Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
17
Августа
2014
» Cat continuity management глазами Кота
Я Кот, и я живу с Человеком. Каждый день Человек уходит и тогда я иду лежать на яркое тёплое пятно на кухне, потом такое же пятно появляется в другой комнате на диване. Диванное пятно - моё самое любимое. Есть и другие пятна, но Человек их почти не видит. Он обычно приходит после того, как все пятна исчезают. Но иногда пятна повторяются несколько раз по кругу и только после этого Человек возвращается. Я уже научился угадывать, что Человека не будет несколько пятенных циклов, - по воде и корму. Вода появляется в нескольких мисках сразу, а корма Человек мне накануне насыпает необычно много. Но корма всё равно никогда не хватает на всё его отсутствие. Я это знаю и сразу стараюсь съесть как можно больше, пусть даже потом мне тяжело ходить и даже лежать. Но я точно знаю, что всё делаю правильно - в конце корм всё равно пропадает и есть нечего. Хотя, конечно, особо уже и не хочется. Как-то раз Человек не закрыл Ящик. Ящик, где лежит корм. Я предполагал, что корм скоро пропадёт так же, как из миски, и поэтому ел. Чуть отдыхал и ел опять. Корм из Ящика к возвращению Человека не пропал, а я стал круглый. Быть круглым было интересно, но трудно. Недавно Человек принёс странную Коробку. Сначала она пахла пластмассой (да-да, все Коты знают, как пахнет пластмасса), а потом начала пахнуть кормом. Но как-то слабо, так, как пахнет Ящик, где Человек прячет корм. Коробка стоит на кухне и живёт своей жизнью. Примерно между третьим и четвёртым пятном она вдруг начинает подёргиваться и жужжать. Запах корма усиливается и рядом с Коробкой появляется полмиски самого настоящего корма. Откуда она его берёт - выяснить не удалось. Человек насыпал корм всегда из пакета, который брал из Ящика, но у этой Коробки пакета нет. Да и рук тоже нет. Вообще, Коробка мне нравится, она даже пытается разговаривать со мной голосом Человека, но пока у неё получается плохо. А корм получается хорошо. Молодец, Коробка. Примерно в одно время с этой чудо-Коробкой на Великий Холодильник (все Коты уважают Холодильники и обращаются к ним с почтением) Человек поставил ещё одну белую Штуку. Я её хорошо помню - раньше Человек с ней постоянно сидел, трогал руками и смотрел на светящуюся часть. Потом эта Штука долго лежала в шкафу и даже почти перестала пахнуть Человеком. Он провозился с ней целый вечер, прежде чем поставить на Великий Холодильник, так она там и стоит, правда корм не даёт. Ну, да она и раньше его не давала. С моими Горшками тоже была метаморфоза. В них Человек что-то насыпал и ими стало пользоваться приятнее. Они теперь мной не пахнут. Совсем немного только, но можно на это внимания не обращать. Я и не обращаю. Вскоре после появления Коробки, белой Штуки и метаморфоз с Горшками Человек исчез на несколько пятенных циклов. Я уже говорил, что научился определять его пропадание по корму и воде, но в этот раз он пропал, не оставив корма вообще! Только воду. Но Коробка не подвела и исправно создавала возле себя порцию. А воду я пил из крана - Человек его забыл до конца закрыть и из него медленно капало. Белая Штука на Великом Холодильнике без Человека стала вести себя иначе. Раз в день, а то и чаще, она начинала издавать тренькание, после которого на ней загорался огонёк. Я ждал корма, но корма не было. Зато несколько раз белая Штука говорила со мной голосом Человека. При этом говорила гораздо лучше, чем Коробка. Я тоже в ответ немного мяукал. Мы, Коты, не умеем считать, и я не знаю, сколько именно пятенных циклов не было Человека. Но сейчас он вернулся. Мне нравится кормящая Коробка, радуют непахнущие Горшки и развлекает тренькающая и говорящая Штука, но приятнее всего этого - Человек рядом. На нём можно лежать, а если правильно помурчать, то он тебя гладит. Мне Человек очень удобен. Это Человек, и он живёт с Котом. [hr] P.S. Для обеспечения котонепрерывности использовались: Коробка - автокормушка Feed-Ex. Белая Штука - старенький ноутбук Samsung с Windows XP и Skype, в котором создан отдельный аккаунт, настроенный на автоматический видеоответ при звонке с моего аккаунта Skype. К ноутбуку дополнительно был подключен модем Yota для обеспечения резервного канала связи в случае проблем с домашним Интернет-провайдером. Лотки кошачьи, noname - 3 штуки (с запасом). Наполнитель Fresh Step Crystals - причина метамарфоз с Горшками. Миска в раковине и еле капающий кран. P.P.S. Ещё фотографии Кота есть в моём аккаунте Instagram: http://instagram.com/zlonov
07
Августа
2014
» Русскоязычные блоги по ИБ. Свежая версия.
Актуализировал список действующих блогов (а также площадок и агрегаторов) по информационной безопасности: https://zlonov.ru/blogs Считал блог действующим, если в 2014 году в нём появилась хотя бы одна свежая запись, даже если она была всего одна и только в январе. Для личных (персональных) блогов добавил ссылки на twitter-аккаунты авторов - те, которые мне известны и которые удалось определить. Отдельной колонкой представлены ссылки на RSS-ленты для подписки. Коллективные блоги, блоги компаний и прочие площадки и агрегаторы вынесены в отдельный список (на отдельную вкладку). Форумы, порталы и тематические сайты в подборку не включал - постарался оставить только именно блоги. Кроме того, для информации добавил ориентировочные данные о числе подписчиков, которые показывает сервис feedly.com. Данные цифры вряд ли отражают реальную популярность/посещаемость блога и не стоит их расценивать как некий, пусть даже условный, рейтинг. Все заброшенные/недействующие/устаревшие блоги перемещены в архив. Вся информация актуальна по состоянию на 7 августа 2014 года и, не исключено, что содержит неточности, которые готов исправить, если сообщите о них. Перейти к актуальному списку Блогов по информационной безопасности При составлении списка использовал, в том числе, материалы Андрея Прозорова, за что ему большое спасибо! [box type="info" style="rounded"]UPD. 24.12.2014 Очередное обновление списка блогов: https://zlonov.ru/2014/12/information-security-blogs/[/box]
05
Августа
2014
» Так я блогер или где?
