Когда экзаменаторы плохо знают свой предмет
Телеграм - https://t.me/roflemem/2707
Телеграм - https://t.me/roflemem/2707
Поискал своих в том, что называют свежим дампом альфы. Все есть. Т.е. данные актуальные и относительно свежие. Структура файла:
ClientOwner;FullName;BirthDate;ClientContact;CardCodeNumber;ExpireDate
Контакт - телефон или почта. Теперь врать разводилам, что нет карты альфы, не получится. И личные, и зарплатные наши карточки там есть. Досадно. Сколько им там сейчас за это положено наказания? Шестьдесят тыщ? Вот расстроятся.
Upd: Есть ответ саппорта. Все неправда. А что правда, то и ладно. Благодарим за обращение. Т.е. даже шестидесяти тысяч не будет.
Было дело, как-то ради интереса поискал в Яндексе, какие кредиты существуют. Так меня после этого задолбали звонки с предложениями кредитов и не только от банков, но и от микрокредитных контор.
Недавно ради интереса вечером поискал, как легализоваться в России человеку с просроченной визой. Утром уже прилетает мне сообщение в Ватсапп, где прямо так и написано, что "вы искали по данному вопросу", и предлагают "помочь". А еще два звонка уже с утра пропущенных, днем с того же номера звонят и предлагают "помочь" по тому же вопросу.
А несколько лет назад вообще было нечто. Искал я ради интереса, как устроена турбина гидроэлектростанции. И мне на электронную почту приходит даже не реклама, а конкретное письмо от одного из производителей таких турбин. Вы представляете? Мой электронный адрес с конкретной целью слили конкретному предприятию. Так я даже никаким боком не имею отношения к этой отрасли.
И такое уже все чаще и чаще.
P.S. Комп чистый, менялся, защищен. Смартфон тоже.
За полгода количество утечек данных превзошло население России
В первом полугодии 2022 года было обнаружено 77,8 млн утечек, в то время как за аналогичный период текущего года этот показатель составил уже 188,7 млн.
Согласно данным Росстата, численность населения России составляет 146,4 млн человек.
Будет очень много текста и очень много сумбура (не по порядку). Я понимаю, что начала поста мало относится к ИБ, но это пролог к ИБ.
CgPods
Уверен, что нет никакой разницы между сиджиподсами и элари: пруфов не будет, но я пользовался некоторой продукцией элари - мне не понравилось.
//Миш, не надо мне, пожалуйста, сегодня звонить - сильно занят, можем запланировать колл на среду, пришли в комментариях слоты.
И то, что кому-то из комментаторов пришлют оригинальные новые наушники, чтобы он сравнил с алишными - полнейшая профанация: все же понимают, что компоненты китайские, то есть всегда можно будет найти наушники с такой же номенклатурой. Обидно только за то, что используются дешевые компоненты.
Из накладных наушников я использую ausdom anc10, которые купил за пару тысяч на али много лет назад (с удивлением обнаружил, что на озоне официальный магазин их продают чуть не 10 тыщ). Если бы отечественный производитель договорился с тем же аусдомом покупать их наушники тысячи за две, брендировал под себя, разработал ПО (понятно, что китайцы тебе все сдк передадут) и продавал за 5 тысяч рублей в России - не было бы никаких претензий, были бы хорошие наушники не из самых качественных материалов, но при этом со вменяемым звуком. Почему я вообще могу что-то обсуждать или советовать? В своё время в качестве хобби возил художественные маркеры с али (очень хорошо продавались на авито перед НГ) и оборудование для пивоварения (очень хорошо продавалось во время бума микропивоварен) у меня есть правило: не продавать ничего дороже РРЦ, если РРЦ не существует - наценка максимум 100%, если требуется по плану наценка выше - значит где-то проёб в плане. Это при условия, что ваша умственная прибавка - не уникальна, и не очень рискована. К рискованному - это, например, продажа наркотиков, а уникальному - продажа свечей в церкви, ведь
Эту картинку я вставил в том числе с отсылкой к "Указу Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", по которому к 2025 году использовать СЗИ, купленные вне нашего храма - запрещается.
В общем - мне грустно от того, что люди просто берут китайское говно, вваливают бабок в рекламу и убеждают всех в том, что в сердце России разработали уникальные устройства, которые уже начали копировать китайцы. Это очевидная ложь, а как говорил Бисмарк австрийский художник: "Чем чудовищнее ложь, тем охотнее толпа верит в неё." (опять вляпался в закон Годвина, простите)
Трудоустройство комментаторов с Пикабу в ИБ-вендора.
