельцы которых пользовались Cloudflare заработали сами собой без VPN у пользователей из РФ). В ответ на это, многие провайдеры без официальных заявлений со своей стороны или со стороны РКН включили блокировку ECH, чем, по сути, ограничили доступ ко всем сайтам, работающим с Cloudflare. Подробнее об этом прочитать можно тут. Как и ознакомиться с комментариями экспертов-конкурентов Cloudflare.
Хорошая новость - владельцы сайтов смогли просто отключить ECH, и сайты снова стали доступны. Плохая - РКН выпустил заявление с призывом отказаться от использования Cloudflare. Обычно, такие заявления, пусть и не сразу, но приводят к блокировке сервисов.
И, в целом, компаний, предоставляющих услуги CDN и анти-DDoS в РФ хватает. И это даже не альтернативы уровня Rutube. Но... конечно, есть "НО"... Во-первых, услуг защиты от DDoS-атак физическим лицам они, в принципе, не предоставляют, то есть, все личные сайты будут вынуждены либо закрыться, либо быть заблокированными, либо лишиться защиты от DDoS. Во-вторых, у этих сервисов нет бесплатных тарифов, которые бы позволяли небольшим сайтам, существующим в 0 или в убыток пользоваться этим функционалом. Как итог - опять же, либо закрытие, либо блокировка, либо возрастание затрат...
В общем, что делать владельцам этих сайтов в случае блокировки Cloudflare, куда им деваться - пока не очень понятно.
#vpn #блокировки #ркн
👍1🤷1
Тут ребята из PT выкатили занятный продукт - ИИ-помощника по обучению кибербезу.
Продукт пока сырой, находится на стадии MVP, но пообщаться с ним уже довольно интересно.
Полноценного преподавателя/ментора он, конечно, пока не заменит, но ответить на какие-то базовые вопросы вполне способен. Сам ИИ доступен в ТГ, а почитать про него можно по ссылке.
#войтивАйТи #инфобез #обучение
Продукт пока сырой, находится на стадии MVP, но пообщаться с ним уже довольно интересно.
Полноценного преподавателя/ментора он, конечно, пока не заменит, но ответить на какие-то базовые вопросы вполне способен. Сам ИИ доступен в ТГ, а почитать про него можно по ссылке.
#войтивАйТи #инфобез #обучение
❤🔥4🔥1
На фоне эйфории от разблокировки ютуба, как-то незаметно прошла новость про очередные планирующиеся учения по отключению отдельных регионов (коварными врагами страны) от глобального интернета. Фото соответствующего приказа РКН с просьбой предоставить адреса, которых от мировой сети отключать не нужно, появилось в сети вчера. Насколько это реальный приказ - сказать не могу, но давайте порассуждаем, как такая штука может реализовываться изнутри страны или снаружи и чем она грозит.
Сначала чутка теории. Для того, чтобы адреса в сети были у всех уникальными, это должен кто-то регулировать. Изначально этим занимается организация с центром в США. Но её функционал на данном поприще невысок - она просто выдаёт местным центрам (Каждый из которых отвечает за +- материк) свой диапазон IP-адресов, которыми он может распоряжаться. Это центр, в свою очередь, распределяет адреса между странами, находящимися в регионе. Регуляторы внутри страны распределяют по регионам, а уже организации раздают адреса провайдерам.
Опять же, для того, чтобы не было никаких пересечений адресов, все эти назначения хранятся в единой базе - с привязкой к конкретному региону и конкретному провайдеру. То есть, если свериться с этой базой, то можно понять - вот этот пакет летит из условной Челябинской области в условный дата-центр Amazon в Калифорнии (да-да, то самое "Вычисление по IP"). Процедура сверки - максимально простая, производительности почти не жрёт. Поэтому, блок по региону осуществить очень легко.
Хотя, учитывая стабильность границ РФ, возможным это стало только в 2023 году. Почему? Тут можно вспомнить замечательную особенность начала войны - когда РФ пользовалась мировой базой адресов, российские средства защиты информации определяли адреса с территорий, провозглашённых Российскими, как адреса из Украины. А, поскольку тогда случился бум DDoS-атак, в том числе, из-за рубежа, многие компании включили блокировку по ГЕО-IP к своим сервисам. И удивлялись, почему их сервисы недоступны из условного Донецка.
За эти годы РКН пересобрал свою, "правильную" базу IP-адресов - на неё уже перешли все российские СЗИ. Поэтому, в теории, включить этот блок они вполне могут. И, при включении такого блока по территории всей страны классические VPN-ы уже не спасут - вы, банально, не сможете подключиться к их серверам. (А вот для включения такого блока снаружи, кстати, придётся пользоваться российскими же базами)
Но тут возникает другой вопрос - как сильно пострадают из-за этого частные компании? С них-то данные никто собирать не будет по адресам, которым надо доступ сохранить за рубеж. А, значит, обрубание огромных информационных потоков и громадные финансовые издержки. Как итог, если и пойдут на такой шаг, то, скорее всего, по белорусскому сценарию 2022 года - локальные отключения в границах нескольких регионов в случае очередных митингов и "маршей справедливости".
