На Amazon открыт предзаказ на мою книгу "Рестарт" |
|
Метки: sugralinov level up сугралинов |
Def Con Kazakhstan 2017 |
В годы работы над веб-проектами, порталами и мобильными приложениями, в том числе и для государственных учреждений, я часто сталкивался с несовершенством работы предыдущих исполнителей. И если вопросы юзабилити, дизайна и логичности структуры проекта — очень важны, но не критичны, то вопросы уязвимостей, например, онлайн-банкинга или любой из государственных баз данных с услугами онлайн, порталов министерств — это всегда остро и чревато. Мы в kaznetmedia силами отдела информбезопасности всегда проверяли свои проекты на это, так сказать, взламывали собственные проекты, чтобы устранить дыры ДО того, как проект выйдет на публику.
Не секрет, что в наших госорганах при создании веб-проектов руководствуются бумажными предписаниями. Как из называют в Центре анализа и расследований кибер-атак (ЦАРКА), «бумажники» разрабатывают бумажный свод правил и требований к безопасности IT-проектов, зачастую не имеющих ничего общего с реальностью.
Чтобы уметь защищаться и защищать, безопасник должен сначала сам стать хакером, уметь и понимать ту среду разработки, в которой обитает его проект, знать общеизвестные приемы и методы воздействия на IT-структуру и перекрыть их. Недаром в свое время лучшими безопасниками корпораций становились вчерашние бандиты или крепкие ребята из спецслужб. Защищать всегда проще, зная, от чего ты защищаешь.
Именно этому и была посвящена хакерская конференция Def Con, прошедшая в субботу, 1 июля в Астане, в стенах Евразийского Национального Университета имени Гумилева. Сократить пропасть между «бумажными» и формальными специалистами по информбезопасности и практиками — именно так звучит одна из важнейших целей как Def Con’а, в частности, так и работы ЦАРКА в целом.
Сразу хочу сказать спасибо ребятам из ЦАРКА (некоторые из которых читали и любят мои «Кирпичи» :-) за приглашение на конференцию. Хочу отплатить им тем же, подробнее рассказав о том, что было на ДефКоне.
Это уже третий Def Con, проходивший в Казахстане. Вот выдержка из презентации Олжаса: «DEFCON группы были созданы на основе конференции по безопасности, ежегодно проходящей в США. Это место сбора специалистов, интересующихся альтернативными способами применения современных технологий или, проще говоря, хакингом. DC-группы предоставляют место для обсуждения вопросов информационной безопасности. Посещение встреч DC-групп открыто для всех, независимо от ваших навыков, места работы, возраста или пола. DC-группы были созданы для того, чтобы помочь изучить новое, познакомиться с новыми людьми, предоставить возможность научить других людей тому, что вы сами знаете и умеете, а также для того, чтобы сплотить людей, причастных к хакерской культуре. Во время DEFCON конференции традиционно действует негласное соглашение между сотрудниками ФБР и хакерами о том, что первые не будут арестовывать вторых, а вторые не будут мешать проведению конференции».
Во время конфы периодически звучали шутки о присутствующих майорах нацбезопасности, впрочем, эти шутки были похожи на правду. :-)
В Астану я прилетел в 8 утра, так и не поспав — накануне до трех ночи я дописывал свежую главу своей книги. В самолете я встретил старого моего друга Володю Туреханова, президента Ассоциации робототехники, который так же летел на Def Con. Из аэропорта мы заехали позавтракать в легендарный для любого столичного жителя, работавшего на Левом, «Рафе», а оттуда выдвинулись на конфу.
На входе нас встретили и указали верный путь девочки в черных (естессно!) футболках с логотипами ЦАРКА и Def Con, а на стойке регистрации мы получили по большой пачке разных стикеров. Я сразу наклеил один из них на свою сумку, и сразу получил +10 к навыку хакерства.
Сразу отмечу — участие в конференции было и всегда будет бесплатным, на конференции запрещены любая реклама и коммерческая деятельность, весь день нас опять же бесплатно поили и кормили (90 пицц от «Амиго» пришли вовремя и были расхватаны влет).
