Category: фантастика

Category was added automatically. Read all entries about "фантастика".

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Конец истории

Все государства в бешеном темпе внедряют биометрическую идентификацию. Возможно, со стороны это внедрение кажется неспешным. Но масштабная государственная логистика очень инерционна: разработать, заказать, поставить, обучить, настроить; и каждое из перечисленных действий приходится умножать на 104—105. С учётом этого сроки 5-7 лет – чрезвычайно быстро.
       

Почему эта идея овладела массами? Не только потому, что созрели технические условия – приборы для снятия информации с живого человека стали относительно надёжны и не очень дороги.

Дело в том, что традиционные (бумажные и пластиковые) удостоверяющие документы морально устарели.

Криминалисты утверждают, что ныне в числе миллиардов находящихся в обращении паспортов (и приравненных к ним документов) фиктивными является существенная часть – до 1 на каждые 100 000. А самое интересное в том, что из этих фиктивных примерно 75% выданы спецслужбами страны происхождения в порядке документов прикрытия. И лишь 25% – криминальные подделки.

Биометрия при грамотном применении может практически искоренить то и другое. Приложив старания, можно добиться, что человек, въехавший в любую страну под именем Иванов, уже никогда в жизни не въедет в любую другую под именем Рабинович. И не только лишится возможности въехать, но заодно не сможет воспользоваться услугами банков, авиакомпаний, поступить на службу и... (подробности см. в кн.Апокалипсис гл.13, ст.16-17). Профессия нелегального разведчика умрёт вместе с профессиями наркокурьера и киллера. Кто от этого выиграет? Конечно же, техническая разведка.

white

Дешевизна анонимизирует

Спорят тут об атаках на ряд ресурсов оружейной тематики. Выдвигают много версий, называют много потенциальных заказчиков, рассуждают "куи продест". Говорят, что эти взломы стоят-де огромных сумм.
Доллар дорогой и дешёвый

А реальность в том, что такая атака обходится нападающему относительно дёшево.

Если бы за организацию атаки взялся ваш покорный слуга, он бы потратил 100500 денег на анонимизацию и посредников. Потому что боится. Потому что собственную свободу (которая у него одна) ценит выше денег (которых и без того хватает). Но если задействовать людей, которые не боятся уголовной ответственности, то операция сразу дешевеет на порядок. А с применением административного ресурса – ещё на порядок.

Вместо того, чтобы покупать уязвимость 0-day, писать уникальную малварь, подбрасывать её администраторам ресурса, можно поступить проще и грубее. Есть СОРМ и иные способы перехвата трафика. Есть возможность изъять технику, носители, документы и телефоны у причастных людей. Можно задействовать агентуру – всегда найдётся человечек вблизи владельца ресурса или его администратора. Есть, наконец, возможность подкупить, запугать или обмануть кого-то из инсайдеров. Пользуясь инсайдерской информацией, имея содействие "изнутри", зная все пароли – взлом сайта осуществляется легко и дёшево.

Когда стоимость взлома резко снижена, круг возможных заказчиков-исполнителей резко расширяется. Вплоть до отдельных частных лиц.

white

Конкурсы на поиск уязвимостей

Конкурс – не новая, но набирающая популярность форма подтверждения устойчивости ко взлому программ, информационных систем и конфигураций. Она является альтернативой процедуре сертификации в профессиональной лаборатории. По сравнению с последней пентест-конкурс имеет такие преимущества:
  1. число тестировщиков больше, оно может достигать огромных величин;
  2. специализация тестировщиков шире;
  3. заказчик платит только за результат, если уязвимостей не найдено, платить не придётся;
  4. можно точнее оценить риски, например, если систему не взломали при размере премии 100 тыс. рублей, то в ней можно смело хранить ценности на эту сумму, зная, что злохакеры даже пытаться не будут.

Недостатки конкурса по сравнению с профессиональной сертификацией:
  1. для привлечения большого числа желающих потестировать требуется хорошая реклама;
  2. вряд ли удастся сохранить в тайне исходники, если только они использовались при тестировании;
  3. для сильнодырявых систем можно заплатить больше премий, чем было запланировано;
  4. сроки тестирования немного длиннее, чем в лаборатории.

Обратите внимание на первый недостаток. Нужна реклама, чтоб набежало достаточно много достаточно разносторонних доброхакеров. Величиной премий тут не компенсировать. О проводимом тестировании должны в короткие сроки узнать сотни компетентных людей, которые обычно уже чем-то заняты и не проводят дни в поисках подработки.

Отсюда с неизбежностью вытекает, что тестирование следует объявлять не каждому производителю отдельно, а через посредника-агрегатора. В одном месте следует сосредоточить все объявляемые конкурсы, именно это место рекламировать, именно туда завлекать знающих людей, а там уже предлагать несколько объектов для поиска уязвимостей. Производителям же следует нести свои продукты на тестирование в этот единый центр.

Кто может и кто готов стать таким центром? Есть предложения?

white

Приватность отступает

Извиняюсь у почтеннейшей публики за вчерашний троллинг. Не думал я, что эта тема – тоже холиварная. Стала.

