Очень похоже на одного из моих бывших руководителей. Взяли в отдел безопасности блокчейнов. А у него из опыта - только разработка (в карточке достижений писал, что преподаёт блокчейн в универе и занимался разработкой в этой области - всё). В итоге не смог увидеть уязвимость, которую принес ему на блюдечке. И у отдела до сих пор в паблике нет ни одной зарегистрированной CVE. Кстати, навыки разработки без глубоких навыков в безопасности его роднит и с вендором, который не признавал уязвимость и даже пытался отозвать CVE (подробнее - в статье). Всё-таки, сочетание одинаково хороших способностей в разработке и безопасности - большая редкость.
Мой материал (№9 Out Of Scope) - в статье Манипуляция временем транзакции в блокчейне Hyperledger Fabric. А недавно я написал статью как вендор пытался оспорить эту CVE и даже подозревал финансовую заинтересованность со стороны MITRE. Спасибо жюри за независимую оценку. И организаторам - за саму идею мероприятия и расширение номинаций в этом году.
Свежий пример из моей практики - Мегафон внедрил виртуального помощника и не контролирует его поведение. Заявки быстрее обрабатываются - потому что они закрываются, если пользователь не успел подтвердить виртуалу, что его вопрос актуален и за 20 мин не решился сам по себе. К живым операторам пробиться нереально.
/etc/resolv.conf указывает на конкретный DNS -сервер, которому вы можете доверять, IP задан в настройках, маршруты тоже, и вы все это настроили так как вам надо.
Предлагаете отказаться от DHCP и всё настраивать вручную? Не для всех случаев этой пойдёт. Если сеть из 3-х устройств - ок. А если их сотни?
Автоматика хороша для рабочих станций, которые живут в вашей, относительно безопасной сети. Если в ней кто-то перехватывает трафик или рассылает поддельные пакеты - то проблема именно в этом, а не то, что кто-то послушается...
Это да. Но, это же не значит, что теперь можно забивать на доп безопасность. Иначе получается как в случае из моей практики:
- Почему сервисы обмениваются данными по HTTP и без авторизации?
- Это внутренняя сеть, если сюда попадёт злоумышленник - проблемы будут посерьёзнее. Поэтому - зачем нам тут вообще что-то дополнительно делать?
Почему считаете, что прилетевший вдруг по DHCP адрес зловредного NTP будет проигнорирован системой? Просто для размышления: при обновлении по DHCP перезаписывается маршрут по-умолчанию. И для неопытных пользователей VPN это большая проблема: трафик, порой, начинает идти не через VPN.
Обновление маршрута при обновлении DHCP записи в Ubuntu 22.04.5
# ip route 0.0.0.0/1 via 10.10.0.1 dev tun0 10.10.0.0/22 dev tun0 proto kernel scope link src 10.10.0.2
# dhclient -v ens30
......
# ip route
0.0.0.0/1 via 10.10.0.1 dev tun0 default via 192.168.1.1 dev ens30
Да, в данном случае я обновил в ОС принудительно. Но, такая же картина и в естественных условиях: по истечении времени аренды записи DHCP.
Один из вариантов - в настройках сетевого адаптера указать, что по DHCP не нужно обновлять маршруты. Но, подобной настройки для игнорирования NTP я не встречал ни у каких ОС.
Настройка запроса маршрутов через DHCP в Ubuntu 22.04.5
Это смотря для какой цели проходить. Я как раз этот курс проходил чтоб научиться читать логику чужого кода (искать ошибки) и написать свой смарт-контракт (для блокчейна Hyperledger Fabric). Этого хватило, чтоб найти проблему в самом блокчейне и зарегистрировать CVE. А также написать свой смарт-контракт
Работодатели получают сотни однотипных откликов, кейсов и слов. И, разочаровавшись во всех новичках, ставят фильтр: «без опыта не беспокоить».