Темы докладов звучали очень сексуально (очень много про проникновения), а первые доклады (Олжаса и Макса, больше известного как slider) были в легкой и доступной форме, позволившей не заскучать даже многочисленным девушкам, сопровождавшим своих суровых парней-хакеров. Сразу хочу развеять миф о тщедушности и забитости этих ребят — большинство из них следят за собой и хорошо выглядят — никакой сутулости, засаленных волос и толстых линз. Слайдер — так тот вообще фору Шварцу даст по объему бицухи.
Олжас Сатиев, директор ЦАРКА, в непринужденной манере рассказал кучу забавных историй и кейсов из последних достижений — от взлома блога моего любимого комментатора Василия Уткина (это случилось после того, как Василий нелицеприятно выразился о нашей команде) до дефейса сайта одного из министерств с текстом «Привет, Даулет».
— Видимо, девушка Даулета не смогла до него дозвониться, — пошутил Олжас.
Вообще, шуток было очень много, и не только профессиональных. Смех периодически разрывал аудиторию, словно это не скучный для обывателя кодинг и хакинг, а стенд-ап-шоу.
Были продемонстрированы кейсы со взломами сайта Beeline (взлом позволял выводить средства с привязанных к балансам карт); сайта акимата Алматы (полный доступ), об уязвимости которого известно уже больше года (Олжас просил передать об этом акиму всех, кто знаком с господином Байбеком); портала электронного правительства eGov (взломщик использовал уязвимость, чтобы получать номера телефонов понраившихся девушек J); базы данных оценок студентов ВУЗов (автор хака внезапно стал отличником и был принят на грант).
В начале конфы выступил директор компании KazTechInnovations Таир Балбаев, рассказавший о гвозде конфы — разработанных и собранных у нас «от и до» браслетах для заключенных. Вы такие, наверняка, видели в кино. Задачей участников было, используя всю доступную информацию, попробовать хоть как-то взломать этот браслет, чтобы позволить гипотетическому заключенному покинуть разрешенную зону обитания.
Таир рассказал, как они к этому пришли — он опубликовал пост об этих браслетах и в комментариях получил язвительные сообщения о том, что все, что сделано в KZ не заслуживает доверия в плане устойчивости к взломам. И тогда ребята из KazTechInnovations, как говорится, не зассали и вышли на организаторов ДефКона с предложением.
Было много реально крутых и интересных докладов, в том числе от приглашенных спикеров, таких, как например, Эльдар kyprizel Заитов, рассказавший о своем опыте взлома GitHub, nabooX, наглядно показавший, как взламываются и подменяются сим-карты, Леонид Кролле, показавший как в два клика уничтожить урожай марихуанны :-) — на самом деле доклад был о невероятно, до миллиметров, точном геопозиционировании. Было очень интересно даже такому недогику, как я.
К вечеру были подведены итоги конкурса на взлом браслетов. Хакеры работали по одиночке и группами, пытаясь совершить взлом, на протяжении восьми часов, которые для них пролетели как пять минут — настолько вошли в азарт. Никакие попытки взаимодействия с браслетом ни к чему не привели, к сожалению или к счастью, взломтаь систему так никому и не удалось. Тем не менее, по итогам две команды и один участник получили денежные призы — за то, что молодцы, и двигались в почти верном направлении.
Это был отличный опыт, как для меня, так и для одного из героев моей книги. Еще раз спасибо организаторам за приглашение, столько интересного материала и клевых знакомств за столь короткое время я давно не получал. Категорически рекомендую всем, кто в этой сфере, посетить следующую конференцию, которая будет осенью в Алматы.
А вам спасибо, что дочитали. :-) Ставьте лайки, а то я сделаю это за вас!
|
Метки: ятестируюновыйредактор |
Мини-конкурс. Приз "Кирпичи 2.0" с автографом |

|
Метки: кирпичи 2.0 кирпичи сугралинов lit-era лит-эра конкурс |
Level Up - моя новая книга |
|
Метки: level up книга сугралинов кирпичи 3 |
Имя его |
|
Метки: крео |
Эрик Бертран Ларссен - Без жалости к себе |
Вчера, первого января, я проснулся в начале девятого. Дома было тихