Не далее как вчера читал на любимом pikabu что в Максе нужно регистрироваться на свое реальное имя и фамилию, что если нет то банят, спросил сегодня на этот счет Алису artificial intelligence что доступна теперь в Максе, у меня возник интерес и повод для вопроса потому что я хочу использовать ник, а не реальное имя, вот такой ответ мне дала Алиса AI
В мессенджере MAX можно указывать не настоящие имя и фамилию, а никнейм — это не запрещено.
Ключевые моменты:
1. Регистрация проходит по номеру телефона — это обязательное требование. Остальные данные (имя, фамилия) пользователь вводит добровольно.
2. Нет верификации личных данных через паспорт или другие документы — система не проверяет, настоящие ли имя и фамилия указаны.
3. Гибкость профиля:
* можно использовать любой ник вместо имени/фамилии;
* допустимо не указывать фамилию вообще;
* разрешено менять данные в настройках профиля в любой момент.
4. Приватность: видимость имени зависит от настроек конфиденциальности (можно ограничить, кто видит ваши данные).
Итог: использование ника вместо реальных ФИО в MAX — допустимый вариант. Система не накладывает ограничений на этот счёт, а основной идентификатор пользователя — номер телефона, а не имя.
Если речь о функционале, который есть в линуксе, упоминается всё, что бывает в теории, включая функционал дорогих энтерпрайзных закрытых дистрибутивов типа RedHat’а. Всё это автоматически считается “есть в линуксе, а это тождественно тому, что есть в любом линуксе”.
Если у какого-то кроссплатформенного софта есть версия под linux, то этот софт является линукс-софтом и все возможности этого софта автоматически приплюсовываются к возможностям линукса. Появление этого софта на других платформах автоматически считается “а, из линукса украли” – даже если этот софт создан до создания linux.
Если речь об уязвимостях, то линукс это только ядро, софт отношения к нему не имеет. Уязвимости софта – это не проблема линукса.
Прошедшие пару недель ознаменовались очередным расширением списка дырищ в экосистеме Linux. Согласно мнению некоторых персонажей, в опенсорсе присутствуют волшебные бесплатные фиксики, поэтому, если в опенсорсе и есть какие-то баги, живущие там десятилетиями, то это пропаганда Microsoft, Oracle, IBM (все трое – крупнейшие из разработчиков Opensource\Linux, IBM с недавних пор – владелец Red Hat).
В реальности
В одной из вариаций на тему Git – Gogs, еще 23 декабря 2024, год назад, нашли дыру с дверь ангара для Боинга: CVE-2024-55947 Спустя год оказалось, что дыру не закрыли, а кое-как залатали досками, и теперь владельцев сервиса, злые люди активно пользуют в ту же самую дыру, только с другим названием - CVE-2025-8110. Новость в мире появилась еще вчера на theregister (Wed 10 Dec 2025 // 21:31 UTC), сегодня ее потащили по новостным каналам.
В Tika (сервис по определению типа файла и его метаданных) 20 августа 2025 в нем нашли дыру на 10 из 10 - CVE-2025-54988. Вроде кое-как заколотили досками, но – 4.12.2025 ни разу не было и вот опять, CVE-2025-66516.
Что тут сказать? Полгода-год, на повторную дыру, это еще быстро. Серьезные дыры в базовых сервисах Linux существуют годами, как Heartbleed (CVE-2014-0160) и SambaCry (CVE-2017-7494), а просто кривой код на уровне ядра, типа проблемы планировщика Completely Fair Scheduling (CFS) может быть и лет 10, может и больше, начиная с kernel 2.6.38+ и далее.
На фоне таких новостей очень интересно читать рассекреченные документы АНБ – и про то, что Windows стал очень плохо взламываться, и про то, что в сообщество Linux разработки вполне удается проносить специально ослабленный код, как было с Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), и не только:
Команда специалистов по кибербезопасности из китайской Pangu Lab опубликовала отчет, посвященный бэкдору Bvp47, работающему в операционных системах семейства Linux. Программу связывают с хакерской группировкой (APT) Equation Group, которая, по данным аналитиков, действует в интересах Агентства национальной безопасности (АНБ) США. В ОС Linux 10 лет работает «жучок» АНБ США, следящий за «военкой» и телекомом по всему миру
Тут должна быть умная мысль, но мне недавно люди, не отличающие vi от chown, популярно пояснили, что перевод бабушек через дорогу, и почты из Microsoft Exchange в PostgreSQL (PostgreSQL Global Development Group, Regents of the University of California) – это успешный успех импортозамещения.
Есть во всем происходящем какая-то сложно уловимая ирония. Но я подумаю про нее завтра – у меня до сих пор не получается собрать на орбите транспорт до Мюн. Мне до КР-700 (Кербинская ракета - 700) еще как .. Впрочем, сравнение придумайте сами.
Хорошо хоть с понедельника у основных заказчиков приостановка работ, в связи с близким рождеством. Можно будет не выкатывать и откатывать до ночи, но спокойно собрать ракету и написать документацию.
HO. HO. HO. Happy Hogswatch!
