Category: техника

Category was added automatically. Read all entries about "техника".

ОБ ЭТОМ.

Это верхний пост, где рассказывается почему и зачем этот блог.

Всем привет!

Мне приходится много перемещаться по миру. По работе и из врождённого любопытства. Как оно в мире работается, отдыхается, путешествуется, а также мои личные впечатления от увиденного, услышанного, потроганного и попробованного - об этом и блог.

Впрочем, это не отменяет специальных постов про бизнес, технологии, патенты и прочее рабочее повседневное, когда просто невозможно не высказать своё мнение.

Кстати, о мнении. Это мой личный блог и мнения, выраженные здесь могут не совпадать с официальной позицией одноимённой компании. А могут и совпадать – как повезёт. Но, надеюсь, мои рассказы интересны и достаточно фотогеничны.

Рекомендуемое в блоге:


Топ-100 самых удивительных мест в мире

Лучшие, худшие и просто никакие аэропорты мира

Рассказы о моих путешествиях на Камчатку

Рассказы о моих путешествиях по Китаю

Рассказы о моих путешествиях в Китай

Экскурсии по офисам ЛК в разных странах мира

Мы и Феррари

Наши технологии защиты: популярно о сложном


Помимо Живого Журнала меня можно найти:








Книга посетителей, а также жалоб и предложений - в комментах к этой записи. Заходите, отмечайтесь. Мне будет интересно узнать кто читает мои рассказы.

Мидори Кума взрывает мозг.

У меня хорошая новость для всех самоизолировавшихся и скучающих из комнаты в комнату! В нашем сувенирном магазине в продажу поступили супер-эксклюзивы на мидори-кумную тему. Просто башню рвёт от их необычности и актуальности.

I. Открывает хит-парад "Кума Лювак": это супер-дорогостоящий, дважды ферментированный кофе (разновидность копи-лувака) не столько для любителей, сколько для ценителей и понимателей. Но если оригинал производится в прямом смысле слова ЧЕРЕЗ мусанга (он же = малайская пальмовая куница), то "Кума-Лювак"... В общем, вкус этого напитка сложно передать словами, его нужно пробовать прямо сейчас.

1. Image00001

Collapse )

Чёрный ящик и Иллюзия безопасности.

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. "Казалось бы" – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

1

"Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении"

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные "белые" хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем "монополию на исследования" в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что "в Багдаде всё спокойно". Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

2

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что "доступ независимых разработчиков к системе = потенциальный вектор атаки". Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять "монополию на исследования" и маркетинговую отстройку. По этой причине когда меня iпользователи спрашивают как им защищать свои устройства, то у меня единственный ответ: усердно молиться и уповать.

Аудит SOC 2 пройден!

Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!

ha

Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?

Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.

Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний "большой четверки" (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.

Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!

По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.

Всем привет из... :)

DSC02961

Ай-да новости: взлом в законе, дырявые SMS и неожиданное содержимое тюленя.

Мальчики и девочки, всем привет!

С вами наша регулярная рубрика «удивительное рядом» или выжимка самых интересных, абсурдных, громких IT-новостей и находок.

Японское правительство планирует взломать 200 млн IoT девайсов граждан. Это не заголовок из научной фантастики. Так японцы готовятся к проведению Олимпиады. Госслужащим законодательно разрешили взламывать гаджеты граждан любимым методом киберпреступников - подбором паролей. Обнаружив девайс со слабым паролем, госслужащие внесут его в специальный список небезопасных гаджетов, который передадут интернет-провайдеру, а владельца попросят сменить пароль. Делают это, чтобы проверить, хорошо ли защищены IoT устройства в стране и предотвратить их использование для атак на олимпийскую инфраструктуру. О методах защиты можно поспорить, но сам факт подготовки очень правильный. Напоминаю, что случилось на последних Играх у их соседей.

ss7-hacked-featured-1024x672

Эксперт в области кибербезопасности Линус Хенце опубликовал видео, в котором показывает дырявость macOS’овской программы Keychain Access, отвечающей за сохранность пользовательских паролей от различных сайтов и приложений. Хенце воспользовался так называемой уязвимостью нулевого дня, создал собственную программу и прочитал сохранённые в Keychain Access пароли.

Но дальше он вовсе не планирует сотрудничать с компанией и сообщать ей об обнаруженной уязвимости, ведь bug bounty программы для macOS у Apple нет. Яблоку остается либо создать прецедент переговоров с экспертом, либо-таки начать думать над программой. А если волнуетесь за пароли, добро пожаловать к нам, у нас и кросплатформенный продукт есть и bug bounty программа.

Collapse )

Ах! - Сент-Люсия, - Ах! (тем временем: Заход на Малые Антильские)

Северный полюс и Стремительные лыжницы, Панама и Канал - и это примерно только половина недавне финишированного путешествия. Что же было дальше по маршруту движения? Не исключаю, что многие из вас даже не знают названия этого независимого государства:

st-lucia-1

Collapse )

Из ноября в декабрь перелетая.