Что им мешает писать, что опыт есть? Настроить выдачу тестового задания и общаться только с теми, кто хоть как-то его сделал (возможно, стоит продумать детали этого процесса при сотнях откликов). Я лично проблемы (для работодателей) в таких курсах не вижу. А вижу её как раз на стороне HR. На Хабре было уже много статей: слабое понимание особенностей ИТ-вакансий. Например, они часто не в состоянии понять кто из кандидатов подходит под DevSecOps, а кто - в пентестеры. И мой личный опыт это подтверждает. Часто HR почти ни на один вопрос по вакансии ответить не может. Ответ в духе: у вас будет общение с тимлидом (это в самом конце процесса собеседования) - он ответит. Т.е. я должен потратить время на тех собес, чтоб в конце узнать организационные моменты, которые мне не подходят. А бывали случаи в моей практике и похуже: я был нач отдела, была договорённость, что HR обзванивают кандидатов (задать вопросы: готовы ли в командировку ездить и подходит ли расположение офиса и т.д.). В итоге HR мне принесли 10 резюме, я смог дозвониться лишь до 2-х. В процессе выяснилось, что HR, естественно никому не звонили.
Добавлю, что в этой истории ещё был мой (уже бывший) тимлид (направления безопасности): я уязвимость обнаружил в процессе исследования безопасности коммерческого смарт-контракта по его задаче. Показал ему атаку на макете. Но, он так и не придал этому значения. Тимлид был с опытом разработки и без практического опыта в безопасности. Я снова убедился: хороший тимлид направления безопасности с опытом только разработчика - исключение из правила.
Мне кажется - при оценке этичности стоит оценивать конкретное содержимое распространяемой переписки. Если там обмен сугубо технической информацией (как в данном случае) и не содержит данных о частной жизни - этичность не нарушена. Пересказ же своими словами всегда наводит на сомнения вроде: "а не был ли искажён смысл? Может, автор отсебятины добавил? Или фразу из контекста вырвал? А почему нет оригинала?".
Интересное наблюдение. Но, непонятно: что с этим делать мне как автору статьи? Есть какие-то предложения? Если дублировать ссылки ещё и скриншотами содержания ссылок - будут вопросы со стороны пользователей ПК. Не проще ли добавить статью в заметки и прочитать позднее с ПК?
Если только отчасти. В версии 3.0.0 сделали определённый фикс. Но, его логика отличается от EVM блокчейнов, где время следующего блока всегда строго "в будущем" (т.е. больше предыдущего). В Hyperledger Fabric время следующей транзакции может быть меньше предыдущего. И фикс лишь ограничивает эту разницу во времени. Т.е. на уровне смарт-контракта всё равно нужно учитывать этот нюанс. Я бы сказал, что сейчас самая большая проблема блокчейна - отсутствие сложившейся практики безопасности. Причём на всех уровнях: от безопасной настройки блокчейна до кода смарт-контрактов. Подробнее на эту тему я рассуждал в статье Актуальные проблемы безопасности ЦФА и трансграничных платежей на основе блокчейн технологий
почему-то программы для ЭВМ выведены из-под закона о защите прав потребителей
Это Вы как к такому выводу пришли? Я вот вижу противоположное. "Прекращение работы программного обеспечения товара по истечении гарантийного срока, но в пределах срока службы товара, приведшее к невозможности его дальнейшего функционирования и использования, может быть признано существенным недостатком, при котором потребитель вправе возвратить товар изготовителю (уполномоченной организации или уполномоченному индивидуальному предпринимателю, импортеру) и потребовать возврата уплаченной за него суммы" -пункт 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)
"требования граждан к качеству программного обеспечения, используемого в технически сложном товаре (например, к операционной системе, которая служит для обеспечения его функционирования), должны рассматриваться как требования к качеству товара в целом с учетом его потребительских свойств в соответствии со ст. 469 ГК РФ." - пункт 39 Постановления Пленума Верховного Суда РФ от 28.06.2012 N 17 "О рассмотрении судами гражданских дел по спорам о защите прав потребителей"
Подобное же сейчас проворачивают с т.н. платформенной экономикой (что-то про маркетплейсы)
Добавлю, что я в целом не против ИИ. И не буду искать оператора по принципу где нет ИИ. Я против реализации "для галочки": когда невозможно пробиться к оператору (в случае бесполезности ИИ в конкретной ситуации). Ну, и подход: "ИИ переспросит абонента через 20 мин и если тот не успеет ответить - закроем обращение", - для меня тоже показатель качества обслуживания и отношения к пользователю.
