Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
16
Августа
2013
» Это (ино)странное слово UTM
В прошлом месяце компания Gartner выпустила уже четвёртый по счёту Магический Квадрат, посвящённый исследованию UTM-решений (Magic Quadrant for Unified Threat Management). Давайте посмотрим на включённых в этот отчёт вендоров с точки зрения ретроспективы их представленности во всех четырёх квадратах. К сожалению, термин UTM не имеет устойчивого общепринятого перевода на русский язык (ну, не считать же таковым “унифицированное управление угрозами”, в самом деле!) и его понимание порой различается. Сама компания Gartner определяет UTM как многофункциональное устройство для обеспечения сетевой безопасности, используемое компаниями малого и среднего бизнеса (SMB - small or midsize businesses). При этом в представлении Gartner типичная средняя (SMB) компания имеет от 100 до 1000 сотрудников и годовой оборот от 50 миллионов до одного миллиарда долларов. UTM-устройство по мнению Gartner должно как минимум обеспечивать: стандартные функции межсетевого экранирования с контролем состояний сетевых соединений / Standard network stateful firewall functions; возможность организации удалённого доступа с использованием VPN для подключения пользователей и соединений вида точка-точка / Remote access and site-to-site virtual private network (VPN) support; функциональность Web-шлюза безопасности с проверками на наличие вредоносного трафика, URL-фильтрацией и контролем приложений / Secure Web gateway (SWG) functionality (anti-malware, URL and application control); предотвращение сетевых вторжений, направленных на защиту рабочих станций / Network intrusion prevention focused on workstation protection. Посмотрим теперь на сами квадраты и расположение в них основных игроков за период 2009-13: Fortinet. Является бессменным лидером данного квадрата с 2009 года по нынешний день. Из основных недостатков Gartner указывает частое обновление аппаратных платформ и программных прошивок, что требует постоянного переобучения инженеров и сотрудников техподдержки. Также заказчики часто отмечают, что реальная производительность при включении web-фильтрации и антивирусного сканера оказывается существенно ниже заявляемой в документации. Check Point. Начав с квадранта нишевых игроков в 2009 году, Check Point в 2013 стал вторым игроком в квадранте лидеров, уступая только Fortinet. Gartner указывает, что завышенная цена является важной причиной, по которой заказчики не выбирают решения Check Point, другое неудобство - в слишком сложной системе лицензирования по сравнению с конкурентами. Dell (ранее SonicWALL). Ранее всегда уступал Fortinet лишь немного, но после покупки SonicWALL Dell`ом в 2012 году позиция ухудшилась (во многом из-за неразберихи в партнёрском канале). Gartner также предупреждает, что Dell явно более ориентирован на high-enterprise рынок, чем SMB, о чём в частности говорят недавние обновления в продуктах. WatchGuard. Неизменно присутствует в квадранте лидеров почти всегда на одном и том же месте. Из недостатков отмечается большое число дублирующих друг друга сервисов и продуктов, приводящее к путанице. Другие вендоры на рынке по опросам в WatchGuard конкурентную угрозу себе вообще не видят. Sophos (ранее Astaro). Два последних года попадает в квадрант лидеров, хотя и очень близко к его границе. Пользователи Sophos жалуются на низкое качество сервисов, слабый функционал VPN и недостаточную прозрачность контроля пользовательской активности. Улучшения также требуются функциональности контроля приложений в части интеграции с пользовательскими политиками. Cyberoam. Близок к квадранту лидеров, но пока находится среди визионеров. Причины Gartner называет следующие - низкая популярность решения, особенно в Северной Америке, и излишняя концентрации на борьбе с конкурентами: компания вместо продвижения своего бренда занимается дискредитацией других. NETASQ. Неизменно находясь в квадранте визионеров, с переменным успехом пытается попасть в квадрант лидеров. Gartner отмечает, что у NETASQ достаточно мало заказчиков за пределами Европы, Ближнего Востока и Африки (EMEA), а недавнее приобретение NETASQ компанией Cassidian (подразделение Европейского аэрокосмического и оборонного концерна - EADS) может привести к смещению фокуса от SMB рынка к более крупным компаниям. Cisco. Место компании в квадрате практически не меняется. Gartner указывает, что Cisco не воспринимается рынком как бренд для SMB и именно её продукты чаще других заменяются конкурентами. Juniper Networks. Извечный сосед Cisco по квадранту визионеров. Как и для Cisco отмечается ориентированность в стратегии и продуктовой линейке на более крупные компании, а также отсутствие сильного сфокусированного на SMB партнёрского канала. В квадрант нишевых игроков в 2013 году Gartner включил также Huawei, gateProtect, Clavister и Kerio, но подробнее на них останавливаться не будем. Совсем исключены из отчёта (в разные годы) Trustwave, Netgear, IBM (линейка Proventia) и McAffee (линейка SnapGear). В заключение приведу оценку рынка и прогноз Gartner. Мировой объём рынка UTM данная аналитическая компания в 2012 году оценивает в $1,53 млрд., что на 18,7% больше показателей 2011 года. Gartner предполагает, что данный сегмент рынка будет расти значительно быстрее других на рынке безопасности, но отмечает и ряд факторов, влияющих на снижение темпов роста. Тем не менее, среднегодовой темп роста до 2018 года оценивается примерно в 15%. В России же рынок UTM имеет ряд особенностей, отличающих его от общемировых, но об этом поговорим в следующий раз.
14
Августа
2013
» Достаточно облачно
Мероприятие Eurocloud Russia (RCCPA) “Облачные сервисы: обмен и интеграции данных. Куда движемся?”, проводившееся совместно с бизнес-инкубатором РЭУ им. Г.В. Плеханова оставило отличное послевкусие. Приятно было встретить коллег, которых давно не видел, послушать (некоторых) докладчиков, да и самому выступить. Сначала, как и обещал, выкладываю свою презентацию Не свисти - паролей не будет!. Она прежде всего обзорная (и только потом уже про Swivel), а потому открывала цикл обсуждения различных аспектов аутентификации. Не свисти - паролей не будет! from Alexey Komarov Вопросов и в ходе выступления и после было много, за что аудитории большое спасибо. Непринуждённая атмосфера, задаваемая модератором Михаилом Орешиным, располагала и к корректным спорам и лёгкому дружескому троллингу =) Из докладов хотел бы выделить выступление Владимира Иванова (Компания "Актив"), представившего интересный обзор актуальных проблем аутентификации при использовании облачных технологий, а также рассказ о своём облачном сервисе Алексея Фёдорова, директора StartPack. С данным резидентом бизнес-инкубатора мне посчастливилось познакомиться ещё весной этого года при посещении ИТ-парка в Казани. Решение более чем просто заслуживающее внимания: единый биллинг, брокерские услуги (один договор вместо, например, пяти), единая точка входа и единый интерфейс контроля и управления доступом пользователей. Выступление Алексея было интересным и очень тематическим - не то, что моё =) Организаторам сплошные благодарности и только две просьбы: если для показа презентаций планируете использовать LibreOffice - лучше предупреждайте заранее =) И вторая: зовите чаще!
13
Августа
2013
» Рынок аутентификации вчера
Сегодня в своих архивах наткнулся на написанный мной ещё в феврале 2009 года любопытный обзор “Текущее состояние рынка аппаратных средств аутентификации”. В данном документе я подробно представил свой тогдашний взгляд на российский рынок токенов (включая смарт-карты): основные игроки, используемые технологии, сегменты рынка и востребованность различных решений. Документу, конечно, уже больше четырёх лет и ценность он скорее представляет историческую, но для анализа текущего состояния рынка может послужить отличной отправной точкой. Ведь, как известно, история любит развиваться по спирали, и тема аутентификации в связи с приходом в Россию Swivel Secure для меня опять оказалась в зоне пристального внимания. Вот завтра, например, по приглашению Eurocloud Russia (RCCPA) выступаю с докладом “Не свисти - паролей не будет!” на их совместном с Бизнес-инкубатором РЭУ им. Г.В. Плеханова мероприятии Облачные сервисы: обмен и интеграции данных. Куда движемся. Презентацию по итогам обязательно выложу. В общем, привет, милая аутентификация, я скучал! ;-) Собственные рассуждения четырёхлетней давности сам я прочитал с большим интересом, быть может и вам будет любопытно. Скачать обзор в формате pdf можно по этой ссылке. Изображение: http://satyambloggers.files.wordpress.com/2011/06/k8b9vp4g.jpg
08
Августа
2013
» Спасибо за Forbidden!
