3 апреля 2017 г.

Интерфейсы Сбербанка

Ахренеть последний пост по Сберу был аж в 15 году и был он также в апреле.2 года прошло.У меня ещё пылится пустой пост с названием Agile Сбербанка.В целом повествование про него и будет.

"Периодически опять пользуюсь и постоянно у них там что-то меняется.Со стороны пользователя, то в номере дополнительные разделители пробелов/дефисов, то шагов оплаты больше меньше.Такое впечатление, что алгоритмы реакций на такие ситуации не отработаны(не предусмотрены самой системой), не доведены до персонала.Потому всё что может написать платформа, которой пользуются операционисты:"Выплата была вот пару дней назад, следующая возможно только в новом квартале".И так на самом деле очень много где, не только в этой сфере." - из моего 2015.

Здесь бы стоило закончить, но нет.Периодически пользуюсь.Ну как, раз в неделю, две, месяц.Каждый раз подходя к терминалу я не знаю чего ожидать.Хотя нет.Знаю.Привычные кнопки в тач панели будут обнаружены мной не на своих местах, панели перегруппированы, стадии оплаты добавлены, удалены, да и вобще касается любых элементов проведения платежа.То раньше(ну как сравнительно) в приоритете был оплат налом, сейчас в приоритете пластик.Каждый раз проведение платежа грёбаная пытка.Наверное это и есть знаменитое Agile Сбербанка. Волохать интерфейс и стадии оплаты как хочется, деплоить его их на терминалы и потом по камерам на терминалах смотреть сколько же люди тупят и втыкают в что-то новое(это из разряда предположения, не зря ж там камеры установлены, eye tracking там например ещё).

Такое впечатление, что про такие вещи как UML и Диаграмма последовательности(sequence diagram) разработчики не слышали.Из некоторых меню оплаты назад вернуться нет возможности(возможно из-за безопасности).
О том, что развёртывать новый интерфейс сначала у себя в конторе(либо в ближайшем отделении), затем после нормального объёмного тестирования, деплоить его на терминалы наверное тоже.

Я в некотором роде причастен к такому явлению как DevOps, угораздило устроится работать.У нас у продукта интерфейсопроблемы, которые мешают работать(всем от разработчиков до пользователей, которые об это молчат в тряпку).Но как мне объяснил техдир на совещании, интерфейсопроблемы не являются бизнес функционалом по сравнению с фичами продукта.То есть нельзя продать новую версию продукта лишь с новым, выверенным, логически правильным интерфейсом, таким чтобы комар нос и зад порезал, если присядет на UI.Одно лишь радует, что у конкурентов таких проблем нет.

Это было так, отступление.Вот эти видимые изменения, так сильно контрастируют относительно других платёжных терминалов. Взять хотя бы Qiwi.К которым я подойду через год другой и там скорее всего ничего не поменяется.Наверное это и есть Agile Сбербанка.На деле кажется из разряда:"Придумали функцию и лишь бы зарелизить".Ах да у нас же бизнес, некогда тестировать и внедрять относительно не изменчивые и оконечные вещи, процессы.На фоне опять же всех остальных выглядит мягко говоря не очень.

Обработка исключений тоже как бы забавная штука.В последнее время почему-то не могу в выходные оплатить себе интернет.При оплате, когда все мучительные стадии пройдены, тебя кидает на одну и туже страницу.Где обработка исключения, где ответ или всплывающее окно, о том что делать дальше и сколько редиректиться раз на страницу оплаты?Или данную функцию выполняют мальчик с девочкой стоящие перед входом в отделение?Кстати почему-то смеющиеся надо мной, когда я поставил упавшую швабру уборщицы, которая перегородила вход в банк.Является ли это их нормальным поведением или это тоже часть Agile?

Я ещё забыл написать, что в выше написанном виноват лично я, а может быть и вы.Ну и учитывая, что колебания курса стабилизировались и комиссия на мои платежи не взимается, то всё как говорится бесплатно.А там где бесплатно и спроса никакого.Сбербанк и СберТех могут ничего не менять.