#vpn #блокировки #ркн
Сначала чутка теории. Для того, чтобы адреса в сети были у всех уникальными, это должен кто-то регулировать. Изначально этим занимается организация с центром в США. Но её функционал на данном поприще невысок - она просто выдаёт местным центрам (Каждый из которых отвечает за +- материк) свой диапазон IP-адресов, которыми он может распоряжаться. Это центр, в свою очередь, распределяет адреса между странами, находящимися в регионе. Регуляторы внутри страны распределяют по регионам, а уже организации раздают адреса провайдерам.
Опять же, для того, чтобы не было никаких пересечений адресов, все эти назначения хранятся в единой базе - с привязкой к конкретному региону и конкретному провайдеру. То есть, если свериться с этой базой, то можно понять - вот этот пакет летит из условной Челябинской области в условный дата-центр Amazon в Калифорнии (да-да, то самое "Вычисление по IP"). Процедура сверки - максимально простая, производительности почти не жрёт. Поэтому, блок по региону осуществить очень легко.
Хотя, учитывая стабильность границ РФ, возможным это стало только в 2023 году. Почему? Тут можно вспомнить замечательную особенность начала войны - когда РФ пользовалась мировой базой адресов, российские средства защиты информации определяли адреса с территорий, провозглашённых Российскими, как адреса из Украины. А, поскольку тогда случился бум DDoS-атак, в том числе, из-за рубежа, многие компании включили блокировку по ГЕО-IP к своим сервисам. И удивлялись, почему их сервисы недоступны из условного Донецка.
За эти годы РКН пересобрал свою, "правильную" базу IP-адресов - на неё уже перешли все российские СЗИ. Поэтому, в теории, включить этот блок они вполне могут. И, при включении такого блока по территории всей страны классические VPN-ы уже не спасут - вы, банально, не сможете подключиться к их серверам. (А вот для включения такого блока снаружи, кстати, придётся пользоваться российскими же базами)
Но тут возникает другой вопрос - как сильно пострадают из-за этого частные компании? С них-то данные никто собирать не будет по адресам, которым надо доступ сохранить за рубеж. А, значит, обрубание огромных информационных потоков и громадные финансовые издержки. Как итог, если и пойдут на такой шаг, то, скорее всего, по белорусскому сценарию 2022 года - локальные отключения в границах нескольких регионов в случае очередных митингов и "маршей справедливости".
#vpn #блокировки #ркн
🤨3❤1
Покайтесь, грешники! Ибо нарушаете вы законы Шариата!
Буквально вчера председатель Совета исламской идеологии Пакистана, доктор Рагиб Хусейн Наеми, объявил, что использование VPN для обхода запрещённой информации противоречит законам Шариата! Так что, если вы ещё надеетесь на 40 гурий и гуриев(?) - срочно удаляйте VPN со своих устройств!
P.S. Про использование VPN для других целей или же других средств обхода блокировок в заявлении не сказано, но, судя по контексту, проблема, всё же, не в самой технологии VPN, а в доступе к заблокированной информации.
#vpn #блокировки #ркн
Буквально вчера председатель Совета исламской идеологии Пакистана, доктор Рагиб Хусейн Наеми, объявил, что использование VPN для обхода запрещённой информации противоречит законам Шариата! Так что, если вы ещё надеетесь на 40 гурий и гуриев(?) - срочно удаляйте VPN со своих устройств!
P.S. Про использование VPN для других целей или же других средств обхода блокировок в заявлении не сказано, но, судя по контексту, проблема, всё же, не в самой технологии VPN, а в доступе к заблокированной информации.
#vpn #блокировки #ркн
💊2
Альтернативные способы обхода блокировок на случай глобального отключения рунета от всемирной паутины
Когда речь заходит о худшем и наименее вероятном (на мой взгляд) варианте цензуры - полной изоляции рунета, всегда возникают вопросы о том, какие останутся способы обхода. На самом деле, такой способ был изобретён ещё в 1990 году, доработан в 1999 и успешно протестирован в 2001. Речь идёт о стандартах RFC 1149 и RFC 2549, при использовании которых можно не опасаться никаких технологий РКН. Это достигается за счёт использования "трехмерного пространства, доступного для носителей, в отличие от одномерного эфира, используемого в IEEE802.3".
Из основных минусов - высокий пинг (при тестах он доходил до 6388671.9 мс) и потеря пакетов (вплоть до 56%). Плюс, хотя широковещание и не предусмотрено, штормы могут привести к большой потере данных. Так же, могут возникать проблемы при инкапсуляции - особенно, при непреднамеренной инкапсуляции большими носителями - разработчики предупреждают, что в таком случае при декапсуляции возможно искажение пакетов.
В общем, да, думаю, вы уже поняли, что что-то тут не так) На самом деле, серьёзные дядечки в костюмах, занимающиеся стандартизацией интернет-протоколов выпустили стандарт передачи интернет-пакетов голубиной почтой. И, конечно, это было сделано 1 апреля)
Ещё из понравившихся цитат при описании стандарта (к сожалению, на русском часто теряется игра слов, так что, лучше ознакомиться с оригиналами по ссылкам выше):
"Дополнительное описание QoS можно найти в руководстве Michelin."
"Предостережения о патенте: В настоящее время ведутся споры о том, что является предшествующим уровнем техники: носитель или яйцо."
"Носители обычно обходят мосты и туннели стороной, но пользуются туннелями с червоточинами."
