Прислали ответ краснодарского РКН по поводу массового незаконного сбора ПДн работников сочинских банков.
Читайте и наслаждайтесь :)
Администрация Сочи собирает ПДн банковских работников
Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
Мой ответ гражданке Гандалоевой:
Стал CEH
Да, именно так и выглядят хакеры на самом деле
Сдал экзамен EC-counsil 312-50 Certified Ethical Hacker, CEH v9.
Этот забавный TCP/IP
TCP/IP - это весьма любопытная штука. Все современные системы используют этот стэк (и особо не задумываются о переходе на IPv6, к слову), при этом в нём много атавизмов, по которым можно прямо проследить историю развития стэка и представить те далёкие задачи, которые ставили перед собой авторы.
Наверное, где-то есть музей TCP/IP (или Unix), где можно послушать байки тех времен. Я бы хотел в него попасть.
Позиция ЦБ по поводу банковской тайны в облаках
Задал вопрос регулятору "можно ли обрабатывать банковскую тайну в облаках?".
Получил ответ "мы не против, но в России".
Но что нужно ещё иметь ввиду:
- п.1.2 397-П "Кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации."
- п.7.7.3 СТО БР ИББС-1.0-2014 "СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2."
Вообще, конечно, ЦБ следует взяться за облака и выпустить РСку. Важный ведь вопрос.
Форк Ethereum Classic
Умный контракт - это скрипт, который может управлять деньгами.
По настоящему интересным инструментом умный контракт делает платформа, которая обеспечивает его работу. Блокчейн децентрализован физически, политически и технологически, ДДоС-устойчив, даёт неотказуемость и временные метки за счёт использования стойкой криптографии. Не удивительно, что блокчейну пророчат межбанковский обмен ("замена SWIFT"), государственные реестры, сети кредитования, самоуправляемые организации и т.д. Возможности связки блокчейн+умные контракты, действительно, интересные.
Пакет Яровой и несертифицированные средства шифрования
Путин получает ключи шифрования от Бортникова
Пакет Яровой сегодня обрёл форму двух законов - 374-ФЗ и 375-ФЗ.
Меня заинтересовали изменения, которые 374-ФЗ вносит в статью 13.6 (остальные все изменения уже разложены по полочкам в других местах, а новую редакцию ст. 13.6 КоАП как-то обходят мимо).
Новые требования к лицензиатам ФСТЭК
Пробежался по новому ПП541, которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.
Изменения существенные.
Изменения существенные.
3 биткоин-транзакции в секунду
Строить нагруженные блокчейны тяжело. Особенно децентрализованные системы, опирающиеся на схему Proof-of-Work (майнинг).
При всех миллиардах капитализации, пропускная способность сети биткоин сегодня составляет... 3-4 транзакции в секунду (см. Mempool Stats https://tradeblock.com/bitcoin)!
При этом в отдельные дни в очереди может стоять 30 000 транзакций. Учитывая среднее время майнинга блока (10 минут) и среднее количество транзакций в блоке (2000), только чтобы разгребсти очередь может уйти несколько часов. На практике десятки тысяч транзакций просто не попадают в блокчейн в моменты пиковых нагрузок.
Происходит это потому, что транзакции в сети соревнуются за право быть записанными в блок. Выигрывают те транзакции, цена комиссии за байт у которых больше, чем у других.
Стандартный клиент Bitcoin Core не умеет подбирать оптимальный размер комиссий, поэтому с использованием bitcoin в рознице могут быт проблемы. Проблемы могут быть и со всем остальным, типа "умных контрактов", "цветных монет", "блокчейн нотаризации" и т.д., если софт будет опираться на рекомендованный размер комиссии в bitcoin core.
Предсказать оптимальный размер комиссии для включения в блок можно, к примеру, с помощью сайта http://bitcoinfees.21.co/.
В общем, биткоин блокчейн сейчас уперся в серьезное бутылочное горлышко, которое не преодолеть без радикальных изменений в архитектуре. И лично для меня вопрос, способно ли достаточно разрозненное сообщество разработчиков к таким изменениям.
PS Запретить биткоин в России - значит лишить нашу страну лучшего полигона для обкатки технологий блокчейна и наступать на все грабли самим.
При всех миллиардах капитализации, пропускная способность сети биткоин сегодня составляет... 3-4 транзакции в секунду (см. Mempool Stats https://tradeblock.com/bitcoin)!