Ну и заканчивая своё повествование, оттенок которого я не знаю какой.Многие вещи познаются в сравнении.И из этого сравнения я кажется начинаю понимать, за что я плачу комиссию в других терминалах.

13 марта 2017 г.

Уничтожаем маркетинг

В начале назвал "Выносим маркетинг", но из-за отсутствующей реакции ответственных за это людей переименовал.
Да.Именно.Его.К сожалению нельзя написать открыто, кто, что, где.Но можно сказать общими словами, на сторонних примерах. 

Но немного предыстории, чтобы прям не врываться в тему с разбегу.

Как-то мне надо было провести исследование по части LM/SIEM и всё что с ними более или менее связано.Работа была проделана, документы и мнения сформированы.По окончании у меня возникло ощущение от написания дипломной работы, которую я считаю в своей деятельности за ориентир.Как яркий пример самостоятельной работы, поиска, ресёрча и выпуска "продукта"

Исследование получилось довольно интересным в плане деятельности и того факта, что до него с отдельными системами LM/SIEM или их отдельными элементами я работал, публикации то и дело читал.Тема оказалась мистификационная.Корреляция.Спорю у вас триггернуло.
Я бы не сказал, что мне удалось много всего посмотреть, но и малым тоже не обозвать.

В процессе работы, в некотором её начале ,складывалось такое впечатление brainwashing(промывки мозга).Заключалось оно в "нихрена не понятно", а также в том, что описываемое не совпадает с реальным.В общем при установке и попытке использовать данные системы для работы пришлось упереться в большинсто вещей описанных здесь  и в ряд своих личных претензий.

Пожалуй единственная компания, которая строит своё повествование и деятельность на демистификации всего что связано с SIEM, это RuSIEM с их одноимённым продуктом.У ребят так много материалов правильного толка по сравнению со всеми остальными, что добавить мне особо и нечего.Стоит оговориться, что ни разу не реклама.

И хорошо, что есть вот такие коментарии:
и некоторое количество действительно адекватных материалов исследовательского и научного толка.

Очень сильно проникаешься, когда сам начинаешь разрабатывать PoC и отдельные элементы подобных систем.Очень резко красивые картинки сворачиваются и маркетологи рвутся на британский флаг.

Пожалуй на моей практике это было одно из самых сильных столкновений красивых картинок и реальности.

Но вернёмся к теме повествования вырубания/уничтожения маркетинга.

11 марта 2017 г.

Defcon Russia 29

Safeguarding rootkits: Intel Boot Guard. Часть 2
Александр Ермолов Digital Security
Spring MVC и autobinding vuls
Алексей Тюрин Digital Security
Bare-metal programming на примере Raspberry Pi
Борис Савков АСП Лабс
Обнаружение руткитов в GNU/Linux
Михаил Клементьев Digital Security

6 февраля 2017 г.

Что делать с ... сетевым оборудованием?!

Специально поставил в заголовке ... потому что характеризовать это самое сетевое оборудование можно разными словами.Плохое, хорошее, надёжное, ненадёжное, soho, enterprise сертифицированное, несертифицированное и т.д.

Наверное компетентней по этой части могут быть лишь разработчики этого оборудования и сетевики, которые каждый день с ним работают.Порой удивлялся, тому что у нас на нескольких площадках ставили устройства, про которые и слышать не слыхивал.Но после разговора с инженером провайдера озвучивалось большое количество доводов именно в сторону определённых марок, моделей да и вобще удавалось узнавать такие тонкости по которым сам никогда бы и не выбирал. 

В данном посте у меня оборудование, ну как бы некондиционным его не назовёшь.Оборудование которое вроде бы выполняет свою роль, но падает, валится, засирает сеть и всячески подводит."Неподводимость" - это наверное одно из таких свойств вещей, предметов, когда они вроде бы и не должны работать в негативных условиях, с повреждениями и т.д., но работают, выручают и всячески проникаешься уважением не только к ним, но и к их создателям.Потому что продумано, либо не продумано, но технические решения компенсируют не покрытие ситуаций применения.

