#FYI
Утра доброго!

Подготовили сравнение свежего квадрата Гартнера по IPS/IDS с прошлым годом. Лидеры прежние - Cisco, McAfee, Trend Micro, а вот остальные игроки заметно поменялись, нишевые вендоры отвалились.

#Полезное #Ликбез #AWS #Linux #Dev #КакУчиться

Многие люди верят в способности. Мол, этот от природы знает русский язык, тот - прирожденный технарь, а ей сам бог велел быть психологом. Множество авторитетных источников (e.g. "Learning how to learn" provided by Coursera) опровергают этот стереотип. Наука показывает, что средний человек способен освоить любую популярную область деятельности: от поэзии до математического анализа; от спорта до юриспруденции. Главная проблема - методы обучения. Т.к. мы живем в эпоху победившего интернет, наибольший интерес представляют онлайн-курсы доступные из любой точки земного шара за меньшие, чем традиционное образование или оффлайновые курсы деньги.

Существующие онлайн-курсы (i.e. MOOC) часто построены без учета современных подходов к эффективному образованию. Они либо сильно перекошены в сторону геймификации и считают пользователей маленькими детьми, сюсюкаются и замедляют прогресс. Либо, возвышаются на просторах сети подобно высокой скале, предлагая вырывать знания из двухчасовых видео, без дополнительного опорного контента. Такие способы подачи информации априори менее эффективны, чем курсы, которые используют современную, научно-обоснованную методологию подачи материала.

Эффективная методология включает:

1. Короткие (максимум по 60 минут) видеолекции по изучаемой теме;
2. Теоретические материалы для чтения в качестве д/з;
3. Флеш-карты для запоминания ключевых терминов и понятий;
4. Лабораторные работы для практического освоения материала;
5. План занятий с установленным сроком окончания учебы;
6. Общение с сокурсниками и авторитетными специалистами.

Иные подходы к самообразованию в 21 веке напоминают интеллектуальный онанизм - не самый плохой вариант, но далеко и не лучший, согласитесь. Другое дело, что большинство образовательных порталов не приспособлены к такому формату обучения. Если их студенты специально не изучали техники правильного самообразования, то они будут вечными аутсайдерами в путешествии к вершинам карьеры. Такие люди не умеют правильно учиться, а сам портал их этому не учит и даже больше: часто учит неправильному.

Поэтому давайте уделим немного времени тому, чтобы понять как правильно учиться. Для этого предлагаем сайт https://linuxacademy.com , который дает курсы и сертификации по облачным сервисам, Linux, разработке и девопсу.  Членство стоит не самых маленьких денег, но у вас будет время принять решение об оплате: первые 7 дней пользования сайта бесплатны. Редакции остается грустно вздохнуть: "И почему мы не нашли этот портал раньше, когда только начинали свой путь в IT"?

#Событие #Форум #Госы #ФСТЭК #ТехнологииБезопасности

В популярном мультсериале "Аватар" люди живут в мире жестко разделенных способностей. Кто-то владеет магией огня, кто-то - воды, а кому-то больше повезло с землей или воздухом. И только главный герой, сам Аватар, умеет контролировать все четыре стихии. Его миссия направлять людей, и быть арбитром и наставником в истории человечества...

Так же и в нашей области: есть талантливые рисечеры, есть грамотные юристы, есть крутые админы и пентестеры, но очень мало тех, кто хотя бы в общих чертах представляет всю картину происходящего в отрасли. Если вы хотите быть нишевым профессионалом/исполнителем такие знания излишни, но если вы хотите сделать карьеру управленца или любите видеть горизонт, немного "широты" не повредит. И лучшим источником такой широты являются профильные конференции.

В феврале стартует очередной форум "Технологии безопасности", где можно будет услышать, чем живут госы, их придворные интеграторы, и что любимый ФСТЭК готовит нам.

Подробности по ссылке:  https://www.tbforum.ru/

#Событие
Пока вы завтракаете, представители компании OnePlus во всю борются с последствиями, которые причинил вредоносный скрипт, перехватывающий с середины ноября по 11 января платежные данные пользователей, совершавших платежи на сайте OnePlus. А таких насчитывается около 40 тысяч. Такие дела.

Источник: https://forums.oneplus.net/threads/jan-19-update-an-update-on-credit-card-security.752415/

#Ликбез

Очень крутая, масштабная и пугающая статья от американской журналистки Авы Кофман (Ava Kofman) про технологии распознавания речи, используемые американскими спецслужбами. Голос - легкий и доступный материал для идентификации и поиска человека в любой точке земного шара.

Все ваши онлайн звонки, ноутбуки, телефоны, все эти "Окей Google"... Создать ваш voiceprint не составляет труда. Причем возможность идентификации каждого по голосу куда более приоритетная задача чем суть всех ваших разговоров.

Бу!
P.s осторожно, много английских букв!

https://theintercept.com/2018/01/19/voice-recognition-technology-nsa/

Ребяты!

