• Аудит за 60 минут — бесплатно проверяем устойчивость сотрудников к фишинговым атакам через Sophos Phish Threat

      Sophos Phish Threat

      Наверняка многих из Вас интересовал вопрос: “Сколько моих коллег не осведомлены о фишинговых атаках?” Чтобы выяснить этот вопрос, можно немного заморочиться и поднять локальные утилиты, но гораздо эффективней воспользоваться готовым решением.

      План действий:

      1. запрашиваем тестовую версию Sophos Phish Threat;
      2. добавляем IP адреса Sophos в белый список;
      3. выбираем и правим шаблон под наши реалии;
      4. делаем рассылку;
      5. смотрим статистику;
      6. разговариваем с пользователями и Руководством.

      Более подробное описание можно найти под катом.

      В конце статьи — бонус для тех, кто дочитает до конца ;). Карта принятия решений для сотрудников — распечатать и раздать всем сотрудникам.
      Читать дальше →
    • Пять уязвимостей, опасных для удаленной работы



        Изображение: Unsplash

        При переводе сотрудников на дистанционный режим IT-подразделения допускают различные ошибки безопасности и открывают доступ к внутренней инфраструктуре для посторонних.

        Для начала перечислим уязвимости, которые лучше побыстрей устранить в своей инфраструктуре, чтобы в эти тяжелые месяцы не стать «easy meat» для операторов вирусов-шифровальщиками или финансово-ориентированных APT-группировок.
        Читать дальше →
      • Бесплатные утилиты для бэкапа с бесплатного ESXI

        Как-то появилось у меня несколько персональных проектов, которые требовали относительно много дискового места — около 2TB. Подходящих VPS не нашлось (мало кто предлагает много HDD места), поэтому я взял выделенный сервер у OVH, поставил там ESXI 5.5 с бесплатной лицензией и всё работало.

        Через некоторое время, с развитем проектов, я стал настраивать админские фишки — мониторинг, бэкап, и выяснил, что оказывается сервер, в котором мне обещали Soft RAID, и на который хостер (OVH) накатил свой образ ESXI — без RAID! То есть просто 2 диска. Ну да, теперь вот я знаю, что ESXI не поддерживает Soft RAID, только Hard. Стало неуютно. Да и 2TB стало не хватать. В общем взял я себе сервер побольше, с аппаратным RAID и поставил туда ESXI 6.0.

        И возникло две задачи, решение которых я тут опишу:

        1. Перенести виртуальные машины (некоторые из которых около 1TB) с одного сервера на другой с минимальным оффлайном
        2. Делать регулярные бэкапы

        Скажу сразу, что обе эти задачи легко решаются, если есть хотя бы минимальная платная лицензия ESXI. Дело в том, что «родной» Backup API в бесплатной версии ESXI выключен. Поэтому приходится находить другие пути.

        С платной лицензией есть вариант миграции через vCenter. Ещё есть бесплатная версия Veeam Backup, которая позволяет делать бэкапы и переносить виртуальные машины с одной системы на другую и при этом не требуется их останавливать. Но с бесплатной лицензией ESXI, текущая версия — Veeam 9 — не работает вообще.
        Читать дальше →
      • Восстановление расфокусированных и смазанных изображений. Практика

          Не так давно я опубликовал на хабре первую часть статьи по восстановлению расфокусированных и смазанных изображений, где описывалась теоретическая часть. Эта тема, судя по комментариям, вызвала немало интереса и я решил продолжить это направление и показать вам какие же проблемы появляются при практической реализации казалось бы простых формул.

          В дополнение к этому я написал демонстрационную программу, в которой реализованы основные алгоритмы по устранению расфокусировки и смаза. Программа выложена на GitHub вместе с исходниками и дистрибутивами.

          Ниже показан результат обработки реального размытого изображения (не с синтетическим размытием). Исходное изображение было получено камерой Canon 500D с объективом EF 85mm/1.8. Фокусировка была выставлена вручную, чтобы получить размытие. Как видно, текст совершенно не читается, лишь угадывается диалоговое окно Windows 7.



          И вот результат обработки:



          Практически весь текст читается достаточно хорошо, хотя и появились некоторые характерные искажения.

          Под катом подробное описание проблем деконволюции, способов их решения, а также множество примеров и сравнений. Осторожно, много картинок!
          Читать дальше →
        • Работа с цифровыми подписями PGP с использованием Bouncy Castle Cryptography Library на Java

          • Tutorial
          В данном руководстве мы рассмотрим работу с OpenPGP на Java с использованием библиотеки Bouncy Castle Cryptography Library с ориентацией на использование в веб-разработке.

          image
          Читать дальше →
        • Понимая Docker

          Уже несколько месяцев использую docker для структуризации процесса разработки/доставки веб-проектов. Предлагаю читателям «Хабрахабра» перевод вводной статьи о docker — «Understanding docker».

