Свежие посты   По годам   По датам
  • 13 Августа 2013 » Рынок аутентификации вчера
    Сегодня в своих архивах наткнулся на написанный мной ещё в феврале 2009 года любопытный обзор “Текущее состояние рынка аппаратных средств аутентификации”. В данном документе я подробно представил свой тогдашний взгляд на российский рынок токенов (включая смарт-карты): основные игроки, используемые технологии, сегменты рынка и востребованность различных решений. Документу, конечно, уже больше четырёх лет и ценность он скорее представляет историческую, но для анализа текущего состояния рынка может послужить отличной отправной точкой. Ведь, как известно, история любит развиваться по спирали, и тема аутентификации в связи с приходом в Россию Swivel Secure для меня опять оказалась в зоне пристального внимания. Вот завтра, например, по приглашению Eurocloud Russia (RCCPA) выступаю с докладом “Не свисти - паролей не будет!” на их совместном с Бизнес-инкубатором РЭУ им. Г.В. Плеханова мероприятии Облачные сервисы: обмен и интеграции данных. Куда движемся. Презентацию по итогам обязательно выложу. В общем, привет, милая аутентификация, я скучал! ;-) Собственные рассуждения четырёхлетней давности сам я прочитал с большим интересом, быть может и вам будет любопытно. Скачать обзор в формате pdf можно по этой ссылке. Изображение: http://satyambloggers.files.wordpress.com/2011/06/k8b9vp4g.jpg

  • 08 Августа 2013 » Спасибо за Forbidden!
    В очередной раз создам исключение из правила о том, что недовольный клиент пожалуется десяти другим, а довольный ни единого слова доброго не скажет. Сейчас скажу парочку в адрес хостинг-провайдера SpaceWeb >:-) В общем, дело было так…  Попытавшись на днях зайти в админскую часть своего блога, столкнулся с дружелюбной надписью: Ты кто такой? Давай, до свидания!  You don’t have permission to access /wp-login.php on this server. [box type=”info” style=”rounded”]UPD. 28.11.2013 После обновления на серверах SpaceWeb надпись стала гласить: You don’t have permission to access the requested object. It is either read-protected or not readable by the server. If you think this is a server error, please contact the webmaster. Error 403.[/box] Свой отдельный сайт в отличие от блогов на площадках livejournal.com, blogspot.com и пр. имеет значимое для меня количество преимуществ, но и требует затрат на сопровождение. Поэтому, привычно засучив рукава, начал разбираться. Разбор, впрочем, был не долгим. Всё объяснило найденное в полуспаме письмо самого SpaceWeb, полностью признавшего свою вину: [quote]В связи с массовыми атаками на сайты, работающие на основе CMS Joomla и Wordpress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов. Для возможности предоставления безопасного доступа к административной панели сайта в файл .htaccess был добавлен следующий блок: в случае CMS Joomla (в папку administrator) SpaceWeb <Files index.php> order deny,allow deny from all #allow from My_IP </files> в случае CMS Wordpress: SpaceWeb <Files wp-login.php> order deny,allow deny from all #allow from My_IP </files> Для получения доступа необходимо в секции “<Files>” в строке “#allow from My_IP” убрать знак “#” и вместо “My_IP” прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.[/quote] Узнать свой текущий IP было делом десяти секунд. Вписать его в .htaccess - ещё пятнадцати. Моя признательность SpaceWeb продолжается до сих пор. К слову, всем владельцам сайтов на движках WordPress и Joomla, являющимся клиентами других, менее заботливых хостинг-провайдеров, настоятельно рекомендую прописать в .htaccess подобное ограничение. Такое повышение безопасности вполне уместно.

