Category: техника

ОБ ЭТОМ.

Это верхний пост, где рассказывается почему и зачем этот блог.

Всем привет!

Мне приходится много перемещаться по миру. По работе и из врождённого любопытства. Как оно в мире работается, отдыхается, путешествуется, а также мои личные впечатления от увиденного, услышанного, потроганного и попробованного - об этом и блог.

Впрочем, это не отменяет специальных постов про бизнес, технологии, патенты и прочее рабочее повседневное, когда просто невозможно не высказать своё мнение.

Кстати, о мнении. Это мой личный блог и мнения, выраженные здесь могут не совпадать с официальной позицией одноимённой компании. А могут и совпадать – как повезёт. Но, надеюсь, мои рассказы интересны и достаточно фотогеничны.

Рекомендуемое в блоге:


Топ-100 самых удивительных мест в мире

Лучшие, худшие и просто никакие аэропорты мира

Рассказы о моих путешествиях на Камчатку

Рассказы о моих путешествиях по Китаю

Рассказы о моих путешествиях в Китай

Экскурсии по офисам ЛК в разных странах мира

Мы и Феррари

Наши технологии защиты: популярно о сложном


Помимо Живого Журнала меня можно найти:








Книга посетителей, а также жалоб и предложений - в комментах к этой записи. Заходите, отмечайтесь. Мне будет интересно узнать кто читает мои рассказы.

Чёрный ящик и Иллюзия безопасности.

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. "Казалось бы" – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

1

"Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении"

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные "белые" хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем "монополию на исследования" в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что "в Багдаде всё спокойно". Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

2

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что "доступ независимых разработчиков к системе = потенциальный вектор атаки". Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять "монополию на исследования" и маркетинговую отстройку. По этой причине когда меня iпользователи спрашивают как им защищать свои устройства, то у меня единственный ответ: усердно молиться и уповать.

Аудит SOC 2 пройден!

Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!

ha

Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?

Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.

Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний "большой четверки" (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.

Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!

По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.

Всем привет из... :)

DSC02961

Ай-да новости: взлом в законе, дырявые SMS и неожиданное содержимое тюленя.

Мальчики и девочки, всем привет!

С вами наша регулярная рубрика «удивительное рядом» или выжимка самых интересных, абсурдных, громких IT-новостей и находок.

Японское правительство планирует взломать 200 млн IoT девайсов граждан. Это не заголовок из научной фантастики. Так японцы готовятся к проведению Олимпиады. Госслужащим законодательно разрешили взламывать гаджеты граждан любимым методом киберпреступников - подбором паролей. Обнаружив девайс со слабым паролем, госслужащие внесут его в специальный список небезопасных гаджетов, который передадут интернет-провайдеру, а владельца попросят сменить пароль. Делают это, чтобы проверить, хорошо ли защищены IoT устройства в стране и предотвратить их использование для атак на олимпийскую инфраструктуру. О методах защиты можно поспорить, но сам факт подготовки очень правильный. Напоминаю, что случилось на последних Играх у их соседей.

ss7-hacked-featured-1024x672

Эксперт в области кибербезопасности Линус Хенце опубликовал видео, в котором показывает дырявость macOS’овской программы Keychain Access, отвечающей за сохранность пользовательских паролей от различных сайтов и приложений. Хенце воспользовался так называемой уязвимостью нулевого дня, создал собственную программу и прочитал сохранённые в Keychain Access пароли.

Но дальше он вовсе не планирует сотрудничать с компанией и сообщать ей об обнаруженной уязвимости, ведь bug bounty программы для macOS у Apple нет. Яблоку остается либо создать прецедент переговоров с экспертом, либо-таки начать думать над программой. А если волнуетесь за пароли, добро пожаловать к нам, у нас и кросплатформенный продукт есть и bug bounty программа.

Collapse )

Очень Весёлая Гонка или Салам Баку!

Это была очень развесёлая гонка.

Таких выкрутасов вчера никто не ожидал. Особенно, вспоминая прошлый Гран-При в Баку, который был до одури сонный (как рассказывают очевидцы - меня здесь в прошлом году не было). А сейчас - огого как выступили! Такого подиума вообще никто предположить не мог.

