Свежие посты   По годам   По датам
  • 23 Декабря 2011 » Порочная система и двойные стандарты
    В продолжение прошлого поста о коррупции решил написать ещё несколько строк. Вот мы частенько поругиваем полицейских, особенно сотрудников ГИБДД, за взяточничество и иногда просто вымогательство. Давайте, однако, посмотрим на два аспекта. Про первый расскажу на своём примере. Начав работать в области информационной безопасности, я первое время активно перенимал опыт коллег и, конечно же, учился у своих руководителей. Ведь я оказался в незнакомой мне среде и, пытаясь понять правила игры, во всю смотрел по сторонам и анализировал, чтобы не оказаться в чужом монастыре со своим уставом. Адаптивность - наше всё. Да, меня научили многому, но, к сожалению, в том числе и тому, что печёночный бизнес приносит успех и маржу. Нет, сами механизмы коммерчески прибыльного распития алкоголя, золочения ручки высокопоставленным чинушам и прочие мерзости мной не изведаны до сих пор, но то, что откат рулит, мне внушили достаточно чётко. Спасибо, что не привлекали меня непосредственно к схемам распила, но закрывать глаза на, например, явно бредовые приобретения государственными организациями бесполезных для них продуктов всё же научили. Я это всё к чему? Да к тому, что любой человек, оказавшись в полицейской системе, вынужден под неё подстраиваться, иначе она его просто отторгнет как чужеродное тело. Идея с реформой милиции, кстати, по сути своей прекрасна (вычистим всех), да вот воплощение подкачало =( Второй момент - двойные стандарты. Выпили вечером. Хорошо так (ибо обстановка располагала). А утром за руль. Ну, очень надо. Поехали. Пост ГИБДД. Остановили, понюхали. АГА! Да, вы нормально едете. Вы опытный водитель, сто лет за рулём, не лихачите и не борзеете на дороге. Привычная доза накануне не представляет ни для кого опасности - вы даже специально аккуратнее едете. НО есть закон про содержание алкоголя в крови. Всё, лишение прав. Дальнейший сценарий понятен. И сотруднику ГИБДД, взявшему круглую сумму, вы, по большому счёту, признательны, хотя и презираете его в душе. Ровно так же желание получить бонус и желание побороть коррупцию в масштабах государства борятся внутри каждого ИБшника, сохранившего в себе хоть сколько-нибудь порядочности. Кому и зачем всё вышеизложенное было написано - пока с уверенностью сказать не могу. Так, витает что-то в воздухе в виде мыслей… Изображение http://demotivation.me/l14eym6wkq29pic.html

  • 22 Декабря 2011 » Распилить изволите?
    Люди, между нами говоря, любят иногда посчитать чужие деньги, поэтому, в частности, так популярны всевозможные рейтинги и статистические отчёты о долях рынка, занимаемом месте по оборотам и пр. Не открою секрет, если скажу, что в отрасли информационной безопасности (ИБ) в нашей стране немаловажную роль в формировании этого самого оборота играют государственные закупки. Небольшие и средние компании пока в большинстве своём только зреют до чего-то большего, чем антивирус и бесплатный межсетевой экран на *nix-платформе, крупные коммерческие структуры придирчиво выбирают решение по соотношению цена/эффективность, рассчитывают возврат на инвестиции (ROI) и иные трёх- и больше буквенные показатели, а государственные организации исправно закупают. Закупают по приказу сверху, закупают, потому что деньги в бюджете на этот год остались и их надо освоить, а то на следующий год не дадут, закупают, потому что очередной чинуша попарился с кем-то в бане, закупают, потому что надо достроить загородный дом и сыну дать приличное образование… Закупают. Точнее, пилят. Мне мало довелось работать в областях, отличных от ИБ, поэтому о ситуации в них могу судить лишь косвенно. Ну, а про ситуацию на знакомой территории могу рассуждать свободнее. Итак, все взрослые адекватные люди, проработавшие хотя бы несколько лет в области ИБ прекрасно понимают, что и как тут устроено. Возьмите топ-10, 50, да хоть 100 блогеров в нашей сфере и спросите их - понимают ли они, на чём делают значительную (порой очень значительную) часть капитала их компании? Если отношения ваши доверительные и обстановка располагает - ответ будет однозначным. Вот вам и оборот для рейтингов. Компании, получившие лобистскую поддержку, в одночасье выстреливают в топ, а потерявшие влиятельных друзей - скатываются ближе ко дну… Таких историй знающие люди могут рассказать более, чем одну. Мне повезло, я работаю в дистрибьюторской компании. Мы не общаемся напрямую с заказчиками. Вернее, общаемся, но крайне редко. Наше всё - это наша партнёрская сеть. Мы любим их и всячески стараемся помогать. Но вот наши любимые партнёры регулярно сталкиваются с простой до безобразия ситуацией: я бы купил у вас на 100 миллионов с удовольствием, но вот вы бы мне 10% / 20% / 30% / … не могли бы в вот этом конвертике/портфельчике/чемоданчике/… принести налом? Когда я вижу бессмысленные с точки зрения здравой логики спецификации, главная цель которых - завысить бюджет, когда решения закупаются без учёта реальной инфраструктуры, когда покупают сертифицированные по самое не балуй, но устаревшие на 5 и более лет продукты, мне стыдно за мою страну. Мелкая (по сравнению с общей численностью граждан) кучка продажных людей существ распределяет финансовые потоки по своему усмотрению без какого-либо контроля со стороны остальной части населения и считает это (внимание!) нормальным. Друзья, не буду ни к чему революционному призывать. Просто задумайтесь на секунду - вы сами тоже считаете это нормальным? Точно? А, может, попробуем что-то поменять? Изображение: http://piratemedia.ru/media/k2/items/cache/91f509849f6467bb518faf710f229661_XL.jpg