Банк России опубликовал кодекс этики в сфере разработки и применения искусственного интеллекта для финансовых организаций. В т.ч. кодекс рекомендует компаниям информировать клиентов, когда они взаимодействуют с ИИ, и давать возможность отказаться от такого взаимодействия.
Проверяли на звонке именно Мегафона? То, что от других ИИ можно так перейти к оператору - я в курсе. Но, Мегафон, видимо, решил, что это слишком просто. Поэтому когда на звонке голосом зовёшь оператора - просит сообщить тему обращения "для перевода на оператора". А после озвучивания - оператора не зовёт, а предлагает какие-то несвязанные ответы. И так по кругу. У меня примерно такой диалог был:
- Оператор. - Уточните: вопрос связан с недоступностью интернета?
- нет
- в вашей зоне обнаружены проблемы со связью, мы ими уже занимаемся. Есть ещё вопросы?
- Оператор
- Уточните: вопрос связан с недоступностью интернета?
- нет
- в вашей зоне обнаружены проблемы со связью, мы ими уже занимаемся. Есть ещё вопросы?
И так по кругу. Если это масштабное исследование как можно быстро раздражать людей - то тут просто 100% попадание в яблочко.
На МТС: у них лучше покрытие сети в тех местах ЛенОбласти, где мы бываем (проверял). А ещё - есть возможность получить лучшие условия тарифа за меньшие деньги. Вопрос смены оператора и так давно витал в воздухе, сейчас ИИ стал последней каплей.
А ещё - Мегафон надоел спамом. Пришлось обращаться в УФАС. Вот по моему обращению возбуждено дело: https://spb.fas.gov.ru/news/12344
Похоже, речь идёт о первой инстанции. Т.е. точку в деле рано ставить. Есть ещё апелляция, кассация, Верховный Суд (+ Конституционный, но, я не знаю могут ли там права защищать компании, а не физ лица). Вопрос в том как далеко захочет зайти МТС в обжаловании.
Забыл добавить. Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И ни разу в процессе триажа мы не взаимодействовали с PR службой.
Очень похоже на одного из моих бывших руководителей. Взяли в отдел безопасности блокчейнов. А у него из опыта - только разработка (в карточке достижений писал, что преподаёт блокчейн в универе и занимался разработкой в этой области - всё). В итоге не смог увидеть уязвимость, которую принес ему на блюдечке. И у отдела до сих пор в паблике нет ни одной зарегистрированной CVE. Кстати, навыки разработки без глубоких навыков в безопасности его роднит и с вендором, который не признавал уязвимость и даже пытался отозвать CVE (подробнее - в статье). Всё-таки, сочетание одинаково хороших способностей в разработке и безопасности - большая редкость.
Мой материал (№9 Out Of Scope) - в статье Манипуляция временем транзакции в блокчейне Hyperledger Fabric. А недавно я написал статью как вендор пытался оспорить эту CVE и даже подозревал финансовую заинтересованность со стороны MITRE. Спасибо жюри за независимую оценку. И организаторам - за саму идею мероприятия и расширение номинаций в этом году.
Свежий пример из моей практики - Мегафон внедрил виртуального помощника и не контролирует его поведение. Заявки быстрее обрабатываются - потому что они закрываются, если пользователь не успел подтвердить виртуалу, что его вопрос актуален и за 20 мин не решился сам по себе. К живым операторам пробиться нереально.
С другой стороны ИИ мне помогли сделать смарт-контракт с нуля, когда у меня вообще не было опыта по написанию такого.
Предлагаете отказаться от DHCP и всё настраивать вручную? Не для всех случаев этой пойдёт. Если сеть из 3-х устройств - ок. А если их сотни?
