· Ты уважаемый CISO крупной нефтяной компании, но твой ребенок — блогер и зарабатывает больше тебя?
· Ты нашел уязвимость по программе Bug Bounty у мясомолочного завода, а у них нет денег, и они выплачивают тебе молочкой и мясом?
· Регулятор выдал новую порцию требований, а у тебя бюджет — три рубля и жвачка «Турбо»?

Эти и многие другие злободневные ситуации мы объединили в игре Jet Security Memes.

Переходи по кат и скачивай карточки!

Я недавно начала заниматься администрированием проектов в ИТ-инфраструктуре. Здесь много постов менеджеров проектов о том, как ставить задачи технической команде, контролировать статусы и общаться так, чтобы тебя не ненавидели. Однако оказалось, что с инженерами универсальные способы часто не работают, или работают, но не со всеми.

Короче, взять придуманную другими волшебную таблетку и использовать ее для всех случаев у меня не получилось. Но получилось всё же организовать нашу работу так, чтобы инженерам было проще, а в меня пореже летели лучи их ненависти. О тех инсайтах и соображениях, которые мне в этом помогли, и собираюсь рассказать.

Привет. Меня зовут Александр Родченков, я занимаюсь речевой аналитикой в центре машинного обучения «Инфосистемы Джет». Тут я расскажу о биграммах и триграммах на примере реального, хоть и довольно скромного, кейса. Что же это за «граммы» такие, с чем их «едят» и зачем они нам? Кейс решал задачу сбора и обработки данных одной из продовольственных компаний. Сложность задачи заключалась в том, что в речи было очень много специфических терминов и аббревиатур. Как мы с этим справились, и с какими неожиданностями столкнулись после, читай под катом.

Два года мы с командой строили платформу киберучений. Мы начали с пары виртуалок c 2 Гб RAM на борту в EVE-NG (причем это была вложенная в VMWare ESXi виртуализация) и домасштабировали до самостоятельной инфраструктуры с контейнеризованными сервисами для обучения по ИБ и возможностью подключения практически неограниченного количества обучающихся. Это статья о нестандартных решениях, самой платформе и участии в мероприятии CyberCamp, для которого предоставили виртуальную инфраструктуру.

Переходи под кат, если интересно, как пробросить большое количество пользователей в виртуальную среду с помощью одного браузера, не давая им прямой RDP\VNC\ssh доступ, да еще и бесплатно. Также поделюсь нашими наработками и планами по развитию платформы Jet CyberCamp.

Несколько лет назад казалось, что этот хомячок очень милый

Обычно сидеть десять лет на одном проекте считается чем-то вроде застоя и формирования аттрактора. Ну, вроде как резюме получается небогатое, и дальше будут звать только на подобные проекты. Но у меня есть нездоровое подозрение, что по мере развития ИТ в современной России будет всё больше случаев, когда вы «привяжетесь» к проекту. 

Но всё равно десять лет — это, конечно, аномалия. Если об этом задуматься, становится страшно.

Давайте расскажу, как это выглядит изнутри. 

Итак, это не было осознанным решением. За несколько лет я сменил четыре компании, причем в одной из них сменил еще и три проекта. Дальше мы начали внедрять CRM в банке. Я тогда думал, будет несколько месяцев. Начинал на одном софте как интегратор, потом перешёл на другой как интегратор, побыл проектировщиком общим, потом функциональные решения проектирования. Потом, последние годы, архитектором. 

Несмотря на то, что я для банка внешний сотрудник из Джета, «на той стороне» меня считают своим работником. Ещё я очень хорошо понимаю требования заказчика (за десять-то лет!), и потому мне доверяют в плане принятия решений, как лучше сделать. Это важно, потому что обычно интеграторам не очень-то верят, они тяготеют к «своим» вендорам. А вот если это потом и поддерживать, и знать, что ты в ответе за архитектуру на годы вперед, — это все резко меняет. Я знаю, что я же буду развивать всё это спустя год или два, и не откатывать решение, не переделывать. 

Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

2. «Новогодняя ёлка»
Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Привет, Хабр! В данной статье мы рассмотрим процесс настройки мониторинга массивов семейства HP EVA (Enterprise Virtual Array) с помощью Open Source продукта Zabbix, объясним, как получать и обрабатывать данные с массива, покажем, с какими проблемами можно столкнуться при настройке, а также расскажем о двух вариантах реализации системы мониторинга.

Это была самая первая встреча с командой заказчика на проекте, которым я руководил. Мы должны были провести модернизацию инфраструктуры в крупном банке. Один из участников встречи, назовем его Миша, возглавлявший у заказчика поддержку крупной ИТ-системы, начал набрасывать. Сначала проблемы с предыдущего проекта. Потом Мишу понесло, и досталось прошлой команде («криворукие умники»), архитекторам как таковым («да что эти дебилы понимают в том, что проектируют»). Его ворчание перебросилось на «тупые процессы» и «отстойный менеджмент». Это не было энергичное возмущение, скорее монотонное гудение, что «всё не так». Так я понял, что у нас в команде человек «Всё — г..но». А дальше предстояло разобраться с тем, как нейтрализовать Мишу, чтобы он не портил атмосферу в команде. Или даже обратить его суперсилу на пользу делу.

В этом посте мы хотим рассказать, как перешли от проприетарного решения в области мониторинга электросетевого оборудования на Open Source систему и с какими проблемами нам пришлось при этом столкнуться. Реальный кейс по мониторингу промышленного оборудования с помощью Zabbix.

Это было в 2016 году. У одного крупнейшего в России ритейлера стояла глобальная задача перейти на новую ERP-систему. Поскольку основные усилия были сосредоточены на перестроении бизнес-процессов, заказчик решил отдать задачи по ИТ на аутсорс и обратился к нам. Мы предложили ему комплексную услугу по аутсорсингу и аренде инфраструктуры, куда входили СХД, СРК, СУБД, виртуализация, физические серверы, сетевая инфраструктура.

После того, как завершился начальный этап внедрения продуктива, выявились ряд проблем, которые потенциально могли влиять на производительность и отказоустойчивость созданной системы. И таким «узким местом» стала виртуализация. О том, почему мы решили уйти от enterprise-решения на Open Source, а также почему этот опыт в текущих реалиях может быть полезным, мы и собираемся рассказать в сегодняшнем посте.

Что случилось?

15 октября 2022 года в корейском дата-центре SK C&C произошел пожар. Причина ― возгорание литий-ионной батареи в одном из помещений ЦОД. Из-за возникшего пожара перестали работать 32 000 серверов, а вместе с ними «упал» мессенджер KakaoTalk (его использует 86% населения Республики Корея). Также в «офлайне» остались платежная платформа KakaoPay, такси и ряд других сервисов. На восстановление работы онлайн-приложений ушло два дня. Общий ущерб компании Kakao оценивается почти в $14 млн.

В чем причина?

В дата-центре использовалась система BMS (Battery Management System), которая контролирует производительность и температуру Li-ion батарей. По одной из версий, система предупреждала о возможности возникновения пожара за два часа до инцидента.

Привет!

Я работаю в строительстве ЦОД вот уже 13 лет. Одна из главных моих задач — обеспечить ЦОД необходимыми средствами защиты от разных напастей. Ситуации случаются разные, о самых распространенных я уже недавно писал.

Продуманная система физической безопасности ЦОД — это целое искусство. Примерно, как каратэ киокушинкай или айкидо. Чтобы получить черный пояс в строительстве дата-центров, нужно читать Хабр на обеде много практиковаться.

В этом посте я рассказываю о системах, которые должны быть в каждом защищенном дата-центре, и объясняю, почему некоторые из них ставят только 10 % заказчиков.

«ИТ-храм зеленых фонарей у подножия Асахи

Несокрушим оплот в ночи

Спеши, пока не пришла цифровая зима»

Хокку 20:10, трактат «Искусство ЦОДообороны»

Аварии в дата-центрах ведут к простоям в работе от нескольких часов до нескольких дней. Убытки от таких сбоев и аварий для компании могут составлять от нескольких миллионов до десятков миллиардов рублей. Мы с коллегами собрали статистику по крупным авариям в ЦОД за последние несколько лет и попытались найти закономерности.