  • 24 Ноября 2011 » Бей своих, чтоб чужие боялись
    Хороший пример правильного подхода к безопасности демонстрирует компания Google, регулярно помещая в спам уведомления о моих комментариях к мои собственным же постам на Blogspot.Ну а что? Формально ведь письмо действительно отправлено не с моего аккаунта. И сколько я ни пытался объяснять Gmail, что это не спам - бесполезно: эти уведомления регулярно забраковываются. Кстати, справка у компании Google просто великолепная. Про спуфинг (в котором Google, по сути, сам себя и подозревает) написано просто и доходчиво, даже с жизненными примерами. Вот все бы так.

  • 23 Ноября 2011 » Умирающие шифровальщики
    Всего несколько лет назад программы для шифрования данных на жёстких дисках были невероятно популярны, при чём не только в корпоративной среде, но и среди обычных пользователей. Предложений было так много, что порой даже складывалось ощущение, что только ленивый их не пишет. Что же происходит на этом рынке сейчас? Для начала немного истории. В силу своих профессиональных обязанностей в 2006-08 годах внимательно следил за российским рынком систем шифрования данных, писал статьи на эту тему и знал, что называется, "в лицо" всех основных игроков. Даже сам был активным пользователем Secret Disk и не мог представить свой компьютер/ноутбук без него. Сейчас же мне даже в голову не приходить что-то шифровать на диске! Основная угроза для моих личных данных сейчас - это, пожалуй, троян, от которого шифрование всё равно не поможет, а фотографий много он не утащит - спасибо Yota: коннект, оставленный на день всё равно к вечеру обычно рвётся. При мне же, очевидно, любая ненормальная сетевая активность будет сразу замечена и пресечена на корню. Что касается доступа гостей/членов семьи/сантехников-садовников к стационарному компьютеру, то кого попало не надо приглашать в гости, жить надо так, чтобы нечего было скрывать от домочадцев, а сантехников дальше ванной/кухни пускать в принципе не стоит - это они пусть в фильмах по спальням ходят =) Проверено на себе - такие простые правила работают. К тому же, пароль на вход и разграничение прав доступа никто не отменял. На ноутбуке же для командировок личных данных я не храню, а доступ к корпоративным данным получаю или через OWA (Outlook Web Acces) или по RDP. Ну, останется после моих сессий какой-то кэш на жёстком диске, но в нашем мире столь незначительный объём данных устареет быстрее, чем кто-то реально сможет им воспользоваться. Стоит ли при учёте всего вышесказанного жертвовать производительностью ради мифической защиты от кражи непонятно чего и не очень понятно кем? Я бы не стал. Кстати, об основных игроках того времени. Годы прошли, что с ними стало? StrongDisk компании Физтехсофт. Последняя версия вышла в декабре 2010 года, почти год назад. Вы верите в успешность этого продукта на рынке? Я - нет. Secret Disk компании Аладдин Р.Д. Последняя версия - июль 2011. Получше, но, во-первых, насколько я могу судить, руководство этой компании частенько допускает просчёты в объектах (продукты/технологии) и субъектах (собственные сотрудники) инвестирования (на эту тему готовлю отдельный пост). Во-вторых, в мае была устроена акция по снижению цен, а это, поверьте моему опыту, говорит о неудовлетворительных продажах. Вы акций на iPhone от компании Apple много видели? Я - ни одной. В-третьих, 15 ноября была рассылка по подписчикам (на сайте этой информации не нашёл) вот о чём: Компания «Аладдин Р.