  • 13 Июля 2013 » Создание RSS-ленты из оповещений Google Alerts
    Неприятной неожиданностью 1 июля 2013 года для меня оказалось то, что вместе с Google Reader была заблокирована возможность перенаправления результатов работы Google Alerts в RSS-ленту. О сервисе Google Alerts я не так давно писал - он очень удобен для отслеживания появления новых страниц с интересующими вас ключевыми словами (бренды, имена людей, понятия и т.п.). Когда Google индексирует новую страницу, на которой находит заданные вами слова и/или выражения, он отправляет вам соответствующее уведомление (можно задать частоту: сразу, раз в день, раз в неделю). Ранее уведомления либо отправлялись на электронную почту, либо транслировались в RSS-ленту, а с 1 июля осталась только почта. Про отключение Google Reader было известно заранее и желающие успели подготовиться (я, например, перешёл на Feedly), а про такой вот нюанс работы Google Alerts если и сообщалось, то, видимо, где-то глубоко в недрах сервиса. Внезапно оказавшись без удобного привычного инструмента, испытал чувство дискомфорта и почти две недели пытался найти выход из сложившейся ситуации. Нет, читать часть сообщений в почте, а часть в новостной ленте мне решительно не хотелось. Чего я только не перепробовал! Начал с поиска аналогичного сервиса у Яндекса. Оказалось, что что-то похожее есть, но только для Поиска по блогам. Ума не приложу, что мешает организовать аналогичное для основного поиска… Далее была гениальная, на мой скромный взгляд (смайл), идея подписаться на страницу результата поиска как на любую другую при помощи сервиса Page2RSS. Однако, сервис Яндекс не позволил это сделать и лента стала наполняться малоинформативными: ой... Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску. Чтобы продолжить поиск, пожалуйста, введите символы с картинки в поле ввода и нажмите «Отправить». Стало понятно, что использовать получится только штатные методы самих поисковиков. Таким образом, пришлось вернуться к Google Alerts, но попытаться решить задачу трансляции почтовых сообщений в RSS-ленту. Если ещё не пробовали - посмотрите на достаточно любопытный сервис IFTTT.com, работающий по принципу создания рецептов (recipe): If THIS than THAT или Если ЭТО, то ТО. Где под THIS (ЭТО) подразумевается триггер - т.е. некое событие в любом из каналов (channels), а под THAT (ТО) - действие, которое нужно предпринять опять-таки в каком-либо из каналов. Каналов можно настроить множество: почта, блог, профиль в социальной сети и т.д. - список большой и, как я понимаю, будет только пополняться. Вот для понимания парочка популярных рецептов: Первый автоматически меняет картинку профиля в Твиттере при изменении её в Facebook, а второй автоматически создаёт твиты на основе RSS-ленты. Собственно, канал RSS может использоваться только как триггер, но зато есть замечательный канал Blogger.com. Очередная гениальная, опять же - на мой скромнейший взгляд (смал, смайл), идея заключалась в том, чтобы по получению почтового сообщения от Google Alerts (оно приходит с ящика googlealerts-noreply@google.com) создавать в блоге запись с содержимым письма, а самому подписаться на RSS-ленту блога. К сожалению, этот рецепт так и не заработал, хотя другие варианты использования почты в качестве триггера и блога в качестве канала действия запускались без проблем. Неделя общения с техподдержкой задачу не решила, да и к тому же у такого подхода был неприятный побочный эффект - вся лента оказывалась публичной за счёт публикации в блог. Быть может, конечно, такой блог даже стал бы со временем мегапопулярным, но по каким-то техническим причинам ничего так и не получилось. Мой рецепт не заработал. Выход всё же в итоге был найден в виде сервиса Emails to RSS. Найти его было сложно, но работать с ним оказалось на удивление просто. Шаг 1. Регистрируемся с использованием своего Google-аккаунта (ссылка login на главной странице). Шаг 2. После регистрации получаем уникальный адрес электронной почты в домене @emails2rss.appspotmail.com и связанную с этим адресом RSS-ленту. Шаг 3. В Gmail отправляемся в Настройки -> Пересылка и POP/IMAP -> Добавить адрес пересылки, где указываем сгенерированный на предыдущем шаге уникальный адрес. Теперь адрес требуется подтвердить - Google отправляет на него соответствующее письмо с кодом подтверждения. В сам ящик зайти нельзя, но всё его содержимое автоматически публикуется в RSS-ленту, поэтому, подписавшись на неё, требуемый код подтверждения увидим в RSS-ридере. Шаг 4. Осталось настроить автоматическую переадресацию того, что мы хотим читать в виде RSS, на наш уникальный почтовый адрес. В моём случае все поступающие от googlealerts-noreply@google.com письма автоматически убираются в Архив и переадресовываются. Делается это здесь: Настройки -> Фильтры -> Создать новый фильтр -> Заполняем поле От -> Создать фильтр в соответствии с этим запросом. Далее всё, в общем-то, понятно. Теперь все письма, попадающие под критерии фильтра, будут переадресовываться на почтовый ящик, автоматически синхронизируемый с RSS-лентой. Приятно, что Email to RSS позволяет создать несколько мостов (bridges), т.е. связок почтовый адрес <-> RSS-лента. К основному уникальному имени (%UNIQUE_NAME%) через "_" вы сами добавляете произвольные символы и получаете, например, адрес %UNIQUE_NAME%_discounts@emails2rss.appspotmail.com, который можно использовать для всех рассылок со спецпредложениями или %UNIQUE_NAME%_partnernews@emails2rss.appspotmail.com для всевозможных входящих партнёрских рассылок. Каждый из этих адресов нужно активировать по выше приведённой схеме и создать соответствующие фильтры с опцией по пересылке. Остаётся только сердечно поблагодарить автора сервиса Email to RSS Володимира Штеновича, живущего в Кракове и учившегося в Львовском Национальном Университете, и в очередной раз попенять мировым гигантам, отнимающим у рядовых пользователей удобные им инструменты из-за желания "сфокусироваться на основных продуктах и улучшить их".