Tplink tl-r488t много wan'овый маршрутизатор.С вечно отваливающимся web интерфейсом с невозможностью как-то дебагнуть почему он падает.Иметь в управлении один лишь web это забавно.После снятия с площадок использовались как подпорка, подставка, утяжелитель для панелей потолка, чтобы их не выдувало при открытии окон.

Ряд неуправляемых свичей dlink, те которые железные стоечные 8-16 портов.Как-то разобрал один.Был поражён не до конца воткнутой вилкой питания вентилятора охлаждения.Туда же в подставки, утяжелители.

Управляемые свичи Allied Telesis.Совсем из недавнего.Без конкретных моделей.С ними тоже не по пути. Особенно, если полистать русский форум и количество проблем Коммутаторы 2го уровня и Коммутаторы 3го уровня Ну и не форумом единым конечно же и из личной практики.

Да маловато случаев.Но забавность не в этом.Второй раз недавно услышал фразу, о том что если оборудование подводит, то его скидывают с самого высокого этажа здания, где оно подводило на землю, чтобы ему неповадно было.Данный ритуал и в целом посыл не мной придуман, но в чём-то мне нравится.К оборудованию к любому я стараюсь относиться более чем уважительно.Есть такой эффект, несколько раз встречал.Берёшь неработающее в руки и начинает работать, а у остальных нет.

Ну и напоследок, чтобы совсем не было скучно от поста.Интересный комментарий, совсем недавний.Ник, время и продукт затёр.Чтобы потом ко мне не было претензий со стороны вендора, мол я всячески подрываю финансовое благосостояние и репутацию вендора. Специально успел заскринить, а то уж очень потешное применение.
Как понимаете комментарий о сертифицированном сетевом железе.Цена которого, если речь о мощных вентиляторах, с несколькими нулями.Хороший пример использования, если куплено не за свои.

19 декабря 2016 г.

Zeronights 0x06

Что ни говори, но ZeroNights 2016 aka 0x06 оставил хорошее впечатление.Это даже не 0x05 затюнингованный неоновыми подсветками.Я как-то внутренне окрестил его ZeroNights на стероидах.
Выставка Достижений Народного Хакерпрома(ВДНХ) :)
С высоты вроде бы не долгих 3 лет посещения, мне только наверное сейчас стало в некотором роде понятна особенность данного мероприятия.Сказывается смена работы.Да конфа выделяется хардкором. Для администратора, читающего пару тройку ресурсов по иб она как бы может быть трудновоспринимаема. Совсем совсем.Для человека "косвенно" начавшего работать в иб(меня) подаваемый материал уже не так сильно режет мозги.И это наверное хорошо.

Фотографий особо не сделал.В оcновном слайды с докладов.Да и нет смысла особо тягаться с прекрасными дамами снимающими на профессиональную технику моменты мероприятия.
Как и обычно, по традиции первый день проходит тяжко, а второй по накатанной.
I

12 ноября 2016 г.

Samsung Galaxy Note 7

UPD: Возможно стоит извиниться за ниженаписанное.Так как пообщался недавно с человеком владеющим самсунговой техникой.Сказал, что всем владельцам рассылали push уведомление на тему не использования устройства.Я как-то подотстал от технологий взаимодейтсвия вендора и пользователя.

Мне одному кажется, что за время прошедшее с начала инцидента с возгоранием уже можно было заняться и разложить Galaxy Note 7 на атомы и найти причину.Особенно когда читаешь, что такое компания/корпорация Samsung

Я на самом деле ничего не сведую в таком явлении, как антикризисное управление и мой опыт в основном состоит из технических проблем, некоторого количества ситуаций, ночёвок на работе, не уйдёшь пока не заработает, потраченных выходных, работы месяцами без выходных, ну в общем до победного.