Д.» сообщает об обновлении в комплектации коробочных версий Secret Disk Server NG. Теперь она будет дополнена комплектом подачи сигнала «тревога» с USB-подключением, стоимость коробки Secret Disk Server NG при этом останется прежней. Тоже тревожный звоночек, согласитесь. ZDisk компании SecureIT. Самое свежее обновление, которое смог найти в их Пресс-центре - июль 2010 года. В ноябре 2010 провели акцию со скидкой 50% на один из компонентов системы шифрования. Был, правда, вебинар летом 2011 по серверной версии, но сколько там было посетителей - история умалчивает. Зато про их недоDLP новостная лента так и пестрит сообщениями. Что ж, хороший урок предыдущему игроку в своевременности смена курса развития компании. Был ещё импортный PGPDisk, бесплатный TrueCrypt и ещё целая куча самого разного софта. Даже в эпоху расцвета они популярностью пользовались довольно специфической - сейчас же, скорее всего, вообще остались очень нишевыми решениями. Да, ведь было ещё детище InfoWatch - CryptoStorage. Последнюю версию, датированную октябрём 2010 годазачем-то вытащили из пыльного чулана этим летом и показали германцам. Ребята пришли на падающий рынок, вложили, полагаю, не менее $1M и даже затрат наверняка не отбили. Но они InfoWatch, им можно =) Подведём итоги. Основные законадатели мод рынка систем шифрования жёстких дисков прошлых лет в большинстве своём давно забросили разработки, устраивают акции, анонсируют скидки, в новостных лентах минимум пресс-релизов о внедрении, новых игроков не видно и не слышно... Как вы считаете -  этот сегмент рынка умирает или уже умер? </div>

  • 08 Ноября 2011 » Саратовские зарисовки
    Вот так взвоз некоей бабушки превратился в взвоз товарища Бабушкина =) Друзей и друзей друзей приглашаю за подробностями на свою страничку Facebook за полной версией. Остальных приглашаю в друзья =)

  • 08 Ноября 2011 » Непреднамеренный самоинсайд
    Воообще говоря, масштабы и степень опасности случайных утечек в организациях мне всегда казались немного преувеличенными, но вот в повседневной жизни сталкиваться с ними приходится сплошь и рядом.В одной из своих статей я приводил пример с содержимым флешек, с которыми подходят слушатели после докладов и на которые просят записать им презентацию. Чего только там не хранится! Музыка и свежие фильмы с торрентов (подсудное, кстати, дело-то) - ещё ладно, но резюме, пляжные фотографии и архив частной переписки - лучше где попало не хранить. В конце концов, программы вроде usbgrab никто не отменял =) К слову отмечу, что папки типа "Контракты" или "Клиенты" тоже периодически встречались.Как ещё можно стать самоинсайдером? Проще простого. Например, просто стереть файл "не для публичного распространения" штатными средствами операционной системы и одолжить флэшку любопытному знакомому. Любопытному и вооружённому программой для восстановления удалённых данных.Или вот недавно мне рассказали историю про то, к

