Подскажите пожалуйста как вы находили первых клиентов? Были ли это пассивные продажи (звонки с рекламы) или активные? Как находили рестораны, которые готовы с вам работать?
Да никак не шарить, у нас с вами разные задачи. Могу предположить, что ваш сервис нацелен на небольшие рестораны. Сейчас ресторанный бизнес использует оборудование, которое стоит сотни тысяч рублей, цена только одного сервера для iiko далеко не 10К рублей. Плюс в серьезном ресторане всегда найдется оборудование, которое нужно подключить — свет, видеонаблюдение, локальное архивирование данных. Наша система — это система автоматизации вообщем предприятий, рестораны — только один из наших модулей. Возможно, что скоро выпустим продукт на растерзание публики. Точных сроков пока нет…
День добрый, мы одни из тех самых конкурентов, но пока находимся в стадии разработки. Систему вашу видели и за вами следим. Так ли нужна одноранговая пиринговая сеть — большой вопрос, все равно у вас есть центральный сервер в виде коробки — а без нее не обойтись, так как нужно подключать оборудование. Понравился дизайн вашего мобильного приложения, красивый, но создается ощущение, что он написан html — не очень просто разобраться с первого раза, элементы не нативные.
А так молодцы, удачи, надеемся, что Вас обойдем.
1) Вы так нигде и не ответили на свой же вопрос: «Сколько тратят на продвижение?»
2) На чем основаны ваши утверждения, что у Amazon Web Services «все хорошо и с точки зрения затрат, и с точки зрения получаемого дохода», потому что они > 0?
3) «за последние 10 лет стоимость услуг AWS снизилась в 48 раз», так стоимость ли снизилась услуг или цена?
Вы уж если перепечатываете отчетность компаний, то делайте это со смыслом…
Пожалуйста, не приписывайте мне, что я утверждал, что антивирус может спасти от взлома. Речь шла о минимальном уровне защиты обычного пользователя windows. Поверьте, на небе звезд столько, что хватит и не на это)
Вирус — это не только одноразовые программы для увода данных кредитных карт. Из публичных источников информации известно, что небольшой процент вирусов пишутся и разрабатываются группами, интересы которых давно совпадают с интересами отдельных государств. Наверное, это не тема для обсуждения на хабре, но те кто связаны с ИБ, возможно, частично согласились, а может и нет, с моими посылами. В таком случае ценные данные — это не только документы в директории /home/user, и вирус может внедряться и существовать годами. Документы могут и не храниться под рутом, но доступ к ним, с помощью дополнительных механизмов защиты, может быть разрешен только определенным программам. Согласен, что немного перегрузил текст утрированными примерами.
Сожалею, что у вас сложились подобные стереотипы. Я работал на ОС Windows, потом несколько лет разрабатывал ПО под Ubuntu, и считаю, что у меня нет каких-либо фанатичных заблуждений по поводу безопасности той или иной ОС. Недостатки безопасности ОС Windows — это не тема моей статьи, я пытаюсь донести до читателей, что не стоит фанатично утверждать, что проблемы с безопасностью есть только в ОС Windows. Что и под Linux будут появляться и уже появляются вредоносные программы, что если об этом не задумываться, слепо стоять на своих убеждениях, то могут быть и финансовые потери.
Художественный же стиль изложения помогает объяснять сложные вещи простыми словами. Боб и Алиса известные персонажи в области ИБ, обычно они передают информацию и злоумышленниками не являются, но вот это так важно зацепляться за это? Суть статьи же не в этом.
И вот опять, «отдельный ноутбук с OpenBSD» — говорите Вы. Почему OpenBSD, а не какая-либо другая ОС? В процессе ее эксплуатации не было обнаружено ни одной уязвимости, которая позволяет выполнять код в kernel mode?
В ядро лезть смысл есть всегда — обнаружить вредоносный код, который засел у вас в ПК будет очень сложно. Курить бамбук можно конечно долго, но вирусы уже давно не пишут группами по 2-3 человека.