Вот смотришь на инфобез. Тут сервис запустили, там сервис запустили.Целые сайты, не просто какие-то там под домены.Не знаю насколько хорошо работает региональная техподдержка Samsung, но что-то не вижу сайта по проблеме возгорания, где в минимальное количество кликов можно выяснить, что делать как поступать и т.д.

Есть положительный опыт общения с русскоязычной техподдержкой.Было сравнительно давно и заключалось в задавании глупых вопросов по проблемам свежекупленного ноутбука.

Не вижу медийного освещения типа.У нас проблемы, мы подобосрались слегка, ну с кем не бывает.Мы тут короче подумали, собрали группу из различных спецов и сидим круглые сутки крутим вертим проблемные аппараты да и ещё стримим в интернет.Не вижу новостей о том, что мы тут поднапряглись и командировали обученных людей(хоть даже из региональных подразделений) к тем у кого телефон пригорел.Не потребитель до вас добрался, а вы сами проявили себя в решении возникших у вас же проблем.Типа знаешь, что-то вроде разновидности SOC, только там не инциденты, а карта с обращениями потребителей по проблемам с техникой, гарантийные случаи и т.д.

К компании Samsung я в целом отношусь нейтрально.Сталкивался с олдовыми телефонами раскладушками, мониторами, немного покручивал телики и smart tv, принтеры.Gear 360  классный кстати.

Практически как в рядовой тех.поддержке.Важен контакт с пользователем и показ того, что его проблема решается, либо может быть решена частично с ограничениями, либо вобще не решена.Но наверное я переработал в саппорте или пересмотрел фильмов, или нахожусь в параллельной вселенной.

Ситуация в целом интересная и показательная.И этот случай будут помнить ещё долго и помыкать им как примером.Также через призму данной проблемы интересно наблюдать как показывает себя вендор, что он делает, какие шаги он предпринимает.Сложно представить реакцию и действия Apple в подобной же ситуации.По крайней мере мне.

Выше я написал мифические антикризисные меры.Их интерес в том, что насколько бы сверхответственное, усиленное денежным и административным ресурсом отношение компании к проблеме помогло бы снизить её существующие и последующие материальные/репутационные убытки.Наверное интересная тема для дипломной работы.

Ну а пока, используем Galaxy Note 7 как дорогую зажигалку, гранату в GTA, устройство дистанционного розжига ну или что вам придёт в голову на тему манипуляции огнём.

20 октября 2016 г.

Неполность информации

Тема не про безопасность в общем. Скорее наблюдение относящиеся то ли к маркетингу, то ли к его буллщит части.Тема затрагивает в основном не только open source software, но и hardware.

А суть в общем простая, если используются эти самые software и hardware, то на официальном сайте хрен об этом напишут.

Ниже несколько примеров:

1)Из моей рабочей практики.Контора делала определённые устройства прошивка которых основывалась на OpenWrt, но везде писалось и упоминалось ГОРДО LINUX.Хорошо какой linux?

2)Устройство системы видеонаблюдения Линия MicroNVR.Довелось администрировать.В смысле системы построенные на оборудовании данной компании.Никаких нареканий предъявить не могу.
Всё замечательно, а что в аппаратной основе данного устройства?Ну что тут гадать на вскидку по профилю портов это Orange Pi.С конкретной моделью не определиться.
Операционная система Linux.Хорошо какой linux?Понятие растяжимое, но можно предположить из списка дистрибутивов поддерживающих данную аппаратную платформу.

3)IXIA.Очень крутая компания в плане технологий различного тестирования сетей.Продукты охрененнные.

Но написать к вот этому продукту based Raspberry Pi2 что-то не позволяет.Хотя вот на некоторых картинках software endpoint нарисована малинка.

4)НПО ЭШЕЛОН. Комрад SIEM То что в целом форк OSSIM/USM тоже что-то не позволяет написать.По скриншотам не трудно догадаться.Хотя сегодняшний вебинар про Комрад 2.0 показал, что можно сделать так чтобы особо внешних следов OSSIM/USM не осталось.А также повторить интерфейс и наработки своих основных конкурентов.Потому что в показанном интерфейсе узнаётся совсем другой продукт.За документацию на русском конечно спасибо ну и может быть за видение отличающееся от видения компании Alienvault.

UPD:20.10.2016
5)Свежак практически Рутокен VPN Написать аппаратную базу тоже что-то не позволяет.Я как внешний покупатель должен думать, что раз компания такая крутая, что делает токены, она оказывается ещё и устройства делает.Но нет.RPi2 или 3.

Почти всё перечисленное выше это такой стёб, рассчитанный неизвестно  на кого.Как отечественная операционная система на базе Linux.Хотя здесь есть интересный момент.То о чём не сказано человек и не подумает, в силу отсутствующего технического бекграунда или других причин. Не явность одним словом.Как оптическая иллюзия.Один из сотен разглядит.Знаете есть такие задачки логические, оптические к которым любят подписывать:"Это может решить только определённое количество человек в мире"

И вот непонятно мне как к этому относиться.
Вендор не написал, и я сам догадался.Вот я молодец. Вендору незачёт, поклёп и хула.
Вендор написал. Вендор молодец.Мне не надо думать об очевидных вещах о которых догадался в строке выше и чувствовать себя так как будто я исходники ихние анализирую, либо за руку где-то ловлю.

В первом случае негатив, во втором нейтральное отношение.

Это напоминает мне покупку б/у серверов и сетевого оборудования на авито, где порой так туманно пишут о спецификациях того что продают, что приходится догадываться самому. Похлеще вендоров будет.Увеличивать фотки, смотреть идентификаторы.Чтобы не звонить не тратить время людей, ну и главное не задавать тупые вопросы.

А с точки зрения конкуренции. Это просто пшик.Некоторым так вобще не составит труда выкупить решение, разобрать на части и сделать подобное же.

18 октября 2016 г.

[0 day] в сертифицированных средствах защиты.

Обновляемый пост.
Не для красного словца написал именно такой заголовок.Обнаружил две недели назад некоторые особенности функционирования в одном из продуктов.Не долго думая перепроицировал на всё до чего смогли дотянуться руки.Ну почти.Сквозь:"Укажите ФИО, корпоративную почту, компанию и т.д." 
Так как проверки и последующие конфирмы убивают кучу времени, то всё происходит медленно, но интересно своей кроссвендорностью.
К сожалению NDA и все дела.Отправил репорт одному из вендоров. Жду ответов.А пока жду дотягиваюсь до других продуктов.

6.10.2016 
-1 вендор
Получил ответ.Что-то вроде. Респект. Сценарий редкий. Неактуальный. Смысла особой разработки/проработки нет. Отчёт можно было и менее подобный. 21 страница выкладок.Но ты ещё репорты засылай.
Как и было запланировано, ответ оказался ожидаем.
У меня были некоторые сомнения репортить или нет, но после репорта и времени ответа, появились новые веяния и идеи по данному вопросу.Смысл разработки и проработки есть и я даже кажется без особых навыков программирования могу его реализовать.
В общем продолжаю работать.

18.10.2016
+1 одна дизайн, фишка, бага, неуязвимость. Опять у нескольких вендоров. В этот раз ещё необходимо будет заручиться юридическим материалом.Не совсем им конечно, но подпереться стоит.И ответ на данный репорт будет не менее интересным, чем на предыдущий. Потому что можно организовать косвенные или прямые материальные и репутационные убытки.

7 октября 2016 г.

Introduction to Storage Area Networks.IBM Redbooks.

Jon Tate.Pall Beck.Hector Hugo Ibarra.Shanmuganathan Kumaravel.Libor Miklas.

Аж от января 2016!Абсолютли свежак.Мне подумалось, а почему она такая свежая.Оказывается есть целый сайт http://www.redbooks.ibm.com с книгами по продуктам IBM, так и по общим технологиям.
Очень крутая книжка.Исчерпывающая информация по протоколам, железу, безопасности. Особенно, если вы себе не можете позволить собирать дома или на работе различные топологии систем хранилищ данных или посетить какой-нибудь ЦОД, чтобы вам кто-нибудь порассказывал как всё организовано, а просветиться надо подзарез.

