Все люди делятся на две категории: те, кто еще не делает бэкапы, и те, кто уже делает бэкапы.

Говорить о важности резервного копирования данных и о рисках, связанных с отсутствием такового, считаю излишним. Думаю, в этом вопросе все будут солидарны – резервные копии нужны!

В мнении по этому вопросу, к нам присоединились и правительство со своей карающей дланью, и регулирующие органы в области защиты информации. Все мы помним требования законодательства, озвученны в 17-м, 21-м и 31-м Приказах ФСТЭК. Так же регуляторами кредитно-финансовой сферы сформированы требования к резервированию и резервному копированию.

А с 1 января 2018 года к ним добавится (вступит в действие) и Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который нам так же говорит, что одной из четырех «Основных задач системы безопасности значимого объекта критической информационной инфраструктуры является:» «восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации».

Таким образом, данными требованиями охвачены фактически юрлица во всех сферах. А что у нас большего всего любят регуляторы?

Мы не будем выступать на стороне защитников bitcoin или их противников. Мы просто сравним биткоин с продукцией Apple, национальными валютами и золотом. Выводы о том, какое место займет биткоин в будущем каждый сможет сделать сам.

Деньги — специфический товар, обладающий наивысшей ликвидностью, служащий измерителем стоимости других товаров и услуг. Одна из функций денег — роль посредника при обмене одних благ на другие.

Для начала из этого определения возьмем следствие о возможности сравнивать наборы товаров по ликвидности и делать выводы о наибольшей способности специфического товара стать или являться деньгами.

Bitcoin vs iPhone X

Ранее мы уже писали о том, что Роскомнадзор пригрозил заблокировать Facebook и об итогах проверок выполнения требований, связанных с локализацией персональных данных. Прошедший месяц ведомство не бездействовало, поэтому сегодня мы хотели бы акцентировать внимание сообщества на нескольких новостях.

В России вступил в силу закон об анонимайзерах

С 1 ноября в России вступают в силу поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации», которые определяют обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

Исполнение новых норм Федерального закона осуществляются на основании обращения в Роскомнадзор федерального органа исполнительной власти, осуществляющего оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, т.е. МВД и ФСБ.

К обязанностям владельцев VPN-сервисов и «анонимайзеров» относится ограничение доступа к запрещенным в Российской Федерации интернет-ресурсам. Данная норма так же распространяется на операторов поисковых систем.



Требования закона не распространяются на операторов государственных информационных систем, государственные органы и органы местного самоуправления, а также на случаи использования «анонимайзеров» и сервисов VPN при условии, что круг пользователей заранее определен их владельцами и использование таких ПО осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование, например, в банковской деятельности или прочие корпоративные сети.

Что такое аутентификация электронной почты?

На протяжении большей части последних 40 лет пользователям приходилось совершать прыжок веры каждый раз, когда они открывали электронную почту. Считаете ли вы, что письмо действительно приходит от того, кто указан в графе отправителя? Большинство легко ответит «да» и на самом деле очень удивится, узнав как легко подделать электронную почту почти от любого отправителя.

При создании Интернета изначально не было разработано никакой возможности проверить личность отправителя. Во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.

Результатом является то, что заголовки писем, включая поля «From: » и «Reply-to: », очень легко подделать. В некоторых случаях это так же просто, как набрать «john@company.com» в поле «From: ». Объединив это с неподозрительным содержанием, убедительной графикой и форматированием, вполне возможно обмануть людей, подумавших, что сообщение в их почтовом ящике действительно пришло от банка, ФНС, руководителя или президента США.



Приняв во внимание повсеместное распространение электронной почты, вы осознаете основу нашего нынешнего кризиса информационной безопасности. Слабость в электронной почте привела к массе фишинговых атак, направленных на то, чтобы заставить людей нажимать на вредоносные ссылки, загружать и открывать вредоносные файлы, отправлять форму W-2 (аналог 2-НДФЛ в США) или переводить средства на счета преступников.

Как менеджер-гуманитарий, вы понимаете, что разработчики — новый вид, живущий в офисах по всему миру. Они часто нуждаются в вашей помощи, когда речь идет о социальном взаимодействии с другими Homo sapiens. Руководитель-непрограммист может использовать этот набор «лучших практик», если хочет эффективно испортить свои отношения с разработчиками.

