Category: образование

Category was added automatically. Read all entries about "образование".

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Даром - за амбаром

Обычно бесплатное обходится дороже. Нет, я не о женщинах. Как всегда – о средствах защиты информации.

Купил габровец автомобиль. Однако, расплачиваясь, задержал часть суммы в виде гарантии сроком на месяц. Не прошло и трех дней, как продавец получил обратно автомобильный клаксон от жены покупателя: "Возвращаю вам клаксон, так как мой муж, потренировавшись, выучился гудеть сам. Вычтите стоимость клаксона из остатка причитающейся вам суммы и закройте счет."

Когда говорят о программном обеспечении, нельзя ориентироваться только на цену лицензии. Надо оценивать так называемую совокупную стоимость владения (TCO). Лицензия может даваться бесплатно, однако необходимая аппаратная часть, обслуживание и обучение кадров вместе будут стоить больше, чем для случая платной лицензии.

На самом деле оценка ещё сложнее.

Некоторые компоненты TCO планируемого решения могут быть уже оплачены. Например, персонал. Если необходимые специалисты уже наняты и при этом не слишком загружены, то их стоимость учитывать в общей сумме нелогично. Получается, что такие компоненты как бы достаются нам бесплатно.

Когда речь о DLP-системе, таких неявных компонентов TCO особенно много. При внедрении очень дорого может обойтись классификация информации и рубрикация документов, которые циркулируют по защищаемой сети. В некоторых предприятиях всё надо делать с нуля, а у некоторых – это уже ранее было сделано для других целей.

Для разных средств защиты информации из TCO можно условно вычесть разные составляющие. Или наоборот – условно добавить то, что фактически не требуется. Продавцы частенько этим злоупотребляют и рисуют перед потенциальным покупателем некорректную картину предстоящих расходов.

Стремясь снизить TCO типичного клиента, коммерческие разработчики снижают функциональность и гибкость своего продукта, жертвуют удобством и даже иногда – защищённостью. А создателей так называемого "свободного" софта TCO обычно не очень волнует. Они пишут "как для себя", поэтому чаще всего у них и получается "для себя", то есть с оптимизацией под собственные условия эксплуатации.

Поэтому при совпадении указанных условий бесплатный софт может даже обойтись дешевле проприетарного.

white

Автодидакты наступают

Самообразование во все века было возможно: читай книжки, сам ищи информацию, сам проверяй свои знания. Но этим путём шли считанные единицы. Подавляющее большинство получает знания при помощи преподавателей, в интерактивном режиме. Это означает, что затраты на обучение чуть менее чем пропорциональны количеству учеников. И так было всегда – со времён Аристотеля до наших дней.
Видение отроку

А теперь начинает меняться.

Книжки заменяются на электронные учебные пособия, лекции – на видеоуроки, посещаемость – на средства дистанционного обучения. А необходимую интерактивность, которую до сих пор мог обеспечить только учитель, дадут программы.

Технологии уже созрели.

Поисковые системы достаточно хорошо разбирают неграмотные, косноязычные, сумбурные вопросы пользователя, который порою сам не очень представляет, чего ему надо. Если же тематика заранее известна и узка, то качество анализа запроса будет на порядок выше. Программы типа нашего "Крибрума" уже достаточно хорошо понимают, что человек хотел сказать в соцсети, какой предмет упомянул и в какой тональности. Это же касается распознавания речи; по узкой тематике текущего курса качество распознавания будет гораздо выше.

    сетевая библиотека    
Учитель станет программой.

Этот фазовый переход означает, что себестоимость образования перестанет подчиняться прежним экономическим формулам. И начнёт вести себя как себестоимость компьютерных программ: все издержки заложены в первом экземпляре, а дальнейшее тиражирование происходит почти даром. Это позволит манипулировать ценой услуги в очень широких пределах, в том числе, продавать образование бесплатно. И, конечно же, появится пиратское образование.

Дармовая тиражируемость – это чудо.