Четыре человека устроились к нам в разработку и им очень нравится (так они говорят, я на днях уточнял)
Три человека трудятся в ТП (один из них пошёл учиться #поибэ за счёт компании на заочку)
В комментариях к прошлому посту кто-то писал, что невозможно будет найти на пикабу людей с умениями в фаззинг ядра фряхи: сразу после этого мне в личку написал тимлид одной команды, которая специализируется на анализе исходников, и они оказали нам абсолютно невероятную (очень даже возмездную) помощь. Именно в этом для меня сила Пикабу, без этих ребят мы бы потратили ещё около полугода на подготовку документации для сертификации, но они не просто нам дали решение, а именно очень правильно обучили пользоваться всеми необходимыми инструментами.
Далее будет "предложение по тестированию"
Мы делаем МСЭ, нам нужны тестировщики, но не в штат, а скорее сдельно после каждого крупного релиза (раз в два месяца примерно), соответственно я предлагаю энтузиастам тестирования написать мне в ТГ (chernomashentsev) и предложить свою помощь, в замен я сейчас готов делиться мерчом (у нас очень разнообразный и крутой мерч), в дальнейшем я выберу пяток ребят, с которыми подпишем контракт на долгосрочную работу.
Действительно есть вендоры, которые выкладывают бетки для общего скачивания, заказчики их устанавливают в погоне за новыми фичами, а потом страдают и жалуются, я так не хочу, в идеале хочу набрать комьюнити человек 20 тестировщиков, пять-десять из которых смогут по 10 часов посветить тестированию и написать отчёт. Пока я вижу это так, в дальнейшем весь хаос должен достичь порядка,
Про отечественное ИБ. Немного инсайдов (aхаха, нет)
Я знаю крупные госкомпании, которые используют опенсорсные решения для своей инфры. И, казалось бы, как вы можете так рисковать и брать на себя ответственность за инциденты? Возьмём для примера ClamAV - шлюзовый (потоковый) антивирус, опенсорсный проект, который сейчас принадлежит, развивается и используется во всех своих продуктах компанией Cisco. Понимаете, к чему я веду?
Мы для своего продукта взяли в качестве основы OPNsense: по скромным оценками нами написано около трети всего исходного кода ОС, даже сейчас мы готовим к передаче владельцам лицензии большой пул багфиксов, в том числе огромное устранение утечки памяти под FreeBSD. И здесь дилемма: наши российские конкуренты утверждают, что у них нет заимствованного кода (опять про ложь из начала поста: прокся у всех построена или на сквиде, или на 3прокси), но фактически это утверждение, что они сделают лучше и безопаснее, чем мировое сообщество. Вот и получается, что госструктура, которая обязана использовать только проверенные регулятором решения покупает по тендеру дорогущее неработающее решение, заказчик ставит его в стойку, часто даже не включает в сеть, а использует опенсорсное, потому что закупить нормальное несертифицированное он уже не может (уже была закупка аналогичного решения). Меня в этой ситуации радует только одно: миграция с голого ОПНсенсе на наше решение - бесшовная практически.
Надеюсь, вы углядели связь между "отечественными" наушниками и "отечественной" ИБ
засим откланиваюсь с предложением поболтать в комментах
Картинка для посмеяться:
Просматривал слитую базу данных Локхед Мартина:
(на изображении выше нет персональных данных или ссылок на какие-то ресурсы, всё удалено, это просто абстрактный пример визуализации БД)
После всем известных событий по сливу пикабу персональных данных пользователей, многие побежали менять ники. Думаю после этого не стоит считать данные в безопасности. Она, на сколько несложно понять, мнима.
1. Не кажется ли вам, господа, что смена ника не даёт ничего в связи с подчеркнутым синим и красным текстом на изображении выше?
(старый ник находится элементарно, и тогда по поиску на всем известных уже сайтах c перс.данными, устанавливается связь нового ника с телефоном, емейлом, аккаунтом vk и т.д.)
2. Как быть, чтобы надёжно развязать аккаунт пикабу и персональные данные выложенные в открытый доступ? Администрация пикабу кроме рекомендации сменить ник, что-то предпринимала, в связи с уточнениями в п.1.?
3. Кто опытный, после удаления аккаунта пикабу, спец. сайт для поиска постов пикабу всё равно найдёт посты по бывшему нику?
UPD: пояснение от модерации Вести с полей
-----
Утром получаю в телегу сообщение: 3000 р на номер, или твой пост с пикабу отправлю друзьям. Обращался по имени. Откуда у него мои данные, и где мне нужно теперь менять пароли?
И что вообще происходит? У меня первый раз такое. Деньги я ему отправлять не буду, это очевидно, в посте особо нет ничего тайного. Но если будет рассылать по телефонной книге, у меня много контактов по работе, будет неудобно, но переживу.
Жду советов!