PS. Прошу при комментариях не забывать про новую классику, в том числе "я сама дочь офицера разработчик программист и не все так однозначно" и классику, не устаревшую за 100 лет:
1. Despicere (смотреть свысока - лат.), или прием первый. Состоит в том, что участник диспута должен дать почувствовать противнику свое интеллектуальное и моральное превосходство, иными словами, дать понять, что противник - человек ограниченный, слабоумный, графоман, болтун, совершенный нуль, дутая величина, эпигон, безграмотный мошенник, лапоть, плевел, подонок и вообще субъект, недостойный того, чтобы с ним разговаривали. Такая априорная посылка дает вам затем право на тот барский, высокомерно-поучающий и самоуверенный тон, который неотделим от понятия "дискуссия". Полемизировать, осуждать кого-то, не соглашаться и сохранять при этом известное уважение к противнику - все это не входит в национальные традиции. Карел Чапек. Двенадцать приемов литературной полемики или Пособие по газетным дискуссиям
Если кто хочет комментировать, а вот беда - не может, то он всегда может написать опровержение, и даже написать его на сайте новостей Минцифры. Там сейчас вообще что угодно можно писать, и про живую воду, и про Эльбрус-128к. Я такое провержение даже, наверное, прочитаю, если пришлют. Но это не точно.
Уроки обучения дизайну для детей могут строиться вокруг пары самостоятельных направлений. Это, скажем, web-дизайн, в рамках которого предполагается погружение в теорию и практику использования Figma и подобных сервисов для прототипирования и создания визуальных макетов страниц. Второе же направление в данном контексте – графический дизайн. Осваивать его ребята различных возрастов могут путем работы с рядом редакторов, например Photoshop и Illustrator.
Собрали несколько комплексных и обособленных онлайн-курсов и проанализировали их: если тема дополнительного обучения творческого ребенка актуальна, материал придется кстати.
Содержание
Графический и веб-дизайн для детей: подборка онлайн-курсов для ребят младшего школьного и подросткового возраста
Форматы: пройти уроки обучения графическому и веб-дизайну для детей можно в группе или один на один с опытным учителем.
Цена: от 600 рублей за час.
Скидка: 10 %. Получить выгоду удастся, если заплатить за 12 уроков минимум в день обращения.
Оплата маткапиталом: предусмотрена, дополнительно можно оформить вычет в размере 13 % и воспользоваться рассрочкой.
Содержание уроков: если коротко, то занятия по графическому и веб-дизайну для подростков помогут участникам траектории разобраться в создании сайтов, использовании Adobe Photoshop и Illustrator, а также собрать ряд проектов и добавить их в собственное портфолио.
Если более конкретно, то школьникам предстоит освоить:
Веб-дизайн на примере использования Figma. Это сервис, функционирующий онлайн и предназначенный специально для создания макетов и прототипов сайтов. Дополнительно в соответствующий перечень блоков теории и практики заложены темы, касающиеся создания веб-проектов посредством конструктора Tilda, не требующего навыков в написании кода;
Графический дизайн на примере использования Photoshop и Illustrator от Adobe. Если более конкретно, то участникам образовательной траектории предстоит поработать с цветом, формами, расположением визуальных элементов в проектах, а также вникнуть в векторную и растровую графику как обособленные сферы графического дизайна в целом.
Уроки графического дизайна для школьников, обучающихся в 5–11-х классах
Форматы: организатор набирает мини-группы, индивидуальные уроки не предусмотрены.
Цена: от 770 рублей за урок.
Темы: применение Figma, использование Photoshop, конструирование сайтов посредством Tilda и т. д.
Занятия по графическому и веб-дизайну: обучение для школьников
Форматы: мини-группы.
Цена: весь курс стоит от 34 750 рублей.
Темы: дизайн лендингов, графические концепции, работа с визуалом, разработка афиш и баннеров, оформление плакатов и т. д.
Цифровой дизайн: уроки для ребят 7–16 лет
Форматы: только индивидуальные удаленные уроки.
Цена: от 1 200 рублей за урок.
Темы: работа с инструментами различных графических редакторов, основы композиции и колористики, выполнение иллюстраций, создание макетов сайтов, фирменный стиль и т. д.
Курс «Digital-дизайнер» для детей от 10 до 15 лет
Форматы: набираются группы.
Цена: от 1 650 рублей за одно дистанционное занятие.
Темы: азы иллюстрации, создание композиции графического проекта, верстка, элементы фирменного стиля, основы так называемой упаковки бренда и т. д.
Уроки графического дизайна для детей: обучение онлайн школьников 10+ лет
Форматы: проводятся индивидуальные и индивидуально-групповые уроки.
Цена: от 790 рублей за урок.
Темы: коллажи в Фотошопе, ретуширование фотографий, креатив и стилизация, создание стикеров из пикселей и т. д.
Уроки обучения веб-дизайну для детей от 8 до 17 лет
Форматы: только один на один с учителем.
Цена: базовая стоимость занятия составляет 1 500 рублей.
Темы: создание графических интерфейсов, работа с прототипами, использование сервиса Figma и т. д.
FAQ
Чем полезны уроки обучения веб-дизайну для детей?
Уроки веб‑дизайна дают детям отличную возможность развить креативность и прокачать пространственное мышление. На курсах ребята учатся работать с цветами, формами и композицией, продумывать визуальную гармонию проектов и не только. В процессе создания макетов сайтов и интерфейсов школьники пробуют выражать свои идеи через дизайн-концепции, экспериментируют с разными стилями и находят собственный почерк. Это не просто рисование, каким оно предстает на бумаге. Это цифровое и часто вполне осмысленное творчество, где каждая деталь имеет значение и помогает ребенку выразить себя.