В очередной раз создам исключение из правила о том, что недовольный клиент пожалуется десяти другим, а довольный ни единого слова доброго не скажет. Сейчас скажу парочку в адрес хостинг-провайдера SpaceWeb >:-) В общем, дело было так… Попытавшись на днях зайти в админскую часть своего блога, столкнулся с дружелюбной надписью: Ты кто такой? Давай, до свидания! You don’t have permission to access /wp-login.php on this server. [box type=”info” style=”rounded”]UPD. 28.11.2013 После обновления на серверах SpaceWeb надпись стала гласить: You don’t have permission to access the requested object. It is either read-protected or not readable by the server. If you think this is a server error, please contact the webmaster. Error 403.[/box] Свой отдельный сайт в отличие от блогов на площадках livejournal.com, blogspot.com и пр. имеет значимое для меня количество преимуществ, но и требует затрат на сопровождение. Поэтому, привычно засучив рукава, начал разбираться. Разбор, впрочем, был не долгим. Всё объяснило найденное в полуспаме письмо самого SpaceWeb, полностью признавшего свою вину: [quote]В связи с массовыми атаками на сайты, работающие на основе CMS Joomla и Wordpress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов. Для возможности предоставления безопасного доступа к административной панели сайта в файл .htaccess был добавлен следующий блок: в случае CMS Joomla (в папку administrator) SpaceWeb <Files index.php> order deny,allow deny from all #allow from My_IP </files> в случае CMS Wordpress: SpaceWeb <Files wp-login.php> order deny,allow deny from all #allow from My_IP </files> Для получения доступа необходимо в секции “<Files>” в строке “#allow from My_IP” убрать знак “#” и вместо “My_IP” прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.[/quote] Узнать свой текущий IP было делом десяти секунд. Вписать его в .htaccess - ещё пятнадцати. Моя признательность SpaceWeb продолжается до сих пор. К слову, всем владельцам сайтов на движках WordPress и Joomla, являющимся клиентами других, менее заботливых хостинг-провайдеров, настоятельно рекомендую прописать в .htaccess подобное ограничение. Такое повышение безопасности вполне уместно.
13
Июля
2013
» Создание RSS-ленты из оповещений Google Alerts
Неприятной неожиданностью 1 июля 2013 года для меня оказалось то, что вместе с Google Reader была заблокирована возможность перенаправления результатов работы Google Alerts в RSS-ленту. О сервисе Google Alerts я не так давно писал - он очень удобен для отслеживания появления новых страниц с интересующими вас ключевыми словами (бренды, имена людей, понятия и т.п.). Когда Google индексирует новую страницу, на которой находит заданные вами слова и/или выражения, он отправляет вам соответствующее уведомление (можно задать частоту: сразу, раз в день, раз в неделю). Ранее уведомления либо отправлялись на электронную почту, либо транслировались в RSS-ленту, а с 1 июля осталась только почта. Про отключение Google Reader было известно заранее и желающие успели подготовиться (я, например, перешёл на Feedly), а про такой вот нюанс работы Google Alerts если и сообщалось, то, видимо, где-то глубоко в недрах сервиса. Внезапно оказавшись без удобного привычного инструмента, испытал чувство дискомфорта и почти две недели пытался найти выход из сложившейся ситуации. Нет, читать часть сообщений в почте, а часть в новостной ленте мне решительно не хотелось. Чего я только не перепробовал! Начал с поиска аналогичного сервиса у Яндекса. Оказалось, что что-то похожее есть, но только для Поиска по блогам. Ума не приложу, что мешает организовать аналогичное для основного поиска… Далее была гениальная, на мой скромный взгляд (смайл), идея подписаться на страницу результата поиска как на любую другую при помощи сервиса Page2RSS. Однако, сервис Яндекс не позволил это сделать и лента стала наполняться малоинформативными: ой... Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску. Чтобы продолжить поиск, пожалуйста, введите символы с картинки в поле ввода и нажмите «Отправить». Стало понятно, что использовать получится только штатные методы самих поисковиков. Таким образом, пришлось вернуться к Google Alerts, но попытаться решить задачу трансляции почтовых сообщений в RSS-ленту. Если ещё не пробовали - посмотрите на достаточно любопытный сервис IFTTT.com, работающий по принципу создания рецептов (recipe): If THIS than THAT или Если ЭТО, то ТО. Где под THIS (ЭТО) подразумевается триггер - т.е. некое событие в любом из каналов (channels), а под THAT (ТО) - действие, которое нужно предпринять опять-таки в каком-либо из каналов. Каналов можно настроить множество: почта, блог, профиль в социальной сети и т.д. - список большой и, как я понимаю, будет только пополняться. Вот для понимания парочка популярных рецептов: Первый автоматически меняет картинку профиля в Твиттере при изменении её в Facebook, а второй автоматически создаёт твиты на основе RSS-ленты. Собственно, канал RSS может использоваться только как триггер, но зато есть замечательный канал Blogger.com. Очередная гениальная, опять же - на мой скромнейший взгляд (смал, смайл), идея заключалась в том, чтобы по получению почтового сообщения от Google Alerts (оно приходит с ящика googlealerts-noreply@google.com) создавать в блоге запись с содержимым письма, а самому подписаться на RSS-ленту блога. К сожалению, этот рецепт так и не заработал, хотя другие варианты использования почты в качестве триггера и блога в качестве канала действия запускались без проблем. Неделя общения с техподдержкой задачу не решила, да и к тому же у такого подхода был неприятный побочный эффект - вся лента оказывалась публичной за счёт публикации в блог. Быть может, конечно, такой блог даже стал бы со временем мегапопулярным, но по каким-то техническим причинам ничего так и не получилось. Мой рецепт не заработал. Выход всё же в итоге был найден в виде сервиса Emails to RSS. Найти его было сложно, но работать с ним оказалось на удивление просто. Шаг 1. Регистрируемся с использованием своего Google-аккаунта (ссылка login на главной странице). Шаг 2. После регистрации получаем уникальный адрес электронной почты в домене @emails2rss.appspotmail.com и связанную с этим адресом RSS-ленту. Шаг 3. В Gmail отправляемся в Настройки -> Пересылка и POP/IMAP -> Добавить адрес пересылки, где указываем сгенерированный на предыдущем шаге уникальный адрес. Теперь адрес требуется подтвердить - Google отправляет на него соответствующее письмо с кодом подтверждения. В сам ящик зайти нельзя, но всё его содержимое автоматически публикуется в RSS-ленту, поэтому, подписавшись на неё, требуемый код подтверждения увидим в RSS-ридере. Шаг 4. Осталось настроить автоматическую переадресацию того, что мы хотим читать в виде RSS, на наш уникальный почтовый адрес. В моём случае все поступающие от googlealerts-noreply@google.com письма автоматически убираются в Архив и переадресовываются. Делается это здесь: Настройки -> Фильтры -> Создать новый фильтр -> Заполняем поле От -> Создать фильтр в соответствии с этим запросом. Далее всё, в общем-то, понятно. Теперь все письма, попадающие под критерии фильтра, будут переадресовываться на почтовый ящик, автоматически синхронизируемый с RSS-лентой. Приятно, что Email to RSS позволяет создать несколько мостов (bridges), т.е. связок почтовый адрес <-> RSS-лента. К основному уникальному имени (%UNIQUE_NAME%) через "_" вы сами добавляете произвольные символы и получаете, например, адрес %UNIQUE_NAME%_discounts@emails2rss.appspotmail.com, который можно использовать для всех рассылок со спецпредложениями или %UNIQUE_NAME%_partnernews@emails2rss.appspotmail.com для всевозможных входящих партнёрских рассылок. Каждый из этих адресов нужно активировать по выше приведённой схеме и создать соответствующие фильтры с опцией по пересылке. Остаётся только сердечно поблагодарить автора сервиса Email to RSS Володимира Штеновича, живущего в Кракове и учившегося в Львовском Национальном Университете, и в очередной раз попенять мировым гигантам, отнимающим у рядовых пользователей удобные им инструменты из-за желания "сфокусироваться на основных продуктах и улучшить их".