Что значит бракованный процессор? Возможность обойти запрет на запись в закрытых на это страницах — это документированная возможность всех процессоров x86 и это известно всем. Это и не баг, так должно быть, этим я показал, что нужно осторожно вести аргументацию в области ИБ, иногда вещи в которых вы уверены, оборачиваются наизнанку.
А вы уверены, что технология ASLR хоть как-то затрудняет выполнение shell-кода в ядре? Я конечно могут ошибаться, но ASLR разве не затрудняет реализацию уязвимости только в user mode? Разве не так? Да и не про ядро Linux или Windows тема, при чему тут ядро.
Ок, представьте вы хотите разработать вредоносное ПО, что никому не рекомендую.
Вы хотите написать ПО для заражения пользователей Linux, например, Ubuntu.
1) Вы идете на соответствующую биржу и покупаете готовую уязвимость нулевого дня. Нулевого дня — значит у нее нет ни номера и о ней знает всего несколько людей и не исправлять ее могут еще несколько лет. Вот только недавно открытые уязвимости в Google Chrome: CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 — как видно из описания в свое время позволяло в актуальных на тот момент версиях Google Chrome удаленно выполнять код. Как не важно, суть не в этом.
2) Смотрим описание, и видим, что работают большинство из них не только под Windows, но и под: Linux и Mac OS.
3) Для тех кто не верит: bugs.launchpad.net/bugs/cve/2014-3176 — вот информация об ошибке в chromium-browser (Ubuntu)
4) Составляет скрипт, который в зависимости от версии ОС выполняет разный shell-код
5) Случайным образом он попадает на ваш любимый сайт (и это иногда сайты с посещаемость тысячи человек в день)
6) Далее вы заходите на сайт в Ubuntu из Google Chrome и в контексте процесса chrome выполняется небольшой код (возможно браузер потом упадет, но будет уже поздно, может и не упадет, зависит от реализации)
7) Да, код который выполнился ограничен в своих правах и собственно мало чего сможет сделать, значит идем дальше
8) Какие проблемы? CVE-2014-9322, CVE-2014-3153, в Linux Kernel до версии 3.17, 3.14 позволяют выполнить код в ядре. Можно даже с примерами найти…
9) Выполняем код в ядре, в процессоре x86 есть регистр cr0, там есть 16-ый бит, если установить его в ноль, то вы сможете в ядре перезаписывать данные в страницах, которые закрыты на запись. Сбрасываем его в ноль, перехватываем API и записываем тело вируса на диск.
10) Это позволяет: автоматически грузить вирус при загрузке ОС, перехватить вызовы ОС, скрыть процесс от кого-либо менеджера задач, скрыть файл от поиска на диске (вирус будет загружаться, но он не будет виден)
11) Если есть лишние деньги или знания, то можно попытаться пойти глубже и перепрошить диск и т.д.
Вот только в ОС Windows с XP x64 на этапе 9, во время модификации данных в памяти, произойдет принудительная перезагрузка системы с синим экраном, а в Linux — прокатит.
Пожалуйста, не пытайтесь вот так уверено высказываться на тему запуска вредоносного ПО, в которой вы похоже ничего не понимаете. Чтобы дойти до пункта 9 «И я взломан», надо как минимум знать ассемблер, про переполнение стека, про дыры в ядре, знать хотя бы о кольцах защиты. Вы знаете чем ring 3 отличается от ring 0? Сможете объяснить как в последнем ядре linux перехватить API или, например, как сделать процесс полностью невидимым? Если нет, то просто верьте тому чему вам говорят, взломать вас можно просто так: 1) зашли на сайт ....… 2) и вы взломаны. И не важно какой ОС вы пользуетесь!
А «секурная» ОС это та в которой любое GUI приложение (даже браузер) может перехватить пароль пользователя root, который вводится в любом другом приложении, например, в консоли, и заполучив его, использовать для дальнейшего повышения привилегий? Или вы считаете, что если в Chrome обнаруживается уязвимость, то она работает только на «несекурной из коробки ОС»? Или вы перед посещением каждого сайта (антивирус же у вас явно не стоит), анализируете вручную его код и все ресурсы, которые он подпихивает браузеру?
И неожиданно окажется, что для заражения не обязательно, цитата: «тыкать всякую херотень в интернетиках из почты». Вирусов под Linux пишут мало так как это не совсем рентабельно, но если вам нравится себя этим успокаивать, то пожалуйста, иногда взлом осуществляют целенаправленно…
Не знаю поймут и согласятся ли со мной другие участники хабра, немного критики в сторону вашей компании, смотрите, я клиент вашего хостинга (Selectel), я уже с вами несколько лет, размещаю небольшие по размеру проекты, за эти несколько лет я перечислил вам 41000 рублей за услуги облачного хостинга, поэтому я считаю, что достаточно знаком с вашим сервисом.
Сейчас мне нужно где-то разместить проект — это SaaS, автоматизация бизнеса, он должен быть: доступен 24 часа и 7 дней в неделю, все данные должны ежедневно резервироваться, даже если упадет связь в одном датацентре, то клиент должен видеть хотя бы статическую страницу с ошибкой.
Какие у меня есть варианты: 1) разместить проект у вас на физический серверах 2) разместить его у вас в облаке 3) разместит его в облаке Amazon.
Первый вариант я считаю неудобным в использовании.
Второй вариант, плюсы: цены в рублях и все, пошли минусы: 1) когда в ВК были сбои, то ваше облако висло, а сервера были недоступны, их нельзя было даже перезагрузить! 2) периодически падает связь с серверами, у вас принято в 3 часа ночи до 5 часов проводить тех работы, в это время в некоторых частях планеты день, 02.10.2014 в течение нескольких суток не работала панель управления серверами 3) почему нельзя создать образ веб-сервера и запустить 10 копий вирт. машин? да в VPC будет такая функция, но будет ли это выглядеть так же качественно как в Amazon? Смогу ли я запустить одну виртуальную машину в ДЦ на цветочной и две виртуальные машины в ДЦ Дубровка?
Хорошо, у вас будет в VPC, наверное, наконец-то функция создания снапшотов диска, а смогу ли я делать резервную копию диска, с помощью ваших инструментов так, чтобы копии хранились в разных ДЦ и будет ли у меня уверенность, что в один день мои данные не навернуться? Amazon Glacier внушает больше доверия.
Идем дальше,
Amazon: двухфакторная аутентификация — у вас все еще логин/пароль.
Amazon: привязка банковской карты и автоматическое списание денег — у вас необходимо вручную пополнять баланс
Amazon: разделение серверов на изолированные группы: Ирландия (Дублин), Германия (Франкфурт), у вас, если падает облако, то оно падает полностью, у вас 5 ДЦ и все в одном городе, почему вы не хотите открыть ДЦ, например, в Германии и выйти на зарубежные рынки.
и так далее… нет возможности создания пользователей с разграничением доступа и т.д.
P.S. жаль, что приходится пользоваться услугами зарубежных компаний, у вас есть все, чтобы переплюнуть по качеству и функционалу конкурентов, но вот на текущий момент — ваш сервис местами хорош, но он недоделанный. В нем нет того, что предоставляют другие провайдеры из коробки. Качество и надежность — вот что нужно дорабатывать, страшно, реально страшно размещать чего-либо в вашем новом VPC. Нужно делать резервные копии, но в Amazon я могу передать данные в ДЦ соседней страны — и все в пределах услуг одной компании, а куда у вас делать резервные копии, которые вы настойчиво намекаете делать? в ваше же облако? так это не повысит надежность. копировать гигабайты к себе на ПК?! копировать данные на сервера другого провайдера? куда? не удобно это. Большое спасибо за внимание, прекрасно понимаю, что зря сотрясаю воздух и никакого второго отечественного Amazon-а и Rackspace в ближайшее время мы не увидим… жаль
Вы говорите, что один из самых действительных каналов привлечения это СМИ и Хабр. Меня вот чего интересует. В течение нескольких месяцев планирую запустить сервис, систему управления предприятием. Рынок B2B, куда бы вы посоветовали вкладывать средства для продвижения? Публикация в СМИ стоит (особенно бизнес тематики) от 40-50К за публикацию, на сколько это оправдано и выгодно. Безусловно, для каждого проекта свои показатели, но интересно обсудить эту тему.
И еще, ваш проект явно связан с достаточно серьезной нагрузкой на сервера, нагрузка у вас из-за публикаций в СМИ неравномерная, используете ли вы облачные хостинги для быстрого масштабирования.
Извините, но в статье все кроме цитат из википедии — это диванная аналитика. Компетенция автора определяется сразу со строк «специалист по ИБ», ИБ — это состояние, а специалист это по ЗИ. Может уровень английского у вас и «хороший», но вот куча опечаток и орфография по русскому языку — убивает. «крутая сверх-защищенная система, которая должна обеспечивать, анонимность, полная защищенность информации от НСД» — для этого в сфере безопасности есть такие термины как: конфиденциальность, доступность, целостность.
При превышении допустимого количества попыток ввода пар login-password, ip-aдресс запросчика уходит в долгий бан.
а если ip-адрес подделан, а кто мешает подбирать пароль с сотни тысячи компьютеров?
Канал связи должен быть надежно зашифрован с применением ассиметричной криптографии(аля ssl/tls).
Во-первых, аля ssl/tls — это протоколы, а не алгоритмы криптографии. Они в своей работе используют не только ассиметричную криптографию, ассиметричная криптография используется для обмена ключами, но и симметричную для шифрования трафика.
Cервер должен быть написан как вирус, с шифрованиями, обфускациями и т.д., дабы уневозможнить анализ его работы и перехват данных в работающем режиме.
Вы не сможете «уневозможнить» анализ работы своего ПО, если доступ к его выполнению на железе имеют 3-и лица, для этого и важна физическая безопасность самого хранилища данных. А лучше всего разрабатывать такую систему с принципом Керкгоффса, код вашего сервера должен быть открытым, а безопасность ни на йоту не должна строится на его закрытости.
P.S.S становитесь более криптографически-грамотными, это Ваша же безопасность и анонимность. Ко всем крипто-апи пословица “Доверяй но проверяй”. Псевдо спецов по ИБ все больше.
На официальном сайт Росреестра есть публичная кадастровая карта, maps.rosreestr.ru/PortalOnline/ — по ней можно определить придомовую территорию. В соответствии со статьей 36 ЖК РФ, пункт 5, «земельный участок, на котором расположен многоквартирный дом, может быть обременен правом ограниченного пользования другими лицами». Если это незаконная постройка, то есть статья 222 ГК РФ, пункт 2, «самовольная постройка подлежит сносу осуществившим ее лицом либо за его счет...». Как бы кощунственно это не звучало, но даже если площадка установлена ТСЖ, но не на своей территории, то и ее могут разобрать.
А так молодцы, удачи, надеемся, что Вас обойдем.
2) На чем основаны ваши утверждения, что у Amazon Web Services «все хорошо и с точки зрения затрат, и с точки зрения получаемого дохода», потому что они > 0?
3) «за последние 10 лет стоимость услуг AWS снизилась в 48 раз», так стоимость ли снизилась услуг или цена?
Вы уж если перепечатываете отчетность компаний, то делайте это со смыслом…
Художественный же стиль изложения помогает объяснять сложные вещи простыми словами. Боб и Алиса известные персонажи в области ИБ, обычно они передают информацию и злоумышленниками не являются, но вот это так важно зацепляться за это? Суть статьи же не в этом.
