^{С хакерского турнира Symantec Cyber Challenge. Барселона, 2012.}

У нас много вопросов по хакерскому турниру CRC, проводимому Symantec и КРОК. Продолжаю про подготовку к прохождению игры. Слово участнику первой части — Андрею Леонову:

Нужно видеть, чувствовать зацепки по всем фронтам:

— Уязвимости приложений — тут нужны не только знания, но и чутьё. RCE, XSS, SQLinj, XXE, SSFR, CSRF, ошибки в загрузке файлов, alax/backround скриптах (встречаются на порядок чаще, чем в основных скриптах). На моём личном опыте, тут сканер может потратить на порядок больше времени, чем ручная проверка. Тем более, что в последнее время, всё реже встречаются «уязвимости из примеров», почти всегда нужна доработка по месту.

Процесс оплаты картой на месте

У нас есть железка, которая подключается к телефону и позволяет проводить оплаты картой на месте. Теперь клиент просто проводит картой по ней, приложение делает процессинг, а телефон нужен как платформа связи.

Это мечта многих интернет-магазинов — чтобы оплата пластиком делалась сразу по факту доставки. Ещё так работать мегаудобно и с точки зрения поиска сдачи, и по бухгалтерии, и по контролю средств от курьеров.

Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте. Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

Давайте посмотрим, откуда берутся и как получаются такие специалисты.

Привет!
Моя работа – разработка продуктов в Yota Devices. Мы выпустили новый LTE-роутер, в котором отшлифовали всё до мелочей. Разработка железа велась в России, низкоуровневое ПО наше (поверх Qualcomm SDK), плата совместно с производителем на Тайване, антенны — наш финский отдел (наши инженеры делали антенны большинства трубок Nokia).



Думаю, вам будет интересно узнать, как шла разработка. Начну с описания устройства. Во-первых, это роутер, который принимает сигнал 4G, 3G или 2G и раздаёт Wi-Fi. Во-вторых, Ruby (так называется устройство) может вставляться в USB и работать как привычный LTE-модем. В-третьих, роутер может работать и без внешнего питания. Внутри есть аккумулятор, который позволяет работать в машине, в парке, на даче или просто раздавать интернет из рюкзака при прогулке.

Осторожно, под катом трафик — много фотографий

Прыдстория. В одной производственной компании было около двух десятков(!) кадровых баз. Это базы обособленных подразделений, и в каждой по несколько сотен человек. Всего около 10 тысяч сотрудников. Системный администратор работает грамотный, есть рабочая MS Active Directory.

Квест начался в тот момент, когда безопасники попросили проверить некоего Петрова. По их ощущениям, прав у него было куда больше, чем ему дали по заявкам от подразделений. Админу пришлось поднимать все эти бумажные документы из архива и обходить половину подразделений компании. Ради одного сотрудника. Пока он ходил около двух недель, проверить решили целый отдел.

Параллельно админ понял ещё одну страшную вещь: в компании по факту работает примерно в три раза меньше людей, чем учёток у него в системе. Почему? Да всё просто: учётки заводились по письменным заявкам, а при увольнениях и переводах обновлять статус зачастую забывали.

В этот момент мы начали работать над внедрением общего решения по управлению учетными записями и правами доступа, IdM. Для начала пришлось избавиться от раздробленности и свести все кадровые базы в одну промежуточную кадровую систему. Её связали с Active Directory через новый центр-репозиторий. Потом подключили к репозиторию остальные бизнес-системы вот так:



Дальше мы удалили все лишние учётки, оставили только действительных сотрудников (заодно увидели пару уволенных, но активно логинящихся). Потом нашли пару очень странных людей…

Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным — дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

С хакерского турнира в Южной Африке

Российский C^2: Cyber Challenge — не первый хакерский турнир в мире. Symantec довольно регулярно проводит Cyber Readiness Challenge в разных странах.