Но раз уж стольких людей волнует вопрос приватности, расскажу вам историю, которая краешком была помянута в одном из комментариев.
камеры наблюдения

В 2004 году открылся первый в мире бесплатный публичный дом. Он оказался возможным благодаря двум современным тенденциям – краудсорсингу и подавлению инстинкта чувства приватности человека. Клиенты получали там услугу бесплатно, в обмен на согласие использовать видеоизображение их действа.

Можно было бы сказать, что ставка сделана на узкую группу извращенцев с отклонениями в психике. Однако долгое существование заведения, стабильность его доходов и возникновение аналогов говорят нам, что дело идёт не о случайных отклонениях от нормы, а о тенденции. Приватность в постиндустриальную эпоху явно слабеет и позволяет себя подавить как психологически, так и юридически.

Если тенденция продолжится (в чём у вашего покорного слуги нет сомнений), нас ждут новые смещения балансов. В частности, может поменяться соотношение между тайной частной жизни и защитой от утечек. По мере роста цивилизованности (т.е. падения примативности) всё большая доля работников будет склонна жертвовать своим правом на приватность ради защиты от утечек. В первую очередь это должно проявиться среди высокообразованных.

white

Двойная запись

Некоторые недальновидные граждане тут полагают, что можно оседлать прущую интернет-экономику, поставив под контроль только её финансовые потоки. Дескать, банки, переводы, платёжные системы взять – и тогда все эти е-бизнесы у нас в кулаке. Захотим – узнаем, кто что продавал. Захотим – налогом обложим. Захотим – вообще кран перекроем.

Но к этому давно придумано противоядие. Бартер! Вспомните, как уклонялись от налогов и прочего госрегулирования в 1990-е. Бартер, чёрный нал и зачёты.

Если государства задумают ухватить интернет-торговлю только одной рукой (финансовой), то она вывернется. Вместо денег и квази-денег пойдут в ход совсем уж неконтролируемые типа-деньги, а также взаимозачёты. В своё время, при Дедушке ушлые ребята на Руси строили длиннейшие цепочки зачётов без единого живого рубля.

Чтоб держать коммерсантов в узде, всегда нужны были две руки. Одна проверяла финансы, другая – процесс производства. Так действуют все государства, так ведут себя холдинги в отношении "дочек", так поступают даже рэкетиры.

Например, сетевая торговля под контролем сладкой парочки "Ибэй"–"Пeйпал" расцвела пышным цветом: процент мошенничеств у них не только ниже любой другой интернет-площадки, но даже ниже, чем в офлайне. Потому что для любой транзакции можно проверить соответствующую ей торговую операцию. Вот только ещё какую-нибудь всемирную службу доставки прикупят – и получится полный комплект Большого Брата. К вящему удовольствию всех честных торговцев.

На этом фоне попытки российских властей построить в две шеренги отечественные платёжные системы выглядят первыми шагами младенца. А время-то стремительно утекает.

white

Светлое будущее всего человечества

Рабский труд неэффективен? Это как сказать. Если приобретение и содержание рабов обходится дёшево – то очень даже эффективен. Весь Новый свет на этом поднялся. А дешевизна рабов эквивалентна дороговизне свободных работников. Чем больше работникам (и за них) приходится платить, тем привлекательнее выглядит рабство.

Рабство отвратительно, не правда ли?

Последние десятилетия стоимость рабочей силы всё растёт. Уже даже безотказные китайцы вспомнили о 40-часовой неделе и профсоюзах. А также додумались до 11 праздников в году, оплачиваемых, разумеется. И ещё какая-то белая сволочь рассказала им про больничные и отпуска по беременности. Короче, халява в ЮВА заканчивается.

Зато роботы дешевеют и социальных гарантий не требуют. А по сообразительности они стремительно приближаются к неграм людям.

С расширением эксплуатации автоматической рабочей силы современная экономика качественно приближается к экономике рабовладельческого строя. И должны вылезти все "родимые пятна" и имманентные недостатки рабовладения (неполное использование сил и возможностей, экстенсивность развития, недостаток и даже запрет на образование, опасность восстаний, разлагающее влияние на семью, позорность труда и т.д.). А там – и до технофеодализма недалеко, т.е. до предоставления машинам/программам собственности и отдельных гражданских прав.

white

Дорога в прогресс

Возвращаясь к давешнему разговору про скрытые камеры и микрофоны...

СТС НПИ – «специальные технические средства, предназначенные для негласного получения информации», их оборот ограничен, приобретение без лицензии наказуемо уголовно. По большому счёту, законодатель отделил легальную технику от нелегальной одним прилагательным «негласный». Толковать этот критерий должны эксперты, а выбирать экспертов – следователи.

Мобильные телефоны и смартфоны с камерами легко попадают под критерий "негласности", особенно, с учётом постановление Правительства №526 от 15.07.02. Чтоб вывести их оттуда (не сажать же 100% населения), правоохранительные органы применили занятную формулу: дескать, телефон со встроенной камерой не является средством негласной съёмки, поскольку наличие камер в мобильном телефоне общеизвестно.