На самом деле можете, если очень захотите.

Для себя смотрел в основном организацию топологии для имеющегося у меня железа :) ну и протоколы само собой.

Интересная идея постоянно обновляемой книги, к тому же бесплатной.IBM респект. Даже не пришлось искать что-то другое по хранилищам.

Ссылка на книгу.Требуется регистрация на корп.почту.

4 октября 2016 г.

EquationGroup / ShadowBrokers-2

Интересная история с этой второй частью.Интересна своей показательностью.Того что у индустрии нет яиц.И это не проблема коммуникации как пишут сами SB.

Тут в принципе можно озвучить, что-нибудь вроде рисков или с хакерами не торгуются.Ну или с чего бы платить кому-то такие деньжищи.Может продаваемый товар достался им на халяву, может за безумные усилия.Может быть ещё что-то.Но отрицать наличие продаваемого нельзя.Учитывая, что выложена была "бесплатная" часть, которая наделала шуму.Нормально так наделала.

Отлично встать на место SB может любой кто хоть что-то продавал или отдавал за бесплатно.Случаев было не то чтобы много.

Про продажу.Ну в основном это компьютерное железо.Чтобы забрали гарантированно ставишь цену в разы меньше.На последние две новые дорогие вещи я скинул на одну половину стоимости, на вторую чуть поменьше.Ушли в лёт, ну почти.За какие-то пару дней.В некотором роде была проблема с индексацией и публикацией объявления, потому что не премиум.
Некоторые используют приёмы маркетинга 80 уровня.Не продаётся двухсокетная серверная материнская плата за такую-то цену, так запихнём деваху в кадр.Может и зайдёт кому.
За некоторыми интересно наблюдать, как и по скольку они снижают цены на товар.

Про бесплатно.Есть один популярный сайт, на эту тему.Он довольно популярный, чтобы я у себя тут писал его название.На нём люди бесплатно отдают ненужные им вещи.Бывает стоит у вас полка книг.И выкинуть жалко, и не продать особо.А иногда вы выносите мусор вечером и натыкаетесь на пачку книг отечественной фантастики.На примере данного сайта можно посмотреть какие люди на самом деле.Как они будут ломиться за некоторые из отдаваемых вами вещей.Отдают на самом деле порой что-то совсем уникальное.Реально работающие вещи, компьютеры, технику.

Так вот бесплатно это первая часть архива, а за деньги вторая.Варианты тут следующие.

Будь я на месте SB, то я бы опубликовал ещё один из инструментов(только не слишком крутого, самого лайтового) второго архива опять по бесплатной схеме и понизил цену за вторую часть.Не могу в таких цифрах оценить насколько адекватно понизить.Если эффекта нет, понизить ещё.Или вобще отказаться от понижения после второго раза.И просто реализовать в даркнет.

Да как так можно-то в даркнет такие вещи."Произведение искусства не продают на гаражной распродаже"Мне кажется продают да и ещё как.А то чем SB поделились с миром итак мне кажется слишком великодушным.Конечно публикация могла носить оттенок влияния на кого-то.Но если от индустрии нет ответа, то почему бы и нет.Это было бы справедливо мне кажется.Как инь и янь. Бесплатное и платное.

Интересен тут также факт сопоставления ущерба от продажи в даркнет и цены за сам архив.Тут к сожалению тоже нечего добавить.

Мне также думается, что если бы нашлись энтузиасты, то что-нибудь и набралось бы по биткоинам.

Эта ситуация напоминает мне поиск уязвимостей, bug bounty.Где вы применили свои навыки не во вред или вовремя остановились.В общем что-то вроде такого благородства, вас потом обвинили во взломе и отправили в кпз.Неоценённое благородство и великодушие.

От добра добра не ищут.
Лучше синица в руках, чем журавль в небе.
Лучше халявный архив с эксплойтами, чем купленный.