Прямо сейчас идёт онлайн-часть хакерского турнира, плюс продолжается регистрация на оффлайновую часть и конференцию по информационной безопасности. В России Symantec и КРОК организуют это мероприятие впервые. Пока «этичные хакеры» ломают сеть в симуляторе, я расскажу о том, как уже прошли несколько таких турниров по всему миру.

Платформа

В прошлом году мы объявили конкурс летающих роботов с призом в один миллион рублей. Задача казалось бы простая — взлететь, обойти препятствие и сесть на посадочный маркер. Препятствие и маркер сдвигаются от задания к заданию. Робот летит сам, без команд с земли (точнее, он принимает только две: «старт» и «экстренное выключение»).

На момент начала конкурса наша команда инженеров и программистов из департамента информационных технологий никогда не занималась разработкой беспилотников. Но мы решили купить своего робота и участвовать в конкурсе наравне со всеми. Точнее, не совсем наравне — мы не сможем занять призовое место или получить приз по условиям, то есть идём вне зачёта.

Первый раз мы взяли робота в руки летом 2012 года, когда посылка приехала из бельгийского интернет-магазина. Кстати, нам повезло — робот шел всего 3 недели. Часть команд снялась с конкурса из-за того, что их платформы не успели вовремя приехать.

Это было первое и последнее везение в подготовке. С этого момента началась история грабель длиной в несколько месяцев.

Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.

Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.

При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.

Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность».

Сначала главная новость – Coursera скоро будет доступна с субтитрами на русском, и первый курс как раз геймификация Кевина Вербаха.

Теперь про саму тему. На прошлой неделе я побывал специальным гостем на мероприятии по геймификации, и ниже расскажу о нём с примерами из близких мне настольных игр.

Вообще, игрофикация или геймификация — это когда игровые механики накладываются на что-то в реальной жизни. В СССР, например, были соревнования смен, доска с лучшими работниками и так далее — всё это хорошие добрые игры, когда работа идёт не ради плана, а ради того, чтобы доказать свою крутость или просто поучаствовать в процессе. Ещё примеры:

• Хабр. Карма, рейтинг плюс наши бейджи и инвайты: они создают дополнительную мотивацию писать посты.
• Террористы. На самой лекции также говорилось, что боевики в Аль-Каиде проходят несколько уровней своего рода игры, каждый из которых разблокирует новые возможности в организации.
• Обучение. Там же приводился пример про школу, в которой все в начальных классах стали играть роли в экипаже космического корабля. Учиться стало интересно уже не потому что так надо, а потому, что это помогало проходить сюжет.

^{Уже немного обжитый корабль. В экипаже двое людей и инопланетянин.}

Уф. Неделю назад мы обещали всем приятный сюрприз на день космонавтики — и сегодня в огромной спешке развозили ещё тёплые коробки настольной игры «Galaxy Trucker» (или «Космические дальнобойщики» в локализованной версии) по магазинам.

В общем, именно сегодня хочу показать вам одну из самых весёлых гиковых штуковин, которые я видел за последние пару лет. И поздравить с праздником.

Для начала вы должны свыкнуться с мыслью, что все космические корабли будущего будут строиться из частей канализации. Почему? Потому что жила-была корпорация, которая зарабатывала только тем, что поставляла детали для бытовых инженерных сетей на отдалённые планеты. Разница технологических уровней позволяла здорово на этом зарабатывать, и при этом не сильно вредить балансу сил в галактике. За несколько веков все ближайшие системы были обеспечены канализацией и инженерными системами на 100%, поэтому приходилось улетать всё дальше и дальше. В итоге полёты стали довольно опасными, а прибыль – не такой уж и большой. Корпорация оказалась на грани банкротства.

Проверьте свой проект: вы летите или думаете, что летите?

Ниже вопросы, которые стоит задавать себе на старте проекта и время от времени на его протяжении.