Федеральный закон от 5 мая 2014 года № 97-ФЗ, окрещённый в народе законом о блогерах, обсуждается сейчас довольно широко и мне, как владельцу сайта с блогер-движком WordPress, мимо него пройти никак было нельзя. Собственно, предлагаю разобраться, на кого же распространяется данный закон? Определение блогера в законе (ст. 10) приведено такое: Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет" (далее - блогер). Как всегда логичный и до предела точный в формулировках Михаил Юрьевич Емельянников очень просто и доходчиво обосновал незатейливую мысль о том, что закон распространяется исключительно на владельцев сайтов, что автоматически исключает из рассмотрения все блоги, ведущиеся на специализированных площадках вроде LiveJournal.com, Blogspot.com и пр., а равно и личные страницы в соцсетях Facebook, Twitter и т.д. Да, в законе предусмотрены некие "владельцы страницы сайта", но в вышеупомянутых случаях формально (юридически) ни один пользователь блогер-площадки или социальной сети владельцем своей страницы не является, так что это уточнение становится бессмысленным. Однако, на прошедшей не так давно конференции «День блогера в России» представитель Роскомнадзора, а именно зам. руководителя Максим Ксензов, говоря о новом законе, высказал несколько иное мнение: Ксензов отметил, что закон будет распространяться практически на все социальные медиа, включая зарубежные. Он напомнил, что у Twitter недавно появилась статистика просмотров и посещений, но не смог уточнить, как будет определяться количество посетителей страниц в Instagram. Замглавы Роскомнадзора заявил, что ведомство установило прямой диалог со всеми ведущими площадками, как российскими, так и зарубежными, и что они готовы следовать российскому законодательству. Собственно, и руководитель Роскомнадзора Александр Жаров в своём интервью совершенно спокойно рассуждает об аккаунтах в Twitter как о блогах, подпадающих под действие 97-ФЗ. Наверное, в суде можно будет попробовать что-то доказать, но по моему скромному мнению это будет либо бесполезно, либо до этого просто не дойдёт. Тот же Ксензов вполне чётко даёт понять: Логика правоприменения, которую мы заложили в подзаконные акты, сводится к тому, что обязанность предоставить свои данные для регистрации в реестре возникает у пользователя только после получения соответствующего уведомления Роскомнадзора. То есть, если вы в своем блоге публикуете фотографии котиков, выражаетесь исключительно культурно и не разглашаете государственную тайну, эта обязанность может не наступить вообще никогда — даже если у вас миллион уникальных посещений в сутки. Таким образом, в законе, конечно, есть символическая граница в 3000 пользователей в сутки (есть даже утверждённая методика их подсчёта), после которой можно попасть в реестр, но даже её преодоление на практике может ничего не означать. Стоит ли дополнительно отмечать, что во всём перечне блогов, посвящённых информационной безопасности (который, к слову, мне давно пора актуализировать), вряд ли есть хоть один (включая, само собой, и мой) со сколько-нибудь значимой с точки зрения Роскомнадзора аудиторией? В общем, отвечая на вопрос в названии поста - я, пожалуй, блогер в общечеловеческом понимании, но совсем не тот блогер, про которого (или, если угодно, против которого) принят Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей". А рекомендованные счётчики, пожалуй, всё же лучше в ближайшее время поставлю...
31
Июля
2014
» Облака и BYOD - Спасибо, Кэп!
В нашей речи мы (кто-то чаще, кто-то реже) периодически используем расхожие шаблонные фразы типа “всё когда-то бывает в первый раз”, “цыплят по осени считают”, “красота требует жертв” и пр. С одной стороны, это, конечно, банальности, штампы и упрощение языка коммуникаций, но с другой, сказанные к месту, они вполне имеют право на существование. Мне ещё нравится слово “трюизм” (от английского true) — общеизвестная, избитая истина, банальность. В любой профессиональной сфере тоже есть свои, локальные, если угодно, трюизмы, которые, хотя за его пределами обычно не очевидны, в кругу специалистов часто вызывают единственную реакцию: “Спасибо, Кэп!” Собственно, это всё я к тому, что для экспертов моя статья, вышедшая в журнале Connect, пожалуй, покажется именно что сборником очевидность и трюизмов (тем более, что по традиции редакция её сократила). В статье я рассуждаю на тему размытия периметра современной организации и путей, которыми облака и мобильные устройства по факту уже приходят в бизнес, хотим мы этого или нет. Во второй части приведены общие рекомендации организационного и технического характера. Вендоров не называл, но одного-двух, полагаю, угадать будет совсем не сложно =) Подробнее, чем в отредактированной журналом статье, обозначенные вопросы раскрыл уже в рамках вебинара с созвучным названием, презентацию и запись которого тоже прикладываю. К слову, трюизмы ещё широко распространены в НЛП, гипнозе и рекламе =)
26
Июля
2014
» Сноуден, АНБ, СОРМ и Instagram на IT Campus
По приглашению коллег из Академии Информационных Систем (за что им, а особенно Тамаре Никифоровой, огромное спасибо) сегодня выступал с докладом ”Жизнь после Сноудена: новые технологии - новые угрозы” в деловой части IT Campus 2014. Благодаря аудитории (IT Campus - продолжатель традиций Всероссийского слёта сисадминов, но уже силами только ГК Софтлайн), вместо моновыступления получился отличный живой диалог: многие с охотой делились примерами из личного опыта, на вопросы одних участников порой отвечали другие, и так как практически все ”были в теме”, то дискуссия была предметной и интересной. В общем, мечта докладчика практически =) Обсуждали же мы всё, что связано со слежкой государственными структурами (спецслужбами) за собственными гражданами и гражданами других стран: и технические аспекты, и юридические и, что вполне понятно, морально-этические тоже. Для полноты картины выкладываю свою презентацию, хотя она скорее послужила поводом для общения. Жизнь после Сноудена: новые технологии - новые угрозы from Alexey Komarov Что же касается самого мероприятия, то оно оказалось ровно такое, как я (до этого на подобных мероприятиях не бывавший) себе и представлял слёт сисадминов =) Если бы было надо разместить в Instagram некое общее фото про IT Campus, то к нему я бы добавил такие теги: [box]#волейболфутболипрочийспорт #палаткивполеишатры #жарконохорошочтонетдождя #сисадминытакиесисадмины #напиткиразличныевсякие #АИСкасперскиймикрософт #конкурсфутболокотАИС #чтотамименноповечерамневкурсеноявнонескучно[/box]
