Category: образование

Category was added automatically. Read all entries about "образование".

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Автодидакты наступают

Самообразование во все века было возможно: читай книжки, сам ищи информацию, сам проверяй свои знания. Но этим путём шли считанные единицы. Подавляющее большинство получает знания при помощи преподавателей, в интерактивном режиме. Это означает, что затраты на обучение чуть менее чем пропорциональны количеству учеников. И так было всегда – со времён Аристотеля до наших дней.
Видение отроку

А теперь начинает меняться.

Книжки заменяются на электронные учебные пособия, лекции – на видеоуроки, посещаемость – на средства дистанционного обучения. А необходимую интерактивность, которую до сих пор мог обеспечить только учитель, дадут программы.

Технологии уже созрели.

Поисковые системы достаточно хорошо разбирают неграмотные, косноязычные, сумбурные вопросы пользователя, который порою сам не очень представляет, чего ему надо. Если же тематика заранее известна и узка, то качество анализа запроса будет на порядок выше. Программы типа нашего "Крибрума" уже достаточно хорошо понимают, что человек хотел сказать в соцсети, какой предмет упомянул и в какой тональности. Это же касается распознавания речи; по узкой тематике текущего курса качество распознавания будет гораздо выше.

    сетевая библиотека    
Учитель станет программой.

Этот фазовый переход означает, что себестоимость образования перестанет подчиняться прежним экономическим формулам. И начнёт вести себя как себестоимость компьютерных программ: все издержки заложены в первом экземпляре, а дальнейшее тиражирование происходит почти даром. Это позволит манипулировать ценой услуги в очень широких пределах, в том числе, продавать образование бесплатно. И, конечно же, появится пиратское образование.

Дармовая тиражируемость – это чудо.

Точнее, оно считалось чудом, доступном лишь Богу (или коммунизму). До тех пор, пока не появилась компьютерная информация и компьютерные сети. И вот, ещё один нужный человечеству ресурс готовится перейти на режим бесплатного копирования. А вся структура образования, кадры, госструктуры, денежные потоки, идеологическая нагрузка – всё привязано к прежней модели – модели с ненулевой стоимостью экземпляра.

white

Про смайлики

Письменность – это конвертация устной речи для иного носителя (звук —> бумага) "с потерей качества". Пока выражение мыслей на бумаге являлось занятием элиты общества, потерю компенсировать не могли. Как только до создания текстов дорвался широкий народ, он изобрёл это простое, но действенное средство – смайлики (и хмурики). Правда, применять их толком не научился, ну да что вы хотите: этому же в школе не учат; как только станут учить, смайликовая грамотность наладится.

В некоторых языках смайликов нет. Удивительно, но факт. Это так называемые тоновые языки – китайский, тайский, лаосский, бирманский и др.

Для европейца тон служит для выражения эмоций (а также составления вопросительных предложений). Поэтому на письме эмоции приходится обозначать какими-то специальными символами или не обозначать никак. В юго-восточной Азии тон уже занят – он выражает значение слова. Поэтому для эмоций азиаты исторически применяли специальные слова (междометия). Каковые безболезненно перешли в письменность, а затем и в Интернет. Смайлики там оказались не нужны.

Наш "Крибрум" гордится тем, что проводит анализ тональности высказываний пользователей о том или ином отслеживаемом предмете. Видите, даже термин "тональность" тут означает не высоту звука, а эмоции, которые стоят за словами. Эмоции стали называть "тональностью", потому что в европейских языках они выражаются тоном. Азиаты этого не понимают. Для них нет никакой проблемы определить, написана фраза с восхищением, со злостью, ехидством или в качестве грубого приказа. Даже если её писал в Фейсбуке вчерашний крестьянин, не владеющий всеми этими писательскими приёмами.

white

Самоучки против профессионалов

"Антифрод", "антиспам", "антихак" и прочий антикриминал – популярные темы для научных конференций, печатных изданий и учебных курсов. А почему нету конференций для мошенников, спамеров, злохакеров, кардеров? Почему они не издают журналов и не проводят учебных курсов?

