Интересная работа, для ее развития предлагаю несколько следующих идей/вопросов/замечаний:
1. То, что сознание «храниться» в мозге — не доказано. Даже наоборот, есть люди живущие с практически полностью разрушенным / отсутствующим / поврежденным мозгом, но при этом они адекватны (не овощи). Другим проблемой являются пограничные состояния сознания, например, у йогов с остановкой сердца и т.д. Вывод: упираться что сознание это «софт», а мозг это «железо» — путь в некуда.
Пример — habr.com/ru/post/395965
2. Предлагаемая вами модель — это только модель интерпретации «сознанием» окружающего мира. В статье я не нашел, того как результаты данной модели оказывают влияние на поведение (эффекторы). Как хранятся алгоритмы поведения и т.д.
3. Карточки / формулы / каналы — это абстракции которые не могут быть получены напрямую из сенсоров. Для того, чтобы можно было составить формулу (в карточке) «сознание» должно обладать знаниями о синтаксисе языка (иначе, набор символов «оно летает» для него бессмыслен). Тогда вопрос — где этот синтаксис храниться.
4. У меня не получилось провести мысленный эксперимент, когда я взял бы чистый «разум», построенный по предлагаемой вами схеме и получил бы работающие «сознание». В частности непонятно, как данные от сенсоров заполнят первую карточку, как определиться что карточка будет только одна, а не несколько или наоборот в каких случаях появляется карточка. Как быть если в процессе взросления термин ( карточка ) меняется (например, ребенок повзрослел и понял, что не все мужчины являются его отцами). Кто расставляет номера связей? Как описывается алгоритм расстановки связей в терминах карточек?
Основной проблемой современных подходов к формированию ИИ является гипотеза о том, что мозг порождает сознание, но это мягко скажем не доказано. Более того, существуют научно доказанные факты сознания в периоды когда мозг не работает:
особые состояния йогов -https://www.youtube.com/watch?v=qQODV9YGN8Y,
жизнь людей с практически полным отсутствием (повреждением) головного мозга — примеры легко гугляться.
Очень хорошо описал работу мозга с точки зрения специалиста по ИИ господин Хокинс в своей книге «Об интеллекте», но даже там вопросов значительно больше чем ответов. Классический вопрос: как формируются необходимые нейронные связи? Конечно, люди знакомые с темой могут предложить следующее видео: www.youtube.com/watch?v=pqKPI0E8bsI. Но интересует процесс формирования именно нужных связей. Как один нейрон находит другой нейрон, когда вы скажем учите китайский язык?
Вывод: пытаться повторить биологическую структуру мозга и строить на ней компьютер — путь в никуда. Архитектура фон Неймана, кстати, была основанная именно на представлениях того времени о работе мозга.
Альтернативной этому данному пути может быть исследование принципов обработки информации в сознании (без привязки к мозгу) и реализации данных принципов в архитектуре, железе и софте.
Если предположить, что мы можем создавать блоки, основанные на ста транзисторах при количестве этих самых блоков более миллиона мы бы получили значительный прирост отказоустойчивости в чипе.
Не факт. Увеличение блоков приведет к увеличению количества связей между ними, появлением разделяемых каналов данных и прочих прелестей. Поэтому делать вывод об увеличении надежности преждевременно. Кроме того, надо смотреть и как поведет себя производительность. Возможно выигрыш по надежности будет полностью уничтожен падением производительности.
Интересная схема, плюс в том что все делается на Tike. Минус анти-юзер френдли. С мобилки подключаться «для не айтишников» очень неудобно будет.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
В современном мире модель «броня-снаряд» переродилась в треугольник «Броня-Регулятор-Снаряд», а раз так, то становиться видна фундаментальная проблема протокола — не соответствие требованиям по защите персональных данных. Смотрите:
ТСП (торговая площадка, поставщик платежного сервиса) после выбора покупателем кнопки SRC Triger отправляет в систему SRC данные о покупателе (например, биометрические данные… ТСП отправляет запросы во все системы SRC, принадлежащие ПС, карты которых принимает ТСП.
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
Добрый день, есть несколько вопросов:
1) Кто и как пишет драйверы для Kapsersky OS?
2) Вы упомянули про портирование популярных пакетов, а как дела с их поддержкой? Ведь пакеты развиваются…
3) Сфера применения OС? Это только встраиваемые системы или это будет ОС общего назначения?
4) По какой модели будет распространятся и поддерживаться ОС для конечных потребителей?
При нашем цикле пять-шесть лет на железку получается дешевле покупать именно сервера и сетевые устройства корпоративных линеек для ЦОДов.
Поделитесь циферками как считали. Разница между «около бытовой» техником и бренд сервером может достигать 5-х и более раз. Даже если ломаться «бытовые» будут в два раза чаще, то они все равно выгодней. Или расходы на восстановления такие большие?
На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза.
Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.
Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.
P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
На практике Cisco решения для удаленного доступа мягко скажем не очень.
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.
С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.
На мой взгляд, в условиях отсутствия доверия к действиям УЦ нужно пользоваться защитой действующего законодательства, а именно:
1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.
2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.
3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.
4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.
5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.
Смотря что считать телеметрией. Если говорить только о Customer Experience то отключить его можно, поигравшись со службами, планировщиком заданий и т.д. Но Windows все равно продолжить устанавливать подключения к серверам Microsoft по своим непонятным нуждам (при отключенной службе обновлений).
При этом методы борьбы с телеметрией отличаются от версии к версии. Старые штучки с новой Windows уже не проходят.
Подписывать документы (договоры) простой электронной подписью не самая хорошая идея. Подпись не гарантирует целостность документа, она открывает простор для мошенничества со стороны контрагента и содержит еще тьму других проблем. Ее имеет смысл использовать только для подписи малозначимых документов (отписок).
