Category: образование

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Автодидакты наступают

Самообразование во все века было возможно: читай книжки, сам ищи информацию, сам проверяй свои знания. Но этим путём шли считанные единицы. Подавляющее большинство получает знания при помощи преподавателей, в интерактивном режиме. Это означает, что затраты на обучение чуть менее чем пропорциональны количеству учеников. И так было всегда – со времён Аристотеля до наших дней.
Видение отроку

А теперь начинает меняться.

Книжки заменяются на электронные учебные пособия, лекции – на видеоуроки, посещаемость – на средства дистанционного обучения. А необходимую интерактивность, которую до сих пор мог обеспечить только учитель, дадут программы.

Технологии уже созрели.

Поисковые системы достаточно хорошо разбирают неграмотные, косноязычные, сумбурные вопросы пользователя, который порою сам не очень представляет, чего ему надо. Если же тематика заранее известна и узка, то качество анализа запроса будет на порядок выше. Программы типа нашего "Крибрума" уже достаточно хорошо понимают, что человек хотел сказать в соцсети, какой предмет упомянул и в какой тональности. Это же касается распознавания речи; по узкой тематике текущего курса качество распознавания будет гораздо выше.

    сетевая библиотека    
Учитель станет программой.

Этот фазовый переход означает, что себестоимость образования перестанет подчиняться прежним экономическим формулам. И начнёт вести себя как себестоимость компьютерных программ: все издержки заложены в первом экземпляре, а дальнейшее тиражирование происходит почти даром. Это позволит манипулировать ценой услуги в очень широких пределах, в том числе, продавать образование бесплатно. И, конечно же, появится пиратское образование.

Дармовая тиражируемость – это чудо.

Точнее, оно считалось чудом, доступном лишь Богу (или коммунизму). До тех пор, пока не появилась компьютерная информация и компьютерные сети. И вот, ещё один нужный человечеству ресурс готовится перейти на режим бесплатного копирования. А вся структура образования, кадры, госструктуры, денежные потоки, идеологическая нагрузка – всё привязано к прежней модели – модели с ненулевой стоимостью экземпляра.

white

Про смайлики

Письменность – это конвертация устной речи для иного носителя (звук —> бумага) "с потерей качества". Пока выражение мыслей на бумаге являлось занятием элиты общества, потерю компенсировать не могли. Как только до создания текстов дорвался широкий народ, он изобрёл это простое, но действенное средство – смайлики (и хмурики). Правда, применять их толком не научился, ну да что вы хотите: этому же в школе не учат; как только станут учить, смайликовая грамотность наладится.

В некоторых языках смайликов нет. Удивительно, но факт. Это так называемые тоновые языки – китайский, тайский, лаосский, бирманский и др.

Для европейца тон служит для выражения эмоций (а также составления вопросительных предложений). Поэтому на письме эмоции приходится обозначать какими-то специальными символами или не обозначать никак. В юго-восточной Азии тон уже занят – он выражает значение слова. Поэтому для эмоций азиаты исторически применяли специальные слова (междометия). Каковые безболезненно перешли в письменность, а затем и в Интернет. Смайлики там оказались не нужны.

Наш "Крибрум" гордится тем, что проводит анализ тональности высказываний пользователей о том или ином отслеживаемом предмете. Видите, даже термин "тональность" тут означает не высоту звука, а эмоции, которые стоят за словами. Эмоции стали называть "тональностью", потому что в европейских языках они выражаются тоном. Азиаты этого не понимают. Для них нет никакой проблемы определить, написана фраза с восхищением, со злостью, ехидством или в качестве грубого приказа. Даже если её писал в Фейсбуке вчерашний крестьянин, не владеющий всеми этими писательскими приёмами.

white

Ты что закончил?

Во втором издании книги «Форензика – компьютерная криминалистика», которое сейчас готовится, ваш покорный слуга решил дополнить главу о криминалистической характеристике киберпреступления новым параграфом. Его черновик сегодня и предлагается к обсуждению.

