Мы - Супернет из Хрензнаде. У нас годовой доход недавно приблизился к Google ещё на 0.00000000000000000000000000000001%. Скоро наймём 50-го сотрудника (сейчас 24, но мы быстро растём). Нашей компании уже 4 года. На рынке о нас уже говорят. Пока что только на продуктовом, но мы работаем над этим. Средняя зарплата в компании >20% от рынка. Пока что только на продуктового, но мы работаем над этим. Так что, давайте нанимать людей как Google, у нас с ним столько общего...
яблоко - часть реквизита из древних ритуалов танцев с бубном. Ходят легенды, что название Apple - это не совсем для того, чтобы в списках, отсортированных по алфавиту на первой строке быть.
Демка по ссылке прикольная. Обрадовался, что она плавная на моём старом ноуте. Потом увидел, что это видео, а не "живая" демка. Красота, конечно, но толку, если будет жрать ресурсы (
Как флешку получили и воткнули, так её вынут и выкинут в окошко. Вот вам и данные "наруже".
Понятно, что, во-первых, как только флешка покидает компьютер, данные автоматически устаревают, но не все, а во-вторых, если попытка неудачная, то провернуть всё заново приходиться. Если учесть зондирование, разработку вектора, попытки атаки, получение результата, то тут можно спокойно на ровном месте пару лимонов и N времени абсолютно без гарантии прожечь. Много? Смотря для чего оно надо и кто платит.
Если уже совсем заморочиться, то можно использовать портативный роутер (сотовая связь), подключённый в локальную сеть. Особенно, если локальная сеть через Wi-Fi. Я не шарю в аппаратах, но уверен, что можно что-то такое замутить. Он будет просто лежать (висеть) в каком-то труднодоступном месте и вонять в сеть зашифрованные данные. Особенно эффективно, если ответственные за ИТ или за ИБ в частности, считают свою крепость неприступной из-за точно, что серый глобус перечеркнутый .
Какой-нибудь уборщик свой и всё. Занёс и меняет батарею раз в N времени. Или вообще подключить в электрическую сеть. Обыск пройти можно. Учитывая, что такой роутер может быть размером меньше, чем iPhone Х.
Сотовую связь можно отследить? Да, можно. Но этого не делают. По крайней мере, в моей сране, в Украине. Есть у зеков секретные телефоны. По регламенту у зеков не должно их быть, но кто прячет, кто взятку, кто как-то по-другому, но так или иначе, звонки проходят. Сам видел не один раз. Никто не следит.
Путей много, главное понимать, что ни одна система не является абсолютно безопасной.
видеокамера после "взлома" может показывать вам то, что вам видеть не положено. В америке, кстати, чуть строже с правами человека. У чиновников будут большие проблемы, если всплывут кадры, как нарушается законодательство. Особенно полит заключённых. Тут уже бесконечный запас для шантажа. Хотя таким мразям так и надо.
А вообще, на камерах видно всю тюрьму, караулы, смены, лица сотрудников и т. д. Если кто-то захочет "вызволить" товарища, то у него будет намного больше шансов.
Да, например, хотя бы не пороть гордый бред, когда вам открыто пишут про уязвимости. Если организаторы, простите, страдают хернёй, просаживают бюджеты на безопасность и оставляют служебные порты с голой жопой в интернет да ещё и неадекватно реагируют на отсчёты, то вы уж простите. Публикация привлечёт внимание вышестоящих властей и они прикажут то, что организатор мог сам исправить, но не хочет. Я уже молчу про какое-нибудь "спасибо". И даже не вспоминаю на копеечку, которая будет сэкономлена с того, что в день выборов какой-нибудь школьник (террористы) не набрал заветное "drop database" прямо в самый, как обычно, не подходящий момент.
Чувак, который решил потратить пять минут, чтобы потыкать новый сервис: проверю я служебные порты для отладки
Служебные порты для отладки: Привет, как дела? Не хочешь тут по базам полазить? Ты не напрягайся, тут всё по дефолту настроено. Что? Нет не спеши, мы будем тут ещё несколько месяцев открыты.
Ответственный за ИБ на сервисе: Наденьте шапочки из фольги, мы взлетаем!
Он хочет от вас типовое решение, как в миллионах других проектах, а вы ему продаёте месяц разработки, словно у вас нет никаких наработок.
Покажите мне "типовое решение" даже для банальной формы регистрации с полем для паспорта.
С одной стороны, глупо создавать Оптимуса Прайма для того, чтобы перевезти прицеп. С другой стороны глупо надеяться, что в стандартный грузовик сможет уничтожить Десиптикона.