08
Июля
2013
» Контроль комментариев в блоге
Блоги, как известно, бывают личные и корпоративные (хотя есть и трудно классифицируемые), но в любом из них далеко не последнюю роль играют комментарии читателей. Можно спорить с автором(-ами), дополнять его(её) или просто высказывать уважение и благодарность. Комментарии в блоге, особенно если он посвящён профессиональной области (например, информационной безопасности), обычно более развёрнутые и содержательные, чем “лайки”, краткие “Супер!”, скобочки вида “))))))” и прочие “ми-ми-ми” в соцсетях. Однако и присмотр за ними требуется более пристальный. В социальных сетях активные спам-аккаунты вычисляются легче, а от недругов можно просто заблокироваться (ну, по крайней мере, от наиболее недалёких из них), а вот пост в блоге открыт всем (закрытые блоги не рассматриваем), потому и применяются методы контроля комментариев достаточно широко. Прежде чем перейти к обсуждению самих методов, давайте подумаем - зачем вообще контролировать комментарии? По большому счёту, есть только две основные причины: защита от спама и защита от нежелательного контента. С первым всё понятно. Написали пост про “Защиту от утечек”, а в комментариях роботы наоставляли ссылок на системы аквастоп и установки контроля утечек газа - неприятно. Да и читателям не удобно. И не так важно при этом - личный блог или компании. Мусор он и есть мусор. Теперь про контент. Для начала разберёмся с пресловутыми “чёрными списками”. Что произойдёт, если в вашем блоге в комментариях разместят детскую порнографию или призывы к самоубийству? Не будем сейчас вдаваться в юридические тонкости по поводу ответственности владельца блога за комментарии, но на практике вы обнаружите этот контент раньше, чем что-то действительно сможет произойти. Ну, а если вдруг случится иное (примеров пока не было) - удалив этот комментарий, вернётесь в правовое поле и получите дополнительный PR, если сумеете. Нет, это не те риски, которые стоит серьёзно рассматривать. Хотя тема, согласен, любопытная и, быть может, коллеги, более тесно работающие именно с нюансами законодательства, дадут свой комментарий. Перейдём к контенту, не запрещённому законодательно, но нежелательному в конкретном блоге. Назовём его общим словом “негатив”. Тут ситуация немного различающаяся для блогов личных и корпоративных. В блоге компании могут в комментариях опубликовать много всяких гадостей: инсайд реального положения вещей под постом об успехах, откровенную рекламу конкурента, да мало ли… Нужно ли это контролировать? Думаю, да. Вопрос в том - как? В идеале, на каждый такой комментарий нужно уметь давать ответ. Он у вас должен быть и так. Ведь такой же комментарий может появится в соцсети или на других площадках. Он может дойти до вашего партнёра/заказчика и “всплыть” на ключевых переговорах. Если достойных ответов на многие вопросы нет, то… Может вам вообще не нужно пытаться попасть в “публичное пространство”? Не проще ли оставаться закрытой компанией “no comments”? На рынке таких предостаточно. Понятно, что далеко не всё нужно комментировать - мало ли что там понапишут всякие. Но, продолжим (всё же пост о методах контроля, а не о защите репутации в сети Интернет, про это компания Leta, например, пишет). С личным блогом немного сложнее. Вас могут дискредитировать профессионально (причём даже не умышленно - человек просто разбирается в вопросе лучше вас) либо просто написать какую-то гадость. И одно и другое - не приятно. Моя личная позиция - надо поблагодарить первых и посмеяться на вторыми, ну или вообще внимания на них не обращать. В моём блоге, когда он был на платформе blogger.com писали разное (при этом я даже знаю, кто это делал), но я ничего не удалял, даже на эту платформу пытался перенести все комментарии, но не получилось: в итоге ни там ни тут не сохранилось, только в административной части Disqus вижу все эти сообщения. Спустя пару лет всё выглядит даже как-то уже забавно =) Наконец, комментарий может оскорблять других читателей, что опять же можно отнести к ранее упомянутому негативному контенту - методы контроля будут теми же. С учётом вышеизложенного, можно выделить два типа нарушителей: спам-робот (он может быть не роботом, а живым человеком, работа которого заключается в оставлении комментариев - эдакий спамер-киборг, но его действия всё равно будут механические и однотипные, а значит - содержать признаки спама) и некий обобщённый злонамеренный негодяй. Тут надо пояснить про тот самый более профессиональный комментарий - если для вас такое крайне не желательно (например, в своём блоге хотите быть всегда самым умным), то такой профессионал легко вписывается в понятие негодяя и методы борьбы с ним остаются такими же. Посмотрим, теперь, абстрагируясь от конкретной платформы, какие же есть методы борьбы? Контролировать комментарии можно следующим образом. Дополнительные требования при добавлении комментария: Идентификация комментатора: запрос имени, электронной почты и пр. Аутентификация комментатора: OpenID (профиль в любой соцсети), использование встроенной системы учётных записей, проверка введённого адреса электронной почты. CAPTCHA - защита от ввода комментария роботом. Контроль после добавления комментария: Предварительная модерация: комментарий просто не публикуется, пока не будет проверен. Антиспам-решения: например, Akismet (поддерживается в Wordpress и через API в универсальной системе комментариев Disqus, совместимой с многими платформами). Постмодерация: осуществляется уже после публикации. Как дополнение (или самостоятельное решение) может использоваться система рейтингов, когда сами читатели голосуют за "лишние" комментарии. Также читатели могут просто сигнализировать о наличии нежелательного комментария модератору. Диаграмма связей к данному посту в виде pdf и картинкой (увеличивается при нажатии): Теперь пара советов по выбору методов контроля комментариев, основанных на личном опыте. Пока ваш блог не наберёт хоть сколько-нибудь значительное число посещений, опасаться спамеров вообще не стоит. Чуть позже, когда блог попадёт в поисковую выдачу по интересующим спамеров ключевым словам, подтянуться автоматизированные спам-роботы. От них защититься совсем не сложно - в моей практике ни один из них связку Disqus-Akismet так и не прошёл, хотя были среди них и очень активные. Сверхпопулярные блоги с тысячами комментариев оставим вне рассмотрения данного поста - там уже иные законы и иные методы борьбы. Для остальных же блогов рекомендую именно антиспам-решения. CAPTCHA как средство борьбы со спамом ещё приемлема для регистрации на мероприятие, но если в блоге предполагается дискуссия - зачем каждый раз просить читателя проходить этот тест? Принудительная аутентификация во избежание спама - как вариант, конечно, тоже допустима, но далеко не все пользователи хотят оставлять свои реальные данные: кто-то может просто не иметь аккаунта в социальной сети, а кто-то предпочитает остаться анонимным. Для личного блога я в этом проблем не вижу, а с точки зрения компаний - шаг, наверное, всё же более оправданный. А вот что из всего вышеперечисленного действительно защитит вас от негодяя? Увы, только модерация. Его комментарий будет нетипичным для спама и отправлен с фейкового (или настоящего) аккаунта, да и распознать символы CAPTCHA для него не проблема. Остаётся только один вопрос - премодерация или постмодерация? Какой процент негодяев среди ваших читателей? Больше половины? Вряд ли, иначе мне очень даже интересно, о чём это вы таком пишете? =) Так стоит ли премодерацией усложнять жизнь читателям и превращать дискуссии из интерактивных в вялотекущие в опасении, что кто-то напишет гадость? Полагаю, что это имеет смысл делать только в одном случае - то время, которое вам требуется на выявление неугодного комментария и его удаление превышает время, в течение которого опубликованный комментарий в вашем блоге может нанести серьёзный ущерб. На нашем рынке ИБ я таких примеров "скоростного ущерба" не знаю, а примеры "закручивания гаек" (запрос профиля + CAPTCHA + премодерация) - к сожалению, да. В заключение моя политика в отношении комментариев в блоге ZLONOV.RU (выработана эмпирическим путём): Комментарий может оставить любой желающий (Disqus запрашивает e-mail, но не проверяет его). Комментарии с матом и оскорблениями я удаляю, даже если они очень интересны. Со спамом борются Akismet и Disqus (делают, кстати, это прекрасно). А как у вас обстоит дело с контролем комментариев?
27
Июня
2013
» Программы для диаграмм связей (mind map)
Работая с информацией каждый день, хочется делать это продуктивнее и с большей пользой. Не важно при этом - занимаетесь ли вы конкурентной разведкой, изучаете новый отраслевой стандарт, готовите аналитический доклад с обзором законодательства в предметной области или просто осваиваете для себя что-то новое. Одним из инструментов, помогающих во всех этих случаях, является диаграмма связей (mind map, по другому называемая - “майндкарта”, карта памяти, интеллект-карта или карта мыслей). [box type=”info” style=”rounded” border=”full”]UPD 27.06.2013. Подробнее узнать, что такое диаграммы связи (майндкарты) и как их использовать на практике можно, например, тут.