8 дек. 2012 г.

Что важно в работе команды. По мотивам прохождения веревочного курса.

1. Доверять друг другу. Если ты доверил какую-то часть работы человеку, то не надо помогать ему, советовать и врываться в ход его работы - ты только все испортишь. Доверься и жди результата. Понятно, что ты привык доверять только себе, но другие люди такие же хорошие исполнители как ты.
2. Делать свою работу на 100%. Если тебе доверили какую-то работу, то ждут результата. Если ты сорвешь свою часть проекта, то сорвешь всю полную задачу. И самое страшное, что потеряешь доверие и его уже будет не вернуть.
3. Когда ты сделал свою часть работы, не забывай, что другие еще не закончили и не срывай их работу. Сосредоточься на других - не мешай им закончить свою часть. Для этого тебе важно быть в курсе что делают другие.
4. Если ты взялся за руководство процессом, то позаботься, чтобы вся команда знала что делают другие, чтобы не сорвать процесс по незнанию.

3 дек. 2012 г.

Библиотеки и Интернет

Сравнивая библиотеку и Интернет

Раньше все гордились своей библиотекой лишь потому, что не было Интернета. Не было никакой возможности получать информацию о мире, кроме как из книг. Поэтому было так: чем больше у тебя книг, тем больше у тебя возможностей знать мир. И соответственно чем больше библиотека, тем больше у тебя было возможностей знать больше других. А вот теперь есть Интернет.
Теперь я сразу могу туда писать и все сразу могут оттуда читать. Неважно кто и что написал - я могу найти практически мгновенно, любой нужный мне ответ. В этих плюсах есть одно но: исчезли специальные люди - редакторы. Если раньше они стояли между автором и читателем, то теперь никто не посоветует убрать повторения или добавить запятых, или раскрыть фразу более подробно. В итоге, конечно, и так все разбираются, но пропадает постепенно красота языка, возможность уединения с книгой уже не та - ты постоянно отвлекаешься на входящие сообщения от мессенджеров и почты. Ты уже не так глубоко можешь обдумать одну мысль - приходится быстро переключаться с одной мысли на другую, что не придает им глубины. Поэтому, такое ощущение, что только то, что написано во времена без Интернета останется глубоким, продуманным и полезным для развития человека.

12 нояб. 2012 г.

Обучение английскому языку необходимо для всех технических специалистов в России

Так сложилось, что многие люди с математическим складом в России не ходят в институте на философию, историю, психологию и (самое обидное для них потом) на английский язык. Я так понимаю, что люди с гуманитарным складом ума тоже скептически относятся к предметам типа алгебры, математического анализа, физики и т.д.
Причем, на мой взгляд, этот взгляд на жизнь поддерживается преподавателями. И если ты математик, то английский тебе не нужен. Если ты юрист, то математика не нужна.
Но это потом сказывается на перечне задач, которые ты можешь решать.

Все это я написал к тому, что я очень сожалею, что многие технари не учили в свое время английский язык на уровне разговорного (также как и я). И нам потом приходится тратить нечеловеческие (про себя говорю) усилия на погружение в язык и возможность начать на нем общаться. А ведь очень много полезной информации сейчас подается именно на английском языке и я обращаюсь ко всем тем, кто только начал учиться в техническом ВУЗе - учите язык и будет у вас счастье.

6 окт. 2012 г.