Самый простой вариант — использовать квалифицированную ЭП, оформленную на руководителей. Использовать подобную подпись для подписывания роботами (скриптами) не запрещено, так все банки работают.
Однако КЭП открывает слишком много возможностей для лиц (администраторов, если мы говорим про автоматизированное использование), кто ей обладает. Для минимизации рисков рекомендуется:
1. Использовать подпись на токене с неизвлекаемым ключом.
2. Внести ограничения в сферу использования подписи и закрепить их в сертификате.
Любая централизованная система сбора логов, взять хотя бы тот же ELK, использует локальные логи, как источник информации.
По большому счету, тут, в качестве примера, и была рассмотрена ситуация, когда злоумышленники противостоят централизованному сбору. Если централизованного сбора и анализа нет, то и противодействовать никому не надо, все равно никто эти логи смотреть не будет.
Неплохой FAQ. Можно добавить раздел compliance. Вот в него первый документ:
Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Судя по статье проделана большая работа.
Подскажите, сколько людей участвовало в проекте, и сколько по времени был проект?
Сколько сейчас людей занимаются подобным анализом расходов?
1. То, что сознание «храниться» в мозге — не доказано. Даже наоборот, есть люди живущие с практически полностью разрушенным / отсутствующим / поврежденным мозгом, но при этом они адекватны (не овощи). Другим проблемой являются пограничные состояния сознания, например, у йогов с остановкой сердца и т.д. Вывод: упираться что сознание это «софт», а мозг это «железо» — путь в некуда.
Пример — habr.com/ru/post/395965
2. Предлагаемая вами модель — это только модель интерпретации «сознанием» окружающего мира. В статье я не нашел, того как результаты данной модели оказывают влияние на поведение (эффекторы). Как хранятся алгоритмы поведения и т.д.
3. Карточки / формулы / каналы — это абстракции которые не могут быть получены напрямую из сенсоров. Для того, чтобы можно было составить формулу (в карточке) «сознание» должно обладать знаниями о синтаксисе языка (иначе, набор символов «оно летает» для него бессмыслен). Тогда вопрос — где этот синтаксис храниться.
4. У меня не получилось провести мысленный эксперимент, когда я взял бы чистый «разум», построенный по предлагаемой вами схеме и получил бы работающие «сознание». В частности непонятно, как данные от сенсоров заполнят первую карточку, как определиться что карточка будет только одна, а не несколько или наоборот в каких случаях появляется карточка. Как быть если в процессе взросления термин ( карточка ) меняется (например, ребенок повзрослел и понял, что не все мужчины являются его отцами). Кто расставляет номера связей? Как описывается алгоритм расстановки связей в терминах карточек?
Очень хорошо описал работу мозга с точки зрения специалиста по ИИ господин Хокинс в своей книге «Об интеллекте», но даже там вопросов значительно больше чем ответов. Классический вопрос: как формируются необходимые нейронные связи? Конечно, люди знакомые с темой могут предложить следующее видео: www.youtube.com/watch?v=pqKPI0E8bsI. Но интересует процесс формирования именно нужных связей. Как один нейрон находит другой нейрон, когда вы скажем учите китайский язык?
Вывод: пытаться повторить биологическую структуру мозга и строить на ней компьютер — путь в никуда. Архитектура фон Неймана, кстати, была основанная именно на представлениях того времени о работе мозга.
Альтернативной этому данному пути может быть исследование принципов обработки информации в сознании (без привязки к мозгу) и реализации данных принципов в архитектуре, железе и софте.
Не факт. Увеличение блоков приведет к увеличению количества связей между ними, появлением разделяемых каналов данных и прочих прелестей. Поэтому делать вывод об увеличении надежности преждевременно. Кроме того, надо смотреть и как поведет себя производительность. Возможно выигрыш по надежности будет полностью уничтожен падением производительности.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
1) Кто и как пишет драйверы для Kapsersky OS?
2) Вы упомянули про портирование популярных пакетов, а как дела с их поддержкой? Ведь пакеты развиваются…
3) Сфера применения OС? Это только встраиваемые системы или это будет ОС общего назначения?
4) По какой модели будет распространятся и поддерживаться ОС для конечных потребителей?
Поделитесь циферками как считали. Разница между «около бытовой» техником и бренд сервером может достигать 5-х и более раз. Даже если ломаться «бытовые» будут в два раза чаще, то они все равно выгодней. Или расходы на восстановления такие большие?
Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.
Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.
P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.
С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.
Любые проприетарные VPN-клиенты — зло.
1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.
2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.
3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.
4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.
5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.
При этом методы борьбы с телеметрией отличаются от версии к версии. Старые штучки с новой Windows уже не проходят.
Самый простой вариант — использовать квалифицированную ЭП, оформленную на руководителей. Использовать подобную подпись для подписывания роботами (скриптами) не запрещено, так все банки работают.
Однако КЭП открывает слишком много возможностей для лиц (администраторов, если мы говорим про автоматизированное использование), кто ей обладает. Для минимизации рисков рекомендуется:
1. Использовать подпись на токене с неизвлекаемым ключом.
2. Внести ограничения в сферу использования подписи и закрепить их в сертификате.
По большому счету, тут, в качестве примера, и была рассмотрена ситуация, когда злоумышленники противостоят централизованному сбору. Если централизованного сбора и анализа нет, то и противодействовать никому не надо, все равно никто эти логи смотреть не будет.
Навскидку, если шифратор «свистит» ключами по ПЭМИН, то подобные схемы вряд ли помогут…
Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Подскажите, сколько людей участвовало в проекте, и сколько по времени был проект?
Сколько сейчас людей занимаются подобным анализом расходов?