Простите великодушно! Временами просто достает, когда люди, ни разу не бывавшие в обсуждаемых местах, доказывают местным, что они неправильно видят реальность.
Ага, т.е. захват заложников в Чечне — это терроризм, а захват заложников в ДНР — это «для обмена»? Прелестно, просто прелестно.
По Савченко — еще раз: гражданка Украины захватывается незаконными вооруженными формированиями, после чего она ВНЕЗАПНО всплывает в Российском СИЗО с объяснением «пыталась перейти границу, выдав себя за беженку». Ничего странного не видите?
Эммм, вам накидать ссылок на захват заложников «войсками ДНР»? Несколько групп наблюдателей ОБСЕ, нечто вообще запредельное с Надеждой Савченко (которая, напомню, попала в плен под Луганском, а потом внезапно всплыла в российском СИЗО и СКР уже вовсю «расследует» ее дело)?
(топовые устройства наподобие Galaxy S5 занимают очень малую долю рынка)
Весьма спорный вывод. Краткий гуглинг показал, что за первые 25 дней на рынке было отгружено 10 миллионов S5. В то же время iPhone 5s продался тем же тиражом за 2 месяца
А как ощущения от Cherry MX Clear по сравнению с Brown? Пальцы не устают?
В интернетах пишут, что «Keyboards based on the Cherry MX Clears are seldom seen because they offer little advantage over devices with cheaper rubber dome switches.»
У нас, видимо, разные понятия о «приличном доме». Потому что отличный новый дом в дорогом районе на границе Cougar Mountain Wildland Park можно купить за $1.4kk.
За 730к можно взять такое — 300 квадратов на 6(!) сотках участка, в хорошем районе и новой постройки.
3 спальни на 150 квадратах, с двором и в нормальном районе можно уложить в $350к.
Аренда нынче стоит $1-2k за квартиру/таунхауз с одной спальней и $2-3k за две спальни… Редмонд сейчас застраивается и там ценник за аренду уже в районе $3k (за то же самое, что три года назад можно было снять за чуть больше тыщи в месяц).
Я снимаю 2-bed таунхаус с гаражом, в районе со школой 10/10, выходящий балконом на природу за $1700. Что я делаю не так?
Тут же вопрос не в том, как правильно бэкапить — вопрос в том, как восстанавливать при схеме бэкапов, использовавшейся в Code Spaces. Они бэкапили на EBS-тома в том же аккаунте, соответственно, эти тома были удалены злоумышленником. Возможно, Амазон имеет собственные бэкапы EBS где-то (хотя лично я о таком слышал очень смутно, даром, что сам в Амазоне работаю) — а возможно и нет.
Ключи API не позволили бы им создать резервных пользователей, из-под которых и происходила атака. Я не вижу иных вариантов, кроме взлома админского аккаунта в консоли.
КМК EBS не бэкапится. Амазон говорит о том, что кастомер сам ответственен за свои данные. Ходят слухи, что они бэкапятся куда-то в S3 и можно восстановить оттуда с помощью саппорта, но подтверждений не нашел.
С одной стороны — владельцев сервиса безусловно жалко.
С другой — официальное объяснение вызывает множество вопросов.
Сначала обратим внимание, что компания позиционирует (-ла) себя как «Rock-Solid Repository Hosting» c «Full Redundancy & Snapshot Backups», т.е. фактически именно надежность является краеугольным камнем в предложении компании.
Теперь посмотрим на факты, держа это в уме:
1) Злоумышленник получил доступ к админской AWS-консоли. Вариантов, как это могло произойти, несколько, возможных я вижу три: дыра в безопасности самого AWS, взлом админского аккаунта, неправильно сконфигурированная безопасность аккаунта.
Первый вариант маловероятен — 0-day такого рода одноразовая и ее не будут тратить на мелкое вымогательство.
Во второй вариант также сложно поверить — взлом аккаунта с 2Ф аутентификацией и комплексом мер по обеспечению безопасности слишком трудоемок. Плюс к этому этот вариант не бьется по приведенной хронологии.
Третий вариант видится мне наиболее вероятным (особенно в свете остальных фактов) — похоже, что компания не озаботилась правильным назначением привилегий для пользователей и взломали один из обычных юзерский аккаунтов, который имел админские привилегии. Если это так — можно смело бросать первый камень в безопасников Code Spaces.
2) После обнаружения факта взлома (=получения вымогательских писем) представители компании первым делом полезли блокировать скомпрометированные аккаунты. Чем закономерно раззадорили атакующего, который, зайдя с помощью загодя созданных запасных юзеров, стал рушить сервис.
Даже для меня, не имеющего отношения к IT-безопасности, тут прекрасно все.
— не озаботились проверкой наличия у злоумышленника бэкдоров, прежде чем начинать активные действия
— не исследовали вектор атаки
— не обратились в поддержку Амазона. Это особенно эпично — в течение 10 (!) часов работники Code Spaces наблюдали дезинтеграцию пользовательских данных вместо того, чтобы поставить лок на аккаунт с помощью саппорта и потом разбираться.
3) Сервис, позиционирующий себя как full redundancy и имеющий single point of failure в виде одного аккаунта, в котором хранятся и данные, и бэкапы — это не просто камень в безопасников. Это — целая гора кирпичей, отложенных незадачливыми пользователями.
