С моей личной колокольни (выпускник МГТУ 2007 года):
Всё довольно разношёрстно, но, наверное, справедливо.
Из моего опыта, в том же МИФИ как-то получше ребят готовят, их достаточно регулярные УИРы имеют более конкретную проектную структуру , куда более четкую чем типичный Бауманский диплом специалиста или бакалавра. Да и МФТИшники в среднем посильнее показались
Да, наверное практики надо несколько побольше, но не пытаться стать ещё одним skillfactory или geekbrains, фундаментальное образование это все же образование прежде всего.
Мне кажется, в статье не хватило summary по группам, сделал через claud.ai:
1. Выпускники 90-х и 2000-х годов (17-28 лет назад) в целом положительно отзываются о репутации и уровне образования в МГТУ, отмечая, что диплом Бауманки ценится работодателями. Но есть мнения о необходимости обновления программ и более жесткого отсева студентов.
2. Выпускники 2006-2012 годов (10-16 лет назад) более критичны. Отмечают разрыв между теорией и практикой, нехватку прикладных знаний по специальности. Многие советуют больше времени уделять изучению языков и развитию soft skills.
3. Выпускники последних 5-10 лет особенно резко критикуют устаревшие программы, формализм в обучении и слабую связь с реальным сектором. Популярны советы идти в ИТ и уезжать за рубеж.
4. Самые свежие выпускники 2021-2022 гг. отмечают важность саморазвития, изучения программирования и раннего начала карьеры. Есть призывы к перезагрузке системы образования в МГТУ.
5. В целом прослеживается тренд нарастающей критики и разочарования по мере приближения к настоящему времени. При этом репутация Бауманки как бренда и часть "советского наследия" все еще высока.
LawAi в нынешнем виде очень похож на ребенка, которому надо как следует разжевать вопрос, чтобы получить нужный ответ. Поэтому “детская версия” помощника юриста актуальна только для самих юристов, которые умеют формулировать вопрос на «юридическом языке» и правильно трактовать ответ на нем же.
AlliesVerse а вы не пробовали использовать трансформеры с БЯЛ (ruchatgpt или whatever) чтобы нормализовать произвольный вопрос пользователя до "юридической формы" в ODQA? А дальше - всё по вашему пайплайну с BERT?
ГОСТ 28147-89 - российский стандарт шифрования, введенный в 1990 году, также является стандартом СНГ. Шифр основан на 32-раундовой сети Фейстеля c 256-битным ключом. .
Довольно странное утверждение А вопрос о безопасности AES "закрытый"?
Да, сегодня AES вполне стойкий (как и наши ГОСТы), но есть всякие предположения о возможной XSL-атаке в будущем.
Что касается ГОСТов, то в основном старый критикуют за отсутствие криетериев выбора S-блоков (есть их слабое подможножество), а новый за как раз некую "алгоритмичность" выбора предложенных S-блоков)) типа "а вдруг в S-блоках бэкдор спецслужбы?"
Я бы не говорил об "открытости" вопроса с его безопасностью. В целом же сопоставимо с AES
@dumbsailor, спасибо, интересно и актуально ( у меня -- двое детей, иногда сталкиваюсь с целыми простынями назначений), а есть ли возможность дать ссылку на этот template, разумеется, затерев названия Ваших лекарств?
В киберучениях принимают участия следующие команды: нападающие (Red Team), защищающиеся (Blue Team), администраторы (Green Team), организаторы (White Team), также могут быть еще исследователи (Yellow Team).
Lua в Suricata и в Zeek используют для кастом логики в детектировании, сами сигнатуры в IDS пишутся декларативными языками.
Для выборки из списка событий в той же Suricata предлагают использовать JSONquery Так что аналогия не вполне уместна)
На мой взгляд, требовать от какого-нибудь аналитика 1-ой линии в SOC знание Lua, чтобы он мог отфильтровать и отсортировать события например за неделю, как-то чересчур. Но, как говорится, на вкус и цвет. )
Насчёт быстродействия — да (LuaJIT один из лидеров впрочем как и PyPy), но это если сравнивать именно с другими скриптовыми языками. Разумеется SQL-like запросы компилируются, а их выдача — кэшируется. Так что сомневаюсь что Lua тут выиграет и по перформансу, но тут ответ зависит конечно от того как вы с Postgre работаете.
Судя по скриншотам для выборки событий используется скрипт на LUA.
Довольно необычный подход (если ты конечно не разработчик игр или embedded систем ;))
Если посмотреть конкурентов то это SQL подобные DSL (SPL у splunk, PDQL у позитива, Lucene/KQL у ELK SIEM).
Вроде так сложнее выстрелить себе в ногу и это понятнее аналитикам ИБ?
Чем вызван такой непривычный выбор?
Ничего личного не имею против Lua, но в 2020 году вообще мало осталось аргументов в пользу него )
alexdorofeeff
Саша, привет. Спасибо за статью. Особенно заинтересовали наблюдения как пользователи упрощают свою жизнь при политиках по смене пароля. Вспоминаешь и за собой некоторые из этих паттернов :)
Хотел дополнить по следующим моментам:
Вариант 3. Наиболее распространенные учетные записи и записи по умолчанию.