Впечатления от ИНФОБЕЗа
Конференция Инфобез Экспо как всегда была интересна своими выступлениями. VIP клуб, который расположился в уголке конференции и тщательно скрывался двумя людьми от входа посторонних, все-таки не зря существовал: там были собраны самые видные люди мира ИБ и они отлично зажгли по всем основным темам: персональные данные, АСУТП (она же КСИИ по определению ФСТЭК), MDM - управление и защита мобильных устройств, аутсорсинг безопасности. Я лично пытался быть везде активным слушателем, но постоянно отвлекался общением с коллегами из различных компаний.
Из посещенных мероприятий самым интересным было послушать создателя документа ФСТЭК по сертификации IDS (из ЦБИ), также лучшим было выступление безопасника из бывшего РАО ЕЭС про то как они пытались выполнить требования ФСТЭК по КСИИ для электроэнергетики.
Очень интересно было слышать от него: если антивирус сертифицирован, то это значит что он кроме вредоносного кода удаляет еще и нормальные файлы, если IPS сертифицирован, то он блокирует не только атаки, но и нормальный трафик, если защита от НСД сертифицирована, то она обязательно падает в синий экран. В общем полный трындец с сертифицированными средствами. Причем когда он спрашивал вендоров исправить недостатки, они были удивлены что их продукты правда кто-то использует, а не кладет на полку. :) Также он задал вопрос: почему при защите SCADA на НДВ нужно проверять только средства защиты, когда во всем мире ломают через совершенно обычные ИТ системы, тот же Siemens и почему не требуют проверять на НДВ его? Наверно понимают что это нереально. Тогда нафига требовать НДВ в средствах защиты, когда ломают в реальной жизни по-другому?
На дискуссию "нужна ли сертификация" я не успел, и не успел вставить свое слово что она не нужна. Хотя, впрочем, может это и к лучшему. Мои заказчики всегда сами проводят "оценку соответствия" во время тестирования и выбора устройства: шлют атаки из Metasploit, сканируют сайты через IPS и видят что IPS отлично работает со всем этим и им не нужно получать дорогостоящие бумажки - им и так все понятно. Поэтому я не вижу смысла в сертификации, по крайней мере в том виде, в котором она сейчас существует.
Ну и что приятно, во время конкурса "Львы и гладиаторы" я хорошо подготовился и все Львы поняли за 3 минуты идею продукта и были согласны что он им нужен в компании. Я просто давно лелею идею соединить сканеры безопасности и IPS и мы в HP наконец реализовали это: результаты (отчеты) сканеров безопасности просматриваем и сравниваем с профилями защиты IPS и если в профилях защиты от найденных уязвимостей еще не включено, то включаем ее автоматически. Надо сказать, что такой функционал был в ISS SitePtotector, но он благополучно умер, после того как IBM убил купленный вместе с ISS сканер безопасности Internet Scanner.
В общем выиграть было несложно: нужно выбрать реально полезный продукт, затем нужно подготовить выступление на 3 минуты про него. Также я использовал принцип из ораторского искусства: проговаривал раз 5 свое выступление за день до него. Так что это работает :) Также нужно уметь отвечать на вопросы с подковырками, ну а тут ничто, кроме опыта, не помогает. И видимо опыт есть, так что теперь у меня есть сертифицированный меч :) Мне выдали какой-то сертификат еще на меч :) Так что у меня сертифицированный сувенир :) Со мной соревновались: StoneSoft, Fortinet, АйТи с Q1Labs и другие. Хотя, надо сказать, что это было самое сложное выступление в моей жизни:   мандраж нереальный перед выходом, прямо как на экзамене себя чувствуешь.
В общем конференция закончилась для меня очень позитивно. Ура! :)

19 сент. 2012 г.

К чему приведет запрет сайтов?


s_n_1300_01
Скоро начнет работать закон о запрете сайтов. По ролику видно, что под угрозой Youtube. Дальше это будет livejournal и другие сайты где контент создает большое количество людей.
Понятно что никто не будет отказывать себе в удовольствии посещать такие сайты.
Многие люди встанут перед задачей - как посмотреть сайт, если он заблокирован провайдером. И что самое интересное найдут ответ. Многие узнают что бывают анонимайзеры - специальные сайты, расположенные в других странах, где нет ограничений, и с этих сайтов можно будет спокойно заходить уже на нужный тебе сайт, хотя у провайдера ты будешь числиться как посетитель некого сайта, а не youtube. И все, что самое интересное, будут счастливы: провайдер выполнил указание законных властей нашей страны, а человек продолжает смотреть то, что ему интересно.
Так что единственное к чему приведут разговоры о блокировании сайтов, это к повышению профессионализма пользователей Интернет. Все больше людей будет знать про анонимайзеры, про VPN, про TOR и другие утилиты для обхода ограничений провайдера.

10 сент. 2012 г.

Статистика ИБ

Исследование http://people.cis.ksu.edu/~sathya/papers/badgers2012.pdf Говорит:

-Of the total attacker IP addresses, 3.49% targeted one customer and the remaining 96.51% launched attacks against more than one customer

Таким образом 96% атак идут на разных пользователей с одних и тех же адресов. Зачем тратить время своих сотрудников на разбор атак с этим адресов, если можно сразу не пускать к себе эти IP, зная что другие уже эти инциденты разобрали и причислили этот IP к плохим?

8 сент. 2012 г.