Очевидно, почему. Учебное или научное мероприятие – это коммерческое дело, и прибыльность его не так уж высока. Если местные власти заподозрят криминальный характер передаваемых знаний, они прикроют лавочку – какая уж тогда рентабельность. И конспирация – тоже слишком дорогая фича.

Потребность в новых знаниях и в обмене информацией у чёрных шляп даже выше, нежели у белых. А возможности для обучения – значительно ниже. Но они как-то выкручиваются. Собирают по крупицам свои опасные знания, добывают нелегальную информацию из легальной "руды", общаются на подпольных веб-форумах, подозревая всех окружающих в стукачестве. Идут в ученики, платя высоким риском для своей шкуры за повышение квалификации. И, разумеется, совершают забеги по граблям.

Даже для деятелей запрещённых политических партий бывают курсы и тренировочные лагеря школы на территории других стран. А вот злохакеру поехать поучиться некуда. И это при том, что спрос у них – вполне платёжеспособный, в отличие от всяких там блогеров.

Тем не менее, квалификация злохакеров не опускается ниже плинтуса. То и дело они ухитряются обыграть правоохранительные органы и частные СБ.

Делаем вывод. Не так уж значимы все эти курсы, факультеты, учебники, журналы и конференции. Набрать необходимые знания можно и без них. Исключительно автодидактическим методом. Следовательно, сертификаты и дипломы для информзащитников тоже не очень значимы.

white

Ты что закончил?

Во втором издании книги «Форензика – компьютерная криминалистика», которое сейчас готовится, ваш покорный слуга решил дополнить главу о криминалистической характеристике киберпреступления новым параграфом. Его черновик сегодня и предлагается к обсуждению.

Образование вероятного преступника


Знания в области ИТ в настоящее время приобретаются чаще самостоятельно, чем в учебных заведениях, чаще неформально, чем с дипломом.

Вот намеренно гиперболизированный пример. Предположим, мы установили, что совершившее преступление лицо обладало знаниями по медицине. Следователь, скорее всего, не особо задумываясь напишет в документах: "искать лицо с медицинским образованием". Потому что в данном случае знания и образование – почти одно и то же. Врачей-самоучек не видели с XVII века. Так что в ходе расследования будут проверять медицинские вузы.

И противоположный пример. Если о преступнице известно, что она вкусно готовит, версию о профессиональном поваре, выпускнице кулинарного техникума станут проверять в последнюю очередь.
Видение отроку

Компьютерные знания ближе ко второму случаю. Есть все условия для приобретения их самостоятельно. Учебных заведений пока немного. А к компьютеру сейчас допускают без специальной лицензии.

Не говоря уже о том, что специальность "защита информации" слишком молода – моложе многих своих кадров. Когда приблизительно в 1998-2000 годах появились первые курсы и кафедры по защите информации (информационной безопасности), не было ни одного аттестованного по этой специальности преподавателя. Кто же преподавал студентам эти курсы? Люди со знаниями, но без бумажки. Сейчас человека с бумажкой "ЗИ" найти несложно. Однако по квалификации такой аттестованный информзащитник, скорее всего, будет уступать неаттестованному из предыдущего поколения, которое ещё полностью в строю.

Кроме того, знания из области ИТ не очень чётко, но всё-таки разделяются на "оборонительные" и "наступательные". Вторые официально не преподают, но для совершения киберпреступлений они нужнее.

Перечисленные факторы приводят к тому, что об уровне компьютерных знаний вероятного преступника нельзя судить по его формальному образованию. Более надёжный критерий – занимаемые должности за последние годы. Но и это не даёт достаточной уверенности в уровне специальных знаний. Автодидакт (самоучка) в области ИТ ещё долго останется распространённым типом.

white

Цена и прочность

У нас в мае начнётся новый учебный год. И новая цифровая эпоха. Все первоклашки получат вместо букварей планшетник ScoPad 7'. И последующие поколения школьников отныне станут учиться на "цифре".

Тендер на поставку в школы 900 тысяч планшетных компьютеров выиграла китайская фирма "Scope", предложившая самую низкую цену: 81 доллар за штуку. То ли себестоимость у них такая, то ли надеются добрать потерянное на запчастях, софте и последующих продажах.