Кроме того, веб‑дизайн дает детям возможность прокачивать полезные жизненные навыки. Ребята учатся ставить задачи, искать нестандартные решения и доводить проекты до конца, видя реальный результат своих усилий.
Работа над дизайном требует внимания к деталям, умения структурировать информацию и учитывать потребности пользователя, скажем, в роли заказчика. На практике все это формирует системное мышление.
А еще тематические занятия повышают цифровую грамотность и дают представление о том, как устроены современные онлайн‑сервисы вроде Figma, что в будущем может стать хорошей основой для профессионального роста в IT.
Как выбрать онлайн-курсы веб-дизайна для подростков?
При выборе онлайн‑курсов веб‑дизайна для подростка в первую очередь стоит обратить внимание на то, насколько программа соответствует его уровню и интересам. Важно, чтобы курс не перегружал сложными терминами с первых занятий, а постепенно вводил в тему: от базовых принципов композиции и цвета к работе с инструментами вроде Figma или Tilda.
Хорошо, если обучение построено на практике: выполнение даже мини‑проектов помогает увидеть результат своих усилий и поддерживает мотивацию. Также стоит оценить, насколько материал подается живо и понятно, ведь, скажем, скучная теория без примеров быстро утомляет, а вот разбор живых кейсов и возможность попробовать разные стили дизайна, наоборот, вовлекают в процесс.
Не менее значимы человеческий фактор и формат поддержки. Лучше выбирать курсы, где есть обратная связь от преподавателя: комментарии к работам, разборы ошибок и ответы на вопросы помогают подростку не застревать на трудностях и чувствовать, что его прогресс замечают.
Удобно, если занятия записаны и их можно пересмотреть в записи, а домашние задания не занимают слишком много времени: так легче совмещать обучение с школьной программой.
Учет этих и других факторов поможет сделать безошибочный выбор, который в дальнейшем даст устойчивый результат.
В каком возрасте можно записаться на обучение веб-дизайну для школьников?
Запись на тематические курсы возможна даже в младшие школьные годы, но важно отталкиваться, помимо прочего, от возрастных познавательных способностей и образовательных потребностей ребенка. Дело в том, что в различных онлайн- и офлайн-школах предусмотрены курсы, ориентированные на обособленные категории учащихся, скажем, на младших школьников и на подростков. По понятным причинам уроки отличаются насыщенностью, темами, содержательностью, а иногда и продолжительностью.
Если с определением оптимального возрастного периода возникают затруднения, можно обратиться за консультацией к конкретному организатору или изучить сайт выбранной школы. Это поможет узнать о перечне образовательных программ и их ориентации на определенные категории учащихся по возрастам.
Онлайн-обучение дизайну для детей подойдет только творческим ребятам?
Нет, онлайн‑обучение дизайну подойдет не только творческим ребятам. Сегодня тематические образовательные программы для детей строятся так, чтобы вести конкретного ученика с самого начала, то есть от азов и до сложных тем. Все это реализуемо, даже если до этого учащийся никогда не рисовал и не интересовался графикой.
В обыкновенном случае все начинается с простых и понятных шагов: ребята разбираются, как выбрать тот или иной цвет, как расположить элементы на экране, как работать с базовыми инструментами используемого редактора и т. д. Задача курсов в данном контексте сводится к тому, чтобы не требовать наличия таланта, а постепенно развивать вкус, чувство композиции и уверенность в работе с цифровыми инструментами.
Важно помнить, что современный дизайн в виртуальном пространстве – это не только про то, чтобы рисовать и делать это красиво. Речь еще и про логику, структуру, понимание базовых графических концепций. Соответствующие задачи привлекают и тех детей, которые могут изначально отдавать предпочтение четким правилам, инструкциям, чем свободному творчеству.
При этом важно понимать, что на курсах дизайна ребята учатся не вдохновению из головы, а конкретным приемам и алгоритмам действий для творчества, и именно через это открывают в себе способность придумывать и воплощать собственные идеи. Так что отсутствие опыта или творческих наклонностей – не препятствие, если ребенок хочет попробовать себя в представленном направлении.
Уроки языка программирования «Питон» с нуля для детей не всегда обязательно строить вокруг сухой теории и выполнения скучных проектов. Дело в том, что данный инструмент можно использовать в связке с Minecraft для разработки и кодинга модов, что на практике улучшает восприятие Python и делает учебный процесс куда более увлекательным. Это обусловлено популярностью Майнкрафта среди детей и подростков.
Содержание
Онлайн-курсы Python – языка программирования в Майнкрафте
Курс «Основы математической логики в среде Minecraft» для детей 8–12 лет
Уроки программирования и 3Д-моделирования для детей 8–10 лет
Онлайн-занятия по кодингу в Майнкрафте для школьников 9–12 лет
Online-курс по программированию в Майнкрафте для детей 7–12 лет
Уроки создания модификаций в Minecraft для школьников 10 лет и старше
Трехмерное моделирование и кодинг в игровой вселенной для ребят 8–10 лет
Уроки кодинга на языке программирования Python в Minecraft для ребят 9–14 лет
Дистанционный курс написания кода в Майнкрафте для ребят 9 лет и старше
FAQ
Можно ли записаться на курсы языка программирования «Питон» для подростков без Майнкрафта?