  • 08 Июля 2013 » Контроль комментариев в блоге
    Блоги, как известно, бывают личные и корпоративные (хотя есть и трудно классифицируемые), но в любом из них далеко не последнюю роль играют комментарии читателей. Можно спорить с автором(-ами), дополнять его(её) или просто высказывать уважение и благодарность. Комментарии в блоге, особенно если он посвящён профессиональной области (например, информационной безопасности), обычно более развёрнутые и содержательные, чем “лайки”, краткие “Супер!”, скобочки вида “))))))”  и прочие “ми-ми-ми” в соцсетях. Однако и присмотр за ними требуется более пристальный. В социальных сетях активные спам-аккаунты вычисляются легче, а от недругов можно просто заблокироваться (ну, по крайней мере, от наиболее недалёких из них), а вот пост в блоге открыт всем (закрытые блоги не рассматриваем), потому и применяются методы контроля комментариев достаточно широко. Прежде чем перейти к обсуждению самих методов, давайте подумаем - зачем вообще контролировать комментарии? По большому счёту, есть только две основные причины: защита от спама и защита от нежелательного контента. С первым всё понятно. Написали пост про “Защиту от утечек”, а в комментариях роботы наоставляли ссылок на системы аквастоп и установки контроля утечек газа - неприятно. Да и читателям не удобно. И не так важно при этом - личный блог или компании. Мусор он и есть мусор. Теперь про контент. Для начала разберёмся с пресловутыми “чёрными списками”. Что произойдёт, если в вашем блоге в комментариях разместят детскую порнографию или призывы к самоубийству? Не будем сейчас вдаваться в юридические тонкости по поводу ответственности владельца блога за комментарии, но на практике вы обнаружите этот контент раньше, чем что-то действительно сможет произойти. Ну, а если вдруг случится иное (примеров пока не было) - удалив этот комментарий, вернётесь в правовое поле и получите дополнительный PR, если сумеете. Нет, это не те риски, которые стоит серьёзно рассматривать. Хотя тема, согласен, любопытная и, быть может, коллеги, более тесно работающие именно с нюансами законодательства, дадут свой комментарий. Перейдём к контенту, не запрещённому законодательно, но нежелательному в конкретном блоге. Назовём его общим словом “негатив”. Тут ситуация немного различающаяся для блогов личных и корпоративных. В блоге компании могут в комментариях опубликовать много всяких гадостей: инсайд реального положения вещей под постом об успехах, откровенную рекламу конкурента, да мало ли… Нужно ли это контролировать? Думаю, да. Вопрос в том - как? В идеале, на каждый такой комментарий нужно уметь давать ответ. Он у вас должен быть и так. Ведь такой же комментарий может появится в соцсети или на других площадках. Он может дойти до вашего партнёра/заказчика и “всплыть” на ключевых переговорах. Если достойных ответов на многие вопросы нет, то… Может вам вообще не нужно пытаться попасть в “публичное пространство”? Не проще ли оставаться закрытой компанией “no comments”? На рынке таких предостаточно. Понятно, что далеко не всё нужно комментировать - мало ли что там понапишут всякие. Но, продолжим (всё же пост о методах контроля, а не о защите репутации в сети Интернет, про это компания Leta, например, пишет). С личным блогом немного сложнее. Вас могут дискредитировать профессионально (причём даже не умышленно - человек просто разбирается в вопросе лучше вас) либо просто написать какую-то гадость. И одно и другое - не приятно. Моя личная позиция - надо поблагодарить первых и посмеяться на вторыми, ну или вообще внимания на них не обращать. В моём блоге, когда он был на платформе blogger.com писали разное (при этом я даже знаю, кто это делал), но я ничего не удалял, даже на эту платформу пытался перенести все комментарии, но не получилось: в итоге ни там ни тут не сохранилось, только в административной части Disqus вижу все эти сообщения. Спустя пару лет всё выглядит даже как-то уже забавно =) Наконец, комментарий может оскорблять других читателей, что опять же можно отнести к ранее упомянутому негативному контенту - методы контроля будут теми же. С учётом вышеизложенного, можно выделить два типа нарушителей: спам-робот (он может быть не роботом, а живым человеком, работа