При этом в отдельные дни в очереди может стоять 30 000 транзакций. Учитывая среднее время майнинга блока (10 минут) и среднее количество транзакций в блоке (2000), только чтобы разгребсти очередь может уйти несколько часов. На практике десятки тысяч транзакций просто не попадают в блокчейн в моменты пиковых нагрузок.
Происходит это потому, что транзакции в сети соревнуются за право быть записанными в блок. Выигрывают те транзакции, цена комиссии за байт у которых больше, чем у других.
Стандартный клиент Bitcoin Core не умеет подбирать оптимальный размер комиссий, поэтому с использованием bitcoin в рознице могут быт проблемы. Проблемы могут быть и со всем остальным, типа "умных контрактов", "цветных монет", "блокчейн нотаризации" и т.д., если софт будет опираться на рекомендованный размер комиссии в bitcoin core.
Предсказать оптимальный размер комиссии для включения в блок можно, к примеру, с помощью сайта http://bitcoinfees.21.co/.
В общем, биткоин блокчейн сейчас уперся в серьезное бутылочное горлышко, которое не преодолеть без радикальных изменений в архитектуре. И лично для меня вопрос, способно ли достаточно разрозненное сообщество разработчиков к таким изменениям.
PS Запретить биткоин в России - значит лишить нашу страну лучшего полигона для обкатки технологий блокчейна и наступать на все грабли самим.
За что я не люблю MaxPatrol
14 уязвимостей всех цветов радуги: 2 критических, 8 средних и 4 низких.
Впечатлительный человек, прочитав такой отчёт, скажет точно "всё пропало" и пойдет сносить головы ибшникам/айтишникам за то, что допустили 14 дыр во внутреннем продакшн сервере.
Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".
3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".
Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?
Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".
3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".
Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?
Береги лицо смолоду
Все мы помним историю про то, как массовики-затейники с двача использовали findface для поиска порноактрис, да? Так вот они ещё сделали сайт, на котором ведут учёт находкам.
Самое веселое на этом сайте - это точные цитаты с сайта Роскомнадзора про обработку сведений из публичных аккаунтов соц.сетей:
Самое веселое на этом сайте - это точные цитаты с сайта Роскомнадзора про обработку сведений из публичных аккаунтов соц.сетей:
Обзор Facebook ThreatExchange
Тема Threat Intelligence (коротко TI) сейчас достаточно неплохо подогрета, однако, как это часто бывает, под модным термином порой понимают совершенно разные вещи.
Чаще всего под TI понимают какую-нибудь платную или бесплатную новостную рассылку о новых уязвимостях. Качество такой рассылки очень разное. Одни засовывают в неё "брендированные" уязвимости типа MagicTragic или BadLock и CVE (так делают многие вендоры, которые стараются поспевать за модными трендами), другие делятся содержимым закрытых кардерских форумов и свежими таргетированными троянами (так делает, к примеру, Касперский).
Facebook вот пошел по своему пути - они сделали базу "индикаторов угроз" - разнообразных признаков совершения кибератаки. Новость про "базу уязвимостей" от Facebook полтора года назад облетела все интернеты, но в итоге никто так и не удосужился толком написать, что же это такое. Вот, восполняю пробел.
В Европе новое законодательство по защите ПДн
В Европе обновили законодательство в области обработки ПДн: General Data Protection Regulation. Ознакомиться можно тут.
О роли блогера по ИБ
А самому себе врать нельзя. Никогда. Поэтому блогер пишет правду. Хреновый продукт? Так и пишет - хреновый продукт. Не удалась конференция? Ну бывает, не удалась. Задолбали "негодяи в кабинетах из кожи", которые только и думают как накопать бабла из любого высера бешенного принтера? Хоп, и блогер выкладывает зеродеи, забив на этику (ибо этику придумали всё те же негодяи чтобы насолить хорошим парням).
Роль блогера - вывернуть кулуары ИБ штанов, пусть смотрят, не жалко. У журналистов факты ценнее мнения (по крайней мере у хороших журналистов), у блогера же все наоборот: факты вторичны, а вот куда их засунуть чтобы получились правильная картина мира - вот это и есть самое важное, за что блогеров и нужно боятся.