Точнее, оно считалось чудом, доступном лишь Богу (или коммунизму). До тех пор, пока не появилась компьютерная информация и компьютерные сети. И вот, ещё один нужный человечеству ресурс готовится перейти на режим бесплатного копирования. А вся структура образования, кадры, госструктуры, денежные потоки, идеологическая нагрузка – всё привязано к прежней модели – модели с ненулевой стоимостью экземпляра.

white

Про смайлики

Письменность – это конвертация устной речи для иного носителя (звук —> бумага) "с потерей качества". Пока выражение мыслей на бумаге являлось занятием элиты общества, потерю компенсировать не могли. Как только до создания текстов дорвался широкий народ, он изобрёл это простое, но действенное средство – смайлики (и хмурики). Правда, применять их толком не научился, ну да что вы хотите: этому же в школе не учат; как только станут учить, смайликовая грамотность наладится.

В некоторых языках смайликов нет. Удивительно, но факт. Это так называемые тоновые языки – китайский, тайский, лаосский, бирманский и др.

Для европейца тон служит для выражения эмоций (а также составления вопросительных предложений). Поэтому на письме эмоции приходится обозначать какими-то специальными символами или не обозначать никак. В юго-восточной Азии тон уже занят – он выражает значение слова. Поэтому для эмоций азиаты исторически применяли специальные слова (междометия). Каковые безболезненно перешли в письменность, а затем и в Интернет. Смайлики там оказались не нужны.

Наш "Крибрум" гордится тем, что проводит анализ тональности высказываний пользователей о том или ином отслеживаемом предмете. Видите, даже термин "тональность" тут означает не высоту звука, а эмоции, которые стоят за словами. Эмоции стали называть "тональностью", потому что в европейских языках они выражаются тоном. Азиаты этого не понимают. Для них нет никакой проблемы определить, написана фраза с восхищением, со злостью, ехидством или в качестве грубого приказа. Даже если её писал в Фейсбуке вчерашний крестьянин, не владеющий всеми этими писательскими приёмами.

white

Цена ручного контроля

Принтеры вот уж который год являются ведущим каналом утечек информации.

Distribution
Распределение утечек по носителям за последний год (18.3.12-17.3.13). Доля бумажных носителей традиционно очень высокая. Источник – Infowatch.

Проблема в том, что как только листок покидает лоток принтера, автоматизированный контроль за информацией становится невозможен. А ручной контроль обходится дорого – его стоимость пропорциональна количеству экземпляров. Стоимость учёта и контроля автоматизированного (т.е. DLP) от числа экземпляров, документов и видов информации зависит слабо. Поэтому DLP тем выгодней, чем больше информационный поток. На больших потоках и в крупных организациях ручной учёт конфиденциальных документов становится неподъёмно дорог.

Поэтому именно в крупных организациях начнётся отказ от принтеров вообще. Количество информации (в т.ч. конфиденциальной) растёт по экспоненте. Автоматизированная борьба с утечками этот рост переваривает, а ручная – нет. Единственный выход – полный отказ от бумажных документов, содержащих хоть что-то непубличное.

Совсем без бумаг работать будет трудно и неудобно. Однако "неудобно" в большинстве случаев переводится как "непривычно". После выработки привычки становится очень даже удобно. Проблема в том, что это привычка, выработанная годами. А старого соловья новым басням не выучишь.

Поэтому если мы хотим уменьшить белый сектор на диаграмме, начинать надо со школы и с семьи. В учебных заведениях принтеры запретить, а на домашние ввести акциз. Или как в старые добрые советские времена – велеть регистрировать печатающие устройства в Соответствующих Органах. Это будет почти эквивалентно запрету.

white

Самоучки против профессионалов

"Антифрод", "антиспам", "антихак" и прочий антикриминал – популярные темы для научных конференций, печатных изданий и учебных курсов. А почему нету конференций для мошенников, спамеров, злохакеров, кардеров? Почему они не издают журналов и не проводят учебных курсов?

Очевидно, почему. Учебное или научное мероприятие – это коммерческое дело, и прибыльность его не так уж высока. Если местные власти заподозрят криминальный характер передаваемых знаний, они прикроют лавочку – какая уж тогда рентабельность. И конспирация – тоже слишком дорогая фича.