которого заключается в оставлении комментариев - эдакий спамер-киборг, но его действия всё равно будут механические и однотипные, а значит - содержать признаки спама) и некий обобщённый злонамеренный негодяй. Тут надо пояснить про тот самый более профессиональный комментарий - если для вас такое крайне не желательно (например, в своём блоге хотите быть всегда самым умным), то такой профессионал легко вписывается в понятие негодяя и методы борьбы с ним остаются такими же. Посмотрим, теперь, абстрагируясь от конкретной платформы, какие же есть методы борьбы? Контролировать комментарии можно следующим образом. Дополнительные требования при добавлении комментария: Идентификация комментатора: запрос имени, электронной почты и пр. Аутентификация комментатора: OpenID (профиль в любой соцсети), использование встроенной системы учётных записей, проверка введённого адреса электронной почты. CAPTCHA - защита от ввода комментария роботом. Контроль после добавления комментария: Предварительная модерация: комментарий просто не публикуется, пока не будет проверен. Антиспам-решения: например, Akismet (поддерживается в Wordpress и через API в универсальной системе комментариев Disqus, совместимой с многими платформами). Постмодерация: осуществляется уже после публикации. Как дополнение (или самостоятельное решение) может использоваться система рейтингов, когда сами читатели голосуют за "лишние" комментарии. Также читатели могут просто сигнализировать о наличии нежелательного комментария модератору. Диаграмма связей к данному посту в виде pdf и картинкой (увеличивается при нажатии): Теперь пара советов по выбору методов контроля комментариев, основанных на личном опыте. Пока ваш блог не наберёт хоть сколько-нибудь значительное число посещений, опасаться спамеров вообще не стоит. Чуть позже, когда блог попадёт в поисковую выдачу по интересующим спамеров ключевым словам, подтянуться автоматизированные спам-роботы. От них защититься совсем не сложно - в моей практике ни один из них связку Disqus-Akismet так и не прошёл, хотя были среди них и очень активные. Сверхпопулярные блоги с тысячами комментариев оставим вне рассмотрения данного поста - там уже иные законы и иные методы борьбы. Для остальных же блогов рекомендую именно антиспам-решения. CAPTCHA как средство борьбы со спамом ещё приемлема для регистрации на мероприятие, но если в блоге предполагается дискуссия - зачем каждый раз просить читателя проходить этот тест? Принудительная аутентификация во избежание спама - как вариант, конечно, тоже допустима, но далеко не все пользователи хотят оставлять свои реальные данные: кто-то может просто не иметь аккаунта в социальной сети, а кто-то предпочитает остаться анонимным. Для личного блога я в этом проблем не вижу, а с точки зрения компаний - шаг, наверное, всё же более оправданный. А вот что из всего вышеперечисленного действительно защитит вас от негодяя? Увы, только модерация. Его комментарий будет нетипичным для спама и отправлен с фейкового (или настоящего) аккаунта, да и распознать символы CAPTCHA для него не проблема. Остаётся только один вопрос - премодерация или постмодерация? Какой процент негодяев среди ваших читателей? Больше половины? Вряд ли, иначе мне очень даже интересно, о чём это вы таком пишете? =) Так стоит ли премодерацией усложнять жизнь читателям и превращать дискуссии из интерактивных в вялотекущие в опасении, что кто-то напишет гадость? Полагаю, что это имеет смысл делать только в одном случае - то время, которое вам требуется на выявление неугодного комментария и его удаление превышает время, в течение которого опубликованный комментарий в вашем блоге может нанести серьёзный ущерб. На нашем рынке ИБ я таких примеров "скоростного ущерба" не знаю, а примеры "закручивания гаек" (запрос профиля + CAPTCHA + премодерация) - к сожалению, да. В заключение моя политика в отношении комментариев в блоге ZLONOV.RU (выработана эмпирическим путём): Комментарий может оставить любой желающий (Disqus запрашивает e-mail, но не проверяет его). Комментарии с матом и оскорблениями я удаляю, даже если они очень интересны. Со спамом борются Akismet и Disqus (делают, кстати, это прекрасно). А как у вас обстоит дело с контролем комментариев?