[/box] В повседневной жизни диаграммы связей помогают планировать что-либо (например, отпуск), кратко конспектировать содержимое книги, как это делает Андрей Прозоров, или составлять простую схему чего-то, что вы сейчас изучаете. По классике, диаграмму связи предлагается рисовать на бумажном листе размером не менее А4, начиная с центра (но есть и отличающиеся методики), однако, в современном цифровом мире это немного архаично, а потому самых различных программ для работы с диаграммами связи можно легко найти несколько десятков на любой вкус и цвет. С одной стороны - это хорошо, но с другой - проблема выбора становится совсем не тривиальной, тем более, что многие программы платные (изначально или в продвинутых своих вариантах с дополнительным функционалом), что не позволяет оценить их полноценно перед покупкой. Не имея пока на руках программного инструмента, я воспользовался классическим А4 (к сожалению, в процессе написания поста его не нашёл - ещё один недостаток бумажных технологий) и расписал те сценарии работы с диаграммами памяти, которые я себе представляю. Анализируя различные варианты, понял, в итоге, что всё банально сводится к тому устройству, посредством которого происходит обработка, и той платформе, на которой это устройство работает. Мой набор платформ и устройств выглядит так: Экраны ноутбука и стационарного компьютера вполне позволяют обойтись при работе web-интерфейсом, хотя при этом остаётся не охваченным вариант работы на ноутбуке без доступа к сети. Но, с другой стороны, конкретно в моём случае - это большая редкость. Разобравшись с платформами, автоматически получил и дальнейший алгоритм поиска: раз для iOS устройств без дополнительного “шаманства” установка приложений возможна только из официального Apple AppStore, то достаточно будет перепробовать их все и выбрать лучшее. Здесь нужно сделать два важных уточнения. Во-первых, я не рассматривал приложения, выпущенные только для iPhone - работа на большом экране iPad в режиме масштабирования (когда iPhone приложение просто увеличивается под размер экрана iPad) теоретически возможна, но на практике мало удобна. Во-вторых, приложения, существующие только в платном варианте я тоже не рассматривал. Apple предлагает разные схемы по монетизации и, если разработчик не озаботился тем, чтобы выпустить бесплатную версию для ознакомления со своим продуктом, то и внимания он, скорее всего, этой платформе придаёт крайне мало. Для меня же, в соответствии с ранее уже упоминавшейся, но утраченной диаграммой связи, было понятно - работа на планшете будет самой частой и она должна быть максимально удобной. Поиск приложений для iPad по словосочетанию “mind map” выдал мне 106 результатов. “Есть из чего выбрать”, - подумал я и засучил рукава. В AppStore сортировка “По популярности” или “По рейтингу” даёт чаще всего отличный результат и позволяет быстро найти что-то действительно стоящее, однако в моём случае нужно явно было выйти за рамки одной конкретной платформы, а потому, отсортировав приложения по “Дате выпуска”, приступил к планомерному их изучению. Далее много текста и субъективизма. Желающим сэкономить время предлагаю сразу перейти к полуфиналу, а то и финалу. К сожалению, не обо всех приложениях только по иконке, названию и краткому описанию можно было сразу сделать однозначный вывод – не подходит. Приходилось ставить и изучать. Поэтому нижеследующий список содержит много весьма странных приложений, но так как я их скачивал и запускал, то комментарий, как минимум себе на заметку, всё же оставил - хоть при следующем столкновении с ними уже не буду тратить время на изучение. [table id=7 /] Полуфинал После отсева платных приложений и приложений с неподходящим функционалом, в список полуфиналистов попали всего 14 претендентов. Возвращаясь к выше написанному, посмотрим внимательно, для каких же платформ разработчики каждого из продуктов потрудились реализовать версию. В моей экосистеме нет Android и Linux, но для полноты картины я их тоже добавил. [table id=8 /] При анализе данной таблицы я исходил всего из двух постулатов: Мне нужна возможность работы на всех имеющихся в распоряжении платформах. Да, на iPhone я хочу хотя бы просмотреть то, что сделал, например, на ноутбуке. Отсутствие поддержки Windows и/или OS X согласен компенсировать возможностью работать через web-интерфейс. Финал В итоге, список кандидатов сузился всего до трёх: MindMeister Mindjet Maps iMindMap HD Все три продукта вполне достойные и каждый имеет свои плюсы и минусы. При этом для кого-то при итоговом выборе важнее будет возможность экспорта диаграммы в разных форматах, для другого - совместная работа, а мне, например, принципиально важно, чтобы было удобно делать на iPad два простых действия: переподчинять элементы диаграммы друг другу и свободно перемещать их по всему полю. Поработав с каждым из финалистов, свой итоговый выбор остановил на MindMeister, но нисколько этот выбор никому не навязываю. Заканчивая с личным субъективизмом, в итоговой таблице с тремя финалистами приведу оценки пользователей из магазина AppStore, а так же стоимость: [table id=9 /]
20
Июня
2013
» Хакеры попытались уволить Якунина
Вчера вечером с разницей в 15 минут информационные агенства получили от пресс-службы Белого дома по электронной почте сначала новость об отставке главы РЖД Владимира Якунина, а следом - об опровержении факта предыдущей рассылки. Несмотря на достаточно малый временной интервал, новость успела разойтись по российским СМИ, в том числе и по ТВ-каналам. В итоге информагентствам понадобился почти час, чтобы разобраться в ситуации. ФСБ и ФСО сейчас выясняют автора первой фальшивой рассылки, а пока же сообщается только о том, что в сообщении содержались грамматические ошибки и отправлено оно было “с чужого IP-адреса”. На самом деле, любой более-менее продвинутый пользователь прекрасно знает, что подделать электронное письмо не составляет никакого труда - мы ведь все регулярно получаем спам с разных непонятных адресов. В Интернете нетрудно найти даже специализированные сайты по отправке электронных писем с поддельных адресов. Например, отправленные этим сервисом http://www.shram.kiev.ua/safemail/ электронные сообщения прекрасно воспринимаются и Gmail, и Outlook Exchange, не вызывая ни малейших подозрений ни у встроенных антиспам-фильтров, ни у пользователя. Строго говоря, в подлинности ни одного из получаемых электронных писем нельзя быть уверенным, если специально об этом не позаботиться, поэтому очень и очень странно, что в пресс-службе правительства не принято никаких дополнительных мер по верификации сообщений, рассылаемых в адрес СМИ. В конце концов, человечество давно изобрело банальную электронную цифровую подпись (ЭЦП) и решений, даже полностью удовлетворяющих всем требования российского законодательства, на рынке вполне хватает. Дополнительное внедрение подписи для отправляемых пресс-службой правительства сообщений вкупе с обязательством по её проверке (и ответственностью за нарушение этого требования) чуть усложнило бы жизнь информагенствам, но когда это и в какой стране мира забота об удобстве использования удерживала государственные структуры от навязывания своих требований? Результаты проводимого сейчас ФСО и ФСБ расследования данного инцидента не обязательно станут достоянием общественности и не факт, что все технические нюансы произошедшего будут раскрыты, но, хочется надеяться, что хотя бы профилактические меры по предупреждению подобного в будущем всё же будут приняты. Есть, правда, ещё вероятность, что Якунина просто передумали увольнять - ведь Александр Мишарин, который должен был согласно “дезинформации” занять место главы РЖД, в телефонном разговоре с журналистом первоначально подтвердил факт своего назначения, не раскрывая, впрочем подробностей. С другой стороны, для нанесения фальшивым информационным (чисто информационным) почтовым сообщением реального ущерба (либо для получения реальной прибыли) надо серьёзно постараться. Побудить пользователя поддельным письмом пройти по фишинговой ссылке, конечно, можно, но и бороться с фишинговыми сайтами современные средства защиты худо-бедно научились. Придумать же что-то более тонкое, но работающее массово, к счастью, злоумышленникам пока не удалось, хотя разовые удачные акции, конечно, встречаются. На мой взгляд, такое широкое обсуждение случившейся фальшивой рассылки пойдёт обществу только на пользу и, надеюсь, заставит кого-то однажды призадуматься над очередным “Срочно переведи 500 WMR на этот электронный кошелёк, объясню всё позже в Facebook”, ну или что там авторы поддельных электронных писем придумают.
11
Июня
2013
» Июньское обновление списка блогов и сообществ по информационной безопасности
Буквально на следующий день после публикации в прошлом месяце существенно переработанного списка блогов, связанных с информационной безопасностью, стали попадаться новые, но чтобы не добавлять их по одному, решил чуть подождать и выложить кумулятивное обновление. Итак, прежде всего хочу поблагодарить Андрея Прозорова, начавшего вести свой похожий список. В отличие от Андрея, я не включаю форумы, информационные порталы и агрегаторы блогов вроде тех, что есть у DLP-эксперт или SecurityLab. Андрей также планирует добавить англоязычные ресурсы, так что каждый сможет найти себе пищу для ума по вкусу ;-) Пара слов о публикуемом сегодня списке. Во-первых, я всё также разделяю личные блоги и блоги сообществ/компаний/авторских коллективов. Мне это кажется важным: коллективное собирательное мнение и мысли одного конкретного человека - штуки принципиально разные. Во-вторых, в отдельный список вынесены блоги без записей в 2013 году. Кстати, вновь начали писать (надеюсь, теперь на регулярной основе) Константин Михеев и Александр Матросов - их блоги перенесены в основную часть списка, составивший по итогу со всеми добавлениями 52 строчки, что вместе с 23 сообществами и блогами компаний составляет внушающее уважение количество. Есть, конечно, ещё те самые 29 блогов, которые кто-то когда-то начал вести, но так и забросил, не написав в этом году ничего, но говорить о суммарной подборке в 104 ссылки всё же не совсем корректно - блог, на мой взгляд, требует постоянной динамики, кроме наличия интересных постов в прошлом. Ну, и наконец, напротив всех активных ресурсов есть ссылка на их RSS-каналы для подписки. Мелочь, конечно, но на некоторые ресурсы подписаться не так просто. Скажем, на довольно интересном хабе “Информационная безопасность” отдельного значка RSS-подписки не наблюдается, но оказалось, что тем, кто не является членом сообщества, можно подписаться по вот этой ссылке: http://habrahabr.ru/RSS/hub/infosecurity/ У некоторых других ресурсов ссылку на канал тоже пришлось поискать, но в итоге неразрешимой оказалась задача подписки лишь на: Сообщество .net-разработчиков gotdotnet. Security, Официальный блог компании Indeed и Блог компании Complexis. Для них пришлось использовать сервис Page2RSS, о котором я как-то уже писал. К сожалению, сервис работает не так красиво и безупречно, как RSS-лента, но хоть что-то! Сам список по-прежнему находится здесь: https://zlonov.ru/blogs, но для удобства кроме версии файла на Scribd добавил прямые ссылки на PDF-вариант, облегчённую HTML-версию и XLS-файл (последний, кстати, содержит отдельный лист с историей изменений). Закончу полным списком добавленных в эту версию активных блогов (что-то пошло и в архив). Некоторые из них в прошлый список не попали по недоразумению, но есть и действительно новые (по крайней мере для меня): [twocol_one] http://securitystreet.wordpress.com/ http://secure-your-life.blogspot.ru/ http://vkochetkov.blogspot.ru http://mbraude.livejournal.com http://pavelmir.blogspot.ru http://rustam-abdullin.blogspot.ru http://bankiram.blogspot.ru http://blogbdv.blogspot.ru http://obarsukov.blogspot.ru http://cobit-ru.livejournal.com [/twocol_one] [twocol_one_last] http://qualysblog.blogspot.ru http://security-zone.ru http://ismsys.blogspot.ru http://blogib.ru/ http://realitsm.ru http://takbezopasno.ru/blog/ http://indeed-id.ru/blog/ http://complexis.biz/blog/ http://besecure.bms-consulting.com/ [/twocol_one_last]
29
Мая
2013
» Взлом Gartner через адресную строку
Андрей Масалович на прошедшем форуме PHDays III показывал различные приёмы конкурентной разведки в сети Интернет и, в частности, сказал, что при открытии сайта чаще смотрит не на его страницу, а на адресную строку, так как именно она его кормит. Попробуем и мы поесть немного на сайте Gartner.com