1. Начинайте говорить с разработчиком, только когда он в наушниках

Все мы знакомы с этим странным поведением. Общей отличительной чертой всех разработчиков является то, что они интроверты. Когда они надевают наушники, они сигнализируют вам, что им надоела их текущая работа и срочно требуется социальное взаимодействие. Не заставляйте разработчика ждать слишком долго и поторопитесь к нему со свежими офисными сплетнями или новеньким багом в софте.

VMware vCloud Director (vCD) — проверенное решение, которое помогает провайдерам облачных услуг предоставлять услуги множественной аренды IT-инфраструктуры (Multi-Tenant Infrastructure-as-a-service, IaaS). vCloud Director предлагает решение для гибридных облаков «под ключ» в инфраструктуре vSphere. Какими новыми возможностями расширен функционал портала «самообслуживания» (Tenant portal) vCloud Director версии 9.0, который вышел на днях?

Улучшенный пользовательский интерфейс

Полностью обновлённый пользовательский интерфейс на HTML5 ориентирован на упрощение использования облака арендаторами. Веб-консоль, работающая на технологии Adobe Flex, по-прежнему доступна. Чтобы получить доступ к новому пользовательскому интерфейсу арендатора, пользователям необходимо войти в систему с URL-адресом:

https://{vCD _URP_IP}/Tenant/{organization_name}

Ключевые процессы клиентов, такие как создание экземпляров vApp, развертывание новых виртуальных машин, изменение сетевой топологии и прочие, были переработаны с целью повышения простоты и эффективности. К примеру, новую виртуальную машину теперь можно создать на одном экране интерфейса с несколькими опциями, ранее для этого требовалось семь шагов.


Демонстрация возможностей vCloud Director 9.0 HTML 5 Tenant Portal

Кевин Келли— сооснователь и главный редактор журнала Wired, визионер, автор книг «Новые правила для новой экономики» (New Rules for the New Economy) и «Вне контроля» (Out of Control).

Описать 100 лет будущего в 100 словах — интересная и творческая задача была поставлена перед широкой аудиторией Интернета около 3 лет назад. Сегодня мы публикуем вольный перевод статьи Кевина Келли об итогах конкурса, и также мы решили провести свой конкурс среди читателей. Главным призом в нашем случае станет приглашение на Хабрахабр. Полные правила конкурса можно найти в конце статьи.

Хокку о желанном будущем

Недавно я разместил твит-конкурс и получил 23 ответа, которые я публикую (с разрешения) ниже. Я расскажу вам, кого я выбрал в качестве победителя чуть позже, но сначала я хотел бы поделиться в вами тем, что я понял.

Сжатие чего-либо столь же размытого и неопределённого, как будущее в 100 слов — это тяжелое задание. Почти как писать стихи. Будущее через 100 лет настолько далеко от нас, что нам придётся его выдумать. Но самая непростая часть — вообразить желаемый сценарий.

Атака на цепи поставок или атака с эксплуатацией доверия к сторонней организации (supply-chain attacks) — очень эффективный способ распространения вредоносного программного обеспечения в целевые организации. Это связано с тем, что при атаках на цепи поставок злоумышленники пользуются доверительными отношениями между производителем/поставщиком и клиентом, чтобы атаковать организации и отдельных лиц по различным мотивам. Червь Petya/Nyetya/NePetya, который был выпущен в сеть в начале 2017 года, показал насколько масштабны эти типы атак. Часто, как и в случае с Petya, исходный вектор атаки может оставаться скрытым в течение некоторого времени.

Недавно исследователи Talos заметили случай, когда серверы загрузки, используемые компанией-разработчиком для распространения легитимного пакета программного обеспечения, были использованы для загрузки вредоносного ПО на компьютеры ничего неподозревающих жертв. В течение некоторого периода версия CCleaner 5.33, распространяемая Avast, содержала многоступенчатую вредоносную нагрузку. 5 миллионов новых пользователей загружают CCleaner в неделю. Учитывая потенциальный ущерб, который может быть вызван сетью зараженных компьютеров подобного размера, решено было действовать быстро. 13 сентября 2017 года Cisco Talos уведомила Avast. В следующих разделах будут обсуждаться конкретные детали, касающиеся этой атаки.

Технические подробности

Не далее, как 1-го сентября Роскомнадзор опубликовал итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России. Полная версия статьи находится по адресу: https://rkn.gov.ru/news/rsoc/news49466.htm

С момента реализации Федерального закона №242-ФЗ сотрудниками Роскомнадзора проведено 2256 плановых проверок, 192 внеплановые проверки и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений.

Итак, о чем пойдет речь? Да, про пресловутый ФЗ №242. Попытаемся ответить на наиболее типичные вопросы, и попытаемся ответить на вопрос: "А что делать, чтоб не попасть в эти проценты?"

