Category: образование

Category was added automatically. Read all entries about "образование".

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Автодидакты наступают

Самообразование во все века было возможно: читай книжки, сам ищи информацию, сам проверяй свои знания. Но этим путём шли считанные единицы. Подавляющее большинство получает знания при помощи преподавателей, в интерактивном режиме. Это означает, что затраты на обучение чуть менее чем пропорциональны количеству учеников. И так было всегда – со времён Аристотеля до наших дней.
Видение отроку

А теперь начинает меняться.

Книжки заменяются на электронные учебные пособия, лекции – на видеоуроки, посещаемость – на средства дистанционного обучения. А необходимую интерактивность, которую до сих пор мог обеспечить только учитель, дадут программы.

Технологии уже созрели.

Поисковые системы достаточно хорошо разбирают неграмотные, косноязычные, сумбурные вопросы пользователя, который порою сам не очень представляет, чего ему надо. Если же тематика заранее известна и узка, то качество анализа запроса будет на порядок выше. Программы типа нашего "Крибрума" уже достаточно хорошо понимают, что человек хотел сказать в соцсети, какой предмет упомянул и в какой тональности. Это же касается распознавания речи; по узкой тематике текущего курса качество распознавания будет гораздо выше.

    сетевая библиотека    
Учитель станет программой.

Этот фазовый переход означает, что себестоимость образования перестанет подчиняться прежним экономическим формулам. И начнёт вести себя как себестоимость компьютерных программ: все издержки заложены в первом экземпляре, а дальнейшее тиражирование происходит почти даром. Это позволит манипулировать ценой услуги в очень широких пределах, в том числе, продавать образование бесплатно. И, конечно же, появится пиратское образование.

Дармовая тиражируемость – это чудо.

Точнее, оно считалось чудом, доступном лишь Богу (или коммунизму). До тех пор, пока не появилась компьютерная информация и компьютерные сети. И вот, ещё один нужный человечеству ресурс готовится перейти на режим бесплатного копирования. А вся структура образования, кадры, госструктуры, денежные потоки, идеологическая нагрузка – всё привязано к прежней модели – модели с ненулевой стоимостью экземпляра.

white

Про смайлики

Письменность – это конвертация устной речи для иного носителя (звук —> бумага) "с потерей качества". Пока выражение мыслей на бумаге являлось занятием элиты общества, потерю компенсировать не могли. Как только до создания текстов дорвался широкий народ, он изобрёл это простое, но действенное средство – смайлики (и хмурики). Правда, применять их толком не научился, ну да что вы хотите: этому же в школе не учат; как только станут учить, смайликовая грамотность наладится.

В некоторых языках смайликов нет. Удивительно, но факт. Это так называемые тоновые языки – китайский, тайский, лаосский, бирманский и др.

Для европейца тон служит для выражения эмоций (а также составления вопросительных предложений). Поэтому на письме эмоции приходится обозначать какими-то специальными символами или не обозначать никак. В юго-восточной Азии тон уже занят – он выражает значение слова. Поэтому для эмоций азиаты исторически применяли специальные слова (междометия). Каковые безболезненно перешли в письменность, а затем и в Интернет. Смайлики там оказались не нужны.

Наш "Крибрум" гордится тем, что проводит анализ тональности высказываний пользователей о том или ином отслеживаемом предмете. Видите, даже термин "тональность" тут означает не высоту звука, а эмоции, которые стоят за словами. Эмоции стали называть "тональностью", потому что в европейских языках они выражаются тоном. Азиаты этого не понимают. Для них нет никакой проблемы определить, написана фраза с восхищением, со злостью, ехидством или в качестве грубого приказа. Даже если её писал в Фейсбуке вчерашний крестьянин, не владеющий всеми этими писательскими приёмами.

white

Цена ручного контроля

Принтеры вот уж который год являются ведущим каналом утечек информации.

Distribution
Распределение утечек по носителям за последний год (18.3.12-17.3.13). Доля бумажных носителей традиционно очень высокая. Источник – Infowatch.