Потребность в новых знаниях и в обмене информацией у чёрных шляп даже выше, нежели у белых. А возможности для обучения – значительно ниже. Но они как-то выкручиваются. Собирают по крупицам свои опасные знания, добывают нелегальную информацию из легальной "руды", общаются на подпольных веб-форумах, подозревая всех окружающих в стукачестве. Идут в ученики, платя высоким риском для своей шкуры за повышение квалификации. И, разумеется, совершают забеги по граблям.

Даже для деятелей запрещённых политических партий бывают курсы и тренировочные лагеря школы на территории других стран. А вот злохакеру поехать поучиться некуда. И это при том, что спрос у них – вполне платёжеспособный, в отличие от всяких там блогеров.

Тем не менее, квалификация злохакеров не опускается ниже плинтуса. То и дело они ухитряются обыграть правоохранительные органы и частные СБ.

Делаем вывод. Не так уж значимы все эти курсы, факультеты, учебники, журналы и конференции. Набрать необходимые знания можно и без них. Исключительно автодидактическим методом. Следовательно, сертификаты и дипломы для информзащитников тоже не очень значимы.

white

Открытость и вред

Во всех российских школах в этом году вводят добровольное тестирование на наркотики и алкоголь.
«Дети опасаются, что при отказе сдачи анализов к ним автоматически будет предвзятое отношение – если отказался, значит, есть что скрывать. И в случае если действительно результат окажется положительным, какие меры будут предприняты дальше, не понимают учащиеся.»
Добровольное плавно переходит в обязательное.
«В Правительство РФ внесен законопроект, вводящий для школьников и студентов тестирование на наркотики. Согласно законопроекту раннее выявление немедицинского потребления наркотических средств и психотропных веществ включает в себя:
- социально-психологическое тестирование обучающихся;
- проведение профилактических медицинских осмотров обучающихся.»


— Сегодня в школе была проверка на девственность. Оказывается, в нашем классе всего одна девственница!
— Это ты, моя доченька?
— Нет, это наша учительница.
На примере персональных данных мы видим, что такое "добровольно". Согласие на обработку ПД субъект тоже должен давать "свободно, своей волей и в своем интересе". Однако попробуй-ка не подпиши полное согласие! Сразу лишишься возможности покупать и продавать и прочих гражданских прав заодно.

На примере персональных данных мы видим, что такое "конфиденциально". За нарушение предписанного порядка защиты штрафуют, но порядка всё равно нету. Базы данных с ПД граждан продаются по удельной цене 0,05 копейки за одну запись и доступны в Интернете.

Есть основания полагать, что с результатами анализов на наркотики будет иначе?

Правильно. Поэтому надо готовиться. Заранее как-то приспосабливаться к тому, что всё личное станет прозрачным и открытым. Мораль и стыд неизбежно изменятся. Постыдное станет заурядным. Аморальное – обычным. Чувствительное – безразличным.

Тогда и переоценим риски персональных данных. Кто переоценит раньше, тот получит премущество.

white

Ты что закончил?

Во втором издании книги «Форензика – компьютерная криминалистика», которое сейчас готовится, ваш покорный слуга решил дополнить главу о криминалистической характеристике киберпреступления новым параграфом. Его черновик сегодня и предлагается к обсуждению.

Образование вероятного преступника


Знания в области ИТ в настоящее время приобретаются чаще самостоятельно, чем в учебных заведениях, чаще неформально, чем с дипломом.

Вот намеренно гиперболизированный пример. Предположим, мы установили, что совершившее преступление лицо обладало знаниями по медицине. Следователь, скорее всего, не особо задумываясь напишет в документах: "искать лицо с медицинским образованием". Потому что в данном случае знания и образование – почти одно и то же. Врачей-самоучек не видели с XVII века. Так что в ходе расследования будут проверять медицинские вузы.

И противоположный пример. Если о преступнице известно, что она вкусно готовит, версию о профессиональном поваре, выпускнице кулинарного техникума станут проверять в последнюю очередь.
Видение отроку

Компьютерные знания ближе ко второму случаю. Есть все условия для приобретения их самостоятельно. Учебных заведений пока немного. А к компьютеру сейчас допускают без специальной лицензии.