  • 27 Июня 2013 » Программы для диаграмм связей (mind map)
    Работая с информацией каждый день, хочется делать это продуктивнее и с большей пользой. Не важно при этом - занимаетесь ли вы конкурентной разведкой, изучаете новый отраслевой стандарт, готовите аналитический доклад с обзором законодательства в предметной области или просто осваиваете для себя что-то новое. Одним из инструментов, помогающих во всех этих случаях, является диаграмма связей (mind map, по другому называемая - “майндкарта”, карта памяти, интеллект-карта или карта мыслей). [box type=”info” style=”rounded” border=”full”]UPD 27.06.2013. Подробнее узнать, что такое диаграммы связи (майндкарты) и как их использовать на практике можно, например, тут.[/box] В повседневной жизни диаграммы связей помогают планировать что-либо (например, отпуск), кратко конспектировать содержимое книги, как это делает Андрей Прозоров, или составлять простую схему чего-то, что вы сейчас изучаете. По классике, диаграмму связи предлагается рисовать на бумажном листе размером не менее А4, начиная с центра (но есть и отличающиеся методики), однако, в современном цифровом мире это немного архаично, а потому самых различных программ для работы с диаграммами связи можно легко найти несколько десятков на любой вкус и цвет. С одной стороны - это хорошо, но с другой - проблема выбора становится совсем не тривиальной, тем более, что многие программы платные (изначально или в продвинутых своих вариантах с дополнительным функционалом), что не позволяет оценить их полноценно перед покупкой. Не имея пока на руках программного инструмента, я воспользовался классическим А4 (к сожалению, в процессе написания поста его не нашёл - ещё один недостаток бумажных технологий) и расписал те сценарии работы с диаграммами памяти, которые я себе представляю. Анализируя различные варианты, понял, в итоге, что всё банально сводится к тому устройству, посредством которого происходит обработка, и той платформе, на которой это устройство работает. Мой набор платформ и устройств выглядит так: Экраны ноутбука и стационарного компьютера вполне позволяют обойтись при работе web-интерфейсом, хотя при этом остаётся не охваченным вариант работы на ноутбуке без доступа к сети. Но, с другой стороны, конкретно в моём случае - это большая редкость. Разобравшись с платформами, автоматически получил и дальнейший алгоритм поиска: раз для iOS устройств без дополнительного “шаманства” установка приложений возможна только из официального Apple AppStore, то достаточно будет перепробовать их все и выбрать лучшее. Здесь нужно сделать два важных уточнения. Во-первых, я не рассматривал приложения, выпущенные только для iPhone - работа на большом экране iPad в режиме масштабирования (когда iPhone приложение просто увеличивается под размер экрана iPad) теоретически возможна, но на практике мало удобна. Во-вторых, приложения, существующие только в платном варианте я тоже не рассматривал. Apple предлагает разные схемы по монетизации и, если разработчик не озаботился тем, чтобы выпустить бесплатную версию для ознакомления со своим продуктом, то и внимания он, скорее всего, этой платформе придаёт крайне мало. Для меня же, в соответствии с ранее уже упоминавшейся, но утраченной диаграммой связи, было понятно - работа на планшете будет самой частой и она должна быть максимально удобной. Поиск приложений для iPad по словосочетанию “mind map” выдал мне 106 результатов. “Есть из чего выбрать”, - подумал я и засучил рукава. В AppStore сортировка “По популярности” или “По рейтингу” даёт чаще всего отличный результат и позволяет быстро найти что-то действительно стоящее, однако в моём случае  нужно явно было выйти за рамки одной конкретной платформы, а потому, отсортировав приложения по “Дате выпуска”, приступил к планомерному их изучению. Далее много текста и субъективизма. Желающим сэкономить время предлагаю сразу перейти к полуфиналу, а то и финалу. К сожалению, не обо всех приложениях только по иконке, названию и краткому описанию можно было сразу сделать однозначный вывод – не подходит. Приходилось ставить и изучать. Поэтому нижеследующий список содержит много весьма странных приложений, но так как я их скачивал и запускал, то комментарий, как минимум себе на заметку, всё же оставил - хоть при следующем столкновении с ними уже не буду тратить время на изучение. [table id=7 /] Полуфинал После отсева платных приложений и приложений с неподходящим функционалом, в список полуфиналистов попали всего 14 претендентов. Возвращаясь к выше написанному, посмотрим внимательно, для каких же платформ разработчики каждого из продуктов потрудились реализовать версию. В моей экосистеме нет