Проблема в том, что как только листок покидает лоток принтера, автоматизированный контроль за информацией становится невозможен. А ручной контроль обходится дорого – его стоимость пропорциональна количеству экземпляров. Стоимость учёта и контроля автоматизированного (т.е. DLP) от числа экземпляров, документов и видов информации зависит слабо. Поэтому DLP тем выгодней, чем больше информационный поток. На больших потоках и в крупных организациях ручной учёт конфиденциальных документов становится неподъёмно дорог.

Поэтому именно в крупных организациях начнётся отказ от принтеров вообще. Количество информации (в т.ч. конфиденциальной) растёт по экспоненте. Автоматизированная борьба с утечками этот рост переваривает, а ручная – нет. Единственный выход – полный отказ от бумажных документов, содержащих хоть что-то непубличное.

Совсем без бумаг работать будет трудно и неудобно. Однако "неудобно" в большинстве случаев переводится как "непривычно". После выработки привычки становится очень даже удобно. Проблема в том, что это привычка, выработанная годами. А старого соловья новым басням не выучишь.

Поэтому если мы хотим уменьшить белый сектор на диаграмме, начинать надо со школы и с семьи. В учебных заведениях принтеры запретить, а на домашние ввести акциз. Или как в старые добрые советские времена – велеть регистрировать печатающие устройства в Соответствующих Органах. Это будет почти эквивалентно запрету.

white

Самоучки против профессионалов

"Антифрод", "антиспам", "антихак" и прочий антикриминал – популярные темы для научных конференций, печатных изданий и учебных курсов. А почему нету конференций для мошенников, спамеров, злохакеров, кардеров? Почему они не издают журналов и не проводят учебных курсов?

Очевидно, почему. Учебное или научное мероприятие – это коммерческое дело, и прибыльность его не так уж высока. Если местные власти заподозрят криминальный характер передаваемых знаний, они прикроют лавочку – какая уж тогда рентабельность. И конспирация – тоже слишком дорогая фича.

Потребность в новых знаниях и в обмене информацией у чёрных шляп даже выше, нежели у белых. А возможности для обучения – значительно ниже. Но они как-то выкручиваются. Собирают по крупицам свои опасные знания, добывают нелегальную информацию из легальной "руды", общаются на подпольных веб-форумах, подозревая всех окружающих в стукачестве. Идут в ученики, платя высоким риском для своей шкуры за повышение квалификации. И, разумеется, совершают забеги по граблям.

Даже для деятелей запрещённых политических партий бывают курсы и тренировочные лагеря школы на территории других стран. А вот злохакеру поехать поучиться некуда. И это при том, что спрос у них – вполне платёжеспособный, в отличие от всяких там блогеров.

Тем не менее, квалификация злохакеров не опускается ниже плинтуса. То и дело они ухитряются обыграть правоохранительные органы и частные СБ.

Делаем вывод. Не так уж значимы все эти курсы, факультеты, учебники, журналы и конференции. Набрать необходимые знания можно и без них. Исключительно автодидактическим методом. Следовательно, сертификаты и дипломы для информзащитников тоже не очень значимы.

white

Открытость и вред

Во всех российских школах в этом году вводят добровольное тестирование на наркотики и алкоголь.
«Дети опасаются, что при отказе сдачи анализов к ним автоматически будет предвзятое отношение – если отказался, значит, есть что скрывать. И в случае если действительно результат окажется положительным, какие меры будут предприняты дальше, не понимают учащиеся.»
Добровольное плавно переходит в обязательное.
«В Правительство РФ внесен законопроект, вводящий для школьников и студентов тестирование на наркотики. Согласно законопроекту раннее выявление немедицинского потребления наркотических средств и психотропных веществ включает в себя:
- социально-психологическое тестирование обучающихся;
- проведение профилактических медицинских осмотров обучающихся.»