#vpn #блокировки #ркн
Когда речь заходит о худшем и наименее вероятном (на мой взгляд) варианте цензуры - полной изоляции рунета, всегда возникают вопросы о том, какие останутся способы обхода. На самом деле, такой способ был изобретён ещё в 1990 году, доработан в 1999 и успешно протестирован в 2001. Речь идёт о стандартах RFC 1149 и RFC 2549, при использовании которых можно не опасаться никаких технологий РКН. Это достигается за счёт использования "трехмерного пространства, доступного для носителей, в отличие от одномерного эфира, используемого в IEEE802.3".
Из основных минусов - высокий пинг (при тестах он доходил до 6388671.9 мс) и потеря пакетов (вплоть до 56%). Плюс, хотя широковещание и не предусмотрено, штормы могут привести к большой потере данных. Так же, могут возникать проблемы при инкапсуляции - особенно, при непреднамеренной инкапсуляции большими носителями - разработчики предупреждают, что в таком случае при декапсуляции возможно искажение пакетов.
В общем, да, думаю, вы уже поняли, что что-то тут не так) На самом деле, серьёзные дядечки в костюмах, занимающиеся стандартизацией интернет-протоколов выпустили стандарт передачи интернет-пакетов голубиной почтой. И, конечно, это было сделано 1 апреля)
Ещё из понравившихся цитат при описании стандарта (к сожалению, на русском часто теряется игра слов, так что, лучше ознакомиться с оригиналами по ссылкам выше):
"Дополнительное описание QoS можно найти в руководстве Michelin."
"Предостережения о патенте: В настоящее время ведутся споры о том, что является предшествующим уровнем техники: носитель или яйцо."
"Носители обычно обходят мосты и туннели стороной, но пользуются туннелями с червоточинами."
#vpn #блокировки #ркн
🙈3👍1
А что у нас с МОК-интервью по кибербезу?
Я тут решил в свою подборку для старта карьеры добавить ссылки на мок-интервью по разным направлениям кибербеза... И обнаружил страшное - если на английском есть хотя бы несколько подходящих видео, то на русском языке они отсутствуют, как факт (либо моих навыков поиска не хватило, чтобы их найти).
Штука, на мой взгляд, полезная, поэтому, считаю, что надо исправлять ситуацию.
1. Если у вас уже есть записанные и выложенные МОК-интервью по любому направлению кибербеза - кидайте ссылку, добавлю их в подборку. Если организуете и запишете сами - тоже буду рад включить интервью в подборку.
2. Если возможности записать сами нет, но есть желание принять участие со стороны собеседующего - пишите, постараюсь свести вас с потенциальными кандидатами. Основные требования - опыт работы по в сфере информационной безопасности по любому направлению (чем больше разных направлений закроем - тем лучше) и проведения технических интервью в своей сфере.
3. Если хотите принять участие со стороны потенциального кандидата, можете тоже написать в личку. Идеальный вариант - человек без опыта прохождения интервью - хочется получить реальную +- картину того, как выглядит интервью реальное.
P.S. В случае, если кого-то смущает публичность - можно организовать блюр видео и изменение голоса - всё на ваш выбор.
Я тут решил в свою подборку для старта карьеры добавить ссылки на мок-интервью по разным направлениям кибербеза... И обнаружил страшное - если на английском есть хотя бы несколько подходящих видео, то на русском языке они отсутствуют, как факт (либо моих навыков поиска не хватило, чтобы их найти).
Штука, на мой взгляд, полезная, поэтому, считаю, что надо исправлять ситуацию.
1. Если у вас уже есть записанные и выложенные МОК-интервью по любому направлению кибербеза - кидайте ссылку, добавлю их в подборку. Если организуете и запишете сами - тоже буду рад включить интервью в подборку.
2. Если возможности записать сами нет, но есть желание принять участие со стороны собеседующего - пишите, постараюсь свести вас с потенциальными кандидатами. Основные требования - опыт работы по в сфере информационной безопасности по любому направлению (чем больше разных направлений закроем - тем лучше) и проведения технических интервью в своей сфере.
3. Если хотите принять участие со стороны потенциального кандидата, можете тоже написать в личку. Идеальный вариант - человек без опыта прохождения интервью - хочется получить реальную +- картину того, как выглядит интервью реальное.
P.S. В случае, если кого-то смущает публичность - можно организовать блюр видео и изменение голоса - всё на ваш выбор.
❤4
Не забывайте использовать защиту во время поездок!
Да-да-да… Кринж, пошлятина и, вообще, как можно писать такие посты в блоге по ИБ?! Но давайте честно – подключаться к незнакомым Wi-Fi сетям без использования VPN – всё равно, что заниматься сексом с первым встречным без презерватива.
И речь идёт не только о сетях «где-то на улице». Wi-Fi в среднестатистическом отеле или ресторане – это сплошная дыра в безопасности. Я лично не раз встречал заведения, где для доступа к админке роутера не нужны никакие спец.устройства или ПО для взлома – просто заходишь на IP шлюза по дефолтному 443 порту, вводишь admin/admin – и ты в системе!
А дальше – делай, что хочешь! Опять же, даже без навыков организации каких-то атак, злоумышленник сможет перехватить и прочитать весь ваш незашифрованный трафик – узнать, на каких сайтах вы были, изучить вашу почту и т.д. Если же вам совсем не повезёт, и вы нарвётесь на профи, то с помощью какой-нибудь атаки MITM он вполне сможет перехватить ваши аутентификационные и платёжные данные.