Контрольные вопросы на старте проекта:

1. Что конкретно нужно сделать на текущем этапе? В целом? Есть ли чётко определённые цели каждого этапа? Как вы определите, что цели достигнуты? Соответствует ли текущий статус заявленным планам и целям или их необходимо корректировать?
2. Реалистичны ли эти цели?
3. Что случится, если цели не будут достигнуты в срок? Каков план действий?
4. Насколько этот проект значим? Например, зависит ли от него место вашей компании на рынке?
5. Какую выгоду вам, обществу и инвесторам принесёт проект?
6. Достаточно ли хорошо спланирован проект? Все ли в вашей команде понимают пункты плана одинаково?
7. Нужны ли внешние эксперты, например, юристы?
8. Есть ли у команды опыт работы вместе? Кто будет координировать команду? Важно ли для проекта работать именно вместе — или возможен труд одиночек? Отвечает ли каждый член команды за работу всех остальных?
9. Можно ли сократить размер команды? Если нет, то почему? Если да, то почему это не сделано?
10. Как вы будете компенсировать форс-мажоры с персоналом, например, что случится, если ваш ведущий разработчик сломает руку?

00:01 — #habr: Вчера зашло ещё 200 тысяч человек, зарегистрировалось по инвайтам 82.
09:31  — #habr: Ура, у нас новый клиент – Microsoft!
11:40  — #habr: Прикрутить новую капчу – выполнено!
15:31  — #habr: Мы уверенно движемся к захвату мира – готово на 41%.
19:16  — #habr: Это тест. Меня видно?
22:49  — #habr: Выполнен план на день по переходам! Ура!

У нас есть краудинвестинговая площадка (это типа Кикстартера, только с возможностью получить долю в прибыли проекта). Коротко: выше — проект Hippflow, который у нас разместился. Его очень хотелось бы оценить с точки зрения полезности для IT-специалистов.

Вот так хабрасообщество смотрит на инвестиции в отечественные проекты

Я уже несколько раз писал про разработанные нами в рамках российского права механизмы краудинвестирования, позволяющие быстро вложить небольшую сумму (например, 1000 рублей) в проект. В прошлом топике про механику реализации микроинвестиций разгорелся довольно объёмный спор про то, что в России это не сработает из-за менталитета «все хотят всех кинуть».

Давайте разберёмся детальнее, о чём же именно речь. Но для начала — короткий ликбез. До прошлого года с 30.000 рублей на рынке инвестирования вы были никому не нужны вообще. В смысле, что на эту сумму есть возможность приобретать акции отдельных компаний. Другое дело, что ни брокерская компания, ни тем паче компания, в которую вы инвестируете, всерьёз вас не воспримет. Никакой фактической пользы от этого взаимодействия никому не было. Причина достаточно прозаична: расходы на заключение сделки в юридическом и бухгалтерском плане были несопоставимы с возможной выгодой. С изменением ситуации, естественно, возникла куча вопросов, на которые я отвечаю ниже.

Привет!
Я занимаюсь вопросами инвестирования уже 8 лет, и из которых последние 2 года – возможностями быстрого, простого и массового инвестирования в стартапы. Проще говоря, моя задача – получить платформу, где можно нажать на кнопку «заплатить 1000 рублей» — и эта 1000 рублей сразу же станет полноценной инвестицией со всей необходимой юридической обвязкой.

Раньше я уже писал, что единственный проверенный до настоящего момента способ – это открытие ОАО или ЗАО на стартап. Это требует кучи времени, ресурсов и не даёт запускать маленькие проекты. Сейчас нашелся метод гораздо, гораздо проще. Про него я и расскажу ниже.

Проблем может три:

• Инвестор хочет полный контроль над приложением или компанией;
• Профильный инвестор ограничивает свободу творчества (например, в игре);
• Непрофильный инвестор зачастую не даёт крупную сумму и не обеспечивает разные плюшки, которые есть у профильных.