          Что такое докер?


          Докер — это открытая платформа для разработки, доставки и эксплуатации приложений. Docker разработан для более быстрого выкладывания ваших приложений. С помощью docker вы можете отделить ваше приложение от вашей инфраструктуры и обращаться с инфраструктурой как управляемым приложением. Docker помогает выкладывать ваш код быстрее, быстрее тестировать, быстрее выкладывать приложения и уменьшить время между написанием кода и запуска кода. Docker делает это с помощью легковесной платформы контейнерной виртуализации, используя процессы и утилиты, которые помогают управлять и выкладывать ваши приложения.
          Читать дальше →
        • Взгляд юриста: как IT компании расторгнуть контракт с токсичным госзаказчиком

          IT компания победила в гостендере на разработку системы обучения. Приступила к исполнению и ее начали жестко сливать. В чем причина? Как происходит слив? И под какие риски подписывается разработчик, входя в тендер?

          Часть 1: темные стороны ТЗ


          Одно скромное ФГБУ (федеральное гос. богоугодное учреждение) объявило тендер на создание системы дистанционного обучения («СДО»). Сроки 5 мес., цена 4,5 млн. рублей.

          Создание СДО проходило в 4 последовательных этапа: (1) анализ инфрастуктуры Заказчика, (2) создание СДО, (3) внедрение и гарантийное обслуживание.

          Так как ТЗ написано госзаказчиком «широкими мазками», то и родился в нем первый этап – анализ инфраструктуры. Анализ, точнее, анамнез показал, что вычислительных мощностей железа Заказчика явно не хватает, чтобы обеспечить
          «бесперебойное функционировании СДО при одновременном использовании 10 000 пользователей».
          Заказчик подливает масла в огонь новой вводной, которой не было в ТЗ – объемом курсов обучения. Цитируя госзаказчика: «Подумаешь, забыли про объем написать?». Доблестный разработчик снова вглядывается в инфраструктуру, делает перерасчет и ужасается. Такой объем курсов помноженный на кол-во пользователей приведет к коллапсу системы.
          Какие выходы есть?

          Часть 2: адская бюрократия и решение на полмиллиона долларов


          Выход первый: корректируем ТЗ путем уменьшения кол-ва одновременно находящихся на сайте юзеров. Звучит просто, но у нас же Госзаказчик. У нас 44 ФЗ! Поэтому попытка разраба согласовать на бумаге изменение ТЗ тонет в пучине согласований.

          Выход второй (не, не Шереметьево и не Домодедово): взять мощности в аренду у ЦОДа. Всего-то 30 млн. рублей аренды в год. Примерно в этом месте госзаказчик понимает, что люто обдел-ся, потому что бюджет на аренду ЦОДов он не заложил, а отступить от ТЗ не может. Ведь ТЗ согласован со старшими товарищами и тогда….
          Читать дальше →
        • Разбор выкладки (интерфейс расстановки товаров в магазине)



            Привет! Я довольно давно обещал рассказать про особенности выкладки не на уровне ликбеза, а прямо с парой примеров по нашим точкам. Сразу две важных вещи:

            1. Мы умеем выкладывать только настольные игры, и не факт, что наши принципы подойдут кому-то ещё.
            2. Выкладка — далеко не то, с чего нужно начинать работу с магазином, она обычно даёт 1-5% увеличения выручек. Зато это быстро, почти бесплатно и приятно.

            Но давайте разберём косяки и попробуем вывести принципы. Мы примерно так индуктивно модель и дотачивали.
            Читать дальше →
          • Как разработчики процедурно создали кучу «мусорных» мобильных игр и заработали 50 тысяч долларов

            • Translation

            Два инди-разработчика рассказывают, как использовали автоматизацию, один аккаунт Google Play и единственный шаблон игры про слот-машины для создания и публикации более тысячи приложений.

            На проводимой в этом году Game Developers Conference выступили два разработчика игр, способные написать новую главу романа-антиутопии о будущем: они рассказали историю о том, как заработали деньги, позволив делать всю работу роботам. В их случае этой работой была процедурная генерация игр для смартфонов.