Выбор полировки

Осень и поэтому сегодня решил заняться изучением защитных покрытий для автомобиля.
Выбор большой: экпоксидные, нано обычное, жидкое стекло и нанокерамика.
Как выяснилось обычно нано не защищает от механических потертостей, когда кто-то рядом проходит и трет вашу машину одеждой - мелкие песчинки сразу же оставят вам царапинки.
Поэтому механическую стойкость придает эпоксидка, стекло и керамика.
Однако эпоксидку разъедают мойки бесконтактные, поэтому остается стекло и керамика.
Керамику предлагают от 4000 рублей за авто если найти со скидкой. И это самая дорогая полировка. Есть еще одно утверждение от полировщиков - покрывать защитным слоем надо хорошо отполированную машину, и тогда она засверкает. Так что еще просят денег за полировку предварительную.

Покрытие
Устоичивость к мелкому абразивному воздействию
Гидрофобный эффект (водоотталкивающий)
Степень блеска
Количество моек по тестам АВТОЗАЩИТА
Гарантии –фирмы производителя
CERAMIC-PRO LIGHT
3
10
10
45
9-12МЕС
KochChemie NANO 1K
3
10
10
35
ДО 3 ЛЕТ
WILLSON
2
8
8
25
1 ГОД
PRO-TEC
2
8
7
30
1 ГОД
AUTOSOL
0
6
5
15
6-7МЕС
SONAX
2
8
7
25
1 ГОД
CERAMIC –PRO 10 СЛОЕВ
9
10
10
80
2 ГОДА
US-GLAZE
0
7
10
15
ДО 3Х ЛЕТ
GLARE
3
8
10
30
ОТ 1 года
DOCTOR WAX И ПРОЧЕЕ
0
2
10
3
6 МЕС
ВОСКОВЫЕ  И  ТЕФЛОН
0
1
2
2-3
6 МЕС

Оценка ведется по 10-ти бальной шкале.   Тесты автозащиты проводились с использованием ручной мойки бесконтактным шампунем и является очень сильным воздействием на покрытие, при использовании специального шампуня стойкость покрытий значительно возрастает!

10 июл. 2012 г.

DLP от TippingPoint

Сегодня хочу привести скриншот фильтров, которые находят в трафике разные виды утечек. Меня часто спрашивают про это и поэтому привожу пример. 
Чтобы сделать DLP фильтр нужно скачать с сайта https://tmc.tippingpoint.com/TMC/ специальную утилиту Digital Vaccine Toolkit и используя его написать строку поиска в соответствии желаемым форматом, например форматом кредитной карты или форматом номера телефона и т.д. Подробнее лучше при личной встрече. Сам готовый файл поиска номеров кредиток из скриншота могу прислать кому нужно как пример.



29 апр. 2012 г.

Что бы я улучшил в Windows

Что бы я улучшил в Windows

1. Все администраторов очень напрягает, что на одном компьютере человек настраивает переключение клавиатуры Alt-Shift, на другом другой человек Ctrl-Shift. В итоге когда приходишь на чужой компьютер, то чертыхаешься и поминаешь добрым словом Микрософт, поскольку никогда непонятно как переключать. Особенно когда нужно набрать пароль и букв не видно. Я предлагаю Микрософт сделать так, чтобы можно было переключать раскладку не ИЛИ ИЛИ а И И. И Ctrl-Shift и Alt-Shift. 2. Вы не задумывались, почему все люди используют Windows Commander ой простите Total Commander? Потому что там можно нормально копировать файлы. То, как это сделано в окошках - убивает напрочь. Почему при копировании группы файлов нет такой гибкости? Никто не знает, кроме Микрософт. Предлагаю Микрософту посмотреть какие вопросы задает Total Commander при групповом копировании файлов и задавать такие же вопросы хотя бы. 3. Если бы Xobni была написана самими Микрософт, то ей бы цены не было. Однако я всегда ставлю эту добавку к Outlook, потому что только она напоминает мне, что я живу в 21 веке при работе с почтой. Когда я использую Outlook без нее, у меня ощущение что я в 19 веке, где нет интеграции с Linkedin, facebook, twitter, нельзя посмотреть все файлы и URL, которыми ты обменивался с человеком, даже нормального угадывания имени человека в поле "Кому" нету! Сделайте наконец.

3 янв. 2012 г.

После публикации в Интернете - уничтожить :)))

Очень хочу понять, зачем публиковать в Интернете списки генеральных директоров компаний, с электронными адресами? Надеюсь автор этого действия услышит меня и исправит ошибку. В XLS файле лежат персональные данные, о которых мы так печемся...