Есть ли онлайн-занятия по языку «Питон» для 8-х классов?
Какой язык программирования используется в Minecraft для кодинга модов?
На каком языке программирования написан сам Майнкрафт?
Онлайн-курсы Python – языка программирования в Майнкрафте
Собрали десятку тематических онлайн-курсов, которые помогут разобраться в написании кода на «Питоне» на примере программирования модов для популярной игровой вселенной Minecraft. По традиции представили некоторые аналитические сведения вроде цен, форматов и тем.
Python-разработчик: образовательная траектория для младших школьников и подростков 10–13 лет
Особенности: траектория объединяет два курса и характеризуется повышенным образовательным потенциалом с точки зрения освоения языка программирования «Питон» с нуля на уроках для детей.
Форматы: освоить представленное направление можно в группе или индивидуально с учителем.
Цена: от 600 рублей за один час онлайн-уроков.
Скидки: 10 %. Для получения выгоды нужно выполнить условие в виде оплаты 12 занятий минимум в день обращения.
Выгоды: вычет 13 % после учебы, оплата маткапиталом, рассрочка.
Содержательная сторона: отметили, что траектория объединяет два курса. Первый можно считать вводным: он основан на программировании модов для Майнкрафта на «Питоне». Второй же поможет углубиться в основы кодинга на данном языке и приблизиться к пониманию принципов продвинутого написания текстового кода.
Комплексность траектории выражается в том, что благодаря ее освоению каждый ребенок сможет разобраться в:
Основах кодинга на Python и продвинутом программировании на данном языке;
Принципах гейм-дизайна, создания игр и модов на примере разработки функциональных дополнений для Minecraft.
В блоки теории и практики заложены как базовые моменты вроде основных конструкций, так и углубленные темы. Это, скажем, программирование чат-ботов, создание 2Д-игр с нуля с помощью Python.
Так, курсы языка программирования «Питон» для детей и подростков, объединенные в траекторию, помогут овладеть данным инструментом и начать использовать его на продвинутом уровне даже вне рамок Майнкрафта.
Онлайн-уроки Python в Minecraft для ребят 10+ лет
Форматы: видео в записи.
Цена: доступ к видеокурсу на месяц стоит 7 990 рублей. Если хочется увеличить срок до 160 суток, потребуется заплатить 20 000+.
Темы: циклы, ввод текста, случайные числа, типы данных, создание модов для Майнкрафта и т. д.
Курс «Основы математической логики в среде Minecraft» для детей 8–12 лет
Форматы: один на один с учителем и в группе.
Цена: от 4 900 рублей за месяц.
Темы: операторы, компараторы, логические схемы, строительство в игровой вселенной и т. д.
Уроки программирования и 3Д-моделирования для детей 8–10 лет
Форматы: групповые занятия.
Цена: от 1 650 рублей за урок.
Темы: написание кода, создание 3D-моделей, скриптинг различных модов и т. д.
Онлайн-занятия по кодингу в Майнкрафте для школьников 9–12 лет
Форматы: мини-группы.
Цена: базовая стоимость занятия составляет 1 200 рублей.
Темы: структура Minecraft-модов, пиксельная графика, типы данных, координаты, условия и т. д.
Online-курс по программированию в Майнкрафте для детей 7–12 лет
Форматы: индивидуальное и групповое онлайн-обучение.
Цена: от 1 125 рублей за урок.
Темы: основы кодинга в игровой вселенной, создание игровых объектов, командная разработка и т. д.
Уроки создания модификаций в Minecraft для школьников 10 лет и старше
Форматы: группы.
Цена: от 5 200 рублей за месяц.
Темы: разработка Minecraft-модификаций, проектирование внутриигровых объектов, 3Д-моделирование и т. д.
Трехмерное моделирование и кодинг в игровой вселенной для ребят 8–10 лет
Форматы: групповое дистанционное обучение.
Цена: от 3 000 рублей за онлайн-урок.
Темы: моды для Minecraft, их создание и программирование, трехмерное моделирование и т. д.
Уроки кодинга на языке программирования Python в Minecraft для ребят 9–14 лет
Форматы: индивидуальное обучение.
Цена: нет информации.
Темы: методы и атрибуты, работа с координатами, условные операторы, сравнение, синтаксис «Питона», его потенциал с точки зрения создания модов и т. д.
Дистанционный курс написания кода в Майнкрафте для ребят 9 лет и старше
Форматы: индивидуальный и индивидуально-групповой.
Цена: от 790 рублей / урок.
Темы: основы программирования, азы 3Д-моделирования, создание мини-игр в виде модификаций и т. д.
FAQ
Можно ли записаться на курсы языка программирования «Питон» для подростков без Майнкрафта?
Да, такие курсы есть. Они предлагаются различными онлайн- и офлайн-школами программирования для детей.
Отличительная особенность – упор на использование языка для выполнения проектов, альтернативных модам для Minecraft. Вместе с тем не стоит полагать, что увлекательная практика исключается или опускается до минимума: проектная деятельность – основа множества современных детских курсов «Питона». Почти в любой вероятной ситуации ребятам предстоит осваивать теорию и закреплять получаемые представления посредством практики. Речь, скажем, о программировании чат-ботов, создании 2Д-игр на Python и не только.
Есть ли онлайн-занятия по языку «Питон» для 8-х классов?