Нужно понять, что нужно в итоге или что скорее всего понадобиться.
Например, были у меня отдельные приложения: мессенджер и вайтбоард. И решил я на днях добавить чат на вайтбоард.
Круто, добавили чат. А если туда зайдёт 10 000 000 пользователей одновременно? Вот такой поворот. Бизнесу нужна такая возможность. Что случиться? Ваша архитектура готова к этому испытанию? В смысле нет? Как! Ваши приложения выдерживают 10 пользователей? Ну, ок, добавим оперативки на серваки. Почему не поможет?
Статья не про конкретный технический кейс, а про заказчиков, которые не понимают за что платят. И не хотят понимать. Они заплатили $N и ожидают увидеть рыбу на столе.
Они платят, в конкретном кейсе, за адекватный фундамент для всего портала. Это упростит жизнь абсолютно всем. win-win-win ситуация. Бизнесу будет хороший и стабильный продукт, который можно дешево, легко и быстро доработать нужным функционалом. Разрабам будет хороший продукт , от которого не хочеться умереть, пока добавляешь "кнопочку вооон там". Пользователям будет хороший сервис, не лаганутый, доработанный, у которого нет утечек данных паспортов каждые N месяцев. Но для этого несбыточного рая нужно чтобы случилось немысленное. Нужно, чтобы бизнес заплатил немалые деньги за то, что он никогда не увидит явно. Да, потом все будут довольны, но сначала бизнесу нужно стать недовольным.
P.P.S забыли из стандартных - веб-дизайн, согласования, митинги, координации, правки, серьёзная аналитика безопасности (раз нужен паспорт при регистрации), тестирование и т. д. и т. п.
T-Mobile сталкивался с подобными утечками четвёртый год подряд.
Я, конечно, не знаю что там у них происходит, но пора-бы уже всерьез позаботиться про безопасность. Компания, которая, по сути, хранит данные и имеет >1000000 клиентов может позволить себе серьёзный отдел безопасности.
GitHub давно уже перестал быть простым хранилищем кода. Мне раз в несколько дней бот предлагает пулл-реквесты для устранения уязвимостей на основе устаревших зависимостей в моих проектах.. Столько заботы о моих заброшенных pet-проектах не проявляю даже я..
При покупке машины за $35к+ я, как меломан, заплачу хоть $5к за то, чтобы звук был что надо.
Завидовать им не стоит... Жизнь у них непростая...
Рано до гроксов, человек этап стран не прошел ещё
Файлы без бэкапа - это не важные файлы
яблоко - часть реквизита из древних ритуалов танцев с бубном. Ходят легенды, что название Apple - это не совсем для того, чтобы в списках, отсортированных по алфавиту на первой строке быть.
Чуваки из "банды Emotet" нарубили много капусты и имеют законное право на отпуск. Тратить то свои зеленые тоже надо время от времени.
Демка по ссылке прикольная. Обрадовался, что она плавная на моём старом ноуте. Потом увидел, что это видео, а не "живая" демка. Красота, конечно, но толку, если будет жрать ресурсы (
Морда кирпичом - самая мощная штука в мире. Во всех областях и сферах..
Как флешку получили и воткнули, так её вынут и выкинут в окошко. Вот вам и данные "наруже".
Понятно, что, во-первых, как только флешка покидает компьютер, данные автоматически устаревают, но не все, а во-вторых, если попытка неудачная, то провернуть всё заново приходиться. Если учесть зондирование, разработку вектора, попытки атаки, получение результата, то тут можно спокойно на ровном месте пару лимонов и N времени абсолютно без гарантии прожечь. Много? Смотря для чего оно надо и кто платит.
Если уже совсем заморочиться, то можно использовать портативный роутер (сотовая связь), подключённый в локальную сеть. Особенно, если локальная сеть через Wi-Fi.
Я не шарю в аппаратах, но уверен, что можно что-то такое замутить. Он будет просто лежать (висеть) в каком-то труднодоступном месте и вонять в сеть зашифрованные данные.
Особенно эффективно, если ответственные за ИТ или за ИБ в частности, считают свою крепость неприступной из-за точно, что серый глобус перечеркнутый .
Какой-нибудь уборщик свой и всё. Занёс и меняет батарею раз в N времени. Или вообще подключить в электрическую сеть. Обыск пройти можно. Учитывая, что такой роутер может быть размером меньше, чем iPhone Х.
Сотовую связь можно отследить? Да, можно.
Но этого не делают. По крайней мере, в моей сране, в Украине.
Есть у зеков секретные телефоны. По регламенту у зеков не должно их быть, но кто прячет, кто взятку, кто как-то по-другому, но так или иначе, звонки проходят. Сам видел не один раз. Никто не следит.
