Страницы

Администрация Сочи собирает ПДн банковских работников


Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
 

Мой ответ гражданке Гандалоевой:

Этот забавный TCP/IP


TCP/IP - это весьма любопытная штука. Все современные системы используют этот стэк (и особо не задумываются о переходе на IPv6, к слову), при этом в нём много атавизмов, по которым можно прямо проследить историю развития стэка и представить те далёкие задачи, которые ставили перед собой авторы.
Наверное, где-то есть музей TCP/IP (или Unix), где можно послушать байки тех времен. Я бы хотел в него попасть.

Позиция ЦБ по поводу банковской тайны в облаках


Задал вопрос регулятору "можно ли обрабатывать банковскую тайну в облаках?".

Получил ответ "мы не против, но в России".

Но что нужно ещё иметь ввиду:

  • п.1.2 397-П "Кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации."
  • п.7.7.3 СТО БР ИББС-1.0-2014 "СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2."

Т.е. облако подойдёт только отечественное. Ну и канал должен быть закрыт ГОСТом (тут, наверное, можно поспорить, но лучше не надо).

Вообще, конечно, ЦБ следует взяться за облака и выпустить РСку. Важный ведь вопрос.

Форк Ethereum Classic

Умный контракт - это скрипт, который может управлять деньгами. 
По настоящему интересным инструментом умный контракт делает платформа, которая обеспечивает его работу. Блокчейн децентрализован физически, политически и технологически, ДДоС-устойчив, даёт неотказуемость и временные метки за счёт использования стойкой криптографии. Не удивительно, что блокчейну пророчат межбанковский обмен ("замена SWIFT"), государственные реестры, сети кредитования, самоуправляемые организации и т.д. Возможности связки блокчейн+умные контракты, действительно, интересные.

Alternate Data Streams в NTFS


ADS - встроенная фишка файловой системы NTFS, которую никак нельзя выключить.

Пакет Яровой и несертифицированные средства шифрования

Путин получает ключи шифрования от Бортникова

Пакет Яровой сегодня обрёл форму двух законов - 374-ФЗ и 375-ФЗ.

Меня заинтересовали изменения, которые 374-ФЗ вносит в статью 13.6 (остальные все изменения уже разложены по полочкам в других местах, а новую редакцию ст. 13.6 КоАП как-то обходят мимо).

Новые требования к лицензиатам ФСТЭК

Пробежался по новому ПП541, которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.

Изменения существенные.

3 биткоин-транзакции в секунду

Строить нагруженные блокчейны тяжело. Особенно децентрализованные системы, опирающиеся на схему Proof-of-Work (майнинг).

При всех миллиардах капитализации, пропускная способность сети биткоин сегодня составляет... 3-4 транзакции в секунду (см. Mempool Stats https://tradeblock.com/bitcoin)!
При этом в отдельные дни в очереди может стоять 30 000 транзакций. Учитывая среднее время майнинга блока (10 минут) и среднее количество транзакций в блоке (2000), только чтобы разгребсти очередь может уйти несколько часов. На практике десятки тысяч транзакций просто не попадают в блокчейн в моменты пиковых нагрузок.
Происходит это потому, что транзакции в сети соревнуются за право быть записанными в блок. Выигрывают те транзакции, цена комиссии за байт у которых больше, чем у других.
Стандартный клиент Bitcoin Core не умеет подбирать оптимальный размер комиссий, поэтому с использованием bitcoin в рознице могут быт проблемы. Проблемы могут быть и со всем остальным, типа "умных контрактов", "цветных монет", "блокчейн нотаризации" и т.д., если софт будет опираться на рекомендованный размер комиссии в bitcoin core.
Предсказать оптимальный размер комиссии для включения в блок можно, к примеру, с помощью сайта http://bitcoinfees.21.co/.

В общем, биткоин блокчейн сейчас уперся в серьезное бутылочное горлышко, которое не преодолеть без радикальных изменений в архитектуре. И лично для меня вопрос, способно ли достаточно разрозненное сообщество разработчиков к таким изменениям.

PS Запретить биткоин в России - значит лишить нашу страну лучшего полигона для обкатки технологий блокчейна и наступать на все грабли самим.

За что я не люблю MaxPatrol

14 уязвимостей всех цветов радуги: 2 критических, 8 средних и 4 низких.


Впечатлительный человек, прочитав такой отчёт, скажет точно "всё пропало" и пойдет сносить головы ибшникам/айтишникам за то, что допустили 14 дыр во внутреннем продакшн сервере.

Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".

3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".

Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?