Android и Linux, но для полноты картины я их тоже добавил. [table id=8 /] При анализе данной таблицы я исходил всего из двух постулатов: Мне нужна возможность работы на всех имеющихся в распоряжении платформах. Да, на iPhone я хочу хотя бы просмотреть то, что сделал, например, на ноутбуке. Отсутствие поддержки Windows и/или OS X согласен компенсировать возможностью работать через web-интерфейс. Финал В итоге, список кандидатов сузился всего до трёх: MindMeister Mindjet Maps iMindMap HD Все три продукта вполне достойные и каждый имеет свои плюсы и минусы. При этом для кого-то при итоговом выборе важнее будет возможность экспорта диаграммы в разных форматах, для другого - совместная работа, а мне, например, принципиально важно, чтобы было удобно делать на iPad два простых действия: переподчинять элементы диаграммы друг другу и свободно перемещать их по всему полю. Поработав с каждым из финалистов, свой итоговый выбор остановил на MindMeister, но нисколько этот выбор никому не навязываю. Заканчивая с личным субъективизмом, в итоговой таблице с тремя финалистами приведу оценки пользователей из магазина AppStore, а так же стоимость: [table id=9 /]

  • 20 Июня 2013 » Хакеры попытались уволить Якунина
    Вчера вечером с разницей в 15 минут информационные агенства получили от пресс-службы Белого дома по электронной почте сначала новость об отставке главы РЖД Владимира Якунина, а следом - об опровержении факта предыдущей рассылки. Несмотря на достаточно малый временной интервал, новость успела разойтись по российским СМИ, в том числе и по ТВ-каналам.  В итоге информагентствам понадобился почти час, чтобы разобраться в ситуации. ФСБ и ФСО сейчас выясняют автора первой фальшивой рассылки, а пока же сообщается только о том, что в сообщении содержались грамматические ошибки и отправлено оно было “с чужого IP-адреса”. На самом деле, любой более-менее продвинутый пользователь прекрасно знает, что подделать электронное письмо не составляет никакого труда - мы ведь все регулярно получаем спам с разных непонятных адресов. В Интернете нетрудно найти даже специализированные сайты по отправке электронных писем с поддельных адресов. Например, отправленные этим сервисом http://www.shram.kiev.ua/safemail/ электронные сообщения прекрасно воспринимаются и Gmail, и Outlook Exchange, не вызывая ни малейших подозрений ни у встроенных антиспам-фильтров, ни у пользователя. Строго говоря, в подлинности ни одного из получаемых электронных писем нельзя быть уверенным, если специально об этом не позаботиться, поэтому очень и очень странно, что в пресс-службе правительства не принято никаких дополнительных мер по верификации сообщений, рассылаемых в адрес СМИ. В конце концов, человечество давно изобрело банальную электронную цифровую подпись (ЭЦП) и решений, даже полностью удовлетворяющих всем требования российского законодательства, на рынке вполне хватает. Дополнительное внедрение подписи для отправляемых пресс-службой правительства сообщений вкупе с обязательством по её проверке (и ответственностью за нарушение этого требования) чуть усложнило бы жизнь информагенствам, но когда это и в какой стране мира забота об удобстве использования удерживала государственные структуры от навязывания своих требований? Результаты проводимого сейчас ФСО и ФСБ расследования данного инцидента не обязательно станут достоянием общественности и не факт, что все технические нюансы произошедшего будут раскрыты, но, хочется надеяться, что хотя бы профилактические меры по предупреждению подобного в будущем всё же будут приняты. Есть, правда, ещё вероятность, что Якунина просто передумали увольнять - ведь Александр Мишарин, который должен был согласно “дезинформации” занять место главы РЖД, в телефонном разговоре с журналистом первоначально подтвердил факт своего назначения, не раскрывая, впрочем подробностей. С другой стороны, для нанесения фальшивым информационным (чисто информационным) почтовым сообщением реального ущерба (либо для получения реальной прибыли) надо серьёзно постараться. Побудить пользователя поддельным письмом пройти по фишинговой ссылке, конечно, можно, но и бороться с фишинговыми сайтами современные средства защиты худо-бедно научились. Придумать же что-то более тонкое, но работающее массово, к счастью, злоумышленникам пока не удалось, хотя разовые удачные акции, конечно, встречаются. На мой взгляд, такое широкое обсуждение случившейся фальшивой рассылки пойдёт обществу только на пользу и, надеюсь, заставит кого-то однажды призадуматься над очередным “Срочно переведи 500 WMR на этот электронный кошелёк, объясню всё позже в Facebook”, ну или что там авторы поддельных электронных писем придумают.