05
Июня
2014
» Secret Полишинеля
Топ-чарты приложений в App Store удобны, в частности, тем, что позволяют отыскивать любопытные приложения без особых усилий. Так я, например, наткнулся на социальную сеть, само название которой не могло не вызвать моего интереса. Речь о приложении Secret. Secret представляет собой анонимную социальную сеть. Суть её в том, что вы не знаете, кто именно написал то или иное сообщение. Все комментарии тоже анонимны. Выбрать и добавить друзей самостоятельно нельзя: приложению нужно предоставить доступ к списку контактов и тогда оно самостоятельно по адресам электронной почты и телефонам подберёт тех ваших друзей/знакомых, которые уже присутствуют в сети. Из деанонимизирующих признаков присутствует только явное указание, если пост оставил кто-то из ваших прямых друзей. Остальные посты помечаются как принадлежащие друзьям друзей или только географической отметкой, с указанием того, где они были написаны, если это сообщение друга друга друга, друга друга друга друга и т.д. Такой подход по задумке создателей предполагает откровенность в общении и действительно, чего только там не начитаешься =) На самом деле, если вы хорошо знаете своих друзей (и/или их будет не очень много), то авторство многих постов угадать довольно просто, но, конечно, такие предположения бездоказательны, ведь кто-то может специально копировать манеру другого человека, например. Тем не менее, немного поэкспериментировав с принципами работы приложения, довольно быстро отыскал простой сценарий чтения “секретных” постов конкретного человека. Для успеха нам потребуются следующие ингредиенты: телефон с пустым списком контактов; точный адрес электронной почты или телефон, который использовал этот человек для регистрации. Оказалось, что процесс регистрации в сети Secret до удивления примитивен - нужно только указать адрес электронной почты и пароль. Всё. При этом на указанный адрес приходит запрос на подтверждение, но подтверждение не обязательно. Адрес вообще может быть несуществующим. Аналогичная история и с номером телефона - на самом деле его не проверяют. Итак, сценарий для получения доступа ко всем постам конкретного человека в сети Secret может быть, например, такой. Берём телефон с пустой адресной книгой (как вариант, можно для iPhone временно отключить синхронизацию контактов с iCloud и удалить все контакты) и создаём там контакт интересующего нас человека. Да, это самое сложное - надо точно знать, какой адрес он(а) использовал(а) при регистрации. С другой стороны, скорее всего это будет личный ящик на mail.ru или google.com и вы наверняка его знаете. Теперь регистрируемся в этой (якобы) совершенно анонимной социальной сети Secret с любым придуманным адресом электронной почты и соглашаемся, чтобы приложение поискало в своей базе нашего единственного друга. Для этого приложению нужно предоставить доступ к контактам. Однако, приложение не хочет показывать посты (секреты) от друзей, пока вы не введёте свой номер телефона. Никаких проблем - ввести можно всё, что угодно, никаких проверок на достоверность номера не делается. Следующее затруднение - приложение уведомляет, что для просмотра сообщений от друзей их должно быть как минимум трое. Ничего страшного - достаточно придумать два любых адреса электронной почты и поочерёдно зарегистрироваться с ними в соцсети Secret. Далее надо лишь добавить эти адреса в контакты на нашем телефоне и приложение при обновлении увеличит счётчик друзей (по сути, это и есть основной трюк - "фейковые" друзья, которых вы создаёте сами). Как видно на скриншоте выше - при наличии трёх друзей приложение соглашается показывать посты от них, но не помечает их как сделанные именно друзьями. Так что нужно ещё два адреса. На самом деле, сначала я пытался регистрировать реальные специально свежесозданные электронные адреса, но когда выяснилось, что их реальность не проверяется, дело пошло быстрее. В общем, обеспечить любое количество псевдодрузей совсем несложно. Собственно, вот и всё. У вашего аккаунта в соцсети Secret теперь один единственный реальный друг, которого вы достоверно знаете и все посты от которого помечаются как сделанные другом. Следите на здоровье =) Можно ли обычному пользователю как-то справиться с этим конструктивным недостатком соцсети Secret? Да, можно в настройках приложения поменять адрес электронной почты и телефон на ненастоящие или никому неизвестные, никакие друзья при этом не пропадут, но описанный выше сценарий к вам никто применить не сможет. Конечно, если все пользователи будут использовать поддельные контактные данные, число друзей ни у кого расти не будет, но... вы действительно хотите рассказывать (пусть и анонимно) реальные свои секреты тем людям, которых знаете? Тогда какое вам вообще дело до анонимности? =) В приложении ещё есть опция по "отвязыванию" любых прошлых постов и комментариев от вашего аккаунта, но в деталях её не тестировал и не знаю, какая от неё практическая польза. Вообще же, в таких случаях я всегда вспоминаю правило Миранды для цифрового мира, сформулированное несколько лет назад Михаилом Емельянниковым: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас». Так что будьте аккуратны в своих анонимных откровениях =)
28
Мая
2014
» Сертифицированные межсетевые экраны (часть 10)
Осознал на днях, что с конца прошлого года не обновлял таблицу сертифицированных ФСТЭК межсетевых экранов. Пришло время это исправить.
26
Мая
2014
» За ПХД!