Да, тематические курсы, соответствующие обозначенному классу, есть. Тематические направления дополнительного обучения предлагают многие онлайн- и офлайн-школы.
Чтобы выбрать достойный курс, стоит предварительно проанализировать его по ряду критериев. Это форматы, цены, плотность занятий, их количество, содержательность образовательной программы и т. д.
Дополнительно советуем уточнить сведения о лицензировании организатора: наличие разрешительной документации будет плюсом. В других статьях в блоге отмечали, что это гарантия качества образовательных программ. Дополнительно лицензия открывает клиентам доступ к ряду условных бонусов вроде возможности оплаты занятий ребенка средствами маткапитала или оформления налогового вычета в размере 13 %.
Какой язык программирования используется в Minecraft для кодинга модов?
В преобладающем количестве случаев речь о «Питоне», о чем позволяет утверждать подготовленная нами подборка. Но здесь же подчеркнем, что есть альтернативные направления, скажем, основанные на теории и практике использования функции Code Builder. В случае с ней предполагается вводное обучение младших школьников путем погружения в блочное программирование.
При этом важно учитывать, что в Code Builder необходимо использовать блоки с текстовыми командами, написанными на Python и JavaScript. То есть в случае с кодингом модов в неоднократно упомянутой игровой вселенной вероятны два варианта языков, а именно «Питон» и ДжаваСкрипт.
На каком языке программирования написан сам Майнкрафт?
Minecraft существует в двух основных версиях, которые написаны на разных языках программирования. Оригинальный вариант игры прописан посредством использования Java. Данная и стартовая версия создана Маркусом Перссоном.
Выбор представленного языка был обусловлен его кроссплатформенностью: игра может работать на различных операционных системах без необходимости переписывания кода. Кроме того, открытая архитектура как важное свойство Java позволила сформировать обширное сообщество моддеров. Речь о том, что пользователи получили возможность разрабатывать и устанавливать модификации, существенно расширяющие функционал игры.
Вторая версия под названием Minecraft: Bedrock Edition была переписана на языке C++. Здесь выбор, как кажется, связан с необходимостью обеспечить высокую производительность и эффективное управление ресурсами на разнообразных устройствах, включая консоли и мобильные телефоны. Потребность в этом стала вытекать из роста популярности Майнкрафта.
Благодаря C++ версия Bedrock способна похвастаться лучшей оптимизацией и стабильной работой даже на сравнительно слабых устройствах. Дополнительно вариант поддерживает кроссплатформенную игру, то есть пользователи могут играть вместе независимо от того, используют они ПК, консоль или смартфон.
Между версиями есть существенные различия. Java Edition доступна исключительно на ПК, предлагает широкие возможности для моддинга, но может характеризоваться проблемами производительности при установке большого количества модификаций.
Bedrock Edition отличается кроссплатформенностью и абсолютной стабильностью функционирования на разных устройствах, однако, что важно отметить, имеют место ограниченные возможности для создания модификаций. Некоторые условные моды доступны юзерам преимущественно в официальном магазине.
Так получилось, что мне довелось за короткий промежуток времени заглянуть в инфраструктуру нескольких компаний, которые занимаются импорт замещением и разработкой программного обеспечения.
Цель статьи систематизировать ошибки и передать админам готовый материал для дальнейшей работы в своих инфраструктурах.
Надеюсь, что результаты труда будут интересны и обойдутся без неконструктивной критики.
Критерии, которыми я руководствовался при разработке информационной безопасности:
Ключевая проблема.
Является ли находящийся удаленно сотрудник действительно тем, с кем заключено трудовое соглашение.
Базовый принцип.
К устройству сотрудника, работающего удаленно, нужно всегда относиться как к потенциальной точке входа злоумышленников в сеть компании.
Эффективность мер безопасности.
Меры будут малоэффективны, если они значительно усложняют работу и влияют на удобство работы сотрудников. Персонал будет систематически искать обходные пути, нарушая установленные правила ради банального удобства.
Вторичные критерии.
Затраты на безопасность не должны превышать ценность защищаемых активов. По возможности, используемые меры и ПО должны приводить к получению конкурентных преимуществ при получении заказов от государственных структур.
Оценка рисков и обеспечение защиты устройств в связи с использованием на предприятии BYOD (Bring Your Own Device) IT-политики, которая позволяет и даже поощряет использование собственных устройств для выполнения рабочих задач (все являются локальными администраторами на своих устройствах).
Персонал должен быть обеспечен правильно настроенными устройствами, квалифицированной и оперативной технической поддержкой.
Оговорка автора.
Выводы, сделанные в документе, основываются на всей доступной и предоставленной мне информации:
Если от ответов в той или иной форме уклонялись, то я принимал выданную информацию за ту, которая будет сообщаться при вероятных событиях и угрозах.
Если информация передавалась от сотрудника к сотруднику без документирования, то я считал, что такой информации нет.
Известные проблемы:
Многие сервера MS установлены активацией внутренним KMS сервером, и полностью отключены обновления серверных ОС что якобы способствует сохранению ресурсов и стабильной работе. При том, что вендор не присутствует на рынке сейчас риск падения контроллеров домена и терминалов приведет к большим убыткам, чем активация серверов и скачивание всех необходимых заплат по безопасности.