Не говоря уже о том, что специальность "защита информации" слишком молода – моложе многих своих кадров. Когда приблизительно в 1998-2000 годах появились первые курсы и кафедры по защите информации (информационной безопасности), не было ни одного аттестованного по этой специальности преподавателя. Кто же преподавал студентам эти курсы? Люди со знаниями, но без бумажки. Сейчас человека с бумажкой "ЗИ" найти несложно. Однако по квалификации такой аттестованный информзащитник, скорее всего, будет уступать неаттестованному из предыдущего поколения, которое ещё полностью в строю.

Кроме того, знания из области ИТ не очень чётко, но всё-таки разделяются на "оборонительные" и "наступательные". Вторые официально не преподают, но для совершения киберпреступлений они нужнее.

Перечисленные факторы приводят к тому, что об уровне компьютерных знаний вероятного преступника нельзя судить по его формальному образованию. Более надёжный критерий – занимаемые должности за последние годы. Но и это не даёт достаточной уверенности в уровне специальных знаний. Автодидакт (самоучка) в области ИТ ещё долго останется распространённым типом.

white

Статысячные утечки

Рассказывают, что в этом году на ЕГЭ все задания (т.н. КИМ) будут снабжены антиутечными стеганографическими метками.

В связи с тем, что в 2011 году в Интернете можно было найти множество фотографий бланков ЕГЭ, введена дополнительная графическая защита КИМов. На листах ответа под текстом будет специальное фоновое изображение, индивидуальное для каждого бланка. Предполагается, что с помощью данного фона можно будет в течение 30 минут установить, кто сделал фотографию.

Идея в том, что листок с заданием (тираж 800 тыс. экз.), будучи сфотографирован и размещён в Сети, будет однозначно идентифицировать ученика. Даже если не целиком, а лишь фрагмент. Даже если с невысоким разрешением.

Подробности пока не разглашаются, но, очевидно, они рано или поздно станут известны. Насчёт индивидуальных меток для каждого бланка ваш покорный слуга охотно верит. Но про фрагменты и разрешение – сомневается. В фоновый рисунок придётся закодировать около 20 битов информации с избыточностью не менее 5. И с разрешением не ниже, чем для чтения шрифта. Ну и куда их засунуть там?

Но самое интересное для нас – доказательность таких фотографий, "размещённых на сервере в штате Калифорния" и непременно содержащих "признаки монтажа". Ведь дисквалификация ученика из-за выявленной утечки имеет очевидные правовые последствия. Следовательно, у него должно быть право на обращение в суд. Таким образом, анализ графических меток на фотографиях КИМ запросто станет предметом судебной экспертизы. А вдруг эксперт окажется беспристрастным, да ещё к тому же компетентным?

white

Носить вам не переносить

Один знакомый рассказывал, как в проклятых свободных легендарных 1990-х он был новым русским и владел небольшим заводиком. Так вот, в штате он держал три-четыре десятка охранников, но зарплаты им не платил. Вообще, ни копейки. Только премии – за каждый случай пресечения краж.

Ой вей! Таки этот поц будет учить нас делать гешефт!

Ваш покорный слуга удивился и попробовал объяснить, что безопасник охранник на сдельной оплате объективно не заинтересован в прекращении воровства. Он будет стремиться поддерживать такой уровень хищений, чтоб поголовье расхитителей не переводилось.

На это бывший новый русский махнул рукой и объяснил, что свести кражи к нулю – это всё равно несбыточный идеал (не говоря уже о том, что противоречит Национальной Идее). Зато стабилизация числа инцидентов (как пресечённых, так и попущенных) очень способствовала финансовой предсказуемости и планированию бюджета. Чего он, собственно, и добивался. А стоимость украденного он всё равно раскладывал на цену продукции, то есть, платил не из своего кармана. Стабильность тут много важнее размера издержек.

На этом месте ваш покорный слуга глубоко задумался. Правильно ли я жил все эти годы? Тому ли учил своих студентов? Безопасность – это состояние защищённости или как?