Size: a a a

DC20e6: DEFCON Ульяновск

2021 February 11

VK

Vladimir Kulikov in DC20e6: DEFCON Ульяновск
лучше сам в гугл. ну или вон телефон )
источник

ЛБ

Леонид Буринов... in DC20e6: DEFCON Ульяновск
источник

GG

Gleb Goncharov in DC20e6: DEFCON Ульяновск
У меня иное мнение. На мой взгляд, это хорошая и правильная инициатива, несмотря на весь этот так называемый опенсорс.
источник

R

Roman in DC20e6: DEFCON Ульяновск
Я больше не про опенсурс, а про то, что ты можешь юзать лицензии только для твоей компании, а тут придется раскрыть дальше
источник

R

Roman in DC20e6: DEFCON Ульяновск
И не обязательно опенсурс
источник

R

Roman in DC20e6: DEFCON Ульяновск
И грустно что право на модификацию
источник

R

Roman in DC20e6: DEFCON Ульяновск
Им и в мастер пушить разрешить? Или только формирование пуллреквестов?)))
источник

R

Roman in DC20e6: DEFCON Ульяновск
В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Другой случай произошёл в прошлом году в ноябре. Тогда украинский телеграмм-канал DC8044 сообщил о размещении в открытом доступе на сайте «РЖД Бонус» файла резервной копии базы данных этого сайта (так называемый дамп) размером около 2,4 Гб. В нём содержалась информация об адресах электронной почты пользователей сайта, их идентификаторах в программе лояльности (это набор цифр) и хеш пароля для доступа в личный кабинет. Инцидент произошёл из-за ошибки администратора подрядной организации, выполняющей работы над сайтом.
В обоих случаях для нейтрализации актуальных угроз безопасности были оперативно предприняты первоочередные действия по защите информации в сети передачи данных ОАО «РЖД» и личных данных клиентов, а также по обеспечению безопасности перевозочного процесса. Для этого у нас разработаны и применяются соответствующие нормативные документы: положение и регламенты выявления, регистрации, реагирования на инциденты информационной безопасности.
источник

R

Roman in DC20e6: DEFCON Ульяновск
Roman
В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Другой случай произошёл в прошлом году в ноябре. Тогда украинский телеграмм-канал DC8044 сообщил о размещении в открытом доступе на сайте «РЖД Бонус» файла резервной копии базы данных этого сайта (так называемый дамп) размером около 2,4 Гб. В нём содержалась информация об адресах электронной почты пользователей сайта, их идентификаторах в программе лояльности (это набор цифр) и хеш пароля для доступа в личный кабинет. Инцидент произошёл из-за ошибки администратора подрядной организации, выполняющей работы над сайтом.
В обоих случаях для нейтрализации актуальных угроз безопасности были оперативно предприняты первоочередные действия по защите информации в сети передачи данных ОАО «РЖД» и личных данных клиентов, а также по обеспечению безопасности перевозочного процесса. Для этого у нас разработаны и применяются соответствующие нормативные документы: положение и регламенты выявления, регистрации, реагирования на инциденты информационной безопасности.
источник

R

Roman in DC20e6: DEFCON Ульяновск
Из соседнего чата
источник

R

Roman in DC20e6: DEFCON Ульяновск
На самом деле грустно это
источник

GG

Gleb Goncharov in DC20e6: DEFCON Ульяновск
Roman
Я больше не про опенсурс, а про то, что ты можешь юзать лицензии только для твоей компании, а тут придется раскрыть дальше
В реестр отечественного ПО включают только то, что предполагается использовать в государственных органах. Очевидно, ни о каких B2B или B2C рынках речь не идёт. Что касается B2G, опять же, логично, что именно заказчик (государство) диктует требования к разработке. В том числе и иметь возможность как-либо модифицировать код по своему усмотрению.
источник

F

Fred in DC20e6: DEFCON Ульяновск
Roman
На самом деле грустно это
грустно когда у вас астра, и вы не можете версию языка поднять, что-бы исправить проблемы которые сильно дают по башне
источник

GG

Gleb Goncharov in DC20e6: DEFCON Ульяновск
Другое дело, что многие существующие продукты столкнутся с трудностями. Большая часть современной разработки централизована и вращается вокруг бизнесов крупных компаний. Пресловутый опенсорс в 2021 году нежизнеспособен без поддержки больших кошельков.

Инфраструктура для той части открытого ПО также сосредоточена в руках коммерческих компаний, неподконтрольных РФ. Код храним в репозиториях на GitHub, исходные коды — на GitHub Releases, CI/CD — на GitHub Actions. Приложения запускаем в PaaS (AWS/GCE/…), PKI предоставляют иностранные компании (LE). Не мудрено, что для устранения/смягчения геополитических рисков, государственным структурам неплохо бы не зависеть от воли дядь из-за бугра.
источник

A

Almi in DC20e6: DEFCON Ульяновск
В подобных случаях разворачивается локальный Git сервис
источник

VK

Vladimir Kulikov in DC20e6: DEFCON Ульяновск
Fred
грустно когда у вас астра, и вы не можете версию языка поднять, что-бы исправить проблемы которые сильно дают по башне
+
источник
2021 February 12

AK

Alex Kurzin in DC20e6: DEFCON Ульяновск
Gleb Goncharov
В реестр отечественного ПО включают только то, что предполагается использовать в государственных органах. Очевидно, ни о каких B2B или B2C рынках речь не идёт. Что касается B2G, опять же, логично, что именно заказчик (государство) диктует требования к разработке. В том числе и иметь возможность как-либо модифицировать код по своему усмотрению.
У меня для вас плохая новость, в школы продавливают Офис Р7, и требуют импортзамещенной техники, теперь закупать импортное нельзя если есть наше.
источник

GG

Gleb Goncharov in DC20e6: DEFCON Ульяновск
Alex Kurzin
У меня для вас плохая новость, в школы продавливают Офис Р7, и требуют импортзамещенной техники, теперь закупать импортное нельзя если есть наше.
Я очень далёк от общеобразовательной системы, но не вижу ничего плохого в том, чтобы использовать отечественное ПО.

Конечно, на местах будущих профессий пользователи скорее всего увидят MS Office, но это всего лишь инструмент, которому несложно обучиться.

Что касается преподавателей, то, полагаю, их работа не требует особых функций, а потому справится и P7.

В импортозамещении нет ничего плохого, если бы не коррупция.
источник

AK

Alex Kurzin in DC20e6: DEFCON Ульяновск
Gleb Goncharov
Я очень далёк от общеобразовательной системы, но не вижу ничего плохого в том, чтобы использовать отечественное ПО.

Конечно, на местах будущих профессий пользователи скорее всего увидят MS Office, но это всего лишь инструмент, которому несложно обучиться.

Что касается преподавателей, то, полагаю, их работа не требует особых функций, а потому справится и P7.

В импортозамещении нет ничего плохого, если бы не коррупция.
В импорт замещении нет ни чего плохого, в том случае если мы можем купить то же число компьютеров, интерактивных досок, принтеров проекторов, что и раньше, а вот если новый принтер стоит как 5-8 старых зарубежных, то что то здесь не так. Школе безразлично какой шильдик приклеен на технику, главное что бы ее было много и она работала, новые правила автоматически делают так что ее мало.
источник

GG

Gleb Goncharov in DC20e6: DEFCON Ульяновск
Да, это непорядок. Цена на отечественные аналоги должна быть конкурентной, конечно же.
источник