И вот опять, «отдельный ноутбук с OpenBSD» — говорите Вы. Почему OpenBSD, а не какая-либо другая ОС? В процессе ее эксплуатации не было обнаружено ни одной уязвимости, которая позволяет выполнять код в kernel mode?
В ядро лезть смысл есть всегда — обнаружить вредоносный код, который засел у вас в ПК будет очень сложно. Курить бамбук можно конечно долго, но вирусы уже давно не пишут группами по 2-3 человека.
Что значит бракованный процессор? Возможность обойти запрет на запись в закрытых на это страницах — это документированная возможность всех процессоров x86 и это известно всем. Это и не баг, так должно быть, этим я показал, что нужно осторожно вести аргументацию в области ИБ, иногда вещи в которых вы уверены, оборачиваются наизнанку.
А вы уверены, что технология ASLR хоть как-то затрудняет выполнение shell-кода в ядре? Я конечно могут ошибаться, но ASLR разве не затрудняет реализацию уязвимости только в user mode? Разве не так? Да и не про ядро Linux или Windows тема, при чему тут ядро.
Вы хотите написать ПО для заражения пользователей Linux, например, Ubuntu.
1) Вы идете на соответствующую биржу и покупаете готовую уязвимость нулевого дня. Нулевого дня — значит у нее нет ни номера и о ней знает всего несколько людей и не исправлять ее могут еще несколько лет. Вот только недавно открытые уязвимости в Google Chrome: CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 — как видно из описания в свое время позволяло в актуальных на тот момент версиях Google Chrome удаленно выполнять код. Как не важно, суть не в этом.
2) Смотрим описание, и видим, что работают большинство из них не только под Windows, но и под: Linux и Mac OS.
3) Для тех кто не верит: bugs.launchpad.net/bugs/cve/2014-3176 — вот информация об ошибке в chromium-browser (Ubuntu)
4) Составляет скрипт, который в зависимости от версии ОС выполняет разный shell-код
5) Случайным образом он попадает на ваш любимый сайт (и это иногда сайты с посещаемость тысячи человек в день)
6) Далее вы заходите на сайт в Ubuntu из Google Chrome и в контексте процесса chrome выполняется небольшой код (возможно браузер потом упадет, но будет уже поздно, может и не упадет, зависит от реализации)
7) Да, код который выполнился ограничен в своих правах и собственно мало чего сможет сделать, значит идем дальше
8) Какие проблемы? CVE-2014-9322, CVE-2014-3153, в Linux Kernel до версии 3.17, 3.14 позволяют выполнить код в ядре. Можно даже с примерами найти…
9) Выполняем код в ядре, в процессоре x86 есть регистр cr0, там есть 16-ый бит, если установить его в ноль, то вы сможете в ядре перезаписывать данные в страницах, которые закрыты на запись. Сбрасываем его в ноль, перехватываем API и записываем тело вируса на диск.
10) Это позволяет: автоматически грузить вирус при загрузке ОС, перехватить вызовы ОС, скрыть процесс от кого-либо менеджера задач, скрыть файл от поиска на диске (вирус будет загружаться, но он не будет виден)
11) Если есть лишние деньги или знания, то можно попытаться пойти глубже и перепрошить диск и т.д.
Вот только в ОС Windows с XP x64 на этапе 9, во время модификации данных в памяти, произойдет принудительная перезагрузка системы с синим экраном, а в Linux — прокатит.
И неожиданно окажется, что для заражения не обязательно, цитата: «тыкать всякую херотень в интернетиках из почты». Вирусов под Linux пишут мало так как это не совсем рентабельно, но если вам нравится себя этим успокаивать, то пожалуйста, иногда взлом осуществляют целенаправленно…
Сейчас мне нужно где-то разместить проект — это SaaS, автоматизация бизнеса, он должен быть: доступен 24 часа и 7 дней в неделю, все данные должны ежедневно резервироваться, даже если упадет связь в одном датацентре, то клиент должен видеть хотя бы статическую страницу с ошибкой.