            Участие в обычном гейм-джеме привело к созданию машины обработки данных, которой в результате удалось заработать приличную сумму: 50 тысяч долларов за два с лишним года. Спустя годы, имея на руках данные (и деньги), разработчики этой машины по изготовлению игр, которая создавала только «мусорные» слот-автоматы с моделью free-to-play, использовали GDC как трибуну, чтобы подать тревожный сигнал индустрии, в которой «правильное» поведение часто ограничивается вниманием к игрокам, заискиванием перед издателями и сбором положительных обзоров критиков. В случае этих разработчиков нарушение всех этих правил привёл к слишком успешным результатам, вызвав у них сильный дискомфорт.

            Побеждаем в «гонке ко дну»


            Вернёмся в 2013 год: в то время два разработчика видеоигр уже несколько лет пытались добиться успеха на растущем рынке мобильных игр. Один из них, Алекс Шварц, помогал в создании качественной мобильной игры Jack Lumber. (В прошлой жизни я даже написал о ней хороший отзыв в уже несуществующем журнале The Daily, работавшем только на планшетах.) Второй, Зиба Скотт, разработал приятную мобильную головоломку Girls Like Robots.

            Обе игры использовали модель «заплати один раз» без микротранзакций. Обе получили награды, известность, хорошие отзывы на выставках и обрели издателей. Обеим не удалось добиться успеха.
            Читать дальше →
          • Российскую альтернативу MS Office внесли в реестр российского ПО, а иностранный LibreOffice отвергли

              Возможно, российским чиновникам и другим госслужащим скоро придётся отказаться от привычного Microsoft Office. Вчера по решению Экспертного совета по российскому программному обеспечению в реестр российского ПО включено ещё 155 программных продуктов. Общее количество программ в реестре выросло более чем в два раза и достигло 242.

              «Нужно воздержаться от включения в реестр спорных позиций — ведь это реестр именно российского ПО, и совершенно точно не “клонов” иностранного ПО или части их ключевых компонентов, — сказал председатель совета Николай Никифоров. — В случае если заявленное ПО содержит компоненты иностранных продуктов, отвечающие за ключевой функционал, то эксперты вправе отказать во включении такого продукта в реестр».

              К свободному ПО выдвигаются такие же требования. На этом основании экспертный совет отклонил заявку с ПО на основе открытого LibreOffice.
              Читать дальше →
            • Почему для открытия меню Windows читает один файл сто тысяч раз?

              • Translation

              «Проводник тратит 700 мс на то, чтобы открыть контекстное меню панели задач. 75% этого времени он выполняет 114 801 операцию считывания из одного файла, средний объём считываемых данных 68 байт.

              Мне стоит написать пост об этом, или достаточно саркастичного твита?»


              За компьютером я работаю быстро, и поэтому меня раздражает, когда приходится ждать завершения операции, которая должна выполняться мгновенно. Постоянной помехой на моём сверхмощном домашнем ноутбуке стало медленное закрывание окон на панели задач. Я нажимаю правой клавишей на значок, жду, пока откроется меню, а затем выбираю «Закрыть окно». Самым медленным в этом процессе должны быть перемещения мыши, но выясняется, что наиболее долгим компонентом оказывается задержка перед появлением меню.

              Это напрягало меня уже давно, но я проявлял нехарактерный мне самоконтроль и удерживался от раздражения. Так было до сегодняшнего дня, когда я наконец сорвался и схватился за трассировщик ETW.

              Этот пост написан как проверка скоростного блогинга. От момента нахождения проблемы и саркастичного твита о ней до публикации поста прошло примерно 90 минут.
              Читать дальше →
            • Интерфейсы в реальном мире

                IT-интерфейсы часто растут из физических. Например, вот аппаратные чекбоксы:



                Вообще, лучший же пример правильного инженерного интерфейса – это гранёный стакан.

                Почему? Очень просто. С одной стороны, он дружелюбен к советским роботам: круглая верхняя полоса позволяет автоматической мойке нащупать его ещё с 40-х годов. С другой стороны, он прощает человеческие ошибки: ребра останавливают скатывание стакана со стола при падении. Плюс он просто красивый.

                Сейчас покажу ещё несколько интерфейсов, которые облегчают жизнь. Общий смысл – попробовать понять, как думал разработчик, чтобы сделать что-то удобнее.
                Читать дальше →
              • Upgrade компа серверным SATA SSD на 1.92TB с ресурсом записи от 2PB и выше



                  Есть люди, которые любят использовать качественные комплектующие из корпоративного сегмента в быту. Они хотят быть уверенными в том, что их SSD не накроется внезапно из-за сбоя по питанию или write amplification при ежедневном скачивании огромных 4K-торрентов на фрагментированный NTFS-раздел с размером кластера 4K или при очередной компиляции Gentoo из исходников.