Когда тебя бесплатно приглашают на платное, в общем-то, мероприятие, то невольно возникает этический казус. Критиковать тех, кто просто так взял и выслал тебе пригласительный, как-то неудобно. В безудержной же хвальбе в знак признательности тоже ничего хорошего нет, даже если её слегка завуалировать псевдокритикой =) На PHDays в этом году я побывал второй раз и, конечно, уже примерно знал, на что рассчитывать. В прошлый раз, впервые за долгое время увидев живое и с толпами людей мероприятие ИБ-направленности, я был действительно поражён, что такое, оказывается, в наши дни бывает. Потом был ещё осенний ZeroNights тоже живой и людный, на котором, впрочем, я пробыл совсем недолго, а потому отчёта о нём не стал писать. В общем, уже вкусив подобное качество, в этом году такого же wow-эффекта я, понятно, не испытал, но некоторые из коллег, пришедшие первый раз, напоминали мне меня самого прошлогоднего. Так что можно смело делать вывод, что всё с PHDays хорошо, и будущее у них светлое. Качество и интересность докладов каждый может оценить самостоятельно благодаря наличию видеозаписей, а некоторые интересные цитаты и фотографии можно найти в Twitter по хэштегу #PHDays. Из посещённых мной выступлений традиционно понравился Андрей Масалович с рассказом про интернет-разведку (хотя я застал почти самое окончание), а также доклад Игоря Ашманова про BigData в соцсетях. Сочетание предметной экспертизы, ораторского искусства и природной харизмы - вот, пожалуй, секрет успешности этих двух спикеров. Впрочем, моя оценка информационной составляющей мероприятия весьма специфична, так как в силу особенности своей деятельности не являюсь ни “пиджаком”, ни “футболкой” и ни “вендором”, ни “интегратором”. Так что смотрите видеозаписи или подождите, пока все презентации выложат для скачивания, чтобы составить собственное впечатление. Выше контента в любом подобном мероприятии лично я ценю возможность общения с коллегами и на PHDays IV с этим проблем не было: друзей и знакомых было много, всё же несколько лет в одной отрасли дают со временем о себе знать =) Ну, а чтобы не уподобляться герою вышеприведённого ролика, отмечу пару недостатков. Место проведения было менее удачно, чем прошлогоднее - проходы слишком узкие и некоторые залы слишком невместительные, на такое количество людей явно всё не рассчитано: И второе - на некоторых секциях темы выступлений не совпадали с названием секции совсем: Пока не дописал этот пост, специально не читал мнение других коллег, так что интересно будет сравнить. [hr][box]Другие посты блога: [related_posts limit=”5”][/box]
16
Апреля
2014
» CISO FORUM 2014
14-15 апреля в Москве проходил уже седьмой Межотраслевой форум директоров по информационной безопасности, я же оказался на этом мероприятии всего в третий раз. На самом первом CISO FORUM в 2008 довелось быть спикером, блога я тогда не вёл и впечатления уже порядком подзабылись. Помню только, что аудитория была активная, задавали много вопросов и практически все по делу =) Далее наши с форумом пути разошлись, чтобы вновь пересечься 4 года спустя на CISO FORUM 2012, где я уже был представителем прессы (по приведённой ссылке - мои тогдашние впечатления). Прошлогодний форум пропустил и вот на этой неделе вновь оказался на этом мероприятии, правда, уже на стороне спонсора - принимал участие от имени Swivel Secure. Про сложности с выставками/конференциями по информационной безопасности в России уже говорилось много раз, повторяться не буду. Однако, как ни странно, с чисто спонсорской точки зрения могу оценить CISO FORUM 2014 как очень даже успешное мероприятие, хотя, честно должен признаться, изначально на успех особо и не рассчитывал. Трудно точно сказать, что именно сыграло в этом ключевую роль, но есть у меня серьёзные подозрения, что многое определила новизна предлагаемого Swivel решения. Ведь, действительно, за последние годы мы привыкли к более-менее стандартному набору продуктов, тем для обсуждения и даже спикеров, кочующих с мероприятия на мероприятие. Те же лица, те же тезисы… Как сказал поэт: Меняем реки, страны, города... Иные двери... Новые года... И никуда нам от себя не деться, А если деться - только в никуда. Не хочу обидеть отдельных коллег-звёзд, которые всегда новы и интересны, но, увы, их меньше, чем хотелось бы (потому, кстати, они и "нарасхват" всегда). Так что ваш К.О. рекомендует в следующий раз попробовать что-то изменить в себе: вендорам - придумать что-то поинтереснее "лотереи за визитку", если уж в продуктовом портфеле нет никаких новинок, слушателям - потратить время на придумывание каверзного вопроса, организаторам - предложить новые форматы, модераторам - не превращать дискуссию в театральную постановку с дежурными шутками, а спикерам - ориентироваться на тех самых, упомянутых выше, которые всегда "нарасхват". Что же до контента CISO FORUM 2014, то судить об этом в целом не берусь, так как лично в силу особенности своей роли в этом году слышал не так много докладов. Могу разве что поделиться роликом, смонтированным мной из аудиозаписи выступления Алексея Волкова и презентации, любезно предоставленной автором же. Алексей на практическом примере Северстали рассказывал, как можно эффективно реализовать услугу использования электронной подписи в территориально распределенной компании. В заключение хочу уточнить, что лично довелось присутствовать на крайне ограниченном количестве ИБ-мероприятий (отзывы о некоторых из них есть в этом блоге), так что моё представление частично сформировано домысливанием после чтения чужих отзывов, а частично и вовсе ошибочно. В любом случае, говорю организаторам CISO FORUM спасибо и желаю, чтобы не вышло так, что я побывал на первом и последнем Форуме директоров ИБ =)
01
Апреля
2014
» Лидер бестокенной аутентификации выпускает токены