При чём, такое вполне может случиться не только в совсем незащищённой Wi-Fi сети, но и в сетях, о безопасности которых, на первый взгляд, пекутся. Можно вспомнить, например, громкую историю про взлом Сапсана, когда белого хакера не только не наградили за обнаруженные уязвимости в сети поезда, но и надавали ему по шапке, обозвали злоумышленником и т.д.
VPN в таких случаях, конечно, не панацея - при получении доступа к сети можно натворить многого всякого нехорошего, но, как минимум, от перехвата траффика вас защитит.
#VPN #безопасность
Да-да-да… Кринж, пошлятина и, вообще, как можно писать такие посты в блоге по ИБ?! Но давайте честно – подключаться к незнакомым Wi-Fi сетям без использования VPN – всё равно, что заниматься сексом с первым встречным без презерватива.
И речь идёт не только о сетях «где-то на улице». Wi-Fi в среднестатистическом отеле или ресторане – это сплошная дыра в безопасности. Я лично не раз встречал заведения, где для доступа к админке роутера не нужны никакие спец.устройства или ПО для взлома – просто заходишь на IP шлюза по дефолтному 443 порту, вводишь admin/admin – и ты в системе!
А дальше – делай, что хочешь! Опять же, даже без навыков организации каких-то атак, злоумышленник сможет перехватить и прочитать весь ваш незашифрованный трафик – узнать, на каких сайтах вы были, изучить вашу почту и т.д. Если же вам совсем не повезёт, и вы нарвётесь на профи, то с помощью какой-нибудь атаки MITM он вполне сможет перехватить ваши аутентификационные и платёжные данные.
При чём, такое вполне может случиться не только в совсем незащищённой Wi-Fi сети, но и в сетях, о безопасности которых, на первый взгляд, пекутся. Можно вспомнить, например, громкую историю про взлом Сапсана, когда белого хакера не только не наградили за обнаруженные уязвимости в сети поезда, но и надавали ему по шапке, обозвали злоумышленником и т.д.
VPN в таких случаях, конечно, не панацея - при получении доступа к сети можно натворить многого всякого нехорошего, но, как минимум, от перехвата траффика вас защитит.
#VPN #безопасность
❤4
This media is not supported in your browser
VIEW IN TELEGRAM
Уже несколько раз попадалось видео очередного миллиардера, ставшего экспертом во всех областях. На этот раз человек рассуждает об ИБ, ИТ и ИИ, мешая в одну кучу всё, что только можно. Решил немного прокомментировать данный отрывок. Видео прикладываю для понимания тех, кто его ещё не видел.
1. «В мире не останется ни одного пароля, который может выдержать против квантового компьютера» - тут, судя по всему, смешаны подбор паролей (т.е. bruteforce-атака) и проблемы устойчивости современных шифров к атакам с использованием квантового компьютера. С первым можно успешно бороться минимальными силами, применяя меры, придуманные десятилетия назад – ограничение на число попыток ввода пароля, мультифакторную аутентификацию и т.д. Мощность атакующей системы никак не влияет на её способность обходить эти меры защиты. Пусть даже компьютеры станут мощнее в триллионы раз, если у вас включена мультифакторка, подобрать ваш пароль они не смогут (Кстати, повод пойти и включить её). Со вторым – чуть интереснее. Про постквантовую криптографию как-нибудь напишу отдельный пост, но проблема эта тоже уже решена.
2. «ИИ имеет свойство быть децентрализованным. Он сейчас может находиться на всех компьютерах мира, как на блокчейне» - это уже что-то из фантастических фильмов. Скайнет, Альтрон или что-то такое – что ушло в сеть, как вирус, проникло во все устройства, подключенные к интернету, и что человечество никак не может контролировать… Тут могу успокоить – насколько я знаю, «децентрализованного ИИ, как на блокчейне» не существует. Существует децентрализованный ИИ на блокчейне) И речь, в этом случае, не идёт про то, что ИИ расползается по сотням устройств в сети – серверная часть там не децентрализуется, просто люди предоставляют мощности своих компьютеров для обучения нейронок (которые, на самом деле, ИИ являются очень условно), а взамен получают криптовалюту. Создателям нейронок – мощность, сравнимая с мощностью суперкомпьютера без необходимости аренды этого суперкомпьютера у правительства или корпораций, а пользователям – дешевая крипта. Заразить посторонние устройства таким майнером против воли владельца (чтобы получать деньги за майнинг вместо него), в теории, можно, но большинство современных антивирусов вполне успешно с таким борются.
В целом, суть видео можно свести к одному – «если вдруг, кто-то сейчас совершит технологический прорыв на десятки лет за один день, создаст полноценный ИИ (условный ASI, если такое, вообще, возможно на горизонте в десятки лет), мы окажемся в жопе». Но, в целом, это верно для чего угодно в любой период истории. Если бы кто-то совершил технологический прорыв и создал ядерное оружие (ещё и с возможностью доставки на самолётах) в Первую Мировую или, вообще, в эпоху Наполеоновских войн – у мира было бы очень много проблем. Вопрос в том, что это невозможно – прогресс во всех развитых странах идёт примерно нога в ногу, и, пока одни нейронки учатся ломать системы, другие, точно так же, используются для их защиты.