На первый взгляд, логично. Все знают, что в телефонах камеры – съёмка гласная. Мало кто догадается, что в авторучке камера – съёмка негласная. Но на самом деле этот критерий "общеизвестности" очень плох. Он хорош в статике, но в динамике...


Человек на улице в маске – вполне обычное явление сейчас. А ещё года 3-4 назад такого задерживал каждый милицейский патруль. (Говорят, в провинции до сих пор...)
Про камеру в телефоне все знают. Про камеру в автомобиле знают многие. Про камеру, встроенную в очки пока слышали только отдельные профессионалы. Прежде чем камера в том или ином устройстве станет широкораспространённой (следовательно, легальной) она должна пройти этап распространения. Для начала какой-нибудь стартап выпустит первую модель очков со встроенной видеокамерой, микрофоном и "горячей" кнопкой заливки на Ютуб. Потом выйдет китайская копия, потом вторая модель, потом подключатся новые производители. Устройство станет популярным сначала среди гиков, потом среди молодёжи, затем просто популярным. Сначала в развитых странах, потом в развивающихся. А лет через 6-7 у каждого третьего прохожего будут на носу очки а-ля дон Румата Эсторский, а через Гугл-мэпс всякий желающий сможет выбрать на карте доступные в данный момент мобильные источники видео, подключиться к любому из них и посмотреть живую трансляцию "из глаз".

Что же у нас получается? Выходит, что "негласное" получение информации превращается в "гласное" постепенно – по мере популяризации бытовых устройств. Соответствующее устройство, чтобы стать легальным, неизбежно должно пройти этап нелегальности. Нелогичный критерий получается, вы не находите?

white

Немцы

Одни методики изучения иностранного языка концентрируются на устном общении. Другие включают в себя также изучение письма и чтения. Существует даже экстремальный подход: письменность вообще не изучается, учат лишь говорить и слушать. Методисты утверждают, что при этом экономится масса усилий и времени, поскольку не надо запоминать чужой алфавит и правила написания, порой довольно нетривиальные.

Однако ваш покорный слуга ещё не встречал методики, при которой студент изучает лишь письменную речь, но пренебрегает устной. Такое возможно разве что для чатовых роботов.

Однако реалии XXI века тянут нас именно в эту сторону – в сторону букв. Какое действие придётся нам выполнять чаще в чужой стране: торговаться на сельском базаре или заказывать товар в интернет-магазине? Спрашивать дорогу или смотреть указатели? Заказывать еду по меню или устно? Приезжать на переговоры лично или обмениваться емейлами? Слушать местного менестреля или читать местную литературу? Разговаривать с ростовщиком или шариться в меню банкомата? Давать клятву на Коране или подписывать протокол?

Не говоря уже о медленном, но неуклонном перемещении социально-экономической активности людей в Интернет. Во всех странах. А там – устная речь не нужна вовсе.

Это не иероглифы
В корейском языке (хангыль) 51 буква, не считая устаревших. Это именно буквенное (фонематическое) письмо, а не иероглифическое.


Ваш покорный слуга большую часть времени проводит в иноязычной среде и по собственному опыту берётся утверждать: в его работе и жизни доля устной речи постоянно сокращается. И явно стремится к статусу необязательной.

А традиционный инъяз этой тенденции не хочет видеть. Учит по-старинке. А ведь объём человеческой памяти не увеличивается по закону Мура. Она за исторические времена не выросла ни на байт. Экономить бы этот ресурс надо. Вместо одного "полного" иностранного языка можно было бы изучить 2 в режиме "read-write-only".

К чему это я вспомнил? У систем защиты от утечек наблюдаются большие проблемы с распознаванием устной речи, в то время как с текстом и графикой всё давно на мази.

white

Ты куда смотришь?!

Продвинутые модели полиграфов ("детекторов лжи") фиксируют наряду с прочими такой показатель, как движение зрачков испытуемого. Например, как давно известно, движение глазами вверх-влево непосредственно перед ответом на вопрос означает, что человек вспоминает то, что было. Аналогичное движение вверх-вправо значит, что человек выдумывает то, чего не было.

Запатентованы, разработаны, но пока не продаются устройства, позволяющие фиксировать взгляды прохожих на наружную рекламу. Своеобразный "счётчик посещений" для офлайна.

Компьютерные интерфейсы, где управление происходит движением зрачков пользователей уже существуют. Они серийно выпускаются и внедрены лишь для некоторой военной техники. На гражданке – проходят стадии экспериментальных моделей.

В то же время, направление взгляда человека вполне неплохо фиксируется и безо всяких навороченных технических средств. И не только фиксируется. С недавних пор "сексуальный взгляд" ("excessive eye contact") может иметь существенные правовые последствия. Страшно подумать, что будет, когда фокусирование взгляда на предмете можно будет запротоколировать.

На наш взгляд, назрела необходимость ставить "зрачковый" модуль на DLP-систему (пока "на"). Наличие возможности управлять компьютером при помощи взгляда будет для работников вполне достаточной платой за отслеживание их зрительной активности. А информация о частоте и продолжительности взглядов на те или иные элементы GUI, слова и картинки скажет о пользователе ой-ёй-ёй сколько интересного.