Во многих системах есть учетные записи по умолчанию. <...> Соответственно, имеет смысл заглянуть в руководства администраторов систем, которые вы хотите тестировать.
Понятно, что в результате сканирования, скорей всего определится целый зоопарк софта и железок от разных вендоров, лезть в инструкцию не вполне удобно, встречал в сети ряд проектов, от тупых списков типа http://www.defaultpassword.com/ до более системного подхода, например Mitre DPE (Default Password Enumeration, тут — налицо аналогия с CVE,CWE) где в структурированном виде хранится описание креденшиалов кучи вендоров с маппингом на CPE. Было бы здорово, если бы сканер безопасности (например Сканер-ВС) на основе типов продетектенного софта сформировывал бы адаптированные словари с учетом реальной инфраструктуры объекта.
Помимо default паролей софта и железа есть тулы-мутаторы типа cupp принимающие на вход структурированную информацию о жертве (ФИО, дом. животное, бизнес партнеры и т.п.) а на выходе генерирующие словари перебора.
Вообще если взглянуть философски, то можно воспринимать парольный подбор, как одну из разновидностей фаззинга, а создание словарей перебора (которое описано, как искусство, согласно заголовку статьи), тоже конечно было бы здорово автоматизировать хотя бы в фазе сборки самого словаря.
A review of recent FBI investigations discovered businesses incur costs ranging from $5,000 to $3 million due to incidents involving disgruntled or former employees
По-моему, тоже один из перспективных функционалов для сканеров безопасности.
Данные по ФИО покинувших работу сотрудников легко сопоставить с экспортом из ActiveDirectory, выдачей rpcclient и т.д. и т.п.
Широкое применение внешних облачных сервисов создаёт потребность в экзотических решениях: как рассказывал в Радио-Т директо по технологиям Яндекс Григорий Бакунов, у яндекса например есть телеграмм бот, автоматический удаляющий из всех корпоративных чатов в Telegram (куда его внесли ) людей не в штате компании. :)
Ну и хочется лишний раз напомнить, что сами по себе пароли это — во многом анахронизм, и предпочтительно там где их можно не использовать, лучше не использовать (сертификаты в WiFi: WPA-802.1X вместо WPA-PSK и т.д. и т.п.)
С моей личной колокольни (выпускник МГТУ 2007 года):
Всё довольно разношёрстно, но, наверное, справедливо.
Из моего опыта, в том же МИФИ как-то получше ребят готовят, их достаточно регулярные УИРы имеют более конкретную проектную структуру , куда более четкую чем типичный Бауманский диплом специалиста или бакалавра. Да и МФТИшники в среднем посильнее показались
Да, наверное практики надо несколько побольше, но не пытаться стать ещё одним skillfactory или geekbrains, фундаментальное образование это все же образование прежде всего.
Мне кажется, в статье не хватило summary по группам, сделал через claud.ai:
1. Выпускники 90-х и 2000-х годов (17-28 лет назад) в целом положительно отзываются о репутации и уровне образования в МГТУ, отмечая, что диплом Бауманки ценится работодателями. Но есть мнения о необходимости обновления программ и более жесткого отсева студентов.
2. Выпускники 2006-2012 годов (10-16 лет назад) более критичны. Отмечают разрыв между теорией и практикой, нехватку прикладных знаний по специальности. Многие советуют больше времени уделять изучению языков и развитию soft skills.
3. Выпускники последних 5-10 лет особенно резко критикуют устаревшие программы, формализм в обучении и слабую связь с реальным сектором. Популярны советы идти в ИТ и уезжать за рубеж.
4. Самые свежие выпускники 2021-2022 гг. отмечают важность саморазвития, изучения программирования и раннего начала карьеры. Есть призывы к перезагрузке системы образования в МГТУ.
5. В целом прослеживается тренд нарастающей критики и разочарования по мере приближения к настоящему времени. При этом репутация Бауманки как бренда и часть "советского наследия" все еще высока.
Поправьте орфографию в заголовке.
Длиной, а не длинной. У вас же существительное, а не прилагательное.
Рекомендую deepl.com, качество перевода будет гораздо выше.
А то ужас какой-то. Teachers расстроены.
А почему статья в хабе функциональное программирование? Не нашел упоминаний про Lisp, Clojure, F#))
AlliesVerse а вы не пробовали использовать трансформеры с БЯЛ (ruchatgpt или whatever) чтобы нормализовать произвольный вопрос пользователя до "юридической формы" в ODQA? А дальше - всё по вашему пайплайну с BERT?
ГОСТ 28147-89 - российский стандарт шифрования, введенный в 1990 году, также является стандартом СНГ. Шифр основан на 32-раундовой сети Фейстеля c 256-битным ключом. .
"Магму" уже давно заменил "Кузнечик" (ГОСТ 34.12-2018, ГОСТ Р 34.12-2015) https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D0%B7%D0%BD%D0%B5%D1%87%D0%B8%D0%BA_(%D1%88%D0%B8%D1%84%D1%80)
Довольно странное утверждение
А вопрос о безопасности AES "закрытый"?