Какие у меня есть варианты: 1) разместить проект у вас на физический серверах 2) разместить его у вас в облаке 3) разместит его в облаке Amazon.
Первый вариант я считаю неудобным в использовании.
Второй вариант, плюсы: цены в рублях и все, пошли минусы: 1) когда в ВК были сбои, то ваше облако висло, а сервера были недоступны, их нельзя было даже перезагрузить! 2) периодически падает связь с серверами, у вас принято в 3 часа ночи до 5 часов проводить тех работы, в это время в некоторых частях планеты день, 02.10.2014 в течение нескольких суток не работала панель управления серверами 3) почему нельзя создать образ веб-сервера и запустить 10 копий вирт. машин? да в VPC будет такая функция, но будет ли это выглядеть так же качественно как в Amazon? Смогу ли я запустить одну виртуальную машину в ДЦ на цветочной и две виртуальные машины в ДЦ Дубровка?
Хорошо, у вас будет в VPC, наверное, наконец-то функция создания снапшотов диска, а смогу ли я делать резервную копию диска, с помощью ваших инструментов так, чтобы копии хранились в разных ДЦ и будет ли у меня уверенность, что в один день мои данные не навернуться? Amazon Glacier внушает больше доверия.
Идем дальше,
Amazon: двухфакторная аутентификация — у вас все еще логин/пароль.
Amazon: привязка банковской карты и автоматическое списание денег — у вас необходимо вручную пополнять баланс
Amazon: разделение серверов на изолированные группы: Ирландия (Дублин), Германия (Франкфурт), у вас, если падает облако, то оно падает полностью, у вас 5 ДЦ и все в одном городе, почему вы не хотите открыть ДЦ, например, в Германии и выйти на зарубежные рынки.
и так далее… нет возможности создания пользователей с разграничением доступа и т.д.
P.S. жаль, что приходится пользоваться услугами зарубежных компаний, у вас есть все, чтобы переплюнуть по качеству и функционалу конкурентов, но вот на текущий момент — ваш сервис местами хорош, но он недоделанный. В нем нет того, что предоставляют другие провайдеры из коробки. Качество и надежность — вот что нужно дорабатывать, страшно, реально страшно размещать чего-либо в вашем новом VPC. Нужно делать резервные копии, но в Amazon я могу передать данные в ДЦ соседней страны — и все в пределах услуг одной компании, а куда у вас делать резервные копии, которые вы настойчиво намекаете делать? в ваше же облако? так это не повысит надежность. копировать гигабайты к себе на ПК?! копировать данные на сервера другого провайдера? куда? не удобно это. Большое спасибо за внимание, прекрасно понимаю, что зря сотрясаю воздух и никакого второго отечественного Amazon-а и Rackspace в ближайшее время мы не увидим… жаль
И еще, ваш проект явно связан с достаточно серьезной нагрузкой на сервера, нагрузка у вас из-за публикаций в СМИ неравномерная, используете ли вы облачные хостинги для быстрого масштабирования.
Оказывается и такое есть…
Смысл в обезличивании таких запросов, если по их содержимому можно и так получить: адреса, email, телефоны и многое другое.
Часто встречаются email адрес людей, телефоны (частные).
а если ip-адрес подделан, а кто мешает подбирать пароль с сотни тысячи компьютеров?
Во-первых, аля ssl/tls — это протоколы, а не алгоритмы криптографии. Они в своей работе используют не только ассиметричную криптографию, ассиметричная криптография используется для обмена ключами, но и симметричную для шифрования трафика.
Вы не сможете «уневозможнить» анализ работы своего ПО, если доступ к его выполнению на железе имеют 3-и лица, для этого и важна физическая безопасность самого хранилища данных. А лучше всего разрабатывать такую систему с принципом Керкгоффса, код вашего сервера должен быть открытым, а безопасность ни на йоту не должна строится на его закрытости.