Образование вероятного преступника


Знания в области ИТ в настоящее время приобретаются чаще самостоятельно, чем в учебных заведениях, чаще неформально, чем с дипломом.

Вот намеренно гиперболизированный пример. Предположим, мы установили, что совершившее преступление лицо обладало знаниями по медицине. Следователь, скорее всего, не особо задумываясь напишет в документах: "искать лицо с медицинским образованием". Потому что в данном случае знания и образование – почти одно и то же. Врачей-самоучек не видели с XVII века. Так что в ходе расследования будут проверять медицинские вузы.

И противоположный пример. Если о преступнице известно, что она вкусно готовит, версию о профессиональном поваре, выпускнице кулинарного техникума станут проверять в последнюю очередь.
Видение отроку

Компьютерные знания ближе ко второму случаю. Есть все условия для приобретения их самостоятельно. Учебных заведений пока немного. А к компьютеру сейчас допускают без специальной лицензии.

Не говоря уже о том, что специальность "защита информации" слишком молода – моложе многих своих кадров. Когда приблизительно в 1998-2000 годах появились первые курсы и кафедры по защите информации (информационной безопасности), не было ни одного аттестованного по этой специальности преподавателя. Кто же преподавал студентам эти курсы? Люди со знаниями, но без бумажки. Сейчас человека с бумажкой "ЗИ" найти несложно. Однако по квалификации такой аттестованный информзащитник, скорее всего, будет уступать неаттестованному из предыдущего поколения, которое ещё полностью в строю.

Кроме того, знания из области ИТ не очень чётко, но всё-таки разделяются на "оборонительные" и "наступательные". Вторые официально не преподают, но для совершения киберпреступлений они нужнее.

Перечисленные факторы приводят к тому, что об уровне компьютерных знаний вероятного преступника нельзя судить по его формальному образованию. Более надёжный критерий – занимаемые должности за последние годы. Но и это не даёт достаточной уверенности в уровне специальных знаний. Автодидакт (самоучка) в области ИТ ещё долго останется распространённым типом.

white

Цена и прочность

У нас в мае начнётся новый учебный год. И новая цифровая эпоха. Все первоклашки получат вместо букварей планшетник ScoPad 7'. И последующие поколения школьников отныне станут учиться на "цифре".

Тендер на поставку в школы 900 тысяч планшетных компьютеров выиграла китайская фирма "Scope", предложившая самую низкую цену: 81 доллар за штуку. То ли себестоимость у них такая, то ли надеются добрать потерянное на запчастях, софте и последующих продажах.

«ScoPad имеют сенсорный экран с диагональю 7 дюймов, жесткий диск емкостью 16 Гб, 512 Мб оперативной памяти, двухъядерный процессор с тактовой частотой 1 ГГц и операционную систему Android 3.2, совместимую с Android 4.0. Китайский производитель дает на свои планшетники гарантию два года.»
А ваш покорный слуга давно говорил, что обучать детей письму от руки – значит нерационально тратить время. Детские годы, пока мозг в режиме обучения – чрезвычайно ценный ресурс. В первую очередь следует учить тому, что чаще используется в жизни и лишь в оставшееся время – всяким общеполезным предметам типа латыни или чистописания.

На месте производителей софта я бы ещё сам приплатил за возможность поставить свою программу на школьный компьютер. Через несколько лет, когда выпускники пойдут работать, они будут выбирать софт соответствующей марки, не задумываясь. И за себя лично, и за своего работодателя.

white

Астральная сертификация

Было дело, ваш покорный слуга дружелюбно покритиковал юридическую наивность аутсорсинговой бухгалтерии "Моё дело". Дескать, сервер у них в Германии, следовательно, данные никто не достанет.

ЗАО "Калуга Астрал" лиц.0442 от 09.02.2006 КИ-0027-001328. В реестре лицензиатов на сайте ФСТЭК действительно значится лицензия на ТЗКИ под № 442, выданная этому ЗАО.