В прошлом месяце компания Gartner выпустила уже четвёртый по счёту Магический Квадрат, посвящённый исследованию UTM-решений (Magic Quadrant for Unified Threat Management). Давайте посмотрим на включённых в этот отчёт вендоров с точки зрения ретроспективы их представленности во всех четырёх квадратах. К сожалению, термин UTM не имеет устойчивого общепринятого перевода на русский язык (ну, не считать же таковым “унифицированное управление угрозами”, в самом деле!) и его понимание порой различается. Сама компания Gartner определяет UTM как многофункциональное устройство для обеспечения сетевой безопасности, используемое компаниями малого и среднего бизнеса (SMB - small or midsize businesses). При этом в представлении Gartner типичная средняя (SMB) компания имеет от 100 до 1000 сотрудников и годовой оборот от 50 миллионов до одного миллиарда долларов. UTM-устройство по мнению Gartner должно как минимум обеспечивать: стандартные функции межсетевого экранирования с контролем состояний сетевых соединений / Standard network stateful firewall functions; возможность организации удалённого доступа с использованием VPN для подключения пользователей и соединений вида точка-точка / Remote access and site-to-site virtual private network (VPN) support; функциональность Web-шлюза безопасности с проверками на наличие вредоносного трафика, URL-фильтрацией и контролем приложений / Secure Web gateway (SWG) functionality (anti-malware, URL and application control); предотвращение сетевых вторжений, направленных на защиту рабочих станций / Network intrusion prevention focused on workstation protection. Посмотрим теперь на сами квадраты и расположение в них основных игроков за период 2009-13: Fortinet. Является бессменным лидером данного квадрата с 2009 года по нынешний день. Из основных недостатков Gartner указывает частое обновление аппаратных платформ и программных прошивок, что требует постоянного переобучения инженеров и сотрудников техподдержки. Также заказчики часто отмечают, что реальная производительность при включении web-фильтрации и антивирусного сканера оказывается существенно ниже заявляемой в документации. Check Point. Начав с квадранта нишевых игроков в 2009 году, Check Point в 2013 стал вторым игроком в квадранте лидеров, уступая только Fortinet. Gartner указывает, что завышенная цена является важной причиной, по которой заказчики не выбирают решения Check Point, другое неудобство - в слишком сложной системе лицензирования по сравнению с конкурентами. Dell (ранее SonicWALL). Ранее всегда уступал Fortinet лишь немного, но после покупки SonicWALL Dell`ом в 2012 году позиция ухудшилась (во многом из-за неразберихи в партнёрском канале). Gartner также предупреждает, что Dell явно более ориентирован на high-enterprise рынок, чем SMB, о чём в частности говорят недавние обновления в продуктах. WatchGuard. Неизменно присутствует в квадранте лидеров почти всегда на одном и том же месте. Из недостатков отмечается большое число дублирующих друг друга сервисов и продуктов, приводящее к путанице. Другие вендоры на рынке по опросам в WatchGuard конкурентную угрозу себе вообще не видят. Sophos (ранее Astaro). Два последних года попадает в квадрант лидеров, хотя и очень близко к его границе. Пользователи Sophos жалуются на низкое качество сервисов, слабый функционал VPN и недостаточную прозрачность контроля пользовательской активности. Улучшения также требуются функциональности контроля приложений в части интеграции с пользовательскими политиками. Cyberoam. Близок к квадранту лидеров, но пока находится среди визионеров. Причины Gartner называет следующие - низкая популярность решения, особенно в Северной Америке, и излишняя концентрации на борьбе с конкурентами: компания вместо продвижения своего бренда занимается дискредитацией других. NETASQ. Неизменно находясь в квадранте визионеров, с переменным успехом пытается попасть в квадрант лидеров. Gartner отмечает, что у NETASQ достаточно мало заказчиков за пределами Европы, Ближнего Востока и Африки (EMEA), а недавнее приобретение NETASQ компанией Cassidian (подразделение Европейского аэрокосмического и оборонного концерна - EADS) может привести к смещению фокуса от SMB рынка к более крупным компаниям. Cisco. Место компании в квадрате практически не меняется. Gartner указывает, что Cisco не воспринимается рынком как бренд для SMB и именно её продукты чаще других заменяются конкурентами. Juniper Networks. Извечный сосед Cisco по квадранту визионеров. Как и для Cisco отмечается ориентированность в стратегии и продуктовой линейке на более крупные компании, а также отсутствие сильного сфокусированного на SMB партнёрского канала. В квадрант нишевых игроков в 2013 году Gartner включил также Huawei, gateProtect, Clavister и Kerio, но подробнее на них останавливаться не будем. Совсем исключены из отчёта (в разные годы) Trustwave, Netgear, IBM (линейка Proventia) и McAffee (линейка SnapGear). В заключение приведу оценку рынка и прогноз Gartner. Мировой объём рынка UTM данная аналитическая компания в 2012 году оценивает в $1,53 млрд., что на 18,7% больше показателей 2011 года. Gartner предполагает, что данный сегмент рынка будет расти значительно быстрее других на рынке безопасности, но отмечает и ряд факторов, влияющих на снижение темпов роста. Тем не менее, среднегодовой темп роста до 2018 года оценивается примерно в 15%. В России же рынок UTM имеет ряд особенностей, отличающих его от общемировых, но об этом поговорим в следующий раз.
Мероприятие Eurocloud Russia (RCCPA) “Облачные сервисы: обмен и интеграции данных. Куда движемся?”, проводившееся совместно с бизнес-инкубатором РЭУ им. Г.В. Плеханова оставило отличное послевкусие. Приятно было встретить коллег, которых давно не видел, послушать (некоторых) докладчиков, да и самому выступить. Сначала, как и обещал, выкладываю свою презентацию Не свисти - паролей не будет!. Она прежде всего обзорная (и только потом уже про Swivel), а потому открывала цикл обсуждения различных аспектов аутентификации. Не свисти - паролей не будет! from Alexey Komarov Вопросов и в ходе выступления и после было много, за что аудитории большое спасибо. Непринуждённая атмосфера, задаваемая модератором Михаилом Орешиным, располагала и к корректным спорам и лёгкому дружескому троллингу =) Из докладов хотел бы выделить выступление Владимира Иванова (Компания "Актив"), представившего интересный обзор актуальных проблем аутентификации при использовании облачных технологий, а также рассказ о своём облачном сервисе Алексея Фёдорова, директора StartPack. С данным резидентом бизнес-инкубатора мне посчастливилось познакомиться ещё весной этого года при посещении ИТ-парка в Казани. Решение более чем просто заслуживающее внимания: единый биллинг, брокерские услуги (один договор вместо, например, пяти), единая точка входа и единый интерфейс контроля и управления доступом пользователей. Выступление Алексея было интересным и очень тематическим - не то, что моё =) Организаторам сплошные благодарности и только две просьбы: если для показа презентаций планируете использовать LibreOffice - лучше предупреждайте заранее =) И вторая: зовите чаще!
Сегодня в своих архивах наткнулся на написанный мной ещё в феврале 2009 года любопытный обзор “Текущее состояние рынка аппаратных средств аутентификации”. В данном документе я подробно представил свой тогдашний взгляд на российский рынок токенов (включая смарт-карты): основные игроки, используемые технологии, сегменты рынка и востребованность различных решений. Документу, конечно, уже больше четырёх лет и ценность он скорее представляет историческую, но для анализа текущего состояния рынка может послужить отличной отправной точкой. Ведь, как известно, история любит развиваться по спирали, и тема аутентификации в связи с приходом в Россию Swivel Secure для меня опять оказалась в зоне пристального внимания. Вот завтра, например, по приглашению Eurocloud Russia (RCCPA) выступаю с докладом “Не свисти - паролей не будет!” на их совместном с Бизнес-инкубатором РЭУ им. Г.В. Плеханова мероприятии Облачные сервисы: обмен и интеграции данных. Куда движемся. Презентацию по итогам обязательно выложу. В общем, привет, милая аутентификация, я скучал! ;-) Собственные рассуждения четырёхлетней давности сам я прочитал с большим интересом, быть может и вам будет любопытно. Скачать обзор в формате pdf можно по этой ссылке. Изображение: http://satyambloggers.files.wordpress.com/2011/06/k8b9vp4g.jpg
В очередной раз создам исключение из правила о том, что недовольный клиент пожалуется десяти другим, а довольный ни единого слова доброго не скажет. Сейчас скажу парочку в адрес хостинг-провайдера SpaceWeb >:-) В общем, дело было так… Попытавшись на днях зайти в админскую часть своего блога, столкнулся с дружелюбной надписью: Ты кто такой? Давай, до свидания! You don’t have permission to access /wp-login.php on this server. [box type=”info” style=”rounded”]UPD. 28.11.2013 После обновления на серверах SpaceWeb надпись стала гласить: You don’t have permission to access the requested object. It is either read-protected or not readable by the server. If you think this is a server error, please contact the webmaster. Error 403.[/box] Свой отдельный сайт в отличие от блогов на площадках livejournal.com, blogspot.com и пр. имеет значимое для меня количество преимуществ, но и требует затрат на сопровождение. Поэтому, привычно засучив рукава, начал разбираться. Разбор, впрочем, был не долгим. Всё объяснило найденное в полуспаме письмо самого SpaceWeb, полностью признавшего свою вину: [quote]В связи с массовыми атаками на сайты, работающие на основе CMS Joomla и Wordpress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов. Для возможности предоставления безопасного доступа к административной панели сайта в файл .htaccess был добавлен следующий блок: в случае CMS Joomla (в папку administrator) SpaceWeb <Files index.php> order deny,allow deny from all #allow from My_IP </files> в случае CMS Wordpress: SpaceWeb <Files wp-login.php> order deny,allow deny from all #allow from My_IP </files> Для получения доступа необходимо в секции “<Files>” в строке “#allow from My_IP” убрать знак “#” и вместо “My_IP” прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.[/quote] Узнать свой текущий IP было делом десяти секунд. Вписать его в .htaccess - ещё пятнадцати. Моя признательность SpaceWeb продолжается до сих пор. К слову, всем владельцам сайтов на движках WordPress и Joomla, являющимся клиентами других, менее заботливых хостинг-провайдеров, настоятельно рекомендую прописать в .htaccess подобное ограничение. Такое повышение безопасности вполне уместно.