— Сегодня в школе была проверка на девственность. Оказывается, в нашем классе всего одна девственница!
— Это ты, моя доченька?
— Нет, это наша учительница.
На примере персональных данных мы видим, что такое "добровольно". Согласие на обработку ПД субъект тоже должен давать "свободно, своей волей и в своем интересе". Однако попробуй-ка не подпиши полное согласие! Сразу лишишься возможности покупать и продавать и прочих гражданских прав заодно.

На примере персональных данных мы видим, что такое "конфиденциально". За нарушение предписанного порядка защиты штрафуют, но порядка всё равно нету. Базы данных с ПД граждан продаются по удельной цене 0,05 копейки за одну запись и доступны в Интернете.

Есть основания полагать, что с результатами анализов на наркотики будет иначе?

Правильно. Поэтому надо готовиться. Заранее как-то приспосабливаться к тому, что всё личное станет прозрачным и открытым. Мораль и стыд неизбежно изменятся. Постыдное станет заурядным. Аморальное – обычным. Чувствительное – безразличным.

Тогда и переоценим риски персональных данных. Кто переоценит раньше, тот получит премущество.

white

Ты что закончил?

Во втором издании книги «Форензика – компьютерная криминалистика», которое сейчас готовится, ваш покорный слуга решил дополнить главу о криминалистической характеристике киберпреступления новым параграфом. Его черновик сегодня и предлагается к обсуждению.

Образование вероятного преступника


Знания в области ИТ в настоящее время приобретаются чаще самостоятельно, чем в учебных заведениях, чаще неформально, чем с дипломом.

Вот намеренно гиперболизированный пример. Предположим, мы установили, что совершившее преступление лицо обладало знаниями по медицине. Следователь, скорее всего, не особо задумываясь напишет в документах: "искать лицо с медицинским образованием". Потому что в данном случае знания и образование – почти одно и то же. Врачей-самоучек не видели с XVII века. Так что в ходе расследования будут проверять медицинские вузы.

И противоположный пример. Если о преступнице известно, что она вкусно готовит, версию о профессиональном поваре, выпускнице кулинарного техникума станут проверять в последнюю очередь.
Видение отроку

Компьютерные знания ближе ко второму случаю. Есть все условия для приобретения их самостоятельно. Учебных заведений пока немного. А к компьютеру сейчас допускают без специальной лицензии.

Не говоря уже о том, что специальность "защита информации" слишком молода – моложе многих своих кадров. Когда приблизительно в 1998-2000 годах появились первые курсы и кафедры по защите информации (информационной безопасности), не было ни одного аттестованного по этой специальности преподавателя. Кто же преподавал студентам эти курсы? Люди со знаниями, но без бумажки. Сейчас человека с бумажкой "ЗИ" найти несложно. Однако по квалификации такой аттестованный информзащитник, скорее всего, будет уступать неаттестованному из предыдущего поколения, которое ещё полностью в строю.

Кроме того, знания из области ИТ не очень чётко, но всё-таки разделяются на "оборонительные" и "наступательные". Вторые официально не преподают, но для совершения киберпреступлений они нужнее.

Перечисленные факторы приводят к тому, что об уровне компьютерных знаний вероятного преступника нельзя судить по его формальному образованию. Более надёжный критерий – занимаемые должности за последние годы. Но и это не даёт достаточной уверенности в уровне специальных знаний. Автодидакт (самоучка) в области ИТ ещё долго останется распространённым типом.

white

Учебная утечка

Ашманов рассказывал историю про оригинальную утечку. На протяжении времени 7-8 работников компании учились в одной бизнес-школе, повышали там свою квалификацию, получали МБА или какую-то другую полезную бумажку. Как заведено, в конце обучения все слушатели писали и защищали дипломную работу. Разумеется на том материале, который знали – на бизнесе своей фирмы.

