Живой пример того, как гос. финансирование отдельных компаний в отдельных секторах убивают все принципы экономики. Без государственных грантов данный проект вряд ли бы дожил до релиза, а если б и дожил, то явно не окупился и компании-разработчику пришлось бы работать над ошибками, либо уйти в небытие. Ну а так на гос. бабки можно хоть 10 сиквелов выпустить, платят же за процесс, а не за результат.
Киберпреступники пытаются завербовать российских специалистов для незаконной инсайдерской работы в попытке найти уязвимости в отечественных системах после запрета западных средств защиты ПО в России. Об этом сообщает ТАСС со ссылкой на Ассоциацию разработчиков программных продуктов «Отечественный софт».
Да было время. Помню захочешь отечественную систему взломать, берешь любой эксплоит для Циско или Фортигейт, благо их всегда тысячами под ногами валялось и в "один клик" ломаешь. А сейчас отечетственные средства защиты вообще житья не дают, ну невозможно их никак обойти, и ни одной даже минорной уязы нет. Попробуй взломать и слить данные с того же Ростелекома или Росреестра - хрена с два, ломалка не выросла. И куда в таких условиях бедному хакеру податься? Остается уповать на инсайды, подкуп сотрудников и физический доступ в ЦОД.
В 2024 году доля отчетов об уязвимостях высокого и критического уровня опасности составила 31% от общего числа, что более чем в два раза превышает средние показатели конкурирующих платформ, таких как HackerOne (15%).
Это так выставляется, как-будто это что-то хорошее, и площадка Standoff в 2 раза лучше западных конкурентов. Но по факту это говорит лишь о том, что уровень зрелости ИБ в российских компаниях в 2 раза ниже чем на западе. Критическая уязвимость в каждом 3м отчете - это жесть. Не удивительно, что данные так текут.
У меня был кейс - не повышали зп на текущем месте работы. Ну точнее повышали, но максимум 1 раз в год на размер инфляции, а на все мои разговоры о том, что моя зп явно не в рынке отвечали что денег нет. Это стало отправной точкой для поиска новой работы. Но самое интересное произошло потом, когда я объявил руководителю, что я нашел новую работу и ухожу, вдруг резко все зашевелились, сначала меня позвал один из высоких руководителей на разговор, потом кадры внезапно нашли деньги на повышение моей зп аж на 50%. Но все это по-факту возымело обратный эффект. У меня сгорела жопа из-за того что все это время, меня, мягко говоря, обманывали на счет отсутствия денег и т.д. Вывод такой: если на текущем месте тебя все устраивает кроме зп, то надо попробовать выбить себе повышение. Если результат отрицательный, то ищешь новую работу. Предупреждать работодателя не вижу смысла, т.к. тоже должны понимать, что если у человека появились вопросики, то его явно что-то не устраивает и если ты, как работодатель, забиваешь на эту проблему, то работник будет решать ее сам.
Apple сквозь пальцы смотрит на смену региона аккаунта. Как workaround меняете регион на соседний Казахстан и ставите нужные прилаги. При желании регион можно сменить назад. Чекнул прямо сейчас - AmneziaVPN в КЗ сторе присутствует.
Помню в свою бытность работы в одном гос. учреждении имел дело с неким дистрибутивом средств защиты информации под названием "Сканер-ВС". Там была куча всяких утилит, естественно сугубо отечественного производства. И заинтересовала меня там утилита под названием "Сканер сети". Запускаю ее, в UI выбираю диапазон сети, нажимаю кнопку "Начать сканирование" и наблюдаю как на заднем фоне запускается bash script, в котором запускается nmap с заданным диапазоном сети и его результат потом транслируется в UI. Остальные утилиты в этом чудо-дистрибе имели плюс минус схожее поведение. Отдельным шоком для меня была стоимость всего этого дела.
Жаль, не написали что под капотом у этого "Сканера безопасности".
API эндпоинты этого Реестра, среди прочего, доступны на бэке основого портала ГУ. Как уже кто-то на хабре писал они специально разделили Реестр и основной портал ГУ чтобы люди оттуда массово не гасились. Но по факту ничего не поменялось. Разрешений этот Реестр также никаких не требует, типа ты согласен со всем по дефолту.
Лимиты на запросы? Не, не слышали. Надеюсь, хотя бы, проверка кодов из смс как-то лимитирована. Нет у вас денег на ИБ специалистов, ну хотя бы на багбаунти зайдите. Такие поверхностные вещи там сразу находят.
Что там говорится про конец империи и безумство ее законов? Не знаю насколько справедлива первая часть суждения, но безумных законов действительно становится все больше и больше.
Безопасник с 12-летним стажем. Поработал на многих фронтах начиная с "бумажной безопасности" и заканчивая appsec. Готов поработать вместо Ляпунова за 0.5 его оклада.
Скорее всего это временно. У меня со вчерашнего дня на Т2 перестал работать ютуб, хотя раньше норм грузило. Походу задеплоили роскомпозорвский конфиг на ТСПУ.
Екб. Ростелеком провод - перестал работать OpenVPN. Только сегодня продлил подписку на VPN. Как мне сейчас обучающий контент на ютуб смотреть? Они понимают какой ущерб экономике они наносят такими действиями? Простите, но у меня сгорела жопа.