Неприятной неожиданностью 1 июля 2013 года для меня оказалось то, что вместе с Google Reader была заблокирована возможность перенаправления результатов работы Google Alerts в RSS-ленту. О сервисе Google Alerts я не так давно писал - он очень удобен для отслеживания появления новых страниц с интересующими вас ключевыми словами (бренды, имена людей, понятия и т.п.). Когда Google индексирует новую страницу, на которой находит заданные вами слова и/или выражения, он отправляет вам соответствующее уведомление (можно задать частоту: сразу, раз в день, раз в неделю). Ранее уведомления либо отправлялись на электронную почту, либо транслировались в RSS-ленту, а с 1 июля осталась только почта. Про отключение Google Reader было известно заранее и желающие успели подготовиться (я, например, перешёл на Feedly), а про такой вот нюанс работы Google Alerts если и сообщалось, то, видимо, где-то глубоко в недрах сервиса. Внезапно оказавшись без удобного привычного инструмента, испытал чувство дискомфорта и почти две недели пытался найти выход из сложившейся ситуации. Нет, читать часть сообщений в почте, а часть в новостной ленте мне решительно не хотелось. Чего я только не перепробовал! Начал с поиска аналогичного сервиса у Яндекса. Оказалось, что что-то похожее есть, но только для Поиска по блогам. Ума не приложу, что мешает организовать аналогичное для основного поиска… Далее была гениальная, на мой скромный взгляд (смайл), идея подписаться на страницу результата поиска как на любую другую при помощи сервиса Page2RSS. Однако, сервис Яндекс не позволил это сделать и лента стала наполняться малоинформативными: ой... Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску. Чтобы продолжить поиск, пожалуйста, введите символы с картинки в поле ввода и нажмите «Отправить». Стало понятно, что использовать получится только штатные методы самих поисковиков. Таким образом, пришлось вернуться к Google Alerts, но попытаться решить задачу трансляции почтовых сообщений в RSS-ленту. Если ещё не пробовали - посмотрите на достаточно любопытный сервис IFTTT.com, работающий по принципу создания рецептов (recipe): If THIS than THAT или Если ЭТО, то ТО. Где под THIS (ЭТО) подразумевается триггер - т.е. некое событие в любом из каналов (channels), а под THAT (ТО) - действие, которое нужно предпринять опять-таки в каком-либо из каналов. Каналов можно настроить множество: почта, блог, профиль в социальной сети и т.д. - список большой и, как я понимаю, будет только пополняться. Вот для понимания парочка популярных рецептов: Первый автоматически меняет картинку профиля в Твиттере при изменении её в Facebook, а второй автоматически создаёт твиты на основе RSS-ленты. Собственно, канал RSS может использоваться только как триггер, но зато есть замечательный канал Blogger.com. Очередная гениальная, опять же - на мой скромнейший взгляд (смал, смайл), идея заключалась в том, чтобы по получению почтового сообщения от Google Alerts (оно приходит с ящика googlealerts-noreply@google.com) создавать в блоге запись с содержимым письма, а самому подписаться на RSS-ленту блога. К сожалению, этот рецепт так и не заработал, хотя другие варианты использования почты в качестве триггера и блога в качестве канала действия запускались без проблем. Неделя общения с техподдержкой задачу не решила, да и к тому же у такого подхода был неприятный побочный эффект - вся лента оказывалась публичной за счёт публикации в блог. Быть может, конечно, такой блог даже стал бы со временем мегапопулярным, но по каким-то техническим причинам ничего так и не получилось. Мой рецепт не заработал. Выход всё же в итоге был найден в виде сервиса Emails to RSS. Найти его было сложно, но работать с ним оказалось на удивление просто. Шаг 1. Регистрируемся с использованием своего Google-аккаунта (ссылка login на главной странице). Шаг 2. После регистрации получаем уникальный адрес электронной почты в домене @emails2rss.appspotmail.com и связанную с этим адресом RSS-ленту. Шаг 3. В Gmail отправляемся в Настройки -> Пересылка и POP/IMAP -> Добавить адрес пересылки, где указываем сгенерированный на предыдущем шаге уникальный адрес. Теперь адрес требуется подтвердить - Google отправляет на него соответствующее письмо с кодом подтверждения. В сам ящик зайти нельзя, но всё его содержимое автоматически публикуется в RSS-ленту, поэтому, подписавшись на неё, требуемый код подтверждения увидим в RSS-ридере. Шаг 4. Осталось настроить автоматическую переадресацию того, что мы хотим читать в виде RSS, на наш уникальный почтовый адрес. В моём случае все поступающие от googlealerts-noreply@google.com письма автоматически убираются в Архив и переадресовываются. Делается это здесь: Настройки -> Фильтры -> Создать новый фильтр -> Заполняем поле От -> Создать фильтр в соответствии с этим запросом. Далее всё, в общем-то, понятно. Теперь все письма, попадающие под критерии фильтра, будут переадресовываться на почтовый ящик, автоматически синхронизируемый с RSS-лентой. Приятно, что Email to RSS позволяет создать несколько мостов (bridges), т.е. связок почтовый адрес <-> RSS-лента. К основному уникальному имени (%UNIQUE_NAME%) через "_" вы сами добавляете произвольные символы и получаете, например, адрес %UNIQUE_NAME%_discounts@emails2rss.appspotmail.com, который можно использовать для всех рассылок со спецпредложениями или %UNIQUE_NAME%_partnernews@emails2rss.appspotmail.com для всевозможных входящих партнёрских рассылок. Каждый из этих адресов нужно активировать по выше приведённой схеме и создать соответствующие фильтры с опцией по пересылке. Остаётся только сердечно поблагодарить автора сервиса Email to RSS Володимира Штеновича, живущего в Кракове и учившегося в Львовском Национальном Университете, и в очередной раз попенять мировым гигантам, отнимающим у рядовых пользователей удобные им инструменты из-за желания "сфокусироваться на основных продуктах и улучшить их".