У нас произошло КиберЧП и последние пару месяцев наш бот обратной связи @cybrsht_bot не работал и не доставлял ваши сообщения.

Если вы вдруг писали что-то важное, знайте, что мы снова на связи! :)

#ПравилаИгры #РФ

Нет ничего более непостоянного, чем российское законодательство. Специфика юриспруденции накладывается здесь на социально-культурную волотильность нашей многострадальной страны, что провоцирует головную боль как у специалистов, так и у жертв/интересантов очередных изменений. Чтобы не отставать от жизни предлагаем ознакомиться с конспектом изменений по версии товарища Борисова. Обратите внимание, что речь идет не только о ПДн и 152-ФЗ, но и о других проблемах, в т.ч. КИИ.

Ссылка: http://sborisov.blogspot.ru/2018/01/2017.html?spref=tw

#FYI

Любопытная позиция RedHat по ситуации со Spectre и обновлением микрокода/прошивки процессоров.

Звучит примерно так: Мы не хотим нести ответственность за обновления от вендора, поэтому в microcode_ctl не включены апдейты для Spectre. Связывайтесь с поставщиками процессора и запрашивайте патчи самостоятельно.

Источник: https://access.redhat.com/solutions/3315431

Как там звучит 2 правило эникейщика? Правильно - проблема на вашей стороне!

#Ликбез #Spectre #Meltdown

Грацкий технический университет (Австрия) с немецкой дотошностью создал веб-сайт об уязвимостях Spectre и Meltdown. Хотите увидеть по-настоящему качественный ликбез: с технической документацией, видеозаписями примеров эксплуатации, ссылками на исследователей, вендоров и подробным FAQ?

Welcome here: https://meltdownattack.com/

#FIY #Отчеты

Соскучились по отчетам?
Вот вам документ от HackerOne о мире Bug Bounty хакинга.

Немного фактов из отчета:
• На декабрь 2017 было найдено 72к+ уязвимостей и выплачено $23.5M+
• Кому? - Америка, Индия, Австралия, Россия.
• Средний возраст: 18-24 лет — 45.3% и 25-34 лет — 37.3%.
• В топе веб-уязвимости — 70.8% от общего числа.
• Самый популярный софт — Burp Suite и самописный.

Другие подробности внутри %) Enjoy!

Когда хочешь почитать новости на securitylab, а ребята снова за сертификатом не уследили :(

#Событие #Пдн #ДискуссионныйВопрос

Как пишет ТАСС, в Малайзии хакеры похитили ПДн 220 тысяч доноров человеческих органов (https://www.rg.ru/2018/01/24/v-malajzii-hakery-pohitili-personalnye-dannye-220-tysiach-donorov.html ). На фоне громких инцидентов с Equifax это кажется мелочью, но давайте немного подумаем о скучным слове ПДн и государственном регулировании.

В далеком 2006 году инициативы наших властей в области законов по ИБ породили массу споров и негодования в народе. На протяжении этих лет мы много слышали о бумажной волоките, бюрократизации, усложнении законодательной базы, а в последние три года к этому добавились стенания об ограничении свобод в интернете и попрании прав человека. Но давайте посмотрим на это с другой стороны. Мы не раз писали о том, что чем больше функций автоматизируется, тем выше цена ошибки. Когда цена ошибки возрастает до критической величины, нужна дополнительная защита. Например, ПДн. Все больше критичной информации о человеке вращается в сети интернет. Все больше интересных способов использования этих данных можно придумать. Все больше инцидентов происходит.

Будем надеяться, что сознательные юрлица защитят нашу персональную информацию? А зачем им это делать, авось пронесет - юрлиц много, всех не сломают! Думается, что без государственного/корпоративного регулирования ни ответственные уникумы, ни open source сообщество не смогут массово реализовать приемлимую защиту ПДн. Анархисты могут аргументированно возразить, что эти "пугающие" тенденции приводят нас к антиутопии и тотальному контролю со стороны государств и корпораций. Но с другой стороны: десятилетия назад аналогичным образом были зарегулированы строительство, пищевая промышленность, фармацевтика, банковская сфера и многие другие, и ничего, мы продолжаем жить.

Проблема любителей анархии и бесконтрольных свобод в том, что подмечая недостатки иерархических и принудительного регулирования систем, они не предлагают реальной альтернативы. И хайповые блокчейн-платформы, которые пытаются выдать за панацею их разработчики и хомячки не выход. Человечество уже не первый раз ищет "философский камень" и пора понять, что мир слишком сложен, чтобы какое-то одно решение могло его спасти. А старое доброе государственное/корпоративное регулирование будет медленно, со скрежетом, ехать по проторенной колее и худо-бедно обеспечивать нам хоть какую-то ИБ. Это не злой умысел господ Яровых, а глобальный тренд эпохи массовой информатизации.