Компания Swivel Secure, разработчик платформы многофакторной бестокенной аутентификации, ещё в прошлом году сделала “хитрый ход конём” и фактически загнала конкурентов в тупик, предложив рынку собственные… токены. Умение делать неожиданные, но правильные ходы присуще крайне немногим компаниям, так что к подобному шагу многолетнего бессменного лидера в области бестокенной аутентификации можно отнестись только с уважением. Мне даже пришлось переделать рекламную листовку, текст которой появился в ходе прошлогоднего обсуждения в соцсетях компании Swivel Secure и её выхода на российский рынок: Выпускаемые компанией Swivel Secure устройства оснащены экраном и кнопкой для генерации случайных шестисимвольных последовательностей (одноразовых кодов - OTC, one-time codes). Токены Swivel являются HOTP-совместимыми, что помимо прочего позволяет легко мигрировать на платформу аутентификации Swivel, если в организации уже используются подобные же токены от какого-либо другого производителя. Заявляемое минимальное число успешных генераций составляет - 14 000 (по числу нажатий кнопки), срок жизни батареи - 4 года. Температурный диапазон от -20°C до +70°C. Если вы думаете, что это первоапрельская шутка, вот пруфлинк (созданный как раз при помощи сервиса peeep.us, о котором я не так давно рассказывал): http://www.peeep.us/4541067e
Я Кот, и я живу с Человеком. Каждый день Человек уходит и тогда я иду лежать на яркое тёплое пятно на кухне, потом такое же пятно появляется в другой комнате на диване. Диванное пятно - моё самое любимое. Есть и другие пятна, но Человек их почти не видит. Он обычно приходит после того, как все пятна исчезают. Но иногда пятна повторяются несколько раз по кругу и только после этого Человек возвращается. Я уже научился угадывать, что Человека не будет несколько пятенных циклов, - по воде и корму. Вода появляется в нескольких мисках сразу, а корма Человек мне накануне насыпает необычно много. Но корма всё равно никогда не хватает на всё его отсутствие. Я это знаю и сразу стараюсь съесть как можно больше, пусть даже потом мне тяжело ходить и даже лежать. Но я точно знаю, что всё делаю правильно - в конце корм всё равно пропадает и есть нечего. Хотя, конечно, особо уже и не хочется. Как-то раз Человек не закрыл Ящик. Ящик, где лежит корм. Я предполагал, что корм скоро пропадёт так же, как из миски, и поэтому ел. Чуть отдыхал и ел опять. Корм из Ящика к возвращению Человека не пропал, а я стал круглый. Быть круглым было интересно, но трудно. Недавно Человек принёс странную Коробку. Сначала она пахла пластмассой (да-да, все Коты знают, как пахнет пластмасса), а потом начала пахнуть кормом. Но как-то слабо, так, как пахнет Ящик, где Человек прячет корм. Коробка стоит на кухне и живёт своей жизнью. Примерно между третьим и четвёртым пятном она вдруг начинает подёргиваться и жужжать. Запах корма усиливается и рядом с Коробкой появляется полмиски самого настоящего корма. Откуда она его берёт - выяснить не удалось. Человек насыпал корм всегда из пакета, который брал из Ящика, но у этой Коробки пакета нет. Да и рук тоже нет. Вообще, Коробка мне нравится, она даже пытается разговаривать со мной голосом Человека, но пока у неё получается плохо. А корм получается хорошо. Молодец, Коробка. Примерно в одно время с этой чудо-Коробкой на Великий Холодильник (все Коты уважают Холодильники и обращаются к ним с почтением) Человек поставил ещё одну белую Штуку. Я её хорошо помню - раньше Человек с ней постоянно сидел, трогал руками и смотрел на светящуюся часть. Потом эта Штука долго лежала в шкафу и даже почти перестала пахнуть Человеком. Он провозился с ней целый вечер, прежде чем поставить на Великий Холодильник, так она там и стоит, правда корм не даёт. Ну, да она и раньше его не давала. С моими Горшками тоже была метаморфоза. В них Человек что-то насыпал и ими стало пользоваться приятнее. Они теперь мной не пахнут. Совсем немного только, но можно на это внимания не обращать. Я и не обращаю. Вскоре после появления Коробки, белой Штуки и метаморфоз с Горшками Человек исчез на несколько пятенных циклов. Я уже говорил, что научился определять его пропадание по корму и воде, но в этот раз он пропал, не оставив корма вообще! Только воду. Но Коробка не подвела и исправно создавала возле себя порцию. А воду я пил из крана - Человек его забыл до конца закрыть и из него медленно капало. Белая Штука на Великом Холодильнике без Человека стала вести себя иначе. Раз в день, а то и чаще, она начинала издавать тренькание, после которого на ней загорался огонёк. Я ждал корма, но корма не было. Зато несколько раз белая Штука говорила со мной голосом Человека. При этом говорила гораздо лучше, чем Коробка. Я тоже в ответ немного мяукал. Мы, Коты, не умеем считать, и я не знаю, сколько именно пятенных циклов не было Человека. Но сейчас он вернулся. Мне нравится кормящая Коробка, радуют непахнущие Горшки и развлекает тренькающая и говорящая Штука, но приятнее всего этого - Человек рядом. На нём можно лежать, а если правильно помурчать, то он тебя гладит. Мне Человек очень удобен. Это Человек, и он живёт с Котом. [hr] P.S. Для обеспечения котонепрерывности использовались: Коробка - автокормушка Feed-Ex. Белая Штука - старенький ноутбук Samsung с Windows XP и Skype, в котором создан отдельный аккаунт, настроенный на автоматический видеоответ при звонке с моего аккаунта Skype. К ноутбуку дополнительно был подключен модем Yota для обеспечения резервного канала связи в случае проблем с домашним Интернет-провайдером. Лотки кошачьи, noname - 3 штуки (с запасом). Наполнитель Fresh Step Crystals - причина метамарфоз с Горшками. Миска в раковине и еле капающий кран. P.P.S. Ещё фотографии Кота есть в моём аккаунте Instagram: http://instagram.com/zlonov
Актуализировал список действующих блогов (а также площадок и агрегаторов) по информационной безопасности: https://zlonov.ru/blogs Считал блог действующим, если в 2014 году в нём появилась хотя бы одна свежая запись, даже если она была всего одна и только в январе. Для личных (персональных) блогов добавил ссылки на twitter-аккаунты авторов - те, которые мне известны и которые удалось определить. Отдельной колонкой представлены ссылки на RSS-ленты для подписки. Коллективные блоги, блоги компаний и прочие площадки и агрегаторы вынесены в отдельный список (на отдельную вкладку). Форумы, порталы и тематические сайты в подборку не включал - постарался оставить только именно блоги. Кроме того, для информации добавил ориентировочные данные о числе подписчиков, которые показывает сервис feedly.com. Данные цифры вряд ли отражают реальную популярность/посещаемость блога и не стоит их расценивать как некий, пусть даже условный, рейтинг. Все заброшенные/недействующие/устаревшие блоги перемещены в архив. Вся информация актуальна по состоянию на 7 августа 2014 года и, не исключено, что содержит неточности, которые готов исправить, если сообщите о них. Перейти к актуальному списку Блогов по информационной безопасности При составлении списка использовал, в том числе, материалы Андрея Прозорова, за что ему большое спасибо! [box type="info" style="rounded"]UPD. 24.12.2014 Очередное обновление списка блогов: https://zlonov.ru/2014/12/information-security-blogs/[/box]