Блоги, как известно, бывают личные и корпоративные (хотя есть и трудно классифицируемые), но в любом из них далеко не последнюю роль играют комментарии читателей. Можно спорить с автором(-ами), дополнять его(её) или просто высказывать уважение и благодарность. Комментарии в блоге, особенно если он посвящён профессиональной области (например, информационной безопасности), обычно более развёрнутые и содержательные, чем “лайки”, краткие “Супер!”, скобочки вида “))))))” и прочие “ми-ми-ми” в соцсетях. Однако и присмотр за ними требуется более пристальный. В социальных сетях активные спам-аккаунты вычисляются легче, а от недругов можно просто заблокироваться (ну, по крайней мере, от наиболее недалёких из них), а вот пост в блоге открыт всем (закрытые блоги не рассматриваем), потому и применяются методы контроля комментариев достаточно широко. Прежде чем перейти к обсуждению самих методов, давайте подумаем - зачем вообще контролировать комментарии? По большому счёту, есть только две основные причины: защита от спама и защита от нежелательного контента. С первым всё понятно. Написали пост про “Защиту от утечек”, а в комментариях роботы наоставляли ссылок на системы аквастоп и установки контроля утечек газа - неприятно. Да и читателям не удобно. И не так важно при этом - личный блог или компании. Мусор он и есть мусор. Теперь про контент. Для начала разберёмся с пресловутыми “чёрными списками”. Что произойдёт, если в вашем блоге в комментариях разместят детскую порнографию или призывы к самоубийству? Не будем сейчас вдаваться в юридические тонкости по поводу ответственности владельца блога за комментарии, но на практике вы обнаружите этот контент раньше, чем что-то действительно сможет произойти. Ну, а если вдруг случится иное (примеров пока не было) - удалив этот комментарий, вернётесь в правовое поле и получите дополнительный PR, если сумеете. Нет, это не те риски, которые стоит серьёзно рассматривать. Хотя тема, согласен, любопытная и, быть может, коллеги, более тесно работающие именно с нюансами законодательства, дадут свой комментарий. Перейдём к контенту, не запрещённому законодательно, но нежелательному в конкретном блоге. Назовём его общим словом “негатив”. Тут ситуация немного различающаяся для блогов личных и корпоративных. В блоге компании могут в комментариях опубликовать много всяких гадостей: инсайд реального положения вещей под постом об успехах, откровенную рекламу конкурента, да мало ли… Нужно ли это контролировать? Думаю, да. Вопрос в том - как? В идеале, на каждый такой комментарий нужно уметь давать ответ. Он у вас должен быть и так. Ведь такой же комментарий может появится в соцсети или на других площадках. Он может дойти до вашего партнёра/заказчика и “всплыть” на ключевых переговорах. Если достойных ответов на многие вопросы нет, то… Может вам вообще не нужно пытаться попасть в “публичное пространство”? Не проще ли оставаться закрытой компанией “no comments”? На рынке таких предостаточно. Понятно, что далеко не всё нужно комментировать - мало ли что там понапишут всякие. Но, продолжим (всё же пост о методах контроля, а не о защите репутации в сети Интернет, про это компания Leta, например, пишет). С личным блогом немного сложнее. Вас могут дискредитировать профессионально (причём даже не умышленно - человек просто разбирается в вопросе лучше вас) либо просто написать какую-то гадость. И одно и другое - не приятно. Моя личная позиция - надо поблагодарить первых и посмеяться на вторыми, ну или вообще внимания на них не обращать. В моём блоге, когда он был на платформе blogger.com писали разное (при этом я даже знаю, кто это делал), но я ничего не удалял, даже на эту платформу пытался перенести все комментарии, но не получилось: в итоге ни там ни тут не сохранилось, только в административной части Disqus вижу все эти сообщения. Спустя пару лет всё выглядит даже как-то уже забавно =) Наконец, комментарий может оскорблять других читателей, что опять же можно отнести к ранее упомянутому негативному контенту - методы контроля будут теми же. С учётом вышеизложенного, можно выделить два типа нарушителей: спам-робот (он может быть не роботом, а живым человеком, работа которого заключается в оставлении комментариев - эдакий спамер-киборг, но его действия всё равно будут механические и однотипные, а значит - содержать признаки спама) и некий обобщённый злонамеренный негодяй. Тут надо пояснить про тот самый более профессиональный комментарий - если для вас такое крайне не желательно (например, в своём блоге хотите быть всегда самым умным), то такой профессионал легко вписывается в понятие негодяя и методы борьбы с ним остаются такими же. Посмотрим, теперь, абстрагируясь от конкретной платформы, какие же есть методы борьбы? Контролировать комментарии можно следующим образом. Дополнительные требования при добавлении комментария: Идентификация комментатора: запрос имени, электронной почты и пр. Аутентификация комментатора: OpenID (профиль в любой соцсети), использование встроенной системы учётных записей, проверка введённого адреса электронной почты. CAPTCHA - защита от ввода комментария роботом. Контроль после добавления комментария: Предварительная модерация: комментарий просто не публикуется, пока не будет проверен. Антиспам-решения: например, Akismet (поддерживается в Wordpress и через API в универсальной системе комментариев Disqus, совместимой с многими платформами). Постмодерация: осуществляется уже после публикации. Как дополнение (или самостоятельное решение) может использоваться система рейтингов, когда сами читатели голосуют за "лишние" комментарии. Также читатели могут просто сигнализировать о наличии нежелательного комментария модератору. Диаграмма связей к данному посту в виде pdf и картинкой (увеличивается при нажатии): Теперь пара советов по выбору методов контроля комментариев, основанных на личном опыте. Пока ваш блог не наберёт хоть сколько-нибудь значительное число посещений, опасаться спамеров вообще не стоит. Чуть позже, когда блог попадёт в поисковую выдачу по интересующим спамеров ключевым словам, подтянуться автоматизированные спам-роботы. От них защититься совсем не сложно - в моей практике ни один из них связку Disqus-Akismet так и не прошёл, хотя были среди них и очень активные. Сверхпопулярные блоги с тысячами комментариев оставим вне рассмотрения данного поста - там уже иные законы и иные методы борьбы. Для остальных же блогов рекомендую именно антиспам-решения. CAPTCHA как средство борьбы со спамом ещё приемлема для регистрации на мероприятие, но если в блоге предполагается дискуссия - зачем каждый раз просить читателя проходить этот тест? Принудительная аутентификация во избежание спама - как вариант, конечно, тоже допустима, но далеко не все пользователи хотят оставлять свои реальные данные: кто-то может просто не иметь аккаунта в социальной сети, а кто-то предпочитает остаться анонимным. Для личного блога я в этом проблем не вижу, а с точки зрения компаний - шаг, наверное, всё же более оправданный. А вот что из всего вышеперечисленного действительно защитит вас от негодяя? Увы, только модерация. Его комментарий будет нетипичным для спама и отправлен с фейкового (или настоящего) аккаунта, да и распознать символы CAPTCHA для него не проблема. Остаётся только один вопрос - премодерация или постмодерация? Какой процент негодяев среди ваших читателей? Больше половины? Вряд ли, иначе мне очень даже интересно, о чём это вы таком пишете? =) Так стоит ли премодерацией усложнять жизнь читателям и превращать дискуссии из интерактивных в вялотекущие в опасении, что кто-то напишет гадость? Полагаю, что это имеет смысл делать только в одном случае - то время, которое вам требуется на выявление неугодного комментария и его удаление превышает время, в течение которого опубликованный комментарий в вашем блоге может нанести серьёзный ущерб. На нашем рынке ИБ я таких примеров "скоростного ущерба" не знаю, а примеры "закручивания гаек" (запрос профиля + CAPTCHA + премодерация) - к сожалению, да. В заключение моя политика в отношении комментариев в блоге ZLONOV.RU (выработана эмпирическим путём): Комментарий может оставить любой желающий (Disqus запрашивает e-mail, но не проверяет его). Комментарии с матом и оскорблениями я удаляю, даже если они очень интересны. Со спамом борются Akismet и Disqus (делают, кстати, это прекрасно). А как у вас обстоит дело с контролем комментариев?
Работая с информацией каждый день, хочется делать это продуктивнее и с большей пользой. Не важно при этом - занимаетесь ли вы конкурентной разведкой, изучаете новый отраслевой стандарт, готовите аналитический доклад с обзором законодательства в предметной области или просто осваиваете для себя что-то новое. Одним из инструментов, помогающих во всех этих случаях, является диаграмма связей (mind map, по другому называемая - “майндкарта”, карта памяти, интеллект-карта или карта мыслей). [box type=”info” style=”rounded” border=”full”]UPD 27.06.2013. Подробнее узнать, что такое диаграммы связи (майндкарты) и как их использовать на практике можно, например, тут.[/box] В повседневной жизни диаграммы связей помогают планировать что-либо (например, отпуск), кратко конспектировать содержимое книги, как это делает Андрей Прозоров, или составлять простую схему чего-то, что вы сейчас изучаете. По классике, диаграмму связи предлагается рисовать на бумажном листе размером не менее А4, начиная с центра (но есть и отличающиеся методики), однако, в современном цифровом мире это немного архаично, а потому самых различных программ для работы с диаграммами связи можно легко найти несколько десятков на любой вкус и цвет. С одной стороны - это хорошо, но с другой - проблема выбора становится совсем не тривиальной, тем более, что многие программы платные (изначально или в продвинутых своих вариантах с дополнительным функционалом), что не позволяет оценить их полноценно перед покупкой. Не имея пока на руках программного инструмента, я воспользовался классическим А4 (к сожалению, в процессе написания поста его не нашёл - ещё один недостаток бумажных технологий) и расписал те сценарии работы с диаграммами памяти, которые я себе представляю. Анализируя различные варианты, понял, в итоге, что всё банально сводится к тому устройству, посредством которого происходит обработка, и той платформе, на которой это устройство работает. Мой набор платформ и устройств выглядит так: Экраны ноутбука и стационарного компьютера вполне позволяют обойтись при работе web-интерфейсом, хотя при этом остаётся не охваченным вариант работы на ноутбуке без доступа к сети. Но, с другой стороны, конкретно в моём случае - это большая редкость. Разобравшись с платформами, автоматически