Разбираем, как и почему происходят аварии в дата-центрах и что с этим делать.

Вот и прошла онлайн-конференция CyberCamp 2022: итоги подведены, подарки и благодарности отправлены.

Под катом вы найдете пять лучших выступлений по итогам трех дней кэмпа. Выступления стали самыми популярными по итогам опроса зрителей. Enjoy!

В сентябре мы организовали в онлайне кибертренинг в рамках CyberCamp 2022. В нем приняли участие 40 команд со всей России, а с нашей стороны более 40 человек придумывали задания, тестили платформу, мониторили инфраструктуру, курировали команды. О полученном опыте, эмоциях и набитых шишках рассказываем в этом посте.

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Привет, меня зовут Сергей Терехин. Здесь, на Хабре, я в первую очередь системный архитектор. Но вот что вышло. Между Питером и Москвой, обсуждениями ТЗ с заказчиками и тушением пожаров на проектах я написал фантастический роман «Поток». И даже получилось его издать. Мне всегда было любопытно, что творится на «писательской кухне». Интересно было бы заглянуть за плечо пишущего, пьяного в дым Стивена Кинга или забраться в голову моделирующего свои миры Филиппа Дика. Здесь расскажу, как писательство нападает на меня, почему «настоящие» персонажи всегда отчасти ****** (подставьте любое ругательство) и как не дать угробить свою рукопись в «могиле для молодых авторов».

Том Перски основал компанию по продаже и восстановлению дискет floppydisk.com. Компания и сейчас занимается переносом данных с дискет и продаёт людям по всему миру бывшие в употреблении и повреждённые дискеты. На ее складе хранится около полумиллиона дискет, а самые крупные клиенты, не поверите, не хоббисты! — а промышленные гиганты, использующие диски в своей основной деятельности. Устаревшие дискеты пользуются бóльшим спросом, чем вы думаете.

Что происходит сейчас в дискетной индустрии и как вообще вести подобный бизнес в 2020-х — в интервью Тома Перски для eyeondesign.aiga.org.

В нише доступных на сегодня продуктов для виртуализации рабочих мест не такой уж скудный выбор: Termidesk, Veil VDI, HostVM VDI, Горизонт-ВС VDI. Но Termidesk выбивается из общего ряда, потому что за ним стоит мощный производитель (ГК Astra Linux). Было любопытно потестдрайвить платформу и понять, на что она способна. Расскажу о своих впечатлениях от знакомства, причем здесь OpenUDS и почему поставить Termidesk в один ряд с зарубежными VDI — так себе идея.

Привет, Хабр!

Я системный архитектор и ситуацию в ИТ в нашей стране сейчас могу образно описать как «цирк с велосипедами» и «зоопарк приехал». С велосипедами — потому что, например, по части ИТ-инфраструктуры теперь нам на ровном месте приходится изобретать то, что ещё несколько месяцев назад хорошо и надёжно закрывалось одним решением западного вендора. А зоопарк — это конструкторы из нескольких опенсорс-решений, каждое из которых выполняет свою функцию, но изначально не связанных между собой. Ладно, будем честными, — зоопарк из Open Source ещё не захватил ИТ-инфраструктуры крупных компаний, но уже слышны звуки его приближения.

Итак, ИТ-ландшафт российских компаний начинает меняться.

Соответственно, от ИТ-инженера сейчас будет требоваться иное, чем годом ранее. Например, одно из самых ярких грядущих изменений — больше нельзя просто делать так, как просит бизнес. Теперь нужно лезть в саму задачу, критически переосмысливать требования, потому что они не всегда обоснованы реальными потребностями и могут быть нереализуемыми на отечественных и Open Source решениях. И потом долго и упорно объяснять заказчику, почему всё будет сделано по-другому, а не так, как он привык, и доказывать, что так тоже можно, а в нашей ситуации и нужно. Думаю, первый год такой подход точно будет восприниматься как посягательство на святое. Отсюда и тезис про адское занудство.