Для тех, кто не в курсе — под катом краткий FAQ.

15 сентября 2015 года был официально опубликован стандарт ISO 9001:2015. Почти сразу же стала доступна сертификация систем менеджмента качества на соответствие этой версии стандарта. ISO 9001:2008 будет действовать до сентября 2018 года, а это значит, что для организаций, которые хотят сохранить сертификацию систем менеджмента качества по стандарту ISO 9001, но ещё не перешли на неё, остался только один год для модернизации существующей системы. Но давайте начнём по порядку, а в качестве простого примера иногда будем размышлять о процессе транспортировки воды по трубе, чтобы тема статьи была понятна даже далёкому от менеджмента читателю.

Вектор атаки BlueBorne может потенциально повлиять на все устройства с Bluetooth, количество которых сегодня оценивается более чем в 8,2 миллиарда. Bluetooth является ведущим и наиболее распространенным протоколом для ближней связи и используется всеми устройствами — от обычных компьютеров и мобильных до IoT-устройств, таких как телевизоры, часы, автомобили и медицинские приборы.

Итак, в чём проблема? Bluetooth сложный. Эта чрезмерная сложность является прямым следствием огромной работы, которая была проведена при создании спецификации Bluetooth. Чтобы проиллюстрировать это отметим, что, в то время как спецификация WiFi (802.11) умещается на 450 страницах, объём спецификации Bluetooth достигает 2822 страниц. Результатом непрозрачности является большое количество уязвимостей, о части из которых мы расскажем в этой статье.

Спецификация Bluetooth имеет не менее 4 разных уровней фрагментации, как показано на диаграмме, взятой из спецификации:

Обзор BlueBorne

Согласно недавнему исследованию, проведённому тремя экспертами из Google, именно вирус-вымогатель Locky является самым результативным по размеру собранных с жертв средств. При этом WannaCry даже не входит в ТОП-10.


Основная волна заражений пришлась на начало 2016 года. С тех под Locky уступил лидерство и количество известных случаев заражения резко снизилось. Но всякий раз, когда мы начинаем думать, что шифровальщик «Локки» мёртв, печально известная угроза возвращается с новым ударом.

17 августа 2017 года несколько контент-провайдеров и сетей доставки контента (CDN) подверглись масштабным атакам ботнета, получившего название WireX. Ботнет WireX включает в себя в основном Android-устройства и предназначен для создания DDoS-трафика. Несколько дней назад Google удалил сотни заражённых приложений, которые были доступны для скачивания в Play Маркет, и запустил процесс их удаления со всех устройств.

Исследователи из Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru и других организаций сотрудничали, объединившись для борьбы с этим ботнетом. Доказательства указывают на то, что ботнет, возможно, был активен уже 2 августа, но именно атака 17 августа привлекла внимание. Эта статья включает в себя совокупные знания и описывает усилия исследователей, работающих над нейтрализацией ботнета.

Консервативность государственных органов исполнительной власти в своей деятельности носит прямо-таки характер Закона, именно так, с большой буквы. Но, тем не менее, современные технологии добрались и в это традиционно сложившееся сообщество. В начале 2017 года президент подписал указ «О Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы», который стал логичным продолжением развития предыдущей стратегии от 2008 года. Так, а что же может предложить современное IT-сообщество для развития информационного общества РФ?

Отвечая на этот вопрос, можно перечислить множество современных технологий, методов и средств автоматизации, обеспечивающих выполнение государственных задач. Мы же, со своей стороны, как основу для их реализации, предлагаем рассмотреть облака и вопрос размещения в них информационных систем государственных органов. Красной линией в вопросе размещения ГИС в облаке сервис-провайдера проходит вопрос безопасности информации и соответствия законодательству РФ, поэтому и мы коснемся ближе этой темы.

Считаете ли вы, что содержимое письма электронной почты нельзя изменить после доставки? Если вас интересует вопрос информационной безопасности, вам следует узнать о методе атаки, который исследователи из Mimecast назвали ROPEMAKER.

Акроним ROPEMAKER расшифровывается как «Remotely Originated Post-delivery Email
Manipulation Attacks Keeping Email Risky». В действительности ROPEMAKER — это тип хакерской атаки через электронную почту, обнаруженный Франциско Рибейро (@blackthorne) из Mimecast. Этот эксплойт может дать злоумышленнику возможность удаленно изменять контент письма электронной почты в любое время после доставки. Является ли ROPEMAKER уязвимостью, которую необходимо исправить, чтобы защитить обычных пользователей? Мы надеемся, что эта статья поможет ответить на этот вопрос.