Продолжаю философские рассуждения о скомканном и растянутом времени, количестве свободных часов в часовых поясах, перелётах через пространства и о прочем туризме или его отсутствии.

На самом деле, часто бывает так, что смотришь на свой предстоящий график трудовых будней, заряжаешь фотоаппарат свежей батарейкой, надеешься на светлое будущее в туманных перспективах и весь такой светишься банальным оптимизмом. А потом, уже по завершении этого самого трудового забега - оглядываешься на промотанный кусок жизни и охреневаешь. Смотришь на это как... тут почему-то совершенно не к месту извилины мозга выдали: "как офигевший неандерталец на кроманьонца". К чему бы это? Спросите у Фрейда - это у меня почему такое проецируется вместо политически правильных ассоциаций?

Картинка за прошедший только что ноябрь-2017 получилась вот такой:

20171205_Infographic_trip_map2

Нравится? Мне тоже не очень. Ноябрь получился как-то вообще очень жёсткий. Если учитывать, что в Германии и Лондоне я за месяц был аж по два раза, да плюс два раза был в Москве... то получается, что в ноябре я сменил 11 стран пребывания. Похоже, что на этакий анти-рекорд тянет. И это не конец графика на этот год! Ещё почти весь декабрь впереди... ->

Следующая остановка: Китай, Учжэнь.

Collapse )

Лифт в интернете vs Интернет в лифте.

Я с огромным уважением отношусь к компании Schindler, мировому лидеру в лифтах и эскалаторах (когда в следующий раз будете подниматься или опускаться - обратите внимание на логотипчики производителя вашего транспортного средства). Так вот, компания эта достойно заслуживает всяческого ку, изучения и подражания. Но когда я вижу на выставке стенд компании с такими вот тезисами, то меня берёт озноб, мне становится некомфортно в окружающей действительности, а ещё дёргается левый глаз. К чему бы это?

post-29-0-45349300-1493063101

Особенно втыкают слоганы:
- How can I turn my elevator into a digital native?
- What is your elevator doing while you sleep?
- Can you meet your elevator online?


Если присмотреться - эти слоганы здесь отчётливо видно.

post-29-0-53871500-1493063343

Кому как, а мне немного боязно. Ведь сами понимаете, что ... Что лифт в интернете не так опасен, как интернет в лифте! Короче, вот вам всем кошмарики на ночь... Нет. Я хороший :) Пусть вам и никому сегодня ночью ни за что не приснится лифт из мультфильма "Три банана"!

А чтобы уж точно не приснилось, то вот ещё одна прекрасная лифтовая история:



А дело происходит на ежегодной мега-выставке индустриальных решений Hannover Messe. Тут всё про автоматизацию, производство, энергетику, роботов всяческих, запчасти редчайшие и прочую современную индустриальную магию. Вот как-то примерно так. О подробностях чуть позже завтра вечером (если повезёт).

Ай-да новости: о патчах, громе и мужиках.

"Тятя, тятя, наши сети притащили..." Да, уж, действительно, регулярно наши сети "притаскивают" на берег какие-нибудь непростые новости, от которых леденеет, седеет и даже иногда вызывает нервный смех и фейспалмы. Ну, что, готовы поулыбаться и пофейспалмить над уловом этой недели? Сегодня блюдо дня - уязвимости и разгильдяйство.

5s4kkZ1

1. Пока гром не грянет, мужик не.

На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть... (c)

Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее - насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи - пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.

Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых "популярных" векторов кибератак у серьёзных киберкриминальных/шпионских групп:

exploits_eng_2

Collapse )

Патентный паноптикум им.Дарвина – 3.

Кладезь патентной мудрости профильных ведомств разных стран не перестаёт удивлять и улыбать. Давече уважаемая публика правильно распознала в этой картинке

post-29-0-91912800-1488222376

иллюстрацию из выдающегося американского патента:

buttkick

А какой там сопроводительный текст! Зачитаться можно ->

The Butt kicker is very user friendly with the number of kicking repetitions, type of repetitions, speed of operation, amplitude or height of the kicking cycle, magnitude of the kicking force, and impact and energy of the kick all controlled by the user or operator. This invention is a new, novel, and unique machine with multiple uses, which range from amusement to fundraising and from motivation to discipline. The objectives of this invention are also many, including, but not limited to, teambuilding, self-therapy, to inspire creativity, and to be used as a model for future devices and works of art.

Кстати, тема волшебных автоматических пинков, оказывается весьма неплохо проработана в патентах. Вот какой ещё девайс удалось найти :)

patent-0

Вот такие вот совершенно загадочные патенты.

Мне немного непонятно вот что. Это там в америках вот такое качество проверки на патентную чистоту и новизну изобретений, или это просто такие гнусные лохматые тролли там работают?

Collapse )