Это да. Но, это же не значит, что теперь можно забивать на доп безопасность. Иначе получается как в случае из моей практики:
Почему считаете, что прилетевший вдруг по DHCP адрес зловредного NTP будет проигнорирован системой? Просто для размышления: при обновлении по DHCP перезаписывается маршрут по-умолчанию. И для неопытных пользователей VPN это большая проблема: трафик, порой, начинает идти не через VPN.
Обновление маршрута при обновлении DHCP записи в Ubuntu 22.04.5
# ip route
0.0.0.0/1 via 10.10.0.1 dev tun0
10.10.0.0/22 dev tun0 proto kernel scope link src 10.10.0.2
# dhclient -v ens30
......
# ip route
0.0.0.0/1 via 10.10.0.1 dev tun0
default via 192.168.1.1 dev ens30
Да, в данном случае я обновил в ОС принудительно. Но, такая же картина и в естественных условиях: по истечении времени аренды записи DHCP.
Один из вариантов - в настройках сетевого адаптера указать, что по DHCP не нужно обновлять маршруты. Но, подобной настройки для игнорирования NTP я не встречал ни у каких ОС.
Настройка запроса маршрутов через DHCP в Ubuntu 22.04.5
Это смотря для какой цели проходить. Я как раз этот курс проходил чтоб научиться читать логику чужого кода (искать ошибки) и написать свой смарт-контракт (для блокчейна Hyperledger Fabric). Этого хватило, чтоб найти проблему в самом блокчейне и зарегистрировать CVE. А также написать свой смарт-контракт
Что им мешает писать, что опыт есть? Настроить выдачу тестового задания и общаться только с теми, кто хоть как-то его сделал (возможно, стоит продумать детали этого процесса при сотнях откликов). Я лично проблемы (для работодателей) в таких курсах не вижу. А вижу её как раз на стороне HR. На Хабре было уже много статей: слабое понимание особенностей ИТ-вакансий. Например, они часто не в состоянии понять кто из кандидатов подходит под DevSecOps, а кто - в пентестеры. И мой личный опыт это подтверждает. Часто HR почти ни на один вопрос по вакансии ответить не может. Ответ в духе: у вас будет общение с тимлидом (это в самом конце процесса собеседования) - он ответит. Т.е. я должен потратить время на тех собес, чтоб в конце узнать организационные моменты, которые мне не подходят. А бывали случаи в моей практике и похуже: я был нач отдела, была договорённость, что HR обзванивают кандидатов (задать вопросы: готовы ли в командировку ездить и подходит ли расположение офиса и т.д.). В итоге HR мне принесли 10 резюме, я смог дозвониться лишь до 2-х. В процессе выяснилось, что HR, естественно никому не звонили.
Добавлю, что в этой истории ещё был мой (уже бывший) тимлид (направления безопасности): я уязвимость обнаружил в процессе исследования безопасности коммерческого смарт-контракта по его задаче. Показал ему атаку на макете. Но, он так и не придал этому значения. Тимлид был с опытом разработки и без практического опыта в безопасности. Я снова убедился: хороший тимлид направления безопасности с опытом только разработчика - исключение из правила.
Мне кажется - при оценке этичности стоит оценивать конкретное содержимое распространяемой переписки. Если там обмен сугубо технической информацией (как в данном случае) и не содержит данных о частной жизни - этичность не нарушена. Пересказ же своими словами всегда наводит на сомнения вроде: "а не был ли искажён смысл? Может, автор отсебятины добавил? Или фразу из контекста вырвал? А почему нет оригинала?".
Интересное наблюдение. Но, непонятно: что с этим делать мне как автору статьи? Есть какие-то предложения? Если дублировать ссылки ещё и скриншотами содержания ссылок - будут вопросы со стороны пользователей ПК. Не проще ли добавить статью в заметки и прочитать позднее с ПК?
Если только отчасти. В версии 3.0.0 сделали определённый фикс. Но, его логика отличается от EVM блокчейнов, где время следующего блока всегда строго "в будущем" (т.е. больше предыдущего). В Hyperledger Fabric время следующей транзакции может быть меньше предыдущего. И фикс лишь ограничивает эту разницу во времени. Т.е. на уровне смарт-контракта всё равно нужно учитывать этот нюанс.