Федеральный закон от 5 мая 2014 года № 97-ФЗ, окрещённый в народе законом о блогерах, обсуждается сейчас довольно широко и мне, как владельцу сайта с блогер-движком WordPress, мимо него пройти никак было нельзя. Собственно, предлагаю разобраться, на кого же распространяется данный закон? Определение блогера в законе (ст. 10) приведено такое: Владелец сайта и (или) страницы сайта в сети "Интернет", на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети "Интернет" (далее - блогер). Как всегда логичный и до предела точный в формулировках Михаил Юрьевич Емельянников очень просто и доходчиво обосновал незатейливую мысль о том, что закон распространяется исключительно на владельцев сайтов, что автоматически исключает из рассмотрения все блоги, ведущиеся на специализированных площадках вроде LiveJournal.com, Blogspot.com и пр., а равно и личные страницы в соцсетях Facebook, Twitter и т.д. Да, в законе предусмотрены некие "владельцы страницы сайта", но в вышеупомянутых случаях формально (юридически) ни один пользователь блогер-площадки или социальной сети владельцем своей страницы не является, так что это уточнение становится бессмысленным. Однако, на прошедшей не так давно конференции «День блогера в России» представитель Роскомнадзора, а именно зам. руководителя Максим Ксензов, говоря о новом законе, высказал несколько иное мнение: Ксензов отметил, что закон будет распространяться практически на все социальные медиа, включая зарубежные. Он напомнил, что у Twitter недавно появилась статистика просмотров и посещений, но не смог уточнить, как будет определяться количество посетителей страниц в Instagram. Замглавы Роскомнадзора заявил, что ведомство установило прямой диалог со всеми ведущими площадками, как российскими, так и зарубежными, и что они готовы следовать российскому законодательству. Собственно, и руководитель Роскомнадзора Александр Жаров в своём интервью совершенно спокойно рассуждает об аккаунтах в Twitter как о блогах, подпадающих под действие 97-ФЗ. Наверное, в суде можно будет попробовать что-то доказать, но по моему скромному мнению это будет либо бесполезно, либо до этого просто не дойдёт. Тот же Ксензов вполне чётко даёт понять: Логика правоприменения, которую мы заложили в подзаконные акты, сводится к тому, что обязанность предоставить свои данные для регистрации в реестре возникает у пользователя только после получения соответствующего уведомления Роскомнадзора. То есть, если вы в своем блоге публикуете фотографии котиков, выражаетесь исключительно культурно и не разглашаете государственную тайну, эта обязанность может не наступить вообще никогда — даже если у вас миллион уникальных посещений в сутки. Таким образом, в законе, конечно, есть символическая граница в 3000 пользователей в сутки (есть даже утверждённая методика их подсчёта), после которой можно попасть в реестр, но даже её преодоление на практике может ничего не означать. Стоит ли дополнительно отмечать, что во всём перечне блогов, посвящённых информационной безопасности (который, к слову, мне давно пора актуализировать), вряд ли есть хоть один (включая, само собой, и мой) со сколько-нибудь значимой с точки зрения Роскомнадзора аудиторией? В общем, отвечая на вопрос в названии поста - я, пожалуй, блогер в общечеловеческом понимании, но совсем не тот блогер, про которого (или, если угодно, против которого) принят Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей". А рекомендованные счётчики, пожалуй, всё же лучше в ближайшее время поставлю...
В нашей речи мы (кто-то чаще, кто-то реже) периодически используем расхожие шаблонные фразы типа “всё когда-то бывает в первый раз”, “цыплят по осени считают”, “красота требует жертв” и пр. С одной стороны, это, конечно, банальности, штампы и упрощение языка коммуникаций, но с другой, сказанные к месту, они вполне имеют право на существование. Мне ещё нравится слово “трюизм” (от английского true) — общеизвестная, избитая истина, банальность. В любой профессиональной сфере тоже есть свои, локальные, если угодно, трюизмы, которые, хотя за его пределами обычно не очевидны, в кругу специалистов часто вызывают единственную реакцию: “Спасибо, Кэп!” Собственно, это всё я к тому, что для экспертов моя статья, вышедшая в журнале Connect, пожалуй, покажется именно что сборником очевидность и трюизмов (тем более, что по традиции редакция её сократила). В статье я рассуждаю на тему размытия периметра современной организации и путей, которыми облака и мобильные устройства по факту уже приходят в бизнес, хотим мы этого или нет. Во второй части приведены общие рекомендации организационного и технического характера. Вендоров не называл, но одного-двух, полагаю, угадать будет совсем не сложно =) Подробнее, чем в отредактированной журналом статье, обозначенные вопросы раскрыл уже в рамках вебинара с созвучным названием, презентацию и запись которого тоже прикладываю. К слову, трюизмы ещё широко распространены в НЛП, гипнозе и рекламе =)