Привет, Хабр! Помните подборку юмористических IT-комиксов от Даниэля Стори (Daniel Stori). Первая часть собрала много положительных откликов. Сегодня мы вновь хотим порадовать всех очередной порцией веселья. Желаем приятного просмотра.

Привет, Хабр!
Мы обновили платформу VMware vCloud Director с версии 8.10 до 8.20.

Что нового и какие особенности у версии 8.20? Ответ на этот вопрос вероятно интересует тех, кто ранее уже пользовался облаками по модели IaaS (Infrastructure-as-a-Service) и знаком с продуктом vCloud Director. Мы расскажем об этом во второй половине нашей статьи, но прежде нам хотелось бы дать краткий обзор модулей и компонентов vCloud Director для менее опытных в вопросах виртуализации читателей.

Что нам стоит vЦОД построить?

VMware vCloud Director — это платформа, которая позволяет создавать программно-определяемые, виртуальные центры обработки данных, преобразуя физические ЦОДы в эластичные пулы вычислительных ресурсов, которые конечным потребителям предлагается использовать по различным моделям распределения и потребления. vCloud Director имеет панель управления, которая помогает провайдерам облачных услуг делегировать некоторые из повседневных IT-операций своим клиентам.

Все физические ресурсы дата-центра, такие как вычислительные мощности, диски и сети, объединяются в большие пулы виртуальных ресурсов. В дальнейшем части этих ресурсов предоставляются в виде «сборных» vЦОДов, которые выделяются для арендаторов (tenants).

VCloud Director использует VMware vCenter и VMware vSphere для преобразования физических вычислительных ресурсов и ресурсов хранения в виртуальные пулы, а NSX/vCNS для создания виртуальных сетей с различной топологией.

Данные повсюду. И это прекрасно. Они меняют нашу жизнь, заново изобретают сторителлинг и оказывают влияние практически на все отрасли — бизнес, искусство, развлечения, музыку, технологии.
Вот некоторые яркие примеры…

Информационная журналистика

Совершенно ужасающая инфографика. Проект, который называется «С глаз долой, из сердца вон», — это хронология ударов беспилотных дронов в Пакистане с июля 2004 года по декабрь 2013 года.

С 2004 года США практиковали новый вид подпольной военной операции. Использование беспилотных летательных аппаратов для уничтожения вражеских целей казалось привлекательным, так как устраняло риск потери американских военных и политически было намного легче осуществимо. Показатель эффективности оказался крайне низок, а потери среди взрослого и детского гражданского населения очень высоки. Весь мир мог бы остаться в неведении о том, что на самом деле происходит, и, как говорится, с глаз долой, из сердца вон. Этот проект помогает осветить тему беспилотных летательных аппаратов, не говоря за или против. Изучив данные, вы можете самим решить, сможете ли вы поддерживать подобное использование беспилотных летательных аппаратов или нет.

Качество и надежность DRAM сейчас важнее, чем когда-либо, в основном из-за растущего использования виртуализации серверов. Конечно, стоит отметить что модули RAM, по мнению многих IT-специалистов, являются одними из самых надёжных элементов сервера и выходят из строя последними. Виртуализация имеет много преимуществ, но она значительно увеличивает количество необходимой памяти в сервере для обеспечения оптимальной производительности максимального числа виртуальных машин. По данным HP за 5 лет с 2007 до 2011 средняя память, установленная на всех серверах HP ProLiant, выросла более чем на 500% — от 4 ГБ до более чем 30 ГБ на сервер.

В настоящее время как облачный провайдер мы используем blade-серверы HP ProLiant BL460c Gen8 на шасси HPE BLADESYSTEM C7000 ENCLOSURE. Полностью QuickSpecs тут, обозначим лишь спецификацию RAM.

Прежде чем попытаться ответить на этот вопрос, давайте вспомним или быстро изучим основы теории финансов.

«Особенностью живого ума является то, что ему нужно лишь немного увидеть и услышать для того, чтобы он мог потом долго размышлять и многое понять». Джордано Бруно

Вот наш экспресс-курс, выжатый из уважаемой многими финансистами и инвестиционными аналитиками книги Ричарда Брейли и Стюарта Майерса «Принципы корпоративных финансов». Очень рекомендуем к прочтению всем, кому приходилось и когда-либо придётся принимать решение об инвестировании денег.