#Полезное #Vulners #Scan #Web

Проект Vulners продолжает развиваться и радовать пользователей новыми фичами. На очереди новая версия плагина для Chrome, который сканирует посещаемые веб-сайты по базе уязвимостей портала.

Скачать и потискать сие чудо можно по ссылке: https://chrome.google.com/webstore/detail/vulners-web-scanner/dgdelbjijbkahooafjfnonijppnffhmd

Приятного вам dsdaasffhadhsjskskksaj!!

#Событие
Американский интернет взволнован новыми изменениями на сайте Агенства национальной безопасности.

Из раздела "Наша миссия и ценности" исчезли такие слова, как "Честность" и "Открытость". Остальной список ценностей тоже был скорректирован, из нового добавились: "Подотчетность" и "Уважение к людям", "действовать эстетически, честно и эффективно для выполнения нашей миссии" и ряд других изменений.

Кажется что-то это напоминает, хотя нет, показалось...

"Прошлое никогда не изменялось. Океания воюет с Остазией. Океания всегда воевала с Остазией"

https://theintercept.com/2018/01/24/nsa-core-values-honesty-deleted/

#Событие #Криптоджекинг #Криптовалюта #Cryptocurrency  #Mining

MIT опубликовал обзор, согласно которому криптоджекинг превращается в угрозу № 1 в мире ИБ. Это интересно, потому что в отличии от хайповых шифровальщиков 2017 года, программы для несанкционированного майнинга являются разновидностью несмертельной болезни. Многие пользователи не станут бороться с ними, пока они не мешают их работе. Ещё больше их просто не заметит, и даже не узнает, что такая угроза существует.

Здесь мы находим на интересную мысль: обычно преступления совершаются ради какой-то выгоды, и мало кто будет творить зло философски, ради самого зла. Поэтому новые виды киберпреступлений могут оказаться благом. Если прямое ограбление пользователя не работает и вызывает ответную агрессию, а более мягкие способы приносят стабильный доход и воспринимаются спокойно, то зачем лезть на рожон?  

Любители нарушать закон начнут перемещаться в более спокойные ниши, а излишне агрессивные и вызывающие методы станут рассматриваться как пережиток прошлого и удел для беспредельщиков. Насколько этот сценарий реалистичен покажет время. Но часто в отношениях двух сторон так и происходит: методом проб и ошибок люди находят баланс, которого в дальнейшем и придерживаются.

Источник: https://medium.com/mit-technology-review/forget-viruses-or-spyware-your-biggest-cyberthreat-is-greedy-cryptocurrency-miners-7f44a610dd62

#Ликбез #Машинноеобучение #Полезное #ИИ
В условиях массовой слежки, нашему головному мозгу приходится нелегко. Как уберечь себя от глаз Большого брата, как скрыть следы пребывания в интернете? Как остаться анонимным? И нужно ли вообще все это делать? Да, нашим нейрончикам явно приходится не сладко.

Но как выглядят эти механизмы? Как корпорации угадывают наши слабости, находят сильные стороны и составляют виртуальный портрет личности? Слишком много вопросов, согласитесь.

Чтож, давайте мы поделимся с вами механизмом, который вы хотя бы можете контролировать. Но это не точно.

Проект называется DataSelfie и это плагин для браузера, отслеживающий вашу активность на Facebook. Плагин захватывает ваши нажатия мышью, ввод текста, просмотренные страницы и пр. данные и отправляет уже обезличенную информацию на сервера DataSelfie. От туда часть информации отправляется в Alchemy (Open Source AI основанный на моделях Маркова) и, будучи обработанной, возвращается к вам, где вы можете уповаться результатами работы.

Плагин способен определять ваши политические и религиозные взгляды, ваши интересы и даже ваш характер. Неплохо правда? И это творение парочки инициативных разработчиков, кстати двух девушек.

А теперь представьте, что может творится за стенами аналитических отделов подобных корпораций, как Facebook? А если эти данные украдут? Киберпи... Впрочем вы и сами все знаете.

Плагин тут:  http://dataselfie.it

#Ликбез #Карьера

На выходных предлагаем изучить лонгрид про долгий путь к вершинам ИБ. Автор фундаментально подошел к изучению составляющих успешной карьеры. Текст начинается с описания стека базовых навыков грамотного ИБ, полезных для карьеры сертификаций и советов по лабораторной работе дома. И заканчивается нетворкингом, внешнем видом эксперта и борьбой с эмоциональным выгоранием.

Часто неэффективные стратегии обучения, вредные стереотипы, дурное окружение ставят крест на нашем будущем как специалистов. Не дайте себе засохнуть, если вы в тупике, или не знаете куда идти дальше, прочтите эту статью и посмотрите за горизонт.  

"The key at this point is to not have major holes in your game, and being weak in any of those is a major hole."

Источник: https://danielmiessler.com/blog/build-successful-infosec-career/

Статистика по Nix серверам майнеров биткоина, которые имеют реквизиты доступа root/root и не настроены на проверку источника обновлений. Данные получены исследователями https://hacker.house/about/