По приглашению коллег из Академии Информационных Систем (за что им, а особенно Тамаре Никифоровой, огромное спасибо) сегодня выступал с докладом ”Жизнь после Сноудена: новые технологии - новые угрозы” в деловой части IT Campus 2014. Благодаря аудитории (IT Campus - продолжатель традиций Всероссийского слёта сисадминов, но уже силами только ГК Софтлайн), вместо моновыступления получился отличный живой диалог: многие с охотой делились примерами из личного опыта, на вопросы одних участников порой отвечали другие, и так как практически все ”были в теме”, то дискуссия была предметной и интересной. В общем, мечта докладчика практически =) Обсуждали же мы всё, что связано со слежкой государственными структурами (спецслужбами) за собственными гражданами и гражданами других стран: и технические аспекты, и юридические и, что вполне понятно, морально-этические тоже. Для полноты картины выкладываю свою презентацию, хотя она скорее послужила поводом для общения. Жизнь после Сноудена: новые технологии - новые угрозы from Alexey Komarov Что же касается самого мероприятия, то оно оказалось ровно такое, как я (до этого на подобных мероприятиях не бывавший) себе и представлял слёт сисадминов =) Если бы было надо разместить в Instagram некое общее фото про IT Campus, то к нему я бы добавил такие теги: [box]#волейболфутболипрочийспорт #палаткивполеишатры #жарконохорошочтонетдождя #сисадминытакиесисадмины #напиткиразличныевсякие #АИСкасперскиймикрософт #конкурсфутболокотАИС #чтотамименноповечерамневкурсеноявнонескучно[/box]
Топ-чарты приложений в App Store удобны, в частности, тем, что позволяют отыскивать любопытные приложения без особых усилий. Так я, например, наткнулся на социальную сеть, само название которой не могло не вызвать моего интереса. Речь о приложении Secret. Secret представляет собой анонимную социальную сеть. Суть её в том, что вы не знаете, кто именно написал то или иное сообщение. Все комментарии тоже анонимны. Выбрать и добавить друзей самостоятельно нельзя: приложению нужно предоставить доступ к списку контактов и тогда оно самостоятельно по адресам электронной почты и телефонам подберёт тех ваших друзей/знакомых, которые уже присутствуют в сети. Из деанонимизирующих признаков присутствует только явное указание, если пост оставил кто-то из ваших прямых друзей. Остальные посты помечаются как принадлежащие друзьям друзей или только географической отметкой, с указанием того, где они были написаны, если это сообщение друга друга друга, друга друга друга друга и т.д. Такой подход по задумке создателей предполагает откровенность в общении и действительно, чего только там не начитаешься =) На самом деле, если вы хорошо знаете своих друзей (и/или их будет не очень много), то авторство многих постов угадать довольно просто, но, конечно, такие предположения бездоказательны, ведь кто-то может специально копировать манеру другого человека, например. Тем не менее, немного поэкспериментировав с принципами работы приложения, довольно быстро отыскал простой сценарий чтения “секретных” постов конкретного человека. Для успеха нам потребуются следующие ингредиенты: телефон с пустым списком контактов; точный адрес электронной почты или телефон, который использовал этот человек для регистрации. Оказалось, что процесс регистрации в сети Secret до удивления примитивен - нужно только указать адрес электронной почты и пароль. Всё. При этом на указанный адрес приходит запрос на подтверждение, но подтверждение не обязательно. Адрес вообще может быть несуществующим. Аналогичная история и с номером телефона - на самом деле его не проверяют. Итак, сценарий для получения доступа ко всем постам конкретного человека в сети Secret может быть, например, такой. Берём телефон с пустой адресной книгой (как вариант, можно для iPhone временно отключить синхронизацию контактов с iCloud и удалить все контакты) и создаём там контакт интересующего нас человека. Да, это самое сложное - надо точно знать, какой адрес он(а) использовал(а) при регистрации. С другой стороны, скорее всего это будет личный ящик на mail.ru или google.com и вы наверняка его знаете. Теперь регистрируемся в этой (якобы) совершенно анонимной социальной сети Secret с любым придуманным адресом электронной почты и соглашаемся, чтобы приложение поискало в своей базе нашего единственного друга. Для этого приложению нужно предоставить доступ к контактам. Однако, приложение не хочет показывать посты (секреты) от друзей, пока вы не введёте свой номер телефона. Никаких проблем - ввести можно всё, что угодно, никаких проверок на достоверность номера не делается. Следующее затруднение - приложение уведомляет, что для просмотра сообщений от друзей их должно быть как минимум трое. Ничего страшного - достаточно придумать два любых адреса электронной почты и поочерёдно зарегистрироваться с ними в соцсети Secret. Далее надо лишь добавить эти адреса в контакты на нашем телефоне и приложение при обновлении увеличит счётчик друзей (по сути, это и есть основной трюк - "фейковые" друзья, которых вы создаёте сами). Как видно на скриншоте выше - при наличии трёх друзей приложение соглашается показывать посты от них, но не помечает их как сделанные именно друзьями. Так что нужно ещё два адреса. На самом деле, сначала я пытался регистрировать реальные специально свежесозданные электронные адреса, но когда выяснилось, что их реальность не проверяется, дело пошло быстрее. В общем, обеспечить любое количество псевдодрузей совсем несложно. Собственно, вот и всё. У вашего аккаунта в соцсети Secret теперь один единственный реальный друг, которого вы достоверно знаете и все посты от которого помечаются как сделанные другом. Следите на здоровье =) Можно ли обычному пользователю как-то справиться с этим конструктивным недостатком соцсети Secret? Да, можно в настройках приложения поменять адрес электронной почты и телефон на ненастоящие или никому неизвестные, никакие друзья при этом не пропадут, но описанный выше сценарий к вам никто применить не сможет. Конечно, если все пользователи будут использовать поддельные контактные данные, число друзей ни у кого расти не будет, но... вы действительно хотите рассказывать (пусть и анонимно) реальные свои секреты тем людям, которых знаете? Тогда какое вам вообще дело до анонимности? =) В приложении ещё есть опция по "отвязыванию" любых прошлых постов и комментариев от вашего аккаунта, но в деталях её не тестировал и не знаю, какая от неё практическая польза. Вообще же, в таких случаях я всегда вспоминаю правило Миранды для цифрового мира, сформулированное несколько лет назад Михаилом Емельянниковым: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас». Так что будьте аккуратны в своих анонимных откровениях =)
Осознал на днях, что с конца прошлого года не обновлял таблицу сертифицированных ФСТЭК межсетевых экранов. Пришло время это исправить.