Живой пример того, как гос. финансирование отдельных компаний в отдельных секторах убивают все принципы экономики. Без государственных грантов данный проект вряд ли бы дожил до релиза, а если б и дожил, то явно не окупился и компании-разработчику пришлось бы работать над ошибками, либо уйти в небытие. Ну а так на гос. бабки можно хоть 10 сиквелов выпустить, платят же за процесс, а не за результат.
Да было время. Помню захочешь отечественную систему взломать, берешь любой эксплоит для Циско или Фортигейт, благо их всегда тысячами под ногами валялось и в "один клик" ломаешь. А сейчас отечетственные средства защиты вообще житья не дают, ну невозможно их никак обойти, и ни одной даже минорной уязы нет. Попробуй взломать и слить данные с того же Ростелекома или Росреестра - хрена с два, ломалка не выросла.
И куда в таких условиях бедному хакеру податься? Остается уповать на инсайды, подкуп сотрудников и физический доступ в ЦОД.
Это так выставляется, как-будто это что-то хорошее, и площадка Standoff в 2 раза лучше западных конкурентов. Но по факту это говорит лишь о том, что уровень зрелости ИБ в российских компаниях в 2 раза ниже чем на западе. Критическая уязвимость в каждом 3м отчете - это жесть. Не удивительно, что данные так текут.
По факту self xss. С таким же успехом можно попросить юзера исполнить код в консоли браузера.
Звонки в мессенджерах тов. майору не удобно слушать, а уж причину блокировки найти дело десятое
Переполнения ждут
У меня был кейс - не повышали зп на текущем месте работы. Ну точнее повышали, но максимум 1 раз в год на размер инфляции, а на все мои разговоры о том, что моя зп явно не в рынке отвечали что денег нет. Это стало отправной точкой для поиска новой работы.
Но самое интересное произошло потом, когда я объявил руководителю, что я нашел новую работу и ухожу, вдруг резко все зашевелились, сначала меня позвал один из высоких руководителей на разговор, потом кадры внезапно нашли деньги на повышение моей зп аж на 50%. Но все это по-факту возымело обратный эффект. У меня сгорела жопа из-за того что все это время, меня, мягко говоря, обманывали на счет отсутствия денег и т.д.
Вывод такой: если на текущем месте тебя все устраивает кроме зп, то надо попробовать выбить себе повышение. Если результат отрицательный, то ищешь новую работу. Предупреждать работодателя не вижу смысла, т.к. тоже должны понимать, что если у человека появились вопросики, то его явно что-то не устраивает и если ты, как работодатель, забиваешь на эту проблему, то работник будет решать ее сам.
Apple сквозь пальцы смотрит на смену региона аккаунта. Как workaround меняете регион на соседний Казахстан и ставите нужные прилаги. При желании регион можно сменить назад.
Чекнул прямо сейчас - AmneziaVPN в КЗ сторе присутствует.
Провайдер, которого мы заслужили
Помню в свою бытность работы в одном гос. учреждении имел дело с неким дистрибутивом средств защиты информации под названием "Сканер-ВС". Там была куча всяких утилит, естественно сугубо отечественного производства.
И заинтересовала меня там утилита под названием "Сканер сети". Запускаю ее, в UI выбираю диапазон сети, нажимаю кнопку "Начать сканирование" и наблюдаю как на заднем фоне запускается bash script, в котором запускается nmap с заданным диапазоном сети и его результат потом транслируется в UI. Остальные утилиты в этом чудо-дистрибе имели плюс минус схожее поведение. Отдельным шоком для меня была стоимость всего этого дела.
Жаль, не написали что под капотом у этого "Сканера безопасности".
API эндпоинты этого Реестра, среди прочего, доступны на бэке основого портала ГУ. Как уже кто-то на хабре писал они специально разделили Реестр и основной портал ГУ чтобы люди оттуда массово не гасились. Но по факту ничего не поменялось.
Разрешений этот Реестр также никаких не требует, типа ты согласен со всем по дефолту.
С зебрами пришлось прямо вглядываться чтоб понять что к чему)
Лимиты на запросы? Не, не слышали. Надеюсь, хотя бы, проверка кодов из смс как-то лимитирована.
Нет у вас денег на ИБ специалистов, ну хотя бы на багбаунти зайдите. Такие поверхностные вещи там сразу находят.
Что там говорится про конец империи и безумство ее законов? Не знаю насколько справедлива первая часть суждения, но безумных законов действительно становится все больше и больше.
Безопасник с 12-летним стажем. Поработал на многих фронтах начиная с "бумажной безопасности" и заканчивая appsec. Готов поработать вместо Ляпунова за 0.5 его оклада.
А некоторые родители этим еще и гордятся: "Ой, у меня он такой смышленный, сам в 1.5 года ютуб включает, какие-то мультики там находит и смотрит"
А показать не можем, потому что ДСП. Но штраф извольте оплатить.
Скорее всего это временно. У меня со вчерашнего дня на Т2 перестал работать ютуб, хотя раньше норм грузило. Походу задеплоили роскомпозорвский конфиг на ТСПУ.
Екб. Ростелеком провод - перестал работать OpenVPN. Только сегодня продлил подписку на VPN. Как мне сейчас обучающий контент на ютуб смотреть? Они понимают какой ущерб экономике они наносят такими действиями? Простите, но у меня сгорела жопа.
Это с какими например?) Не защищаю Юлу - реально интересно.