Я бы сказал, что сейчас самая большая проблема блокчейна - отсутствие сложившейся практики безопасности. Причём на всех уровнях: от безопасной настройки блокчейна до кода смарт-контрактов. Подробнее на эту тему я рассуждал в статье Актуальные проблемы безопасности ЦФА и трансграничных платежей на основе блокчейн технологий
Для меня вишенка на торте - где в канале Артём не стесняется выражаться в мой адрес.
Это Вы как к такому выводу пришли? Я вот вижу противоположное. "Прекращение работы программного обеспечения товара по истечении гарантийного срока, но в пределах срока службы товара, приведшее к невозможности его дальнейшего функционирования и использования, может быть признано существенным недостатком, при котором потребитель вправе возвратить товар изготовителю (уполномоченной организации или уполномоченному индивидуальному предпринимателю, импортеру) и потребовать возврата уплаченной за него суммы" -пункт 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)
"требования граждан к качеству программного обеспечения, используемого в технически сложном товаре (например, к операционной системе, которая служит для обеспечения его функционирования), должны рассматриваться как требования к качеству товара в целом с учетом его потребительских свойств в соответствии со ст. 469 ГК РФ." - пункт 39 Постановления Пленума Верховного Суда РФ от 28.06.2012 N 17 "О рассмотрении судами гражданских дел по спорам о защите прав потребителей"
Неясно что имеете ввиду. Но, в ЗоЗПП введён термин владелец агрегатора. И его ответственность, в частности, прописана в статье 12 того же Закона.
Вы сейчас про какую юрисдикцию? В РФ есть Закон о защите прав потребителей, п 16 которого указывает на ничтожность условий договора, нарушающих законы РФ. И этот же закон действует на приобретаемое ПО (п 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)). Так что лицензионное соглашение, где "продавец ни за что не несет ответственности" - не имеет юридической силы.
Добавлю, что я в целом не против ИИ. И не буду искать оператора по принципу где нет ИИ. Я против реализации "для галочки": когда невозможно пробиться к оператору (в случае бесполезности ИИ в конкретной ситуации). Ну, и подход: "ИИ переспросит абонента через 20 мин и если тот не успеет ответить - закроем обращение", - для меня тоже показатель качества обслуживания и отношения к пользователю.
Банк России опубликовал кодекс этики в сфере разработки и применения искусственного интеллекта для финансовых организаций. В т.ч. кодекс рекомендует компаниям информировать клиентов, когда они взаимодействуют с ИИ, и давать возможность отказаться от такого взаимодействия.
Проверяли на звонке именно Мегафона? То, что от других ИИ можно так перейти к оператору - я в курсе. Но, Мегафон, видимо, решил, что это слишком просто. Поэтому когда на звонке голосом зовёшь оператора - просит сообщить тему обращения "для перевода на оператора". А после озвучивания - оператора не зовёт, а предлагает какие-то несвязанные ответы. И так по кругу.
У меня примерно такой диалог был:
И так по кругу. Если это масштабное исследование как можно быстро раздражать людей - то тут просто 100% попадание в яблочко.
На МТС: у них лучше покрытие сети в тех местах ЛенОбласти, где мы бываем (проверял). А ещё - есть возможность получить лучшие условия тарифа за меньшие деньги. Вопрос смены оператора и так давно витал в воздухе, сейчас ИИ стал последней каплей.
А ещё - Мегафон надоел спамом. Пришлось обращаться в УФАС. Вот по моему обращению возбуждено дело: https://spb.fas.gov.ru/news/12344
Похоже, речь идёт о первой инстанции. Т.е. точку в деле рано ставить. Есть ещё апелляция, кассация, Верховный Суд (+ Конституционный, но, я не знаю могут ли там права защищать компании, а не физ лица). Вопрос в том как далеко захочет зайти МТС в обжаловании.
Забыл добавить. Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И ни разу в процессе триажа мы не взаимодействовали с PR службой.