#безопасность #кибербезопасность #ИИ #AI
1. «В мире не останется ни одного пароля, который может выдержать против квантового компьютера» - тут, судя по всему, смешаны подбор паролей (т.е. bruteforce-атака) и проблемы устойчивости современных шифров к атакам с использованием квантового компьютера. С первым можно успешно бороться минимальными силами, применяя меры, придуманные десятилетия назад – ограничение на число попыток ввода пароля, мультифакторную аутентификацию и т.д. Мощность атакующей системы никак не влияет на её способность обходить эти меры защиты. Пусть даже компьютеры станут мощнее в триллионы раз, если у вас включена мультифакторка, подобрать ваш пароль они не смогут (Кстати, повод пойти и включить её). Со вторым – чуть интереснее. Про постквантовую криптографию как-нибудь напишу отдельный пост, но проблема эта тоже уже решена.
2. «ИИ имеет свойство быть децентрализованным. Он сейчас может находиться на всех компьютерах мира, как на блокчейне» - это уже что-то из фантастических фильмов. Скайнет, Альтрон или что-то такое – что ушло в сеть, как вирус, проникло во все устройства, подключенные к интернету, и что человечество никак не может контролировать… Тут могу успокоить – насколько я знаю, «децентрализованного ИИ, как на блокчейне» не существует. Существует децентрализованный ИИ на блокчейне) И речь, в этом случае, не идёт про то, что ИИ расползается по сотням устройств в сети – серверная часть там не децентрализуется, просто люди предоставляют мощности своих компьютеров для обучения нейронок (которые, на самом деле, ИИ являются очень условно), а взамен получают криптовалюту. Создателям нейронок – мощность, сравнимая с мощностью суперкомпьютера без необходимости аренды этого суперкомпьютера у правительства или корпораций, а пользователям – дешевая крипта. Заразить посторонние устройства таким майнером против воли владельца (чтобы получать деньги за майнинг вместо него), в теории, можно, но большинство современных антивирусов вполне успешно с таким борются.
В целом, суть видео можно свести к одному – «если вдруг, кто-то сейчас совершит технологический прорыв на десятки лет за один день, создаст полноценный ИИ (условный ASI, если такое, вообще, возможно на горизонте в десятки лет), мы окажемся в жопе». Но, в целом, это верно для чего угодно в любой период истории. Если бы кто-то совершил технологический прорыв и создал ядерное оружие (ещё и с возможностью доставки на самолётах) в Первую Мировую или, вообще, в эпоху Наполеоновских войн – у мира было бы очень много проблем. Вопрос в том, что это невозможно – прогресс во всех развитых странах идёт примерно нога в ногу, и, пока одни нейронки учатся ломать системы, другие, точно так же, используются для их защиты.
#безопасность #кибербезопасность #ИИ #AI
🤡3❤1🤪1
В предыдущем посте я упомянул проблему шифрования в эпоху появления квантовых компьютеров. Сейчас попробую объяснить на пальцах, что это за проблема, и почему она касается лично вас.
Начнём издалека… Каковы основные требования к современным шифрам?
1. Криптостойкость (т.е. надёжность, устойчивость ко взлому) – шифр должен быть не взламываемым на протяжении нескольких человеческих жизней с текущим развитием технологий. Тут стоит оговориться, что ни одного реального для эксплуатации шифра, который был бы абсолютно надёжным, взлом которого был бы исключён даже в теории, пока изобретено не было. Но криптографы договорились, что, если шифр может устоять сотню-другую лет, если его будет взламывать самый мощный из существующих суперкомпьютеров – такой шифр можно считать достаточно стойким.
2. Алгоритм шифрования/дешифрования не должен слишком нагружать ваш девайс – если на зашифровку сообщения «Hello world!» у вас уйдёт месяц, не думаю, что вам будет дело до стойкости этого шифра.
3. Ключ для шифрования/дешифрования должен иметь фиксированную длину и не зависеть от длины шифруемых данных. В качестве примера того, почему нарушение этого критерия делает современные криптоситсемы нежизнеспособными, можно глянуть, например, вот эту статью про шифр Вернама.
А теперь, когда разобрались с основными требованиями к шифрам, возвращаемся к нашим квантовым баранам… Итак, квантовый компьютер имеет производительность в миллионы раз превышающую производительность обыкновенных суперкомпьютеров. Пока, насколько я знаю, они могут выполнять довольно ограниченный набор операций, но, в целом, уже давно (первая конференция на эту тему прошла аж в 2006 году) криптографам пришло понимание, что рано или поздно эти самые квантовые компьютеры начнут использоваться для дешифровки шифров. Пусть даже до массового пользователя эта технология доберётся не скоро, иностранные разведки не дремлют, а они доступ к таким ресурсам получат одними из первых.
И, если раньше увеличение мощностей злоумышленников компенсировалось увеличением мощностей защищаемых систем (то есть, люди просто жертвовали 2 и 3 пунктом в угоду первому), то, когда речь идёт о квантовых компьютерах, сделать это уже не выйдет – для того, чтобы обычные шифры остались достаточно устойчивыми к квантовым злоумышленникам, нагрузка на ресурсы и длина ключа должна возрасти тысячи, если не миллионы, раз. То есть, загрузку сайтов, например, (да, в этом процессе тоже участвует шифрование) вы будете ждать пару часов, пока не купите свой персональный квантовый компьютер.