Отсутствие реестра ПО и процедур управления установкой ПО, виртуальных машин, серверов, выдачи и возврата из использования лицензий. И отсутствие лицензий на AD CAL, TS CAL, MS Office (Офис 365 и зоопарк от 2012 до 2021 офиса используемых в компаниях), не столь критичное, но важное к учету, в т.ч. нематериальных активов компании.
HASP ключи и лицензии без журнала установки и учета.
Бухгалтерский учет в учитывающий в нематериальных активах только сайт и ни одной лицензии.
Отсутствие перечня доступов к инфраструктуре сотрудников ИТ отдела. Хранение критически важной информации и паролей в таблицах общедоступных сервисов типа Google. Отсутствие логирования и контроля за действиями сотрудников ИТ отдела и других привилегированных пользователей в надежде на их лояльность.
BYOD (Bring Your Own Device), как личная техника, так и смартфоны в ЛВС;
2FA на VPN с AD; Использование общеизвестного пароля от WiFi. Риск спуфинга.
Сетевое оборудование, отправляющее запросы DNS не на внутренний DNS а на DNS Google Wifi. Контроллеры домена, которые также отправляют запросы не на контурный DNS, а на DNS яндекса. Риск спуфинга, перехвата DNS с перенаправлением на ресурсы и отравление DNS кэша.
VPN на базе витуальной машины при том, что все пользователи подключаются с мобильных устройств, а Zero Trust Network Access (доступ с нулевым доверием) даже не рассматривался при построении сети;
Использование офисной сети для для коммуникаторов и других устройств, не имеющих защиты в виде антивируса и т.п.;
DNS Wifi который смотрит за пределы периметра сети и не проверяется ни чем;
Групповые политики, за которые никто не отвечает и сервера без обновлений по безопасности;
Нет описанных профилей доступа в сеть и к ресурсам компании ни для штатных сотрудников, ни для сотрудников по ГПХ;
Учетные записи пользователей в Битрикс24 выгружаемые из AD, которые, в случае взлома, позволяют атаковать остальную инфраструктуру; Учетные записи пользователей в AD, которые не меняют пароли и не удаляются, а отключаются, что потенциально является траекторией взлома;
Операционные системы на устройствах компании, которые невозможно ввести в домен и влиять групповыми политиками по данным ИТ службы до трети от всех устройств, принадлежащих компании;
Антивирус, который установлен только у админа и на одном проекте, но ни на одном сервере компании;
Firewall правила, которые разрешают порты более чем 4-года или правила, которые дублируют друг друга;
Виртуальные машины, которые установлены и настроены давно уволенными сотрудниками и содержат те или иные сервисы, которые никому кроме уволенных не известны. При этом эти виртуальные машины не используемые, но размещенные на серверах даже имеют правила фаерволе.
Отсутствие CMDB (Configuration Management Database) учета, устанавливаемого ПО на технику компании и мониторинга техники, учета комплектующих и ремонтов. Ревизия исключительно в ручном режиме, вместо автоматической ревизии.
Связанная с CMDB задача – управление инвентаризацией.
Отсутствие договора (CMDB обвязка документами) по ремонту техники с оговоркой о конфеденциальности или процедуры передачи техники со предварительным снятием накопителя.
Отсутствие физического контроля за доступом на территорию офиса, кроме организованного арендодателем, но без договора о доступе от нашей компании. Видео наблюдение распознавание лиц и недостающая камера для контроля за складом техники и серверной комнатой, куда имеют доступ другие лица. Отсутствие договоров о безопасности серверной комнаты с арендодателем.
Отсутствие оркестратора 1С и других БД, инструмент управления инфраструктурой и безопасностью для сисадмина.
Группы управления в AD, которые созданы и остались невостребованными и без указания для чего они были созданы. Поиск спрятанных в разных местах AD пользователей и отключение учетной записи вместо удаления без переноса в группу безопасности где права полностью ограничены.
Персонифицированная уникальность сотрудников, не закрепленная в договорах, служебных инструкциях и попытки ее поддерживать, ограничивая другим сотрудникам доступ к информации и ресурсам. Отсутствие документации по их работе.
Шаблонные не исполняемые требования и сроки, указанные в политике по ИБ. Отсутствующие документы управляющих ими в ИТ и на предприятии.
Автоматизированных инструментов периодической проверки ИБ и протоколов проверки, а также остальной документации (журналы и т.п.) нет.
Процедура подтверждения повышения прав пользователя в системах основывающаяся в лучшем случае на - Прошу назначить меня руководителем группы "Росатом. Обеспечение качества проектных решений" в Битрикс
ГПХ сотрудники, работающие в системах, где контроль за ними ослаблен или они смешаны с персоналом.
Отсутствуют, процессы реагирования на инциденты ИБ,
Не введен план мероприятий по ИБ
Не ведутся ли журналы учета мобильных устройств, схемных накопителей, средств защиты информации, журнал тестирования защищенности, журнал инструктажей, журнал учета и проведения мероприятий по ИБ.
Не используются процессы, связанные с парольной защитой, контролем доступа в информационные системы и защиту конфиденциальной информации.
Не выявлено то, что является конфиденциальной информацией.
Краткий итог документа (анамнез)
Принятие решения о внедрении того или иного продукта должно основываться на обязательной тестовой эксплуатации, где одним из критериев, кроме функциональных и финансовых, должен быть критерий уровня нагрузки на поддержку. Предполагается, что в результате тестов будет принято решение о «степени зрелости» инфраструктуры к тому или иному объему ИБ защиты: внедрять все комплексом или достаточно некоторых решений, не пересекающихся функционально, предоставляющих базовый комплекс ИБ.