Уже догадались? Ну да. Преподаватель бизнес-школы, вступил в сговор с действующим работником компании. Они использовали совокупность дипломных работ как инсайдерскую информацию. С одного диплома злоумышленники, может, и не получили бы ничего особо ценного. Но сразу несколько работ – дали им полную картину. Со всеми связями, отношениями, процессами, процедурами, ключевыми людьми и суммами. На этих данных заговорщики учинили рейдерский захват, переманили ключевых людей, клиентов и практически отняли бизнес.

И сейчас никому не приходит в голову наложить гриф на дипломные работы и рефераты. Точнее, приходит, но в совершенно иных целях.

Один мой университетский знакомый выбился в большие начальники и даже стал политиком "федерального уровня". Он везде хвастается, что закончил МГУ и кандидат исторических наук. Однако никому не говорит, на какой кафедре учился. И диссертация изъята отовсюду, куда дотянулись руки его кураторов. Потому что позорно для демократа государственника модернизатора учиться и работать на Кафедре истории КПСС и защищаться про "роль ВКП(б) в повышении удоев с гектара в эпоху коллективизации". Так что политический компромат изъяли.

А вот коммерческая тайна в вузовских архивах ещё лежит.

white

Цена и прочность

У нас в мае начнётся новый учебный год. И новая цифровая эпоха. Все первоклашки получат вместо букварей планшетник ScoPad 7'. И последующие поколения школьников отныне станут учиться на "цифре".

Тендер на поставку в школы 900 тысяч планшетных компьютеров выиграла китайская фирма "Scope", предложившая самую низкую цену: 81 доллар за штуку. То ли себестоимость у них такая, то ли надеются добрать потерянное на запчастях, софте и последующих продажах.

«ScoPad имеют сенсорный экран с диагональю 7 дюймов, жесткий диск емкостью 16 Гб, 512 Мб оперативной памяти, двухъядерный процессор с тактовой частотой 1 ГГц и операционную систему Android 3.2, совместимую с Android 4.0. Китайский производитель дает на свои планшетники гарантию два года.»
А ваш покорный слуга давно говорил, что обучать детей письму от руки – значит нерационально тратить время. Детские годы, пока мозг в режиме обучения – чрезвычайно ценный ресурс. В первую очередь следует учить тому, что чаще используется в жизни и лишь в оставшееся время – всяким общеполезным предметам типа латыни или чистописания.

На месте производителей софта я бы ещё сам приплатил за возможность поставить свою программу на школьный компьютер. Через несколько лет, когда выпускники пойдут работать, они будут выбирать софт соответствующей марки, не задумываясь. И за себя лично, и за своего работодателя.

white

Астральная сертификация

Было дело, ваш покорный слуга дружелюбно покритиковал юридическую наивность аутсорсинговой бухгалтерии "Моё дело". Дескать, сервер у них в Германии, следовательно, данные никто не достанет.

ЗАО "Калуга Астрал" лиц.0442 от 09.02.2006 КИ-0027-001328. В реестре лицензиатов на сайте ФСТЭК действительно значится лицензия на ТЗКИ под № 442, выданная этому ЗАО.

Ныне показали мне ещё один прикол с их сайта. Это так называемый "аттестат соответствия". Официально подтверждает, что чего-то там в натуре соответствует чему надо, зуб даю. Чему же?
«...соответствует требованиям нормативной и методической документации по безопасности информации.»
Соответствие чему подтверждает этот документ? Какой именно документации? Как можно с ней ознакомиться?

Нетрудно догадаться, что под этой "документацией" подразумеваются не ГОСТы, не ФЗ-152, не ПП-330 и не многообразные ведомственные «положения о». Удовлетворить им при хранении бухгалтерии за границей с моделью угроз «маски-шоу в офисе» просто невозможно. Скорее всего, это некая внутренняя бумага за подписью гендиректора, озаглавленная "Документация".

Мне интересно другое. Знатоки тонкостей лицензирования, просветите пожалуйста. Имеет ли право лицензиат ФСТЭК (по ТЗКИ) удостоверять соответствие левым требованиям? И ссылаться при этом на полномочия от ФСТЭКа.