«ScoPad имеют сенсорный экран с диагональю 7 дюймов, жесткий диск емкостью 16 Гб, 512 Мб оперативной памяти, двухъядерный процессор с тактовой частотой 1 ГГц и операционную систему Android 3.2, совместимую с Android 4.0. Китайский производитель дает на свои планшетники гарантию два года.»
А ваш покорный слуга давно говорил, что обучать детей письму от руки – значит нерационально тратить время. Детские годы, пока мозг в режиме обучения – чрезвычайно ценный ресурс. В первую очередь следует учить тому, что чаще используется в жизни и лишь в оставшееся время – всяким общеполезным предметам типа латыни или чистописания.

На месте производителей софта я бы ещё сам приплатил за возможность поставить свою программу на школьный компьютер. Через несколько лет, когда выпускники пойдут работать, они будут выбирать софт соответствующей марки, не задумываясь. И за себя лично, и за своего работодателя.

white

Астральная сертификация

Было дело, ваш покорный слуга дружелюбно покритиковал юридическую наивность аутсорсинговой бухгалтерии "Моё дело". Дескать, сервер у них в Германии, следовательно, данные никто не достанет.

ЗАО "Калуга Астрал" лиц.0442 от 09.02.2006 КИ-0027-001328. В реестре лицензиатов на сайте ФСТЭК действительно значится лицензия на ТЗКИ под № 442, выданная этому ЗАО.

Ныне показали мне ещё один прикол с их сайта. Это так называемый "аттестат соответствия". Официально подтверждает, что чего-то там в натуре соответствует чему надо, зуб даю. Чему же?
«...соответствует требованиям нормативной и методической документации по безопасности информации.»
Соответствие чему подтверждает этот документ? Какой именно документации? Как можно с ней ознакомиться?

Нетрудно догадаться, что под этой "документацией" подразумеваются не ГОСТы, не ФЗ-152, не ПП-330 и не многообразные ведомственные «положения о». Удовлетворить им при хранении бухгалтерии за границей с моделью угроз «маски-шоу в офисе» просто невозможно. Скорее всего, это некая внутренняя бумага за подписью гендиректора, озаглавленная "Документация".

Мне интересно другое. Знатоки тонкостей лицензирования, просветите пожалуйста. Имеет ли право лицензиат ФСТЭК (по ТЗКИ) удостоверять соответствие левым требованиям? И ссылаться при этом на полномочия от ФСТЭКа.

white

Мёртвый язык

Когда ваш покорный слуга пошёл в школу, в то время параллельно существовали чернильные и шариковые ручки. Хотя вторые были однозначно удобнее и дешевле (и никто этого не оспаривал), но первые продолжали выпускать. Не только для любителей исторической реконструкции. Отчего-то считалось, что хороший и правильный почерк может выработаться только перьевой ручкой. Первый год или два мы писали чернилами. Только когда учитель решал, что почерк у ученика выработался, он разрешал перейти на шариковую.

Прошло немного лет – и уже стоит вопрос о почерке вообще. Нужно ли человеку писать рукой? Имеет ли смысл учить детей этому навыку, который вскоре окажется на свалке истории? Это ж мёртвый язык, фактически. Изучить латынь и греческий, конечно, было бы полезно для общего развития. Если нет более насущных знаний. Ваш покорный слуга с 16 лет не написал от руки ни одного текста для кого-либо кроме себя. А после 22 лет – вообще ни одного.

Найти бы сейчас того старого пня, того онтологического динозавра, который убедил всех, что "правильно" писать можно только чернилами. Наверное, он уже давно в аду, переписывает гусиным пером дампы всех упавших Х-серверов.

Школа должна давать навыки, полезные в будущем. Что именно будет востребовано через 10-12 лет, точно не известно. Но хотя бы на сегодняшний день ориентироваться можно? Сколько процентов текста средний человек набирает на клавиатуре, а сколько пишет от руки? Ну и какой из почерков сейчас важнее – рукописный или клавиатурный?