                  Конечно, такие опасения редко сбываются на практике, однако очень приятно пользоваться SSD с Power Loss Protection (1, 2, 3), который имеет практически безграничный ресурс записи. И даже когда ёмкость его станет малой для текущих задач, он всё равно может быть использован как флэшка или как дополнительный диск, подарен или продан.

                  В этой статье приведён список корпоративных SSD ёмкостью 1.92ТБ, которые сейчас подешевели до уровня потребительских SSD (< $300), но обладают ресурсом записи от 2 Петабайт и выше.
                  Читать дальше →
                • Когда 'a' не равно 'а'. По следам одного взлома

                    Пренеприятнейшая история случилась с одним моим знакомым. Но насколько она оказалась неприятной для Михаила, настолько же занимательной для меня.

                    Надо сказать, что приятель мой вполне себе UNIX-пользователь: может сам поставить систему, установить mysql, php и сделать простейшие настройки nginx.
                    И есть у него десяток-полтора сайтов посвященных строительным инструментам.

                    Один из таких сайтов, посвященный бензопилам, плотненько сидит в ТОПe поисковиков. Сайт этот — некоммерческий обзорник, но кому-то поперек горла и повадились его атаковать. То DDoS, то брутфорс, то комменты напишут непотребные и шлют абузы на хостинг и в РКН.
                    Неожиданно всё стихло и это затишье оказалось не к добру, а сайт начал постепенно покидать верхние строчки выдачи.

                    image

                    То была присказка, дальше сама админская байка.

                    Время близилось ко сну когда раздался звонок телефона: «Сань, ты не глянешь мой сервер? Мне кажется меня хакнули, доказать не могу, но ощущение не покидает уже третью неделю. Может мне просто пора лечиться от паранойи?»
                    Читать дальше →
                  • Интерфейсы в реальном мире (ещё примеры)

                      Обычный кран с горячей и холодной водой очень жесток к пользователю. В идеале его интерфейс решает три основные задачи:
                      • Позволяет выбрать напор воды.
                      • Позволяет выбрать температуру воды.
                      • И защищает систему от гидравлического удара.

                      Вот тут вы можете узнать пару своих знакомых кранов:



                      А это — очень страшный автомобильный диод, по нему только вперёд:



                      Итак, если вам интересно продолжение про интерфейсы в реальном мире – заходите в пост. Осторожно, трафик.
                      Читать дальше →
                    • Японские интерфейсы в реальном мире

                        Привет! Хочу рассказать про то, чем японское видение разных интерфейсов в реале отличается от нашего. Как всегда, эти мелочи могут сказать о культурной среде очень многое.

                        Вот, например, гуляете вы около небоскрёба в центре города. А потом поднимаете голову и понимаете, что ресторан с первого этажа небоскрёба выращивает себе травы в небольшом парке рядом:



                        А вот термометр. Они здесь часто круглые, и при этом есть цветовая индикация.



                        Обратите внимание, в этой гостинице уставка 20 градусов, и это создаёт большую часть времени удобное положение стрелки для перфекциониста.

                        Читать дальше →
                      • Интерфейсы в реальном мире: страховка от ошибок пользователя


                          В Екатеринбурге в одном из зданий для международных конференций есть проблема с «немного глупыми» иностранцами. Говорят, такие же автоматы начали ставить в Москве.

                          «Пользователь пьян» — базовый принцип проектировщика. Ещё пользователь нечеловечески изобретателен, умён и привередлив, но прямо сейчас пьян. То же самое касается передачи информации. Сейчас покажу физические ограничения на ошибки пользовательских интерфейсов.



                          Начнём со специальной клавиатурной чашки.
                          Читать дальше →
                        • [Конспект админа] Домены, адреса и Windows: смешивать, но не взбалтывать


                            В очередном «конспекте админа» остановимся на еще одной фундаментальной вещи – механизме разрешения имен в IP-сетях. Кстати, знаете почему в доменной сети nslookup на все запросы может отвечать одним адресом? И это при том, что сайты исправно открываются. Если задумались – добро пожаловать под кат.

                            Освежим базу
                          • Управляем копированием атрибутов Active Directory при дублировании пользовательских аккаунтов

                            • Translation
                            • Tutorial


                            Во многих компаниях используются дополнительные атрибуты Active Directory, которые копируются вместе с дублированием учетной записи пользователя. Но есть масса примеров, когда это неудобно. Поэтому в этой статье я расскажу, как избежать такого поведения или изменить его под свои нужды.

                            Читать дальше →
                            • +10
                            • 5.9k
                            • 4