Но обо всём по порядку.

"Salam Baku!", - как бы сказали зрители и участники.

DSC00704

"Ага, будет сейчас вам салам!", - как бы подготовил изгибы и закрытые повороты своих улиц Баку для участников и зрителей.

DSC00734

Collapse )

Патентный паноптикум им.Дарвина – 3.

Кладезь патентной мудрости профильных ведомств разных стран не перестаёт удивлять и улыбать. Давече уважаемая публика правильно распознала в этой картинке

post-29-0-91912800-1488222376

иллюстрацию из выдающегося американского патента:

buttkick

А какой там сопроводительный текст! Зачитаться можно ->

The Butt kicker is very user friendly with the number of kicking repetitions, type of repetitions, speed of operation, amplitude or height of the kicking cycle, magnitude of the kicking force, and impact and energy of the kick all controlled by the user or operator. This invention is a new, novel, and unique machine with multiple uses, which range from amusement to fundraising and from motivation to discipline. The objectives of this invention are also many, including, but not limited to, teambuilding, self-therapy, to inspire creativity, and to be used as a model for future devices and works of art.

Кстати, тема волшебных автоматических пинков, оказывается весьма неплохо проработана в патентах. Вот какой ещё девайс удалось найти :)

patent-0

Вот такие вот совершенно загадочные патенты.

Мне немного непонятно вот что. Это там в америках вот такое качество проверки на патентную чистоту и новизну изобретений, или это просто такие гнусные лохматые тролли там работают?

Collapse )

Тройная угадайка.

Ну что, поиграем ещё в угадайку?

Три вопроса:

1. Всем привет из... что это за аэропорт? (номера рейсов не гуглить!)

post-29-0-15203300-1475082874

2. И что это за гаджет такой (тот, что посередине :)?

post-29-0-09310600-1475082876
post-29-0-63046800-1475082878

3. А теперь угадайте кому я это устройство подарил?

Подсказка: все три вопроса логически связаны между собой и даже с предыдущим постом про 15-летие нашего польского офиса.

Самолётные ответы-2.

Внимание! Момент истины! Ответы на свежую пачку "самолётных" вопросов:

Вопрос 1. Самый длинный возможный перелёт коммерческими авиалиниями.
Победитель: rogonov
Ответ: Ховд (Монголия) - Улан-Батор - Токио - Мехико - Сантьяго - Пунта-Аренас - Фольклендские острова. 33 часа в воздухе, 6 сегментов.

Вопрос 2. Какие две вещи бросаются в глаза при просмотре фильмов 70/80-х годов?
Победитель: strawberryschoo
Правильный ответ: везде курят и ни у кого нет мобилы.

Вопрос 3. Почему в самолётах после взлёта раздают орешки?
- остался без ответа.

Победителей попрошу остаться в аудитории для получения ценных призов.

Ну, что, продолжим? :)

pic1q

Вопрос: что бы значила эта картинка и почему?

Collapse )

Cjdthityyj ctrhtnyj/

Как вы догадались из заголовка - сейчас речь пойдёт о криптографии.

Точнее - об очень полезных фичах нашего нового корпоративного продукта – полнодисковом и пофайловом шифровании. Предупреждаю сразу – здесь будет много специфической технологической информации, пусть и причёсано-разжёванной, но оттого не менее мозговыносящей. В общем, кому интересно по работе или ради расширения кругозора – читаем дальше. Если нет, то, например, познакомьтесь  с Новой Зеландией или Гавайями :)

Итак, шифрование.

Kaspersky Security для бизнеса

Collapse )

Призраки вирус-оперы или Ситхи Ассемблера.

Всем привет,

В мире случается много мероприятий по теме компьютерной безопасности. И выставка-конференция RSA - одна из важнейших в этом списке. Что это такое и зачем - рассказывать не буду, просто немного фоток окрестностей. Фотки сделаны за день до открытия, во время монтажа стендов - не всё еще готово, зато толпы народа не застилают пейзаж.

RSA Conference 2013

Collapse )