получил и дальнейший алгоритм поиска: раз для iOS устройств без дополнительного “шаманства” установка приложений возможна только из официального Apple AppStore, то достаточно будет перепробовать их все и выбрать лучшее. Здесь нужно сделать два важных уточнения. Во-первых, я не рассматривал приложения, выпущенные только для iPhone - работа на большом экране iPad в режиме масштабирования (когда iPhone приложение просто увеличивается под размер экрана iPad) теоретически возможна, но на практике мало удобна. Во-вторых, приложения, существующие только в платном варианте я тоже не рассматривал. Apple предлагает разные схемы по монетизации и, если разработчик не озаботился тем, чтобы выпустить бесплатную версию для ознакомления со своим продуктом, то и внимания он, скорее всего, этой платформе придаёт крайне мало. Для меня же, в соответствии с ранее уже упоминавшейся, но утраченной диаграммой связи, было понятно - работа на планшете будет самой частой и она должна быть максимально удобной. Поиск приложений для iPad по словосочетанию “mind map” выдал мне 106 результатов. “Есть из чего выбрать”, - подумал я и засучил рукава. В AppStore сортировка “По популярности” или “По рейтингу” даёт чаще всего отличный результат и позволяет быстро найти что-то действительно стоящее, однако в моём случае нужно явно было выйти за рамки одной конкретной платформы, а потому, отсортировав приложения по “Дате выпуска”, приступил к планомерному их изучению. Далее много текста и субъективизма. Желающим сэкономить время предлагаю сразу перейти к полуфиналу, а то и финалу. К сожалению, не обо всех приложениях только по иконке, названию и краткому описанию можно было сразу сделать однозначный вывод – не подходит. Приходилось ставить и изучать. Поэтому нижеследующий список содержит много весьма странных приложений, но так как я их скачивал и запускал, то комментарий, как минимум себе на заметку, всё же оставил - хоть при следующем столкновении с ними уже не буду тратить время на изучение. [table id=7 /] Полуфинал После отсева платных приложений и приложений с неподходящим функционалом, в список полуфиналистов попали всего 14 претендентов. Возвращаясь к выше написанному, посмотрим внимательно, для каких же платформ разработчики каждого из продуктов потрудились реализовать версию. В моей экосистеме нет Android и Linux, но для полноты картины я их тоже добавил. [table id=8 /] При анализе данной таблицы я исходил всего из двух постулатов: Мне нужна возможность работы на всех имеющихся в распоряжении платформах. Да, на iPhone я хочу хотя бы просмотреть то, что сделал, например, на ноутбуке. Отсутствие поддержки Windows и/или OS X согласен компенсировать возможностью работать через web-интерфейс. Финал В итоге, список кандидатов сузился всего до трёх: MindMeister Mindjet Maps iMindMap HD Все три продукта вполне достойные и каждый имеет свои плюсы и минусы. При этом для кого-то при итоговом выборе важнее будет возможность экспорта диаграммы в разных форматах, для другого - совместная работа, а мне, например, принципиально важно, чтобы было удобно делать на iPad два простых действия: переподчинять элементы диаграммы друг другу и свободно перемещать их по всему полю. Поработав с каждым из финалистов, свой итоговый выбор остановил на MindMeister, но нисколько этот выбор никому не навязываю. Заканчивая с личным субъективизмом, в итоговой таблице с тремя финалистами приведу оценки пользователей из магазина AppStore, а так же стоимость: [table id=9 /]
Вчера вечером с разницей в 15 минут информационные агенства получили от пресс-службы Белого дома по электронной почте сначала новость об отставке главы РЖД Владимира Якунина, а следом - об опровержении факта предыдущей рассылки. Несмотря на достаточно малый временной интервал, новость успела разойтись по российским СМИ, в том числе и по ТВ-каналам. В итоге информагентствам понадобился почти час, чтобы разобраться в ситуации. ФСБ и ФСО сейчас выясняют автора первой фальшивой рассылки, а пока же сообщается только о том, что в сообщении содержались грамматические ошибки и отправлено оно было “с чужого IP-адреса”. На самом деле, любой более-менее продвинутый пользователь прекрасно знает, что подделать электронное письмо не составляет никакого труда - мы ведь все регулярно получаем спам с разных непонятных адресов. В Интернете нетрудно найти даже специализированные сайты по отправке электронных писем с поддельных адресов. Например, отправленные этим сервисом http://www.shram.kiev.ua/safemail/ электронные сообщения прекрасно воспринимаются и Gmail, и Outlook Exchange, не вызывая ни малейших подозрений ни у встроенных антиспам-фильтров, ни у пользователя. Строго говоря, в подлинности ни одного из получаемых электронных писем нельзя быть уверенным, если специально об этом не позаботиться, поэтому очень и очень странно, что в пресс-службе правительства не принято никаких дополнительных мер по верификации сообщений, рассылаемых в адрес СМИ. В конце концов, человечество давно изобрело банальную электронную цифровую подпись (ЭЦП) и решений, даже полностью удовлетворяющих всем требования российского законодательства, на рынке вполне хватает. Дополнительное внедрение подписи для отправляемых пресс-службой правительства сообщений вкупе с обязательством по её проверке (и ответственностью за нарушение этого требования) чуть усложнило бы жизнь информагенствам, но когда это и в какой стране мира забота об удобстве использования удерживала государственные структуры от навязывания своих требований? Результаты проводимого сейчас ФСО и ФСБ расследования данного инцидента не обязательно станут достоянием общественности и не факт, что все технические нюансы произошедшего будут раскрыты, но, хочется надеяться, что хотя бы профилактические меры по предупреждению подобного в будущем всё же будут приняты. Есть, правда, ещё вероятность, что Якунина просто передумали увольнять - ведь Александр Мишарин, который должен был согласно “дезинформации” занять место главы РЖД, в телефонном разговоре с журналистом первоначально подтвердил факт своего назначения, не раскрывая, впрочем подробностей. С другой стороны, для нанесения фальшивым информационным (чисто информационным) почтовым сообщением реального ущерба (либо для получения реальной прибыли) надо серьёзно постараться. Побудить пользователя поддельным письмом пройти по фишинговой ссылке, конечно, можно, но и бороться с фишинговыми сайтами современные средства защиты худо-бедно научились. Придумать же что-то более тонкое, но работающее массово, к счастью, злоумышленникам пока не удалось, хотя разовые удачные акции, конечно, встречаются. На мой взгляд, такое широкое обсуждение случившейся фальшивой рассылки пойдёт обществу только на пользу и, надеюсь, заставит кого-то однажды призадуматься над очередным “Срочно переведи 500 WMR на этот электронный кошелёк, объясню всё позже в Facebook”, ну или что там авторы поддельных электронных писем придумают.
Буквально на следующий день после публикации в прошлом месяце существенно переработанного списка блогов, связанных с информационной безопасностью, стали попадаться новые, но чтобы не добавлять их по одному, решил чуть подождать и выложить кумулятивное обновление. Итак, прежде всего хочу поблагодарить Андрея Прозорова, начавшего вести свой похожий список. В отличие от Андрея, я не включаю форумы, информационные порталы и агрегаторы блогов вроде тех, что есть у DLP-эксперт или SecurityLab. Андрей также планирует добавить англоязычные ресурсы, так что каждый сможет найти себе пищу для ума по вкусу ;-) Пара слов о публикуемом сегодня списке. Во-первых, я всё также разделяю личные блоги и блоги сообществ/компаний/авторских коллективов. Мне это кажется важным: коллективное собирательное мнение и мысли одного конкретного человека - штуки принципиально разные. Во-вторых, в отдельный список вынесены блоги без записей в 2013 году. Кстати, вновь начали писать (надеюсь, теперь на регулярной основе) Константин Михеев и Александр Матросов - их блоги перенесены в основную часть списка, составивший по итогу со всеми добавлениями 52 строчки, что вместе с 23 сообществами и блогами компаний составляет внушающее уважение количество. Есть, конечно, ещё те самые 29 блогов, которые кто-то когда-то начал вести, но так и забросил, не написав в этом году ничего, но говорить о суммарной подборке в 104 ссылки всё же не совсем корректно - блог, на мой взгляд, требует постоянной динамики, кроме наличия интересных постов в прошлом. Ну, и наконец, напротив всех активных ресурсов есть ссылка на их RSS-каналы для подписки. Мелочь, конечно, но на некоторые ресурсы подписаться не так просто. Скажем, на довольно интересном хабе “Информационная безопасность” отдельного значка RSS-подписки не наблюдается, но оказалось, что тем, кто не является членом сообщества, можно подписаться по вот этой ссылке: http://habrahabr.ru/RSS/hub/infosecurity/ У некоторых других ресурсов ссылку на канал тоже пришлось поискать, но в итоге неразрешимой оказалась задача подписки лишь на: Сообщество .net-разработчиков gotdotnet. Security, Официальный блог компании Indeed и Блог компании Complexis. Для них пришлось использовать сервис Page2RSS, о котором я как-то уже писал. К сожалению, сервис работает не так красиво и безупречно, как RSS-лента, но хоть что-то! Сам список по-прежнему находится здесь: https://zlonov.ru/blogs, но для удобства кроме версии файла на Scribd добавил прямые ссылки на PDF-вариант, облегчённую HTML-версию и XLS-файл (последний, кстати, содержит отдельный лист с историей изменений). Закончу полным списком добавленных в эту версию активных блогов (что-то пошло и в архив). Некоторые из них в прошлый список не попали по недоразумению, но есть и действительно новые (по крайней мере для меня): [twocol_one] http://securitystreet.wordpress.com/ http://secure-your-life.blogspot.ru/ http://vkochetkov.blogspot.ru http://mbraude.livejournal.com http://pavelmir.blogspot.ru http://rustam-abdullin.blogspot.ru http://bankiram.blogspot.ru http://blogbdv.blogspot.ru http://obarsukov.blogspot.ru http://cobit-ru.livejournal.com [/twocol_one] [twocol_one_last] http://qualysblog.blogspot.ru http://security-zone.ru http://ismsys.blogspot.ru http://blogib.ru/ http://realitsm.ru http://takbezopasno.ru/blog/ http://indeed-id.ru/blog/ http://complexis.biz/blog/ http://besecure.bms-consulting.com/ [/twocol_one_last]
Андрей Масалович на прошедшем форуме PHDays III показывал различные приёмы конкурентной разведки в сети Интернет и, в частности, сказал, что при открытии сайта чаще смотрит не на его страницу, а на адресную строку, так как именно она его кормит. Попробуем и мы поесть немного на сайте Gartner.com