Береги лицо смолоду

Все мы помним историю про то, как массовики-затейники с двача использовали findface для поиска порноактрис, да? Так вот они ещё сделали сайт, на котором ведут учёт находкам.
Самое веселое на этом сайте - это точные цитаты с сайта Роскомнадзора про обработку сведений из публичных аккаунтов соц.сетей:

Обзор Facebook ThreatExchange


Тема Threat Intelligence (коротко TI) сейчас достаточно неплохо подогрета, однако, как это часто бывает, под модным термином порой понимают совершенно разные вещи.

Чаще всего под TI понимают какую-нибудь платную или бесплатную новостную рассылку о новых уязвимостях.  Качество такой рассылки очень разное. Одни засовывают в неё "брендированные" уязвимости типа MagicTragic или BadLock и CVE (так делают многие вендоры, которые стараются поспевать за модными трендами), другие делятся содержимым закрытых кардерских форумов и свежими таргетированными троянами (так делает, к примеру, Касперский).

Facebook вот пошел по своему пути - они сделали базу "индикаторов угроз" - разнообразных признаков совершения кибератаки. Новость про "базу уязвимостей" от Facebook полтора года назад облетела все интернеты, но в итоге никто так и не удосужился толком написать, что же это такое. Вот, восполняю пробел.

О роли блогера по ИБ


Блогер - это не сетевой журналист. второй беспристрастно излагает факты, изредка и в ограниченном объеме приправляя их собственными суждениями, направленными на воспитание в аудитории любви к просвещению. Блогер же пишет про свою жизнь (помним, да? блогер -> блог -> био-лог -> "журнал событий жизни"). Поэтому и обращается он не к аудитории,  а как бы к самому себе воображаемому или будущему.
А самому себе врать нельзя. Никогда. Поэтому блогер пишет правду. Хреновый продукт? Так и пишет - хреновый продукт. Не удалась конференция? Ну бывает, не удалась. Задолбали "негодяи в кабинетах из кожи", которые только и думают как накопать бабла из любого высера бешенного принтера? Хоп, и блогер выкладывает зеродеи, забив на этику (ибо этику придумали всё те же негодяи чтобы насолить хорошим парням).

Роль блогера - вывернуть кулуары ИБ штанов, пусть смотрят, не жалко. У журналистов факты ценнее мнения (по крайней мере у хороших журналистов), у блогера же все наоборот: факты вторичны, а вот куда их засунуть чтобы получились правильная картина мира - вот это и есть самое важное,  за что блогеров и нужно боятся.

Шифруется ли ваша корпоративная почтовая пересылка?

Всё достаточно сложно.

End-to-end в корпоративной природе встречается крайне редко. PGP(GPG) используется от случая к случаю, шифрование S/MIME в MS Outlook реализовать можно, но вот люди с Аутлуком для Мака и мобильной почтой письмо прочитать не смогут. Был классный проект по реализации p2p шифрования в браузере для Gmail, но там что-то тихо уже несколько лет.

Поэтому удачных реализаций p2p шифрования в корпоративной почте нет, но с шифрованием канала ситуация получше: есть шифрование для плеча клиент-сервер (https или галка в настройках Аутлука "Encrypt data between MS Outlook and MS Exchange") и шифрование сервер-сервер (TLS). Большинство почтовых продуктов сегодня идет с включенным шифрованием канала по-умолчанию, что положительно сказывается на доле шифрованных писем в общем трафике.

Еще раз про wi-fi в телефоне и в метро

Бесплатный вайфай бывает только в макдонналдсе. Но в отличие от мака, в метро не торгуют пересоленными полуфабрикатами, а зарабатывают на ваших интересах. MosMetro_free показывает вам рекламу, попутно экспериментируя с альтернативным использованием собранных метаданных (см. картинку выше).

Проблема в том, что наши телефоны льют нашу метадату без спроса и ведома, дай им только добраться до вайфая (хотя что ещё ждать от бесплатной операционной системы, разработанной компанией, зарабатывающей миллиарды долларов на таргетированной рекламе, правда ведь?).

Пару трюков с MS Office

Сравнение двух файлов в Microsoft Excel

Включаем панель Inquire

on the File tab, choose Options.
In the Excel Options dialog box, click Add-Ins.
In the Manage list, choose COM Add-ins, and then click Go.
The COM Add-ins dialog box appears.
Select Inquire, and then click OK.
Excel now displays an Inquire tab.

Про бумажные базы персональных данных

1. Картотека бумажных документов с ПДнами  = "база данных"
2. Сбор ПДн можно организовывать сначала в картотеку
3. Из картотеки передавать ПДны можно напрямую заграницу

то есть подписываем бумажный договор с клиентом, складываем в стопочку, вбиваем ПДны клиента в иностранный SAP/Salesforce/кудаугодно.

Бонусом:
ПДны достаточно "локализовать" один раз. Если они локализованы в одной системе, в других их можно собирать сразу за рубежом.