Роль блогера - вывернуть кулуары ИБ штанов, пусть смотрят, не жалко. У журналистов факты ценнее мнения (по крайней мере у хороших журналистов), у блогера же все наоборот: факты вторичны, а вот куда их засунуть чтобы получились правильная картина мира - вот это и есть самое важное, за что блогеров и нужно боятся.
Семинар AEB про блокчеин
В конце марта в Ассоциации Европейского Бизнеса прошел семинар про блокчейн.
Шифруется ли ваша корпоративная почтовая пересылка?
Всё достаточно сложно.
End-to-end в корпоративной природе встречается крайне редко. PGP(GPG) используется от случая к случаю, шифрование S/MIME в MS Outlook реализовать можно, но вот люди с Аутлуком для Мака и мобильной почтой письмо прочитать не смогут. Был классный проект по реализации p2p шифрования в браузере для Gmail, но там что-то тихо уже несколько лет.
Поэтому удачных реализаций p2p шифрования в корпоративной почте нет, но с шифрованием канала ситуация получше: есть шифрование для плеча клиент-сервер (https или галка в настройках Аутлука "Encrypt data between MS Outlook and MS Exchange") и шифрование сервер-сервер (TLS). Большинство почтовых продуктов сегодня идет с включенным шифрованием канала по-умолчанию, что положительно сказывается на доле шифрованных писем в общем трафике.
End-to-end в корпоративной природе встречается крайне редко. PGP(GPG) используется от случая к случаю, шифрование S/MIME в MS Outlook реализовать можно, но вот люди с Аутлуком для Мака и мобильной почтой письмо прочитать не смогут. Был классный проект по реализации p2p шифрования в браузере для Gmail, но там что-то тихо уже несколько лет.
Поэтому удачных реализаций p2p шифрования в корпоративной почте нет, но с шифрованием канала ситуация получше: есть шифрование для плеча клиент-сервер (https или галка в настройках Аутлука "Encrypt data between MS Outlook and MS Exchange") и шифрование сервер-сервер (TLS). Большинство почтовых продуктов сегодня идет с включенным шифрованием канала по-умолчанию, что положительно сказывается на доле шифрованных писем в общем трафике.
Еще раз про wi-fi в телефоне и в метро
Бесплатный вайфай бывает только в макдонналдсе. Но в отличие от мака, в метро не торгуют пересоленными полуфабрикатами, а зарабатывают на ваших интересах. MosMetro_free показывает вам рекламу, попутно экспериментируя с альтернативным использованием собранных метаданных (см. картинку выше).
Проблема в том, что наши телефоны льют нашу метадату без спроса и ведома, дай им только добраться до вайфая (хотя что ещё ждать от бесплатной операционной системы, разработанной компанией, зарабатывающей миллиарды долларов на таргетированной рекламе, правда ведь?).
Проблема в том, что наши телефоны льют нашу метадату без спроса и ведома, дай им только добраться до вайфая (хотя что ещё ждать от бесплатной операционной системы, разработанной компанией, зарабатывающей миллиарды долларов на таргетированной рекламе, правда ведь?).
Пару трюков с MS Office
Сравнение двух файлов в Microsoft Excel
Включаем панель Inquireon the File tab, choose Options.
In the Excel Options dialog box, click Add-Ins.
In the Manage list, choose COM Add-ins, and then click Go.
The COM Add-ins dialog box appears.
Select Inquire, and then click OK.
Excel now displays an Inquire tab.
Про бумажные базы персональных данных
1. Картотека бумажных документов с ПДнами = "база данных"
2. Сбор ПДн можно организовывать сначала в картотеку
3. Из картотеки передавать ПДны можно напрямую заграницу
то есть подписываем бумажный договор с клиентом, складываем в стопочку, вбиваем ПДны клиента в иностранный SAP/Salesforce/кудаугодно.
Бонусом:
ПДны достаточно "локализовать" один раз. Если они локализованы в одной системе, в других их можно собирать сразу за рубежом.
2. Сбор ПДн можно организовывать сначала в картотеку
3. Из картотеки передавать ПДны можно напрямую заграницу
то есть подписываем бумажный договор с клиентом, складываем в стопочку, вбиваем ПДны клиента в иностранный SAP/Salesforce/кудаугодно.
Бонусом:
ПДны достаточно "локализовать" один раз. Если они локализованы в одной системе, в других их можно собирать сразу за рубежом.
Подписаться на:
Сообщения (Atom)