  • 11 Июня 2013 » Июньское обновление списка блогов и сообществ по информационной безопасности
    Буквально на следующий день после публикации в прошлом месяце существенно переработанного списка блогов, связанных с информационной безопасностью, стали попадаться новые, но чтобы не добавлять их по одному, решил чуть подождать и выложить кумулятивное обновление. Итак, прежде всего хочу поблагодарить Андрея Прозорова, начавшего вести свой похожий список. В отличие от Андрея, я не включаю форумы, информационные порталы и агрегаторы блогов вроде тех, что есть у DLP-эксперт или SecurityLab. Андрей также планирует добавить англоязычные ресурсы, так что каждый сможет найти себе пищу для ума по вкусу ;-) Пара слов о публикуемом сегодня списке. Во-первых, я всё также разделяю личные блоги и блоги сообществ/компаний/авторских коллективов. Мне это кажется важным: коллективное собирательное мнение и мысли одного конкретного человека - штуки принципиально разные. Во-вторых, в отдельный список вынесены блоги без записей в 2013 году. Кстати, вновь начали писать (надеюсь, теперь на регулярной основе) Константин Михеев и Александр Матросов - их блоги перенесены в основную часть списка, составивший по итогу со всеми добавлениями 52 строчки, что вместе с 23 сообществами и блогами компаний составляет внушающее уважение количество. Есть, конечно, ещё те самые 29 блогов, которые кто-то когда-то начал вести, но так и забросил, не написав в этом году ничего, но говорить о суммарной подборке в 104 ссылки всё же не совсем корректно - блог, на мой взгляд, требует постоянной динамики, кроме наличия интересных постов в прошлом. Ну, и наконец, напротив всех активных ресурсов есть ссылка на их RSS-каналы для подписки. Мелочь, конечно, но на некоторые ресурсы подписаться не так просто. Скажем, на довольно интересном хабе “Информационная безопасность” отдельного значка RSS-подписки не наблюдается, но оказалось, что тем, кто не является членом сообщества, можно подписаться по вот этой ссылке: http://habrahabr.ru/RSS/hub/infosecurity/ У некоторых других ресурсов ссылку на канал тоже пришлось поискать, но в итоге неразрешимой оказалась задача подписки лишь на: Сообщество .net-разработчиков gotdotnet. Security,  Официальный блог компании Indeed и Блог компании Complexis. Для них пришлось использовать сервис Page2RSS, о котором я как-то уже писал. К сожалению, сервис работает не так красиво и безупречно, как RSS-лента, но хоть что-то! Сам список по-прежнему находится здесь: https://zlonov.ru/blogs, но для удобства кроме версии файла на Scribd добавил прямые ссылки на PDF-вариант, облегчённую HTML-версию и XLS-файл (последний, кстати, содержит отдельный лист с историей изменений). Закончу полным списком добавленных в эту версию активных блогов (что-то пошло и в архив). Некоторые из них в прошлый список не попали по недоразумению, но есть и действительно новые (по крайней мере для меня): [twocol_one] http://securitystreet.wordpress.com/ http://secure-your-life.blogspot.ru/ http://vkochetkov.blogspot.ru http://mbraude.livejournal.com http://pavelmir.blogspot.ru http://rustam-abdullin.blogspot.ru http://bankiram.blogspot.ru http://blogbdv.blogspot.ru http://obarsukov.blogspot.ru http://cobit-ru.livejournal.com [/twocol_one] [twocol_one_last] http://qualysblog.blogspot.ru http://security-zone.ru http://ismsys.blogspot.ru http://blogib.ru/ http://realitsm.ru http://takbezopasno.ru/blog/ http://indeed-id.ru/blog/ http://complexis.biz/blog/ http://besecure.bms-consulting.com/ [/twocol_one_last]

  • 29 Мая 2013 » Взлом Gartner через адресную строку
    Андрей Масалович на прошедшем форуме PHDays III показывал различные приёмы конкурентной разведки в сети Интернет и, в частности, сказал, что при открытии сайта чаще смотрит не на его страницу, а на адресную строку, так как именно она его кормит. Попробуем и мы поесть немного на сайте Gartner.com

  • 24 Мая 2013 » PHDays III - смешать, но не взбалтывать
    Вчера впервые побывал на форуме Positive Hack Days и, доложу вам, это лучшее из ИБ-мероприятий, которые я видел. И самое нестандартное из них тоже. Как говорят сами организаторы: “мы знакомим пиджаки и футболки”. Не знаю, кто конкретно в Positive Technologies придумал раз в год собирать талантливых ребят и устраивать между ними соревнование, но идея - отличная. HR-департаменту после такого остаётся только отобрать лучших и сделать им предложение о работе ;-) Очень, кстати, в тему было и вчерашнее выступление Владимира Вольфовича Жириновского, который в ходе дискуссии о хакерах прямо так и заявил: “лучше работать в позитиве”, сорвав аплодисменты зала. Как оратор Жириновский, надо признать, просто восхитителен. На его фоне все остальные просто теряются, а уж модерировать его - та ещё задачка =) Вообще, аудитория PHDays действительно делилась на две практически не пересекающиеся, но очень плотная и