Когда тебя бесплатно приглашают на платное, в общем-то, мероприятие, то невольно возникает этический казус. Критиковать тех, кто просто так взял и выслал тебе пригласительный, как-то неудобно. В безудержной же хвальбе в знак признательности тоже ничего хорошего нет, даже если её слегка завуалировать псевдокритикой =) На PHDays в этом году я побывал второй раз и, конечно, уже примерно знал, на что рассчитывать. В прошлый раз, впервые за долгое время увидев живое и с толпами людей мероприятие ИБ-направленности, я был действительно поражён, что такое, оказывается, в наши дни бывает. Потом был ещё осенний ZeroNights тоже живой и людный, на котором, впрочем, я пробыл совсем недолго, а потому отчёта о нём не стал писать. В общем, уже вкусив подобное качество, в этом году такого же wow-эффекта я, понятно, не испытал, но некоторые из коллег, пришедшие первый раз, напоминали мне меня самого прошлогоднего. Так что можно смело делать вывод, что всё с PHDays хорошо, и будущее у них светлое. Качество и интересность докладов каждый может оценить самостоятельно благодаря наличию видеозаписей, а некоторые интересные цитаты и фотографии можно найти в Twitter по хэштегу #PHDays. Из посещённых мной выступлений традиционно понравился Андрей Масалович с рассказом про интернет-разведку (хотя я застал почти самое окончание), а также доклад Игоря Ашманова про BigData в соцсетях. Сочетание предметной экспертизы, ораторского искусства и природной харизмы - вот, пожалуй, секрет успешности этих двух спикеров. Впрочем, моя оценка информационной составляющей мероприятия весьма специфична, так как в силу особенности своей деятельности не являюсь ни “пиджаком”, ни “футболкой” и ни “вендором”, ни “интегратором”. Так что смотрите видеозаписи или подождите, пока все презентации выложат для скачивания, чтобы составить собственное впечатление. Выше контента в любом подобном мероприятии лично я ценю возможность общения с коллегами и на PHDays IV с этим проблем не было: друзей и знакомых было много, всё же несколько лет в одной отрасли дают со временем о себе знать =) Ну, а чтобы не уподобляться герою вышеприведённого ролика, отмечу пару недостатков. Место проведения было менее удачно, чем прошлогоднее - проходы слишком узкие и некоторые залы слишком невместительные, на такое количество людей явно всё не рассчитано: И второе - на некоторых секциях темы выступлений не совпадали с названием секции совсем: Пока не дописал этот пост, специально не читал мнение других коллег, так что интересно будет сравнить. [hr][box]Другие посты блога: [related_posts limit=”5”][/box]
14-15 апреля в Москве проходил уже седьмой Межотраслевой форум директоров по информационной безопасности, я же оказался на этом мероприятии всего в третий раз. На самом первом CISO FORUM в 2008 довелось быть спикером, блога я тогда не вёл и впечатления уже порядком подзабылись. Помню только, что аудитория была активная, задавали много вопросов и практически все по делу =) Далее наши с форумом пути разошлись, чтобы вновь пересечься 4 года спустя на CISO FORUM 2012, где я уже был представителем прессы (по приведённой ссылке - мои тогдашние впечатления). Прошлогодний форум пропустил и вот на этой неделе вновь оказался на этом мероприятии, правда, уже на стороне спонсора - принимал участие от имени Swivel Secure. Про сложности с выставками/конференциями по информационной безопасности в России уже говорилось много раз, повторяться не буду. Однако, как ни странно, с чисто спонсорской точки зрения могу оценить CISO FORUM 2014 как очень даже успешное мероприятие, хотя, честно должен признаться, изначально на успех особо и не рассчитывал. Трудно точно сказать, что именно сыграло в этом ключевую роль, но есть у меня серьёзные подозрения, что многое определила новизна предлагаемого Swivel решения. Ведь, действительно, за последние годы мы привыкли к более-менее стандартному набору продуктов, тем для обсуждения и даже спикеров, кочующих с мероприятия на мероприятие. Те же лица, те же тезисы… Как сказал поэт: Меняем реки, страны, города... Иные двери... Новые года... И никуда нам от себя не деться, А если деться - только в никуда. Не хочу обидеть отдельных коллег-звёзд, которые всегда новы и интересны, но, увы, их меньше, чем хотелось бы (потому, кстати, они и "нарасхват" всегда). Так что ваш К.О. рекомендует в следующий раз попробовать что-то изменить в себе: вендорам - придумать что-то поинтереснее "лотереи за визитку", если уж в продуктовом портфеле нет никаких новинок, слушателям - потратить время на придумывание каверзного вопроса, организаторам - предложить новые форматы, модераторам - не превращать дискуссию в театральную постановку с дежурными шутками, а спикерам - ориентироваться на тех самых, упомянутых выше, которые всегда "нарасхват". Что же до контента CISO FORUM 2014, то судить об этом в целом не берусь, так как лично в силу особенности своей роли в этом году слышал не так много докладов. Могу разве что поделиться роликом, смонтированным мной из аудиозаписи выступления Алексея Волкова и презентации, любезно предоставленной автором же. Алексей на практическом примере Северстали рассказывал, как можно эффективно реализовать услугу использования электронной подписи в территориально распределенной компании. В заключение хочу уточнить, что лично довелось присутствовать на крайне ограниченном количестве ИБ-мероприятий (отзывы о некоторых из них есть в этом блоге), так что моё представление частично сформировано домысливанием после чтения чужих отзывов, а частично и вовсе ошибочно. В любом случае, говорю организаторам CISO FORUM спасибо и желаю, чтобы не вышло так, что я побывал на первом и последнем Форуме директоров ИБ =)
Компания Swivel Secure, разработчик платформы многофакторной бестокенной аутентификации, ещё в прошлом году сделала “хитрый ход конём” и фактически загнала конкурентов в тупик, предложив рынку собственные… токены. Умение делать неожиданные, но правильные ходы присуще крайне немногим компаниям, так что к подобному шагу многолетнего бессменного лидера в области бестокенной аутентификации можно отнестись только с уважением. Мне даже пришлось переделать рекламную листовку, текст которой появился в ходе прошлогоднего обсуждения в соцсетях компании Swivel Secure и её выхода на российский рынок: Выпускаемые компанией Swivel Secure устройства оснащены экраном и кнопкой для генерации случайных шестисимвольных последовательностей (одноразовых кодов - OTC, one-time codes). Токены Swivel являются HOTP-совместимыми, что помимо прочего позволяет легко мигрировать на платформу аутентификации Swivel, если в организации уже используются подобные же токены от какого-либо другого производителя. Заявляемое минимальное число успешных генераций составляет - 14 000 (по числу нажатий кнопки), срок жизни батареи - 4 года. Температурный диапазон от -20°C до +70°C. Если вы думаете, что это первоапрельская шутка, вот пруфлинк (созданный как раз при помощи сервиса peeep.us, о котором я не так давно рассказывал): http://www.peeep.us/4541067e