  • 28 Октября 2011 » Вавилонская башня. Наши дни.
    Маркетологам постоянно что-то приходится заказывать: то баннер, то стенд, то листовку, то сувенир. При этом самое сложное - это даже не придумать идею, а объяснить подрядчику, что же ты хочешь.Ощущение, что ты говоришь с людьми на разных языках при этом не покидает ни на минуту:- Нам нужно сделать промо-страницу на нашем сайте.- Давайте возьмём простейшую CMS и готовый шаблон сайта.- Но у нас же уже есть сайт, зачем нам CMS?- Мы такой вывод из вашего техзадания сделали......- Оцените, пожалуйста, стоимость работ по разработке дизайна.- Дайте доступ к админке вашего сайта и ftp.- Зачем? Нам нужна только стоимость ваших услуг по разработке дизайна.- Без доступа смогу только приблизительно оценить.Переписка по почте, в скайпе, телефонные конференции, недели согласований и уточнений, к сожалению, порой заканчиваются тем, что получаешь совсем не то, что ты ожидал. Замечено, что итоговый результат тем дальше от желаемого, чем меньше ты разбираешься в предметной области.Скажем, чтобы объяснить дизайнеру, как на блокнот нанести QR-код, пришлось прочитать целую кучу материалов в сети, узнать какой минимальный размер этого кода допустим, можно ли менять его цвет, допустимо ли скругление квадратов и много другое. Только после изучения всех нюансов задачу удалось поставить максимально корректно. А вот, например, от инфографики в другом проекте пришлось отказаться, так как мы не понимали, что нас спрашивает подрядчик, а он не мог понять, что хотим мы, при этом времени на изучение всех деталей не было.Когда я читаю рассуждения коллег о сложности взаимодействия безопасников с руководством в плане выделения бюджетов и обоснования затрат, то аналогия приходит в голову сама собой: эти люди тоже ведь говорят на разных языках. К сожалению, безопасников, способных мыслить теми же категориями, что и топ-менеджмент, не так много, как хотелось бы, но надеятся, что руководитель вникнет во все детали и будет легко опер</div>

  • 24 Октября 2011 » Почувствуйте разницу
    Телевизор не смотрю, но для наружней рекламы фильтров пока не придумали, так что, в целом,  в курсе рекламируемого, поэтому, когда в Саратове увидел цифру 75, что-то щёлкнуло. Ну, конечно, московская реклама совсем другую стоимость предлагает! Оказалось, что в разных регионах одна и та же услуга может по цене отличаться более, чем в три раза.

  • 19 Октября 2011 » Ваш сайт незаконно размещен на моем доменном имени
    В одном из недавних постов я писал про плагин Social Connector для Outlook, наглядно показывающий данные о вашем собеседнике, размещённые им в социальных сетях. Сегодня пришёл спам, для отправителя которого плагин показал мне фотографию!Самой странички, кстати, уже нет и найти "Дмитрия" в сети Facebook ни по имени и фамилии, ни по адресу электронной почты не удаётся, а фотография до сих пор где-то закеширована в недрах американских серверов и служит прекрасным доказательством правила цифровой Миранды.Текст письма тоже, кстати, заслуживает внимания: "Ваш сайт незаконно размещен на моем доменном имени". Что имеет в виду "Дмитрий"?

  • 15 Октября 2011 » Локальная реклама
    Обожаю бумажный спам, который регулярно кладут в почтовый ящик. Каждый раз бережно достаю всё до последнего листочка и внимательно изучаю. Сегодня поделюсь несколькими картинками, привлекшими моё внимание. Для начала - грузовик на шарах. В общем, идея не плоха, но почему вместо нормальных колёс нарисовали кругляши? Ехать ведь на них ну никак не получится =( А мы (без кругляшей) поехали дальше. Лесная подкова. Ещё раз: подкова, но не какая-нибудь, а именно лесная. Как она вообще выглядеть должна? Чем лесная подкова отличается от полевой или озёрной? Сходив к ним на сайт, всё, конечно, понял: застройка посёлка с высоты птичьего полёта выглядит примерно как подкова, а вокруг - куча леса. Но, ё-моё, словосочетание "лесная подкова" для тех, кто не в теме, звучит, ИМХО, как-то странно. Следующий шедевр. Для начала зацените "ателье бalлконов". Зачем английские буквы внутри слова? Что такое al? Неграмотное all? В смысле, для всех? Или что? Непонятно. Дальше - хуже. Перечислен спектр работ: Лоджии, Балконы, Окна, Двери, Офисные перегородки. Всё бы ничего, но, судя по картинке, реально компания занимается исключительно лоджиями и окнами - ведь только напротив них стоит "галочка". Почему ателье балконов не поставило "галочку" напротив балконов? Опять непонятно. В заключении приятное исключение. Квадратный апельсин. Мне нравится. Хорошее название, да и на запоминающийся телефон потратились. Молодцы!