Путей много, главное понимать, что ни одна система не является абсолютно безопасной.
видеокамера после "взлома" может показывать вам то, что вам видеть не положено. В америке, кстати, чуть строже с правами человека. У чиновников будут большие проблемы, если всплывут кадры, как нарушается законодательство. Особенно полит заключённых. Тут уже бесконечный запас для шантажа. Хотя таким мразям так и надо.
А вообще, на камерах видно всю тюрьму, караулы, смены, лица сотрудников и т. д.
Если кто-то захочет "вызволить" товарища, то у него будет намного больше шансов.
потому, что людям в России вне тюрьмы не следует знать о том, что твориться внутри
Коротко о производительности:
Сейчас: (разработчики): "нам нужно, чтобы у пользователя было >16 гигов ОЗУ, новый движок не тянет"
Тогда: (тоже разработчики): "нам нужно вставить саундтрек весом 2кб, но в оперативки только 512б"
Да, например, хотя бы не пороть гордый бред, когда вам открыто пишут про уязвимости.
Если организаторы, простите, страдают хернёй, просаживают бюджеты на безопасность и оставляют служебные порты с голой жопой в интернет да ещё и неадекватно реагируют на отсчёты, то вы уж простите. Публикация привлечёт внимание вышестоящих властей и они прикажут то, что организатор мог сам исправить, но не хочет.
Я уже молчу про какое-нибудь "спасибо". И даже не вспоминаю на копеечку, которая будет сэкономлена с того, что в день выборов какой-нибудь школьник (террористы) не набрал заветное "drop database" прямо в самый, как обычно, не подходящий момент.
Разработчики гос портала: вот вам сервис
Чувак, который решил потратить пять минут, чтобы потыкать новый сервис: проверю я служебные порты для отладки
Служебные порты для отладки: Привет, как дела? Не хочешь тут по базам полазить? Ты не напрягайся, тут всё по дефолту настроено. Что? Нет не спеши, мы будем тут ещё несколько месяцев открыты.
Ответственный за ИБ на сервисе: Наденьте шапочки из фольги, мы взлетаем!
Покажите мне "типовое решение" даже для банальной формы регистрации с полем для паспорта.
С одной стороны, глупо создавать Оптимуса Прайма для того, чтобы перевезти прицеп.
С другой стороны глупо надеяться, что в стандартный грузовик сможет уничтожить Десиптикона.
Нужно понять, что нужно в итоге или что скорее всего понадобиться.
Круто, добавили чат. А если туда зайдёт 10 000 000 пользователей одновременно?
Вот такой поворот. Бизнесу нужна такая возможность. Что случиться? Ваша архитектура готова к этому испытанию? В смысле нет? Как! Ваши приложения выдерживают 10 пользователей? Ну, ок, добавим оперативки на серваки. Почему не поможет?
Статья не про конкретный технический кейс, а про заказчиков, которые не понимают за что платят. И не хотят понимать. Они заплатили $N и ожидают увидеть рыбу на столе.
Они платят, в конкретном кейсе, за адекватный фундамент для всего портала. Это упростит жизнь абсолютно всем. win-win-win ситуация. Бизнесу будет хороший и стабильный продукт, который можно дешево, легко и быстро доработать нужным функционалом. Разрабам будет хороший продукт , от которого не хочеться умереть, пока добавляешь "кнопочку вооон там". Пользователям будет хороший сервис, не лаганутый, доработанный, у которого нет утечек данных паспортов каждые N месяцев. Но для этого несбыточного рая нужно чтобы случилось немысленное.
Нужно, чтобы бизнес заплатил немалые деньги за то, что он никогда не увидит явно.
Да, потом все будут довольны, но сначала бизнесу нужно стать недовольным.
P.P.S забыли из стандартных - веб-дизайн, согласования, митинги, координации, правки, серьёзная аналитика безопасности (раз нужен паспорт при регистрации), тестирование и т. д. и т. п.
Я, конечно, не знаю что там у них происходит, но пора-бы уже всерьез позаботиться про безопасность.
Компания, которая, по сути, хранит данные и имеет >1000000 клиентов может позволить себе серьёзный отдел безопасности.
Короче, как всегда, если вы не совсем овошЪ и додумались поставить пароль не "12345678", и двухфакторную авторизацию, то всё ок
GitHub давно уже перестал быть простым хранилищем кода. Мне раз в несколько дней бот предлагает пулл-реквесты для устранения уязвимостей на основе устаревших зависимостей в моих проектах.. Столько заботы о моих заброшенных pet-проектах не проявляю даже я..