Всем известно, что генералы всегда готовятся к прошлой войне. У них есть уважительная причина: пока новая война не началась, трудно предсказать её характер. Но почему учителя готовят к прошлой жизни, хотя настоящая – вот она, перед глазами?

Может, и наш брат не без греха? Может быть, мы тоже защищаем от вчерашних утечек?

white

Ссылка-ябедник

Большинство пользователей знают, что такое гиперссылка, но не понимают, что такое URL. Это обстоятельство позволяет существовать таким утечкам – утечкам информации через ссылки.

Две ссылки, указывающие в одно и то же место, могут по своей конструкции сильно отличаться. И нести информацию, выдающую происхождение и историю получения такой ссылки.

httр://www.google.de/url ? q=httр://infowatch.livejournal.com/203849.html & sa=U & ei=pQbTcRK4ivrAejbXzCw & ved=0CA0FjAA & usg=AFQjCNE4ovVs_v7vRRO5Czd7oXPFY9ufNA

Всякие параметры и другие элементы длинного URL несут в себе массу сведений о пользователе, его софте, местоположении и обстоятельствах получения ссылки.
Возьмём простейший пример – ссылку из гуглопоиска. Среди параметров в ней указывается тип браузера, язык. А по домену верхнего уровня можно определить, каким из региональных гуглов человек пользовался, то есть из какой страны был его IP-адрес.

Когда-то давно в URL-ах можно было найти и пароли, и нестареющие идентификаторы сессий, но от такого откровенного безобразия давно избавились. Однако радикальная чистка ссылок ещё не началась.

Инструктируя пользователей об основах ИБ, надо их предупредить о следующем. Передавая кому-либо ссылку из адресной строки своего браузера, можно ненароком засветить собственные персональные данные. Перед отправкой ссылки следовало бы просмотреть её глазами и вычистить оттуда руками подозрительные параметры.

Ну, и не забыть ещё рассказать, что та же адресная строка браузера легко попадает в посторонние руки через поле referer.

white

Немцы

Одни методики изучения иностранного языка концентрируются на устном общении. Другие включают в себя также изучение письма и чтения. Существует даже экстремальный подход: письменность вообще не изучается, учат лишь говорить и слушать. Методисты утверждают, что при этом экономится масса усилий и времени, поскольку не надо запоминать чужой алфавит и правила написания, порой довольно нетривиальные.

Однако ваш покорный слуга ещё не встречал методики, при которой студент изучает лишь письменную речь, но пренебрегает устной. Такое возможно разве что для чатовых роботов.

Однако реалии XXI века тянут нас именно в эту сторону – в сторону букв. Какое действие придётся нам выполнять чаще в чужой стране: торговаться на сельском базаре или заказывать товар в интернет-магазине? Спрашивать дорогу или смотреть указатели? Заказывать еду по меню или устно? Приезжать на переговоры лично или обмениваться емейлами? Слушать местного менестреля или читать местную литературу? Разговаривать с ростовщиком или шариться в меню банкомата? Давать клятву на Коране или подписывать протокол?

Не говоря уже о медленном, но неуклонном перемещении социально-экономической активности людей в Интернет. Во всех странах. А там – устная речь не нужна вовсе.

Это не иероглифы
В корейском языке (хангыль) 51 буква, не считая устаревших. Это именно буквенное (фонематическое) письмо, а не иероглифическое.


Ваш покорный слуга большую часть времени проводит в иноязычной среде и по собственному опыту берётся утверждать: в его работе и жизни доля устной речи постоянно сокращается. И явно стремится к статусу необязательной.

А традиционный инъяз этой тенденции не хочет видеть. Учит по-старинке. А ведь объём человеческой памяти не увеличивается по закону Мура. Она за исторические времена не выросла ни на байт. Экономить бы этот ресурс надо. Вместо одного "полного" иностранного языка можно было бы изучить 2 в режиме "read-write-only".

К чему это я вспомнил? У систем защиты от утечек наблюдаются большие проблемы с распознаванием устной речи, в то время как с текстом и графикой всё давно на мази.