Ныне показали мне ещё один прикол с их сайта. Это так называемый "аттестат соответствия". Официально подтверждает, что чего-то там в натуре соответствует чему надо, зуб даю. Чему же?
«...соответствует требованиям нормативной и методической документации по безопасности информации.»
Соответствие чему подтверждает этот документ? Какой именно документации? Как можно с ней ознакомиться?

Нетрудно догадаться, что под этой "документацией" подразумеваются не ГОСТы, не ФЗ-152, не ПП-330 и не многообразные ведомственные «положения о». Удовлетворить им при хранении бухгалтерии за границей с моделью угроз «маски-шоу в офисе» просто невозможно. Скорее всего, это некая внутренняя бумага за подписью гендиректора, озаглавленная "Документация".

Мне интересно другое. Знатоки тонкостей лицензирования, просветите пожалуйста. Имеет ли право лицензиат ФСТЭК (по ТЗКИ) удостоверять соответствие левым требованиям? И ссылаться при этом на полномочия от ФСТЭКа.

white

Мёртвый язык

Когда ваш покорный слуга пошёл в школу, в то время параллельно существовали чернильные и шариковые ручки. Хотя вторые были однозначно удобнее и дешевле (и никто этого не оспаривал), но первые продолжали выпускать. Не только для любителей исторической реконструкции. Отчего-то считалось, что хороший и правильный почерк может выработаться только перьевой ручкой. Первый год или два мы писали чернилами. Только когда учитель решал, что почерк у ученика выработался, он разрешал перейти на шариковую.

Прошло немного лет – и уже стоит вопрос о почерке вообще. Нужно ли человеку писать рукой? Имеет ли смысл учить детей этому навыку, который вскоре окажется на свалке истории? Это ж мёртвый язык, фактически. Изучить латынь и греческий, конечно, было бы полезно для общего развития. Если нет более насущных знаний. Ваш покорный слуга с 16 лет не написал от руки ни одного текста для кого-либо кроме себя. А после 22 лет – вообще ни одного.

Найти бы сейчас того старого пня, того онтологического динозавра, который убедил всех, что "правильно" писать можно только чернилами. Наверное, он уже давно в аду, переписывает гусиным пером дампы всех упавших Х-серверов.

Школа должна давать навыки, полезные в будущем. Что именно будет востребовано через 10-12 лет, точно не известно. Но хотя бы на сегодняшний день ориентироваться можно? Сколько процентов текста средний человек набирает на клавиатуре, а сколько пишет от руки? Ну и какой из почерков сейчас важнее – рукописный или клавиатурный?

Всем известно, что генералы всегда готовятся к прошлой войне. У них есть уважительная причина: пока новая война не началась, трудно предсказать её характер. Но почему учителя готовят к прошлой жизни, хотя настоящая – вот она, перед глазами?

Может, и наш брат не без греха? Может быть, мы тоже защищаем от вчерашних утечек?

white

Немцы

Одни методики изучения иностранного языка концентрируются на устном общении. Другие включают в себя также изучение письма и чтения. Существует даже экстремальный подход: письменность вообще не изучается, учат лишь говорить и слушать. Методисты утверждают, что при этом экономится масса усилий и времени, поскольку не надо запоминать чужой алфавит и правила написания, порой довольно нетривиальные.

Однако ваш покорный слуга ещё не встречал методики, при которой студент изучает лишь письменную речь, но пренебрегает устной. Такое возможно разве что для чатовых роботов.

Однако реалии XXI века тянут нас именно в эту сторону – в сторону букв. Какое действие придётся нам выполнять чаще в чужой стране: торговаться на сельском базаре или заказывать товар в интернет-магазине? Спрашивать дорогу или смотреть указатели? Заказывать еду по меню или устно? Приезжать на переговоры лично или обмениваться емейлами? Слушать местного менестреля или читать местную литературу? Разговаривать с ростовщиком или шариться в меню банкомата? Давать клятву на Коране или подписывать протокол?

Не говоря уже о медленном, но неуклонном перемещении социально-экономической активности людей в Интернет. Во всех странах. А там – устная речь не нужна вовсе.