Плюс большой сложностью бывает просто поверить в проект: многим инвесторам нужны вещи, которые повторяют истории каких-то других проектов, но с небольшими изменениями. В действительно необычные новые приложения чаще всего инвестировать планируется после доказательства продаж, когда инвестор-то уже и не очень нужен.

На сегодня уже есть команда iOS-разработчиков делающая своего рода римейк The Lost Vikings, которая решила попробовать краудинвестинг и обратилась к нам в Смартмаркет. И вот почему они это сделали.

Первый вариант — купить на них стройматериалов и мороженого. Как подсказывает практика, достаточно здравый, потому что мороженое вкусное, а стройматериалы последние годы дорожают. Но это не вклад, а способ потратить деньги. Второй вариант — сходить в банк и отдать деньги на год. Проблема, очевидно, в том, что вы получите в конце года столько же, с учётом инфляции. Есть ещё куча вариантов, и все они более-менее известны и понятны.

Но хочется именно инвестировать. 30 тысяч рублей, то есть натурально смешную сумму для любого проекта, но вполне конкретные для вас лично деньги. И это возможно.

Высокий порог входа и бюрократы

Ну, если серьёзно, работающая сейчас модель инвестирования не такая уж плохая: она работает, местами — хорошо, но за последние несколько успела устареть и стать просто адски неповоротливой. Точнее — по большому счёту с ней всё в порядке: у нас есть и бизнес-ангелы, и акселераторы, и бизнес-инкубаторы и венчурные фонды разного размера, и даже инвестиционные банки — и всё это более-менее хорошо работает, но есть 2 важные точки, создающие проблемы в архитектуре модели.

Привет!
Я занимаюсь настольными играми. В тот прекрасный день три года назад, когда стало понятно, что весь Яндекс закупается у нас по одной дисконтной карте, вдруг пришло осознание, что IT-специалисты — это одни из лучших клиентов магазинов настолок. Думаю — потому что это по большинству позитивные люди, любящие игры, общение (которого часто не хватает на работе) и чётко понимающие, насколько кайфно играть в сложные штуки.

Ниже — традиционный годовой обзор того, во что играют в IT-офисах, немного о том, что случилось за год на пересечении этого бизнеса и IT, байки про забавную историю комментария к прошлому посту, обратную связь от игроков хабраигры Стартап и, конечно, советы по выбору пары штук, которые вы, может быть, захотите получить или подарить кому-то на праздники.

Плюс традиционно – небольшой подарок хабражителям.

Примерно так инвестор видит стартаперов перед презентацией. Презентация всё меняет… или нет.

Три главных вопроса инвестора:

• Где в этом проекте деньги?
• Зачем я здесь нужен?
• Ок, а теперь зачем именно ты здесь нужен?

Больше инвестора ничего не интересует. Понятно, что каждый вопрос разделяется на десятки уточнений, проверок и так далее, но если вы можете чётко и понятно ответить на все три вопроса инвестору — проект будет запущен.

Очень важно понимать, что второй вопрос — причина отсева большей части проектов. Инвестор — это не кошелёк, а компания, имеющая свои конкретные цели, и поэтому выбор правильного инвестора не меньше влияет на проект, чем сама идея. Есть три типа инвесторов: бизнес-ангелы, стратегические инвесторы и венчурные фонды.

Кто такие бизнес-ангелы?

Это инвесторы, которые дают не очень большие инвестиции (до ста тысяч долларов), но дают быстро, и, что важнее — на той стадии, когда совершенно непонятно, что с проектом будет, то есть в условиях высокой неопределённости. Они смотрят на идею, оценивают команду (часто — полуинтуитивно), думают, насколько удачно может получиться. Нередко такие люди, благодаря своему деловому опыту, выступают менторами или консультантами проекта. Интересно, что инвестиции идут именно в слаженную команду: ведь ход мыслей на стадии «ещё нет даже прототипа» может развернуться на 180 градусов и привести к другой идее.