Как итог — разумеется, я мог что-то упустить или неправильно понять. Конечно, шантаж и уничтожение чужого бизнеса должны караться по всей строгости закона и я надеюсь, что Амазон поможет правоохранительным органам найти и посадить преступников. Но мое глубокое ИМХО — если хотя бы половина из написанного выше правда — таким сервисам не место в Интернете.
Главный вопрос тут — является ли джейлбрейк незаконным в КНР? В США (как и в Европе), например, он вполне законен, а соответственно ничего не мешает создать такую же компанию.
Хм, из просмотра видео на их странице на Кикстартере сложилось иное впечатление:
для слежения за целью используется только GPS телефона, а это не точно и медленно, да и телефоны бывают разные. (у нас — трекер с кучей сенсоров)
На видео с мотоциклистом показана рамка, трекающая мотоциклиста. Может, просто дорисованный спецэффект, конечно, но сложилось впечатление, что у них какие-то свои алгоритмы
на их видео НЕ продемонстрирована работа системы, отсюда подозрения, что и алгоритмы пока в разработке.
А что тогда изображено на видео с мотоциклистом и скейтбордершей?
Вобщем ребята продают идею, а мы — реализованную систему.
Исходя из роадмапа на их странице, у них уже готов прототип, приложение и алгоритмы трекинга.
Не сдержался. Больше не буду.
По Савченко — еще раз: гражданка Украины захватывается незаконными вооруженными формированиями, после чего она ВНЕЗАПНО всплывает в Российском СИЗО с объяснением «пыталась перейти границу, выдав себя за беженку». Ничего странного не видите?
Весьма спорный вывод. Краткий гуглинг показал, что за первые 25 дней на рынке было отгружено 10 миллионов S5. В то же время iPhone 5s продался тем же тиражом за 2 месяца
В интернетах пишут, что «Keyboards based on the Cherry MX Clears are seldom seen because they offer little advantage over devices with cheaper rubber dome switches.»
У нас, видимо, разные понятия о «приличном доме». Потому что отличный новый дом в дорогом районе на границе Cougar Mountain Wildland Park можно купить за $1.4kk.
За 730к можно взять такое — 300 квадратов на 6(!) сотках участка, в хорошем районе и новой постройки.
3 спальни на 150 квадратах, с двором и в нормальном районе можно уложить в $350к.
Я снимаю 2-bed таунхаус с гаражом, в районе со школой 10/10, выходящий балконом на природу за $1700. Что я делаю не так?
С другой — официальное объяснение вызывает множество вопросов.
Сначала обратим внимание, что компания позиционирует (-ла) себя как «Rock-Solid Repository Hosting» c «Full Redundancy & Snapshot Backups», т.е. фактически именно надежность является краеугольным камнем в предложении компании.
Теперь посмотрим на факты, держа это в уме:
1) Злоумышленник получил доступ к админской AWS-консоли. Вариантов, как это могло произойти, несколько, возможных я вижу три: дыра в безопасности самого AWS, взлом админского аккаунта, неправильно сконфигурированная безопасность аккаунта.
Первый вариант маловероятен — 0-day такого рода одноразовая и ее не будут тратить на мелкое вымогательство.
Во второй вариант также сложно поверить — взлом аккаунта с 2Ф аутентификацией и комплексом мер по обеспечению безопасности слишком трудоемок. Плюс к этому этот вариант не бьется по приведенной хронологии.
Третий вариант видится мне наиболее вероятным (особенно в свете остальных фактов) — похоже, что компания не озаботилась правильным назначением привилегий для пользователей и взломали один из обычных юзерский аккаунтов, который имел админские привилегии. Если это так — можно смело бросать первый камень в безопасников Code Spaces.
2) После обнаружения факта взлома (=получения вымогательских писем) представители компании первым делом полезли блокировать скомпрометированные аккаунты. Чем закономерно раззадорили атакующего, который, зайдя с помощью загодя созданных запасных юзеров, стал рушить сервис.
Даже для меня, не имеющего отношения к IT-безопасности, тут прекрасно все.
— не озаботились проверкой наличия у злоумышленника бэкдоров, прежде чем начинать активные действия
— не исследовали вектор атаки
— не обратились в поддержку Амазона. Это особенно эпично — в течение 10 (!) часов работники Code Spaces наблюдали дезинтеграцию пользовательских данных вместо того, чтобы поставить лок на аккаунт с помощью саппорта и потом разбираться.
3) Сервис, позиционирующий себя как full redundancy и имеющий single point of failure в виде одного аккаунта, в котором хранятся и данные, и бэкапы — это не просто камень в безопасников. Это — целая гора кирпичей, отложенных незадачливыми пользователями.
Как итог — разумеется, я мог что-то упустить или неправильно понять. Конечно, шантаж и уничтожение чужого бизнеса должны караться по всей строгости закона и я надеюсь, что Амазон поможет правоохранительным органам найти и посадить преступников. Но мое глубокое ИМХО — если хотя бы половина из написанного выше правда — таким сервисам не место в Интернете.
Сейчас обычные, средние образцы снимают FullHD/30. Лучшие снимают 1080p/60 и вплоть до 4к/15.
На видео с мотоциклистом показана рамка, трекающая мотоциклиста. Может, просто дорисованный спецэффект, конечно, но сложилось впечатление, что у них какие-то свои алгоритмы
А что тогда изображено на видео с мотоциклистом и скейтбордершей?
Исходя из роадмапа на их странице, у них уже готов прототип, приложение и алгоритмы трекинга.
Уголь в шахтах усмирять? Или имеется в виду ЮАР с их демонстрациями?