Примененные решения инфо безопасности должны в себя включать:
2FA для VPN и отдельные сертификаты;
Zero Trust Network Access в офисе;
MDM решение для BYOD;
CMDB для оборудования, учета лицензий, ремонта, инвентаризации;
Антивирусное ПО с возможностью фиксации событий по ИБ;
Мониторинг (оркестрация), эквивалент Zabbix для 1С;
Построение управляемой инфраструктуры для ГПХ сотрудников (федеративный домен и т.п.);
Регламентные, бумажные процедуры для сотрудников связанные с изменением прав.
Опционально:
Видео фиксация и идентификация находящихся в определенном периметре лиц;
Восстановление видеонаблюдения в ИТ отделе;
Вынесение в отдельную зону серверов с ПД;
DLP решения для всех ГПХ сотрудников (VDI);
PAM для сотрудников принимающих решения;
DMZ на двух firewall и «внешний» DNS в DMZ;
VPN вынесенный за периметр для сокрытия направления атак.
Вероятная траектория построения информационной безопасности
Сеть Интернет
один провайдер во всех филиалах и организация VPN подключения силами провайдера.
сокрытие контура VPN: разворачивание сервера у провайдера, подключение всех туда, а оттуда уже подключение на контур к нашим сервисам.
корневой, выпускающий сертификат лежит отдельно от той машины, где находятся остальные сертификаты (в том числе и блокировочный) и происходит их генерация. Если вдруг случится утечка, то главный выпускающий сертификат не пострадает — мы все равно сможем управлять контуром VPN. Это считается best practice.
Отслеживание срока годности выпускающего сертификата. Когда меняется корневой сертификат, надо менять и все остальные, что повышает уровень безопасности. Таким действием разом будут отозваны доступы у всех уволенных сотрудников. Подобные операции следует проводить периодически, например, раз в год или при тестировании безопасности.
Сеть офиса
Вынос всех серверов типа Битрикс24, внешний почтовый сервер, IP телефония, DNS, NGINX, FTP и т.п. в специальную DMZ. Отделение и ограничение глобальной и локальной сети отдельными фаерволами.
MDM реализованный UEM SafeMobile.
Zero Trust Network Access + 2FA VPN на аппаратном решении в виде UG D500 на входе.
Управляющий документ – ролевая модель доступа к ресурсам компании.
Доступ в офис
СКУД или согласование с арендодателем камеры с распознаванием лиц на входе.
Контроль оборудования
UEM SafeMobile и контейнеры с ПО в BYOD
Антивирус
GPO с четким описанием задач в MDM политике
Управляющий документ – Договор на ремонт оборудования с пунктами о защите информации компании.
Контроль оборудования и виртуальных машин.
CMDB (Configuration Management Database) в системе мониторинга — это база данных, которая хранит информацию о конфигурационных единицах (КЕ) ИТ-инфраструктуры. КЕ кроме собственно ПК и ноутбуков, могут включать серверы, приложения, сетевое оборудование, виртуальные машины. Может быть реализовано на базе Hardware Inspector.
Контроль персонала (пока избыточно)
Учет рабочего времени и контроля утечек информации DLP, например, Стахановец.
Контроль за лицами, принимающими решения – PAM система от Индид.
Уровень персонала (сотрудники).
Ознакомить сотрудников, а также обеспечить ознакомление иных лиц, которые имеют отношение и/или могут иметь отношение к предприятию, и их работников с требованиями нижеперечисленных локальных актов в области информационной безопасности.
При заключении договора на выполнение работ, указать на необходимость соблюдать указанные локальные акты в области информационной безопасности, обеспечить их соблюдение своими работниками, а также иными лицами, которые имеют отношение и/или могут иметь отношение к исполнению работ на предприятии.
Перечень локальных нормативных актов Исполнителя в области информационной безопасности:
Политика в области защиты информации (есть);
Политика в области обработки персональных данных (есть);
Политика парольной защиты в корпоративной информационной системе (переделать в рабочую и применить);
MDM политика (разрабатывать по мере внедрения решений);
Предоставить сокращенный комплект требований и политик для ГПХ сотрудников (после развертывания всех решений адаптировать на базе MDM политики сотрудников).
Процесс реагирования на инциденты ИБ, введен ли план мероприятий по ИБ, ведутся ли журналы учета мобильных устройств, съемных накопителей, средств защиты информации, журнал тестирования защищенности, журнал инструктажей, журнал учета и проведения мероприятий по ИБ. Процессы, связанные с парольной защитой, контролем доступа в информационные системы и защиту конфиденциальной информации.
Разработать курсы и тесты для сотрудников: «Антифишинг» и «Памятка для пользователей».
Сотрудники ИТ отдел.
До тех пор, пока нет отдельного сотрудника, занимающегося именно ИБ, сформировать перечень автоматических инструментов проверки безопасности (Kali Linux). Проверки проводить периодически и направлять отчеты руководству. Разработать регламент проведения таких проверок.
Использовать платформу Kaspersky ASAP или Cloud Security Awareness (тестирование и обучение сотрудников основам информационной безопасности), которая создана для повышения уровня осведомленности сотрудников и уменьшение количества инцидентов в области информационной безопасности.