Да, сегодня AES вполне стойкий (как и наши ГОСТы), но есть всякие предположения о возможной XSL-атаке в будущем.
Что касается ГОСТов, то в основном старый критикуют за отсутствие криетериев выбора S-блоков (есть их слабое подможножество), а новый за как раз некую "алгоритмичность" выбора предложенных S-блоков)) типа "а вдруг в S-блоках бэкдор спецслужбы?"
Я бы не говорил об "открытости" вопроса с его безопасностью. В целом же сопоставимо с AES
@dumbsailor, спасибо, интересно и актуально ( у меня -- двое детей, иногда сталкиваюсь с целыми простынями назначений), а есть ли возможность дать ссылку на этот template, разумеется, затерев названия Ваших лекарств?
Purple team ещё вводят если плохо связь между Red и Blue плохо налажена
https://danielmiessler.com/study/red-blue-purple-teams/
поправьте плз очепятку, ссылка
Представляем мобильное приложение Yandex Tracker
ведёт на доклад Новые возможности Yandex Data Transfer | Yandex.Cloud - Блог
Lua в Suricata и в Zeek используют для кастом логики в детектировании, сами сигнатуры в IDS пишутся декларативными языками.
Для выборки из списка событий в той же Suricata предлагают использовать JSONquery Так что аналогия не вполне уместна)
На мой взгляд, требовать от какого-нибудь аналитика 1-ой линии в SOC знание Lua, чтобы он мог отфильтровать и отсортировать события например за неделю, как-то чересчур. Но, как говорится, на вкус и цвет. )
Насчёт быстродействия — да (LuaJIT один из лидеров впрочем как и PyPy), но это если сравнивать именно с другими скриптовыми языками. Разумеется SQL-like запросы компилируются, а их выдача — кэшируется. Так что сомневаюсь что Lua тут выиграет и по перформансу, но тут ответ зависит конечно от того как вы с Postgre работаете.
А правила корреляции событий в SIEM тоже на Lua?
Судя по скриншотам для выборки событий используется скрипт на LUA.
Довольно необычный подход (если ты конечно не разработчик игр или embedded систем ;))
Если посмотреть конкурентов то это SQL подобные DSL (SPL у splunk, PDQL у позитива, Lucene/KQL у ELK SIEM).
Вроде так сложнее выстрелить себе в ногу и это понятнее аналитикам ИБ?
Чем вызван такой непривычный выбор?
Ничего личного не имею против Lua, но в 2020 году вообще мало осталось аргументов в пользу него )
alexdorofeeff
Саша, привет. Спасибо за статью. Особенно заинтересовали наблюдения как пользователи упрощают свою жизнь при политиках по смене пароля. Вспоминаешь и за собой некоторые из этих паттернов :)
Хотел дополнить по следующим моментам:
Понятно, что в результате сканирования, скорей всего определится целый зоопарк софта и железок от разных вендоров, лезть в инструкцию не вполне удобно, встречал в сети ряд проектов, от тупых списков типа http://www.defaultpassword.com/ до более системного подхода, например Mitre DPE (Default Password Enumeration, тут — налицо аналогия с CVE,CWE) где в структурированном виде хранится описание креденшиалов кучи вендоров с маппингом на CPE. Было бы здорово, если бы сканер безопасности (например Сканер-ВС) на основе типов продетектенного софта сформировывал бы адаптированные словари с учетом реальной инфраструктуры объекта.
Помимо default паролей софта и железа есть тулы-мутаторы типа cupp принимающие на вход структурированную информацию о жертве (ФИО, дом. животное, бизнес партнеры и т.п.) а на выходе генерирующие словари перебора.
Вообще если взглянуть философски, то можно воспринимать парольный подбор, как одну из разновидностей фаззинга, а создание словарей перебора (которое описано, как искусство, согласно заголовку статьи), тоже конечно было бы здорово автоматизировать хотя бы в фазе сборки самого словаря.
Вот ещё список из 5 тулов-генераторов словарей
Ну и конечно, вспоминая прошлогодний отчёт Tripwire важно хорошо выполнять политику удаления устаревших учёток (например бывших сотрудников)
У ФБР тоже есть консерны об этом
По-моему, тоже один из перспективных функционалов для сканеров безопасности.
Данные по ФИО покинувших работу сотрудников легко сопоставить с экспортом из ActiveDirectory, выдачей rpcclient и т.д. и т.п.
Широкое применение внешних облачных сервисов создаёт потребность в экзотических решениях: как рассказывал в Радио-Т директо по технологиям Яндекс Григорий Бакунов, у яндекса например есть телеграмм бот, автоматический удаляющий из всех корпоративных чатов в Telegram (куда его внесли ) людей не в штате компании. :)
Ну и хочется лишний раз напомнить, что сами по себе пароли это — во многом анахронизм, и предпочтительно там где их можно не использовать, лучше не использовать (сертификаты в WiFi: WPA-802.1X вместо WPA-PSK и т.д. и т.п.)
Вообще, благодатная тема в контексте big-data)
fadin.andrey@gmail.com