Это не иероглифы
В корейском языке (хангыль) 51 буква, не считая устаревших. Это именно буквенное (фонематическое) письмо, а не иероглифическое.


Ваш покорный слуга большую часть времени проводит в иноязычной среде и по собственному опыту берётся утверждать: в его работе и жизни доля устной речи постоянно сокращается. И явно стремится к статусу необязательной.

А традиционный инъяз этой тенденции не хочет видеть. Учит по-старинке. А ведь объём человеческой памяти не увеличивается по закону Мура. Она за исторические времена не выросла ни на байт. Экономить бы этот ресурс надо. Вместо одного "полного" иностранного языка можно было бы изучить 2 в режиме "read-write-only".

К чему это я вспомнил? У систем защиты от утечек наблюдаются большие проблемы с распознаванием устной речи, в то время как с текстом и графикой всё давно на мази.

white

Инь Фу Во, глава 4

Суждения об информационной безопасности
мудреца и учителя Инь Фу Во[1], записанные его учениками

Глава 4. Об информации

1

Когда армия отправилась в поход вразумлять южных варваров, к Инь Фу Во обратился государственный чиновник. Он сказал:

– Драгоценный единочаятель Инь, помогите нам вести информационную войну в Интернете.

Инь Фу Во ответил:

– Интернет – это слова. Если дело дошло до вразумления силой оружия, вразумление словами закончилось.

2

Инженер Чжа Вынь спросил Учителя про abuse service. Инь Фу Во сказал:

– Надо написать положение о приёме и обработке жалоб.

– Зачем? – спросил Чжа Вынь. – Разве недостаточно просто следовать Дао?

– Храбрость без ритуала ведёт к бунту. Правдивость без ритуала ведёт к грубости. Верность без ритуала ведёт к подхалимству, – ответил Учитель. – А информационная безопасность без ритуала ведёт к потере связности.

3

Однажды директор собрал совещание о борьбе с утечками информации. Когда другие сотрудники доложили, Инь Фу Во сказал:

– Начальник Службы безопасности написал десять тысяч строк приказов и инструкций. При этом он думал о людях как о машинах. Поэтому его инструкции не будут исполняться. Сисадмин написал семьдесят семь правил для DLP-системы. При этом он думал о машинах и забыл о людях. Поэтому его правила пойдут во вред бизнесу.

– В таком случае, – сказал Директор, – пусть они работают вместе. Пусть создадут комплекс организационных и технических мер, которые будут исполняться и будут способствовать бизнесу.

Инь Фу Во покачал головой:

– Двое одноруких не смогут стрелять из лука.

4

Чжа Вынь спросил:

– Может ли компьютер с Windows быть защищённым?

– В принципе, может, – ответил Инь Фу Во.

– А на практике?

Почтенный защитник Инь взглянул на ноутбук, который Чжа Вынь держал в руке, потом сказал:

– Бывает, что для президента делают бронированный лимузин. Но для воина лучше танк.

5

Сисадмин спросил Инь Фу Во про интеллектуальную собственность. Учитель сказал:

– Великие произведения принадлежат Небу. Хорошие произведения принадлежат людям. Плохие произведения принадлежат корпорациям.

Ещё Сисадмин спросил про DRM[2] и защиту от копирования. Инь Фу Во ответил:

– Защита произведения и заключается в его копировании. Запрет копирования – это запрет защиты.

6

Однажды разговор зашёл про родительский контроль. Ученики спросили Инь Фу Во:

– Нужно ли ограничивать доступ детей к контенту, содержащему насилие?

Учитель ответил:

– Воспитание без насилия даст поколение, не способное к насилию. А народ, не способный к насилию, не выживет в окружении варварских племён.

Ещё ученики спросили:

– Нужно ли ограничивать доступ детей к контенту, содержащему эротику?

– Невозможно ограничить доступ к тому, что всегда носишь с собой.

Ещё ученики спросили:

– Нужно ли ограничивать доступ детей к контенту с пропагандой наркотиков?