насыщенная программа позволяла каждому найти интересное лично для себя: кому ФСТЭК, а кому и реверс-инжиниринг кода. Организаторы рассказывали, что если на первом мероприятии два года назад представителей бизнеса и государства практически не было, то на PHDays III их доля дошла уже до 40%. Оно и понятно, на фоне погибающих (правда, погибающих вот уже который год, но всё никак не погибнущих окончательно) традиционных наших ИБшных выставок-конференций мероприятие такого формата и масштаба выглядит отличной альтернативой. Нужно только понимать, что на PHDays нельзя показывать скучные рекламные доклады. Их, в принципе, вообще нельзя показывать, но как-то на многих других мероприятиях организаторы на такое закрывают глаза, а вслед за ними глаза закрывают и слушатели, банально засыпая. Из того, что было на PHDays, хочу ещё отметить мастер-класс Андрея Масаловича “Конкурентная разведка в Интернете”. Сами продемонстрированные методы не то чтобы были революционными, но подача материала отличная и примеры очень живые - молодец, одним словом. Закончу тем, что скажу коллегам из Positive Technologies спасибо за приглашение и качественно проделанную работу, ну а всем другим организаторам - учиться, учиться и ещё раз, как говориться, учиться. Фотография: https://www.facebook.com/OSPSec

  • 22 Мая 2013 » Логические задачи на собеседовании
    [box type=”info” style=”rounded”]Ещё 5 интересных задач и обзор книги «Быстрое и нестандартное мышление: 50+50 задач для тренировки навыков успешного человека» можно почитать здесь.[/box] На собеседованиях время от времени задаю кандидатам различные задачи на логику, а вот вчера потенциальная новая сотрудница задала задачу мне самому. [quote]У вас есть три котлеты и две сковороды. Каждая сторона котлеты жарится одну минуту. На одну сковороду одновременно помещается лишь одна котлета. За какое наименьшее время можно пожарить все котлеты с обеих сторон?[/quote] [box type=”info”]UPD. Уточню, что очевидное решение “3 минуты” не подходит. Можно уложиться всего в две. Вопрос - как?[/box] Решение достаточно не сложное, но интересное. Как и почти всегда для таких задач, его, естественно, можно оспорить, привести аргументы и попробовать доказать несостоятельность - но стоит ли? По моему опыту, так чаще поступают те, кто сам не смог догадаться до ответа, для того чтобы как-то оправдать себя (на собеседовании, конечно, так себя не ведут, а в компании знакомых - случается). Лично для меня как для интервьюера интересен вовсе не сам факт правильного ответа, а процесс поиска решения. Кто-то, чуть подумав, говорит: “Не знаю”, - и сдаётся. Другой же минут 10 может молча сидеть и напряжённо всматриваться в листочек, пока ты сам не начнёшь задавать ему наводящие вопросы. Как и любая нештатная ситуация (хотя собеседование обычно само по себе уже стресс), такие задачи дают возможность посмотреть на кандидата под новым углом, выведя его за рамки “расскажите, как проходил ваш обычный рабочий день” или “почему вы приняли решение о смене места работы”. Одной из моих самых любимых задач и по сей день остаётся та, что задали мне самому на третьем в моей жизни собеседовании, когда я только-только начинал свой в области информационной безопасности. [quote]Вам даны две верёвки и коробок с достаточным количеством спичек. Про каждую из верёвок достоверно известно, что будучи подожжённой она сгорает полностью за один час. Необходимо отмерить 15 минут. Как это сделать с учётом того, что верёвки горят неравномерно?[/quote] Существуют, конечно, целые книги про нестандартные задачи, задаваемые на собеседованиях в крупных компаниях. Но мне вопросы типа “как сдвинуть гору Фудзи” или “сколько мячиков влезет в автобус” как-то не очень нравятся. Ведь в них заведомо нет “правильного” ответа. Отвечая на такие вопросы ты становишься всё равно что в позицию рассуждающего о возможных последствиях сделки между Stonesoft и McAfee =) Совсем другое дело - вот такие, например, интересные штуки: [quote]В полностью светонепроницаемом доме из одной комнаты находятся три лампочки, которые сейчас выключены. На внешней стене дома расположены три выключателя, каждый из которых включает только одну (при этом каждый - свою) лампочку. В дом можно войти через дверь, сейчас плотно закрытую. Как, имея возможность войти в дом только один раз, узнать точно какой выключатель какую лампочку включает? После входа в дом ответ надо дать уже не выходя из него. Дотянуться до выключателей из дома нельзя. Кроме вас никого больше нет.[/quote] Намеренно не пишу ответы, так как в моей формулировке сходу эти задачи поисковиками не ищутся (если решите проверить - начните со второй, моей любимой, т.к. про неё это утверждение не верно). Если же вы как и я любите такие головоломки - думаю, вам понравится самостоятельно попробовать найти решения. И не спешите смотреть комментарии - вдруг там кто-то уже ответил за вас? =)