Решений этой проблемы, на самом деле, найдено немало (кстати, любопытно, что многие русскоязычные ресурсы в этом вопросе говорят об отсутствии решения, ссылаясь на википедию, которая, в свою очередь, опирается на статью 2009 года) – есть варианты с усложнением применяемых алгоритмов, есть полностью новые стандарты. На самом деле, главная проблема сейчас – это запоздалое появление единого признанного мировым сообщество стандарта. Google долгое время использовали свои алгоритмы, Apple – свои. Только в этом году NIST (обычно, именно их стандарты становятся общепризнанными, либо, если мы говорим о каких-нибудь ГОСТовых алгоритмах, то стандарты NIST-а часто берутся за основу своих собственных, импортозамещённых стандартов) представил несколько основных стандартов постквантового шифрования. Учитывая, что с момент принятия единого стандарта до его повсеместного внедрения, обычно, проходит несколько лет, а некоторые сферы криптографии пока так и остались неохваченными этим стандартом, в ближайшей перспективе это может аукнуться не очень хорошо.
#безопасность #шифрование #квантовые_компьютеры
Начнём издалека… Каковы основные требования к современным шифрам?
1. Криптостойкость (т.е. надёжность, устойчивость ко взлому) – шифр должен быть не взламываемым на протяжении нескольких человеческих жизней с текущим развитием технологий. Тут стоит оговориться, что ни одного реального для эксплуатации шифра, который был бы абсолютно надёжным, взлом которого был бы исключён даже в теории, пока изобретено не было. Но криптографы договорились, что, если шифр может устоять сотню-другую лет, если его будет взламывать самый мощный из существующих суперкомпьютеров – такой шифр можно считать достаточно стойким.
2. Алгоритм шифрования/дешифрования не должен слишком нагружать ваш девайс – если на зашифровку сообщения «Hello world!» у вас уйдёт месяц, не думаю, что вам будет дело до стойкости этого шифра.
3. Ключ для шифрования/дешифрования должен иметь фиксированную длину и не зависеть от длины шифруемых данных. В качестве примера того, почему нарушение этого критерия делает современные криптоситсемы нежизнеспособными, можно глянуть, например, вот эту статью про шифр Вернама.
А теперь, когда разобрались с основными требованиями к шифрам, возвращаемся к нашим квантовым баранам… Итак, квантовый компьютер имеет производительность в миллионы раз превышающую производительность обыкновенных суперкомпьютеров. Пока, насколько я знаю, они могут выполнять довольно ограниченный набор операций, но, в целом, уже давно (первая конференция на эту тему прошла аж в 2006 году) криптографам пришло понимание, что рано или поздно эти самые квантовые компьютеры начнут использоваться для дешифровки шифров. Пусть даже до массового пользователя эта технология доберётся не скоро, иностранные разведки не дремлют, а они доступ к таким ресурсам получат одними из первых.
И, если раньше увеличение мощностей злоумышленников компенсировалось увеличением мощностей защищаемых систем (то есть, люди просто жертвовали 2 и 3 пунктом в угоду первому), то, когда речь идёт о квантовых компьютерах, сделать это уже не выйдет – для того, чтобы обычные шифры остались достаточно устойчивыми к квантовым злоумышленникам, нагрузка на ресурсы и длина ключа должна возрасти тысячи, если не миллионы, раз. То есть, загрузку сайтов, например, (да, в этом процессе тоже участвует шифрование) вы будете ждать пару часов, пока не купите свой персональный квантовый компьютер.
Решений этой проблемы, на самом деле, найдено немало (кстати, любопытно, что многие русскоязычные ресурсы в этом вопросе говорят об отсутствии решения, ссылаясь на википедию, которая, в свою очередь, опирается на статью 2009 года) – есть варианты с усложнением применяемых алгоритмов, есть полностью новые стандарты. На самом деле, главная проблема сейчас – это запоздалое появление единого признанного мировым сообщество стандарта. Google долгое время использовали свои алгоритмы, Apple – свои. Только в этом году NIST (обычно, именно их стандарты становятся общепризнанными, либо, если мы говорим о каких-нибудь ГОСТовых алгоритмах, то стандарты NIST-а часто берутся за основу своих собственных, импортозамещённых стандартов) представил несколько основных стандартов постквантового шифрования. Учитывая, что с момент принятия единого стандарта до его повсеместного внедрения, обычно, проходит несколько лет, а некоторые сферы криптографии пока так и остались неохваченными этим стандартом, в ближайшей перспективе это может аукнуться не очень хорошо.
#безопасность #шифрование #квантовые_компьютеры
❤5
Добрался я, наконец, до нашумевшего вчера законопроекта, «Который обяжет операторов предоставлять РКН информацию о пользователях VPN”… В принципе, всё оказалось примерно так, как я и предполагал, прочитав заголовки – в текущей редакции закон никак не позволит выявлять пользователей VPN, СМИ раздули из мухи слона. Но в далёкой перспективе, учитывая\ изощрённый разум законодателей в РФ, последствия этот закон может иметь не очень приятные.
Давайте по порядку. Что случилось?
Вчера СМИ облетела новость о том, что РКН разработал приказ, который позволит ему вычислять всех пользователей VPN, которые используют его для обхода блокировок.
По сути, операторы должны будут предоставлять в РКН информацию о том, какой IP-адрес закреплён за тем или иным пользователем, а потом передавать ему логи, когда какой адрес подключался к каким ресурсам.