– Запрет пропаганды запретного – это столь же неразумно, как пропаганда запрещения пропаганды. Одна публичная казнь наркомана приносит больше пользы, чем десять тысяч ACL[3].

7

Сисадмин спросил Учителя:

– Зачем западные варвары защищают персональные данные? Такая неразумная трата ресурсов!

– В древности варвары верили, что знание настоящего имени человека позволяет наложить на него проклятье, – ответил Инь Фу Во.

Сисадмин удивился:

– Но ведь они давно уже не дикие и знают, что колдовства не существует.

– Да, они уже знают, – подтвердил мастер Инь. – Но пока они жили в дикости и скрывали свои имена, успели построить систему, которая опирается на конфиденциальность персональных данных. Теперь у них нет другого пути.

– Хорошо, что мы цивилизованные люди и не верим в колдовство, – заметил Сисадмин.

Инь Фу Во печально улыбнулся:

– Опасаясь колдовства, варвары сделали колдовство реальностью. Знание настоящего имени человека позволяет украсть его деньги[4].

8

Чжа Вынь спросил Учителя:

– Можно ли читать чужую электронную почту ради предотвращения утечек?

– Ты сам знаешь, что нет, – был ответ.

– Но ведь средства связи принадлежат предприятию. Значит и все сообщения в них – тоже.

Инь Фу Во покачал головой:

– Каждый день в обед ты получаешь от предприятия большую чашку риса. Кому же принадлежит твоя жизнь?

9

Как-то за обедом Сисадмин спросил Инь Фу Во:

– Учитель, почему вы каждое утро тратите полчаса на изучение логов? Не лучше ли поставить автоматический анализатор?

Мастер Инь показал на палочки для еды и сказал:

– Ты, возможно, слышал, что северные варвары не знают палочек. Они едят свою пищу ложками. И используют автоматические анализаторы логов. Поэтому срок их жизни мал, а их сервера нетрудно взломать.

Ещё Инь Фу Во сказал:

– А у западных варваров принято есть руками. И логов они вообще не изучают. Поэтому все они безобразно толстые, а их сервера – проходной двор. Мы, в отличие от варваров, кушаем палочками.

Сисадмин неторопливо доел рис с креветками и просветлённый ушёл читать логи.



[1]   Инь Фу Во (廕傁幄) – почтенный защитник Инь.

[2]   DRM – технические средства защиты авторских прав.

[3]   Access control list — список управления доступом.

[4]   Очевидно, Инь Фу Во имеет в виду имя в совокупности с номером соцстрахования (Social Security Number).

 

Все 4 главы одним файлом
white

Учебные тревоги


План эвакуации. Также см. по ссылке
Сегодня у нас в доме проводили учебную пожарную тревогу. С настоящими пожарными, сиреной, дымовыми шашками и учебной эвакуацией из самого высокого корпуса. Идея очень правильная. Каждый должен "знать свой маневр", особенно когда требуемые действия не столь очевидны, как "ложись" или "беги".

На взгляд вашего покорного слуги, отделы ИБ тоже должны раз в полгода устраивать пользователям учебные тревоги для отработки следующих действий:
  • заражение рабочей станции неизвестным вирусом;
  • получение по электронной почте сообщения от фишера;
  • получение сообщения о некорректном SSL-сертификате корпоративного сервера;
  • социально-инженерный звонок с просьбой выполнить те или иные действия с компьютером;
  • подозрительные действия соседа по офису, например, фотографирование экрана монитора;
  • появление в офисе незнакомого лица, что-то подключающего к сети;
  • получение от непосредственного начальника приказа, который противоречит политике безопасности.
Одно дело – прочесть указания в 101-й по счёту инструкции, и совсем другое – проделать те же действия "на местности". И самому понятнее, и запоминается куда как лучше.

Кстати, создать сценарий проведения учебной тревоги по ИБ – дело не простое. Требуется, чтоб и моделируемая ситуация была типична, и процесс интересный, и отвлечение от основной работы минимально, и обстановка "максимально приближенная к". За хороший сценарий и денег заплатить не жалко.