Информационная безопасность 2019

Надо отметиться как-то, а то...

На самом деле мне хотелось написать это в конце года, но тут уж получилось что сегодня 30 ноября Computer Security Day.И я решил совместить этот пост с этим замечательным днём, так как за месяц совсем ничего не поменяется.

R: - Ну как там?
G: - Дерьмо.
R: - А ты не смотри туда

Ниже картинка куда не смотреть.

Что слева, что справа дорогие сердцу вещи.Которые всё ещё наблюдаются в интересном месте.

Я уж не пишу обо всём остальном.

За этот год я не скажу что многое увидел, но многое понял по теме иб.У меня возникло странное чувство, что я вернулся в начало своей работы.Почти 10+ лет назад.

Самым главным пожалуй является открытие правильного отношения к большинству аспектов практической иб и в частности тому что на картинке выше.

С днём всех святых безопасников >:3

Трудоустройство-2018

Рынок полон дерьма.Причём я не знаю с какой стороны его больше.Но мне приятно, что в лице работодателя и соискателя они друг друга находят.И я не был и не являюсь исключением.

Все эти оры про кадров нет и не хватает, довольно смешны.По крайней мере я с колокольни первого Dark Souls позваниваю.Чёрт как же туда было нелегко дойти играя честно в 2017 году.Но, скорее всего я просто человек такой.

И да фраза, которая у меня сформировалась, когда целый отдел не может разгребсти дерьмо, а ты приходишь и делаешь всё один.Вся вот эта спецура сидящая по кабинетам.

Сформировалась давно.Может лет пять назад.

Я никогда не работал в ит, в иб, в аналитике, я никогда не посещал профильных конференций, я никогда не убивал себя об профессию и стажировки.Это всё делали вы и теперь делаете дальше.Да да всё это теперь ты, не я.

Демонтировал часть своих лаб.Продал кучу всякого железа.Беря в руки удивлялся.На кой чёрт это вобще покупалось.Чтобы просто поваляться десяток лет что ли?Видимо да.Ну и продавая посмотрел на покупающих, под какие цели и т.д.Повоевал вдоволь с барыгами.Причём хорошо так.Мне понравилось.Пообщался с интересными людьми.Попосиживал в гостях и кафе.

Это какое-то я не знаю возвышенное чувство при демонтаже.Когда более можно не держаться за эти структуры и смело разбирать, без эмоций, без сожаления.Но железу стоит относиться уважительно.

Респекты в общем.Может быть пересобирусь переформируюсь во что-либо новое, а так нет и не уверен что сильно получится.Тем трём людям чекнувшим опрос уйти или остаться.Спасибо.

Текущая деятельность последних месяцев оказалась довольно интересной.Я бы охарактеризовал её как "работа с людьми".Можно сказать провёл интересное статистическое исследование по различным выборкам.Было интересно.

Всё написанное уже история.

HR-2018

Конец года и сюрпризов от трудоустройства уже не будет.

Тема HR, воспета ВОЯЗЫЦЕХ.

https://ebanoe.it/tag/hr/

То что я написал ниже это меньше капли.

Disclaimer: У меня нет прям вот какого-то особого отношения к данной професии.В целом я считаю её интересной.Там же такой классный анализ человеческих данных в резюме.Ну и работа с людьми.

Не встречал кстати мужчин HR.Один раз в 2011 году в рекрут агенстве. Сексизма тут нет никакого, если что.А то мало ли.

Но что есть, то есть.То с чем столкнулся лично я.Я не учу тебя как тебе работать, но показываю тебе как работаешь ты.

Это наверно фишка такая.Сеять письма и запросы и пожинать кандидатов.Рандом на рандом и в результате рандом.

Да я пару раз бывал по ту сторону найма.В качестве:"посмотри резюме человека и позадавай вопросы за компанию".Так что я немного понимаю, что это такое.Но вот какой-либо особой силы рассуждать на эту тему не имею.

Совместимость VMware ESXi/Windows Server и Adaptec 6805E

Приключилась какая-то неведомая хрень. Непонятным образом получилось, что корректно контроллер работал с 5.5 и 6.0, а в 6.5 и 6.7 вобще нет.Хотя по HCL всё поддерживается.Плюс погуглив и наткнувшись на пару тем конкретно на эту https://communities.vmware.com/thread/529182 и на пару рандомных блогов как-то подсел на измену.

Контроллер слегка уже не молодой, последняя прошивка от 2017 года.Поэтому решил убить время и проверить на всех более менее последних ветках. Устал всё сводить.

Без скриншотов. Просто выкладки.

Почему мне не перезвонили?

Я думаю вы видели и читали.Просто для подшивки.Не лишённые смысла публикации.

Почему мне не перезвонили? 

https://habr.com/post/422741/

Почему они мне не перезвонили-2, или куда пропадают соискатели

https://habr.com/post/424875/

Почему они мне не перезвонили-3, или я знаю где вы майнили прошлым летом

https://habr.com/post/425539/

Почему он нам не перезвонил-5, или Как я убежал с интервью в фирму, работать в которой — большая честь

https://habr.com/post/427191/

Мегафон выходит на связь с moy-m-portal.ru

Позвонили с городского телефона.Обычный номер.И приходит смска.Данный тип я ненавижу больше всего.На простом телефоне надо ещё понять как защитится от подобного дерьма.

Подписка на услугу:"Знаю, кто звонит" 2.5 руб в день.На кой хер мне знать кто звонит на простом телефоне?Да номер был городской и номер был мировой компании.Там как бы представились.Я не очень расслышал, но быстро понял кто это.

Если у вас старый номер, старость определяется тем фактом, что на новых при подключении вам предлагается личный кабинет.

Идёте на https://lk.megafon.ru/login/ получаете пароль.

Попадаете в личный кабинет.

Меняете пароль.

Главная страница - Опции и услуги.Отключаете не нужное.

Поздравляю!Теперь вы не знаете кто вам звонит.

"Знаю, кто звонит — сервис, показывающий дополнительную информацию о вызывающем абоненте непосредственно во время входящего звонка. Вы будете видеть название компании или предупреждение о спам-звонке. Это поможет принять решение, отвечать на звонок или нет."

Бесполезная услуга.

Да там ещё есть код для отключения этой услуги, но я акцентировал внимание именно на создании личного кабинета.Потому что это не последний раз, когда оператор будет подписывать вас на свои бесполезные услуги.В моём случае он сделал уже во второй раз.В первом поворовал у меня денег в течении пары месяцев.

P.S.Ещё стоит опускаться до того факта, чтобы писать об этом дерьме в блог.В основном конечно, чтобы проиндексировалось и вы знали, что конкретно надо сделать.

Upgrade(2018)

"В ближайшем будущем разнообразные технологии участвуют во всех аспектах человеческой жизни. Но в этом технологичном мире Грей — один из немногих людей, кто любит работать руками. Он восстанавливает и чинит старые автомобили. Однажды, возвращаясь от клиента, Грей с женой попадают в аварию, а после — в руки банды отморозков, в результате чего женщина погибает, а Грей оказывается парализованным ниже шеи. Тот самый богатый клиент предлагает несчастному поставить экспериментальный имплант Stem, который может полностью восстановить подвижность."- Kinopoisk

Постер фильма как постер. Описание тоже как описание. Ну то есть в первом приближении с виду вроде бы ничего особенного. Но нихрена подобного. Местами мне показалось, что это вобще экранизация Deux Ex 3.Знакомая цветовая гамма, использование треугольников и шестиугольников. Особенно по теме огнестрельного оружия встроенного в руку и функциональных глаз.

Вроде бы смотришь фильм и подсознательно пытаешься немного подобрать дальнейший сюжет, но тут не получается. 

В наличии:

Печать пиццы

Умный дом

Умные столы

Домашняя робототехника

Беспилотные автомобили

Чипизация и трекинг

Рукопашный бой

Модификации глаз(зуммирование, xray)

Модификации рук(причём не полная замена кисти до предплечья/плеча, а прям в 
ткани).Биомеханика.

Атакующие нанороботы из мокроты

Использование дронов у полицейских

Широкое применение системы видеонаблюдения города, в том числе и дронов.

Подлом различных коммуникаций по непонятным каналам.

Обход системы распознавания лиц.

Люди много зависающие в виртуальной реальности

Хакер Jamie(Kai Bradley) говорящий: "That's not my name.I don't have a name.Please don't ask my gender".Я даже не поленился и запостил себе твит с пожеланием для  CDPROJEKTRED и их Cyberpunk 2077.Надеюсь вы поняли к чему. Ради этого момента пришлось посмотреть англоязычную версию, чтобы понять не ослышался ли я.Хороший момент. Мне он очень понравился.

Человек vs компьютер

Неолуддизм

Местами по началу герои/актёры и их поведение показались мне какими-то нескладными что ли, но потом ушло. Фильм снят довольно простенько(если конечно так можно охарактеризовать), но в месте с тем нет какого-либо перегруза в графоне. Почему-то обратил внимание на используемые цвета.Последний раз делал это на Blade Runner 2049.Сделал barcode на 1920:

Отдельно выделю саундтрек и завершающую Jed Palmer - A Better Place.

Пересмотрел два раза. На самом деле прошёл бы мимо него, но в рецензии кто-то написал про asmr cyber voice и киберпанк.

О посещении конференций

Вроде простой вопрос: зачем посещать конференции?, а граней у него много. Наверное, потому что как и многие жизненные события их посещение происходит в различных контекстах. Не дословно цитирую классика: «Мир в общем-то не состоит из отдельных элементов, он состоит из всего сразу.”

В области ит-шных профессий, как и во многих различных других существуют различные отраслевые мероприятия. Сразу стоит оговориться о нескольких моментах:

1)Ит-шные профессий в моём повествовании никак не ущемляют другие не менее важные профессии и уж тем более не пытаются выглядеть исключительными.

2)У меня нет особо права рассуждать о других профессиях, не проработав какого-то времени в качестве участника одной  или нескольких из них. Везде есть свои: плюсы и минусы, подводные камни и т.д.

Defcon Russia 32

"Secure Code Review & Static Code Analysis in Enterprise Hell"

Виталий Катунин (Wrike)

В некотором роде я бы назвал идеологическим продолжением: "Рокет-джамп от практической безопасности к соответствию формальным требованиям" от Дмитрия Десяткова и Юлии Омельяненко на PhD 8.

Коллеги к сожалению в большинстве своём забили и решили не ходить.Те самые, которым по ssdlc настоятельно бы послушать.Для себя нашёл много полезного.

Defcon Russia уже не первый раз проходит у Wrike, но в прошлый я не дошёл.Очень понравился тот факт, что на вопросы после доклада отвечали сотрудники самой компании, находящиеся в зале.Получилось довольно живо и интересно.

"Десериализация в Node.js"

Алексей Тюрин

"Машинное обучение и ICS"

Борис Савков (ПАО Ростелеком) 

Раздал некоторое количество наклеек, в основном с ZeroNights.Их было немного, но они как-то бодро разлетелись.
Спасибо Wrike за площадку и пиццу к концу мероприятия :)

Operation Telegram

Вобще непонятно с чего начинать повествование, потому что с какой стороны не зайди всё равно замараешься.

Телеграм можно назвать обычным мессенджером.Ну ладно, так уж и быть не обычным.Групповые чаты,каналы, боты и т.д.Я в некотором роде ретроград и в сильно распространяющиеся явления медленновато подъезжаю.

В прошлом году насильно пришлось зарегаться, по двум причинам это работа и работа.И если на одной из них ты можешь отказаться, ну попробовать что ли, то на второй тебя не поймут и попросят пойти погулять с вещами.

Да и в общем-то присутствие Телеграма в информационном поле возросло, то он тут , то он там.

Удобно без каких либо нареканий, хотя за утечку телефонной книги "спасибо".

Мне он помогает держать и устанавливать связь с людьми(во многом конечно им со мной), работать(в корпоративного уровня связи мы не можем), местами помогать хорошим людям советом.Каналами я не пользуюсь и особо их не читаю.Пока информации хватает из традиционных средств.Вам он помогает в чём-то другом и я думаю больше, чем мне.

И тут блокировка и нарушение и без того хрупких связей.

В начале прошлой недели мы ходили, ну шутили, ладно стебались.Как так блокировка.

Такой резвой прыти конечно никто не ожидал.РКН со своими пачками подсетей.Я было заподозрил неладное в злоупотреблении баном и начал перехватывать трафик мессенджера.Телеграм показался мне забавным.При дисконнекте он не меняет иконку, а просто выдаёт внизу:"Соединение".Я даже написал пост в твиттере, но потом удалил.Было очевидно, что мессенджер перекатывается по адресам.

Касательно самой блокировки.

Интересны всяческие различные реакции.Различные сбои, например у банков.Но у банков как и у РКН для пользователей потерь/сбоев нет.Как у некоторых вендоров узявимостей нет.Мне было сначало подумалось, что банкам подкинули предписание, но потом подумалось, а чё это у вас за бугром попадало?Может регулятор не туда смотрит.Хотя тут надо понимать, что технологиями пронизано всё.Всякие капчи, валидации, процессинги и т.д.

Это классический пример:"есть, но нет".Не считаться с потерями, типа там нет социально значимых ресурсов.Ресурсы же не свои, а значит и потерь их нет.

C каналами которые зарабатывают, бизнесом и прочими сайтами я думаю понятно, что они теряют аудиторию, деньги, репутацию и т.д.

Пространство вариантов.

Некоторые люди советуют смотреть не в сторону результата действия, а несколько в иные местами."Меня родители учили в тайге не только под ноги, но и наверх смотреть".Уравнение с большим количеством переменных.Комбинаторику проходили?, майнд карты знаете?.

А у нас тут ещё две бритвы есть Бритва Оккама и Хэнлона, но подзатупились.Не могут работать с многовариантностью и вложенностью.

Вариантов может быть много от простых вроде: непередачи переписки террористов, запуска криптовалюты до условно конспирологических спланированных в пространстве и времени тестов на кирпичную стену посредством блокировки важного сервиса.В фантазии и рассудке(в хорошем смысле) никто вас не ограничивает.Как быть с этими вариантами тоже решать вам, принимать их или нет, биться за них или нет, или просто оставить как есть.

Я понимаю, когда за приватность и коммуникации борюсь я сам.Но мне непонятно, почему за них бъётся другой человек не жалеющий средств, который меня не знает.Некоторые огранизации ещё можно понять.С эффектом притока пользователей в мессенджер.С не отвеченным вопросом:"А на чём собственно зарабатывает мессенджер?"Соц.сети более или менее понятно на чём зарабатывают.Или денег после ВК осталось и хватает на всё?Может быть.

Удивительно видеть как много людей и даже скажем лидеров мнений притопило за Павла.Ведь Павел Дуров в общем-то человек, а людям свойственно многое.Людям ли не знать?Ставить всё на одного человека, тем более наделять его свойствами и качествами, возможно которых у него нет и не было, это можно.
Одно из интересных мнений на эту тему: http://itpravda.com/2018/04/23/worshiping-durov-n-telegram/

Тема с самолётиками.

Больше похоже на социальный эксперимент.Не участвовал. Возможно, если бы Павел попросил сделать Sepultura - Refuse/Resist немного погромче, я бы ещё понял, а так нет.

И непонятно было из купюры какого номинала делать самолётик-то?Да да, стоило разок покидаться деньгами из окон офиса и теперь это помнят, и припоминают всегда.

Тем не менее блокировки начали очень сильно оказывать влияние, не только на досуг, но и на работу.

Естественно написал не всё."Разговор не для Телеграма", если вы понимаете эту фразу.В заключении советую фильм, на мой скромный взгляд косвенно отображающий информационные проблемы выше.Ранее о нём писал в твиттере.