Вопросы начинаются уже здесь. Если у РКН будет информация, которая позволит ему соотносить IP и конкретного пользователя – зачем ему логи от операторов? Эти же логи он сможет собирать со своих ТСПУ. Тут можно обратить внимание не любопытный момент в документе – статистику РКН по обеспечению операторов ТСПУ. Официальная инфа – 493 оператора из 1981. Учитывая, что РКН ещё в 23 году отчитывался о 100% покрытии ТСПУ, эти цифры звучат странно. Возможно, опять Потёмкинская деревня, когда в СМИ одни цифры озвучиваются, а в реальности – другие. Но, скорее всего, в данном приказе речь идёт и о виртуальных операторах, типа Yota, которые не имеют своего оборудования и пользуются взятыми в аренду чужими мощностями.
Следующий вопрос, который возник у меня, как только я увидел заголовки новостей – «А зачем они будут просто собирать инфу, если могут блокировать?» Если они могут определить, что пользователь делает а-та-та, то почему просто не запретить ему этим заниматься? Если они не могут этого определить – тогда какой смысл в сборе этих логов?
Последний вопрос адресован уже не законодателю, а СМИ, которые понесли эту информацию – а как РКН должен будет определять цель использования VPN? Почти любой VPN шифрует траффик пользователя, вплоть до информации о назначении этого траффика. По сути, для любого ТСПУ это такой чёрный ящик – доказать, что VPN используется для посещения запрещённого в РФ Фикбука, например, а не просто для защиты своего траффика или для удалённой работы на иностранную компанию, у РКН не выйдет.
В общем, реальные проблемы этот законопроект может составить только в том случае, если в какой-то момент VPN решать запретить, как класс продуктов – вообще, для любых целей – и штрафовать пользователей в случае, если будет обнаружена попытка его использования, даже если попытка была заблокирована… Но в это я, всё ещё, верю слабо – какие бы одарённые люди не сидели в РКН, подобный уровень идиотизма, хочется верить, не доступен для них.
Давайте по порядку. Что случилось?
Вчера СМИ облетела новость о том, что РКН разработал приказ, который позволит ему вычислять всех пользователей VPN, которые используют его для обхода блокировок.
По сути, операторы должны будут предоставлять в РКН информацию о том, какой IP-адрес закреплён за тем или иным пользователем, а потом передавать ему логи, когда какой адрес подключался к каким ресурсам.
Вопросы начинаются уже здесь. Если у РКН будет информация, которая позволит ему соотносить IP и конкретного пользователя – зачем ему логи от операторов? Эти же логи он сможет собирать со своих ТСПУ. Тут можно обратить внимание не любопытный момент в документе – статистику РКН по обеспечению операторов ТСПУ. Официальная инфа – 493 оператора из 1981. Учитывая, что РКН ещё в 23 году отчитывался о 100% покрытии ТСПУ, эти цифры звучат странно. Возможно, опять Потёмкинская деревня, когда в СМИ одни цифры озвучиваются, а в реальности – другие. Но, скорее всего, в данном приказе речь идёт и о виртуальных операторах, типа Yota, которые не имеют своего оборудования и пользуются взятыми в аренду чужими мощностями.
Следующий вопрос, который возник у меня, как только я увидел заголовки новостей – «А зачем они будут просто собирать инфу, если могут блокировать?» Если они могут определить, что пользователь делает а-та-та, то почему просто не запретить ему этим заниматься? Если они не могут этого определить – тогда какой смысл в сборе этих логов?
Последний вопрос адресован уже не законодателю, а СМИ, которые понесли эту информацию – а как РКН должен будет определять цель использования VPN? Почти любой VPN шифрует траффик пользователя, вплоть до информации о назначении этого траффика. По сути, для любого ТСПУ это такой чёрный ящик – доказать, что VPN используется для посещения запрещённого в РФ Фикбука, например, а не просто для защиты своего траффика или для удалённой работы на иностранную компанию, у РКН не выйдет.
В общем, реальные проблемы этот законопроект может составить только в том случае, если в какой-то момент VPN решать запретить, как класс продуктов – вообще, для любых целей – и штрафовать пользователей в случае, если будет обнаружена попытка его использования, даже если попытка была заблокирована… Но в это я, всё ещё, верю слабо – какие бы одарённые люди не сидели в РКН, подобный уровень идиотизма, хочется верить, не доступен для них.
❤4🗿2
Но, кстати, к разговору о гениальности законодателей - можно вспомнить Бразилию, где их местный РКН даже превосходит российский.
Недавно он, например, объявил штрафы в 9000$ за доступ к Твиттеру через VPN. Вопросы выше актуальны и для них. Вроде, никто этот штраф не получил. Твиттер разбанили уже через месяц...
Это, так сказать, напоминание - российским регуляторам есть, куда тупеть)
Недавно он, например, объявил штрафы в 9000$ за доступ к Твиттеру через VPN. Вопросы выше актуальны и для них. Вроде, никто этот штраф не получил. Твиттер разбанили уже через месяц...
Это, так сказать, напоминание - российским регуляторам есть, куда тупеть)
😁3
Что-то давно я не писал тут о своей подборке материалов в помощь начинающему ИБшнику.
А ведь работа над ней продолжается, обновляю её регулярно. Из последних крупных дополнений:
1. Добавлен раздел по документации, обязательной к изучению,
2. Создана коллекция сайтов BugBounty с сортировкой по странам.
3. Переработан раздел, посвящённый стендам - расширен список продуктов, которые являются open-source или предоставляют бесплатные демо-версии своих продуктов для тестов/изучения. Добавлена схема простейшего универсального стенда, который можно поднять на этих продуктах и поотрабатывать, сразу все основные аспекты ИБ - развёртывание и настройку средств защиты, пентест и реагирование на инциденты. (Подробные сценарии работы со стендом пропишу в ближайшее время)
4. Для удобства ознакомления с последними дополнениями, вынес краткое описание последних пяти крупных изменений в начало подборки.
5. Создан раздел с МОК-интервью. Контента там пока мало, но скоро наполню. (Одно интервью уже записано, надо только найти время смонтировать)
#кибербез #войтивАйТи
А ведь работа над ней продолжается, обновляю её регулярно. Из последних крупных дополнений:
1. Добавлен раздел по документации, обязательной к изучению,
2. Создана коллекция сайтов BugBounty с сортировкой по странам.
3. Переработан раздел, посвящённый стендам - расширен список продуктов, которые являются open-source или предоставляют бесплатные демо-версии своих продуктов для тестов/изучения. Добавлена схема простейшего универсального стенда, который можно поднять на этих продуктах и поотрабатывать, сразу все основные аспекты ИБ - развёртывание и настройку средств защиты, пентест и реагирование на инциденты. (Подробные сценарии работы со стендом пропишу в ближайшее время)
4. Для удобства ознакомления с последними дополнениями, вынес краткое описание последних пяти крупных изменений в начало подборки.
5. Создан раздел с МОК-интервью. Контента там пока мало, но скоро наполню. (Одно интервью уже записано, надо только найти время смонтировать)
#кибербез #войтивАйТи
🔥5👍1
Чечня - один из самых свободных регионов РФ!
Именно к такому выводу можно прийти, глядя на карту блокировок YouTube от проекта "На связи". Ведь в Чечне, наряду с ещё десятком регионов РФ видеохостинг остаётся стабильно-доступным даже сегодня...
Именно к такому выводу можно прийти, глядя на карту блокировок YouTube от проекта "На связи". Ведь в Чечне, наряду с ещё десятком регионов РФ видеохостинг остаётся стабильно-доступным даже сегодня...
😁5
Регуляторы в РФ любят подсматривать за своим старшим восточным братом (У каждого свои предпочтения. Кто мы такие, чтобы осуждать?)... Поэтому, когда мой друг (назовём его Геннадий) поехал на Новый Год в Китай и попросил помочь ему прорубить окно в мир через Великий Китайский Файерволл, я не мог упустить возможности поэкспериментировать. Геннадий протестировал несколько серверов в ЕС и СНГ у разных хостеров, разные алгоритмы и конфигурации серверов. Какие из новостей ниже - хорошие, а какие - нет, решайте сами, но вот краткие результаты экспериментов:
1. Качественные российские алгоритмы обхода блокировок (вроде той же AmneziaWG) вполне успешно обходят и китайское оборудование с их алгоритмами DPI.
2. Китайский интернет всё ещё живёт по принципу блэклиста - "Всё, что не запрещено явно - разрешено". Не думаю, что это когда-нибудь изменится. Хочется верить, что и РКН не решит идти до конца, переходя к вайтлисту, погружая рунет в полную изоляцию.
3. На благо Китайского цензурного ведомства трудится огромное количество доблестных сотрудников, которые прописывают запрет на потенциально проблемные хостинги, VPS на которых люди приобретают для разворачивания своих VPN-серверов. Скорее всего, ребята просто блочат диапазоны адресов, выданные таким хостингам, целиком. По крайней мере, это единственное логичное объяснение, которое пришло мне в голову - большая часть серверов, протестированных Геннадием оказались просто недоступны по IP. Зато, сервер от небольшого хостера в одной из стран СНГ - вполне неплохо сработал (Тестировались одинаковые настройки для разных серверов, а потом решили не мудрить и просто простучаться по ICMP и SSH до этих серваков. Так что, дело, точно, не в протоколе - сервера недоступны, именно, по IP)
4. Московский сервер, кстати, не сработал - не доверяет россиянам их восточный сосед!
#vpn #РКН #блокировки
1. Качественные российские алгоритмы обхода блокировок (вроде той же AmneziaWG) вполне успешно обходят и китайское оборудование с их алгоритмами DPI.
2. Китайский интернет всё ещё живёт по принципу блэклиста - "Всё, что не запрещено явно - разрешено". Не думаю, что это когда-нибудь изменится. Хочется верить, что и РКН не решит идти до конца, переходя к вайтлисту, погружая рунет в полную изоляцию.
3. На благо Китайского цензурного ведомства трудится огромное количество доблестных сотрудников, которые прописывают запрет на потенциально проблемные хостинги, VPS на которых люди приобретают для разворачивания своих VPN-серверов. Скорее всего, ребята просто блочат диапазоны адресов, выданные таким хостингам, целиком. По крайней мере, это единственное логичное объяснение, которое пришло мне в голову - большая часть серверов, протестированных Геннадием оказались просто недоступны по IP. Зато, сервер от небольшого хостера в одной из стран СНГ - вполне неплохо сработал (Тестировались одинаковые настройки для разных серверов, а потом решили не мудрить и просто простучаться по ICMP и SSH до этих серваков. Так что, дело, точно, не в протоколе - сервера недоступны, именно, по IP)
4. Московский сервер, кстати, не сработал - не доверяет россиянам их восточный сосед!
#vpn #РКН #блокировки
❤7😁4