27 мар. 2010 г.

Последние прошивки для D-LINK DIR-320 которые делают из нее ASUS WL-500 нашел в виде файлов WL500gpv2-1.9.2.7-d-rXXXX.trx тут и тут. На сегодня, 27 марта, последняя версия WL500gpv2-1.9.2.7-d-r1387.trx

Лучше всего пользоваться программой для прошивки DIR_320_RFU, которая работает так

DLINK DIR-320 поддерживает Yota
Сколько надо заплатить автору, если ты хочешь спеть его песню?

Спеть свою же одну песню стоит 30.000 рублей. Столько заплатила группа Deep Purple за исполнение каждой из своих песен, "забыв" заплатить в российское авторское общество (РАО). Всего получилось 450000 рублей. http://www.zvuki.ru/R/P/20445/
Почему коллеги безопасники, так любят подколоть друг друга?

По опыту написания статей заметил, что обычные люди, для которых статья предназначена говорят просто "спасибо" и пользуются тем, что ты для них сделал, а вот другая часть людей, которые могли бы тоже написать такую же статью, но банально ленятся это делать, сразу же начинают завидовать, что ты сделал это первым и начинают оценивать твою статью (или выступление на конференции) с пристрастием, в преломлении собственного взгляда на эту область. У этих людей возникает ощущение, что ты писал статью исключительно для них, они начинают критиковать и пыжиться в комментах и своих блогах, выжимая из себя остатки своих знаний, вытесненные опухшим самолюбием и желанием показать себя. Скромнее надо быть, коллеги, как считаете!?
Но я не для того чтобы подколоть кого-то (хотя списочек у меня составлен), я считаю, что если кто-то из соседних компаний сделал полезное для области ИБ, то это надо ценить, а не пытаться развенчать гада-конкурента параллельно с вставлением рекламы про себя.

10 мар. 2010 г.

Мой первый опыт по созданию видео презентаций. Оказалось, что смотреть в камеру все выступление совсем непросто. Специально говорил медленно, но сейчас понимаю надо было говорить в своем обычном темпе. Выкладываю вариант без своей картинки - только саму презентацию и речь.

Спасибо Петру за хороший монтаж видео и звука.

9 мар. 2010 г.

поскольку безопасность не живет отдельно по себе, а привязана к какой-то области ИТ, то безопасник должен знат ту ИТ область в которой он работает: если он говорит про безопасность сетей, то он должен _глубоко_ знать как работают сети, если он говорит про безопасность веб приложений, то надо знать как они работаю. То же самое с виртуализацией и новомодным cloud computing. Очень часто руководители этого не понимают, в итоге безопасников не посылают на те же курсы что и айтишников, в итоге айтишники понимают в своей области больше чем безопасники и просто перестают слушать безопасников, поскольку понимают, что те не шарят в этом. И очень печально видеть в организациях безопасников, которые вынуждены выпускать руководящие документы для своего ИТ подразделения по статьям из журнала Хакер и securitylab.ru. Не то чтобы там статьи плохие, просто они должны брать идеи из головы, а не из статей.
Так что хороший безопасник должен получаться из хорошего айтишника. И тогда его будут слушать и делать как он сказал, например, наконец влючат аутентификацию OSPF на маршрутизаторах.

8 мар. 2010 г.

По случаю отмечания 8 марта, решил поразглагольствовать. Есть такая дурацкая тема как политики безопасности. Столько уж о ней говорят, но реально мало людей понимает что в ней должно быть написано. Небольшой FAQ по политикам безопасности от меня:

- Почему нельзя заставлять писать политику безопасноти собственного CISO?
Потому что он напишет ее так, как удобно ему и вы уже ничего не сможете поменять не уволив этого самого CISO. Будете нанимать нового CISO и просить его написать _свою_ политику?

- Почему нужно просить внешнюю команию писать политику безопасности, а затем контролировать как CISO ее выполняет?
а) Потому что реально политики безопасности мало отличаются от политик такого же банка или предприятия в той же отрасли, это значит что те шаблоны политик, которые будет использовать внешний консультант уже отточены и откатаны на других, а значит он ничего не упустит из рассмотрения.
б) Потому что самое сложное - это не написать политику, а реализовать ее. Нет ничего сложного в том, чтобы решить занятся фитнесом в понедельник, а попробуйте заняться? :)
От CISO требуется знать политику и контролировать ее выполнение и претворение в жизнь. Если не будет человека который что-то контролирует то ничего и не заработает. Контроль внедрения политики - главная задача CISO.
На самом деле иногда требуется помощь консультантов и для реализации политики.