Сотрудники смогут проверить свои знания до обучения правилам киберграмотности, а после пройти контрольную проверку практических навыков. Услуга Cloud SA позволяет создавать учебные фишинговые атаки. Платформа предоставляет возможность получить подробный отчет о прохождении тестирования, а также автоматически назначать сотрудникам курсы в зависимости от полученных результатов
Градация уровней, для которых я искал решения по информационной безопасности.
Уровень Интернет (глобальной сети) - Поиск и предотвращение киберугроз вне периметра компании.
Уровень внешнего периметра сети компании - Максимальное сокращение направлений атаки на ресурсы. Фильтрация контента, инспектирование разрешенного трафика, защита публичных ресурсов организации
Уровень сети компании – Анализ внутреннего сетевого трафика на предмет компрометации локальных узлов или поведенческих аномалий.
Уровень устройств пользователей - Комплексная защита рабочих станций и мобильных устройств. Предотвращение угроз фишинга, шифровальщиков, вирусов, zero-day уязвимостей и т.д.
Уровень пользователей - Повышение защищенности компании через обучение корпоративных пользователей основам информационной безопасности.
Есть еще часть, где рассматриваются доступные на рынке предложения. Если будет интересно - опубликую.
Учитывая то что сайты для обеспечения их работы содержат кучу полезных вещей, как думают владельцы, на самом деле эти вещи в нынешних условиях приводят к полному отказу загрузки страниц этих сайтов, причем одни не работают по причине блокировок внутри страны, другие из за западных санкций, когда тригером становится местный айпи, вычищайте с сайтов все эти метрики, инструменты проверок итд, вы не сможете с ними обеспечить должную работу сайта, у одних будет не работать одно, у других другое.
Поскольку поддержка Windows 10 завершилась, многие пользователи стали присматриваться к Windows 11. Однако для тех, кто планировал активировать операционную систему без лицензии, стало на один способ меньше. Дело в том, что разработчики убрали из ОС функцию GatherOSstate, которую использовал инструмент офлайн-активации KMS38 для обхода проверки лицензии, созданный хакерской группировки Massgrave.
«MAS» в Massgrave расшифровывается как Microsoft Activation Scripts, т.е. скрипты активации Microsoft. За время существования Massgrave опубликовала в интернете несколько инструментов, с помощью которых можно без лицензии активировать Windows и Office. Оригинальные PowerShell-скрипты доступны, например, на GitHub.
Блокировка стала результатом последовательных действий со стороны Microsoft. Еще в январе 2024 года компания начала удалять файл gatherosstate.exe из установочных образов, а в октябрьском необязательном обновлении KB5067036 его функциональность была окончательно отключена. Ноябрьские же патчи KB5068861 и KB5067112 сделали использование KMS38 полностью невозможным на обновленных системах.
В 2004 году компания Майкрософт подала в суд на канадского студента Майка Роу (Mike Rowe), поскольку он зарегистрировал на свое имя домен MikeRoweSoft.cum . По-английски домен произносился точь-в-точь как название корпорации Билла Гейтса - "МайкРоСофт.ком". Домен Майк зарегистрировал для того, чтобы заниматься веб-дизайном.
Корпорация зла Майкрософт усмотрела в этом нарушение авторских прав и потребовала отдать домен. Майк был готов подчиниться требованиям мега-корпорации, но попросил у Майкрософт компенсацию за потерю домена. Компания Билла Гейтса согласилась выплатить Майку примерно 10 долларов - именно столько стоила регистрация домена в зоне ".com". Ответ Майкрософт настолько взбесил Майка, что он немедленно повысил размер суммы за добровольную "сдачу" домена в 1 000 раз, до 10 000 долларов.
В свою очередь, Майкрософт выдвинул против Майка судебный иск на 25 листах. Студент не собирался сдаваться и начал активно общаться с прессой, рассказывая о жадности и наглости Майкрософт. Майк смог собрать 6 000 долларов добровольных пожертвований, нашел себе бесплатного адвоката, поэтому деньги оставил себе, а его сайт MikeRoweSoft.com стал настолько популярен, что однажды его за 12 часов посетило 250 000 человек (из-за чего он "упал", не выдержав нагрузки).
Ситуация начала принимать оборот, крайне невыгодный компании - от скандала стало дурно попахивать, поэтому Майкрософт поспешил урегулировать ситуацию в наиболее позитивном для обоих сторон ключе. Домен у Майка забрали, но Майкрософт обязалась компенсировать студенту все его расходы, а также оплатила поездку Майка и всей его семьи на Фестиваль TechFest. Кроме того, Майк получил профессиональный сертификат Microsoft и игровую приставку Xbox с набором игр. Вдобавок ко всем прочим "благам", Майк смог продать на аукционе eBay 25-страничный иск, который получил от Майкрософт. Комплект документов, представляющий собой, по словам Майка, "часть истории интернета", ушел с молотка за 1037 долларов.
По сути, Майк пусть и лишился сайта на своё имя и фамилию, что весьма странно, но он очень дорого продал этот домен: 6 000 + 1037= 7037 долларов. Кроме того, он смог побывать на весьма известном фестивале, так что думаю, что в проигрыше он не остался.
И по сей день при вбивании в поиск MikeRoweSoft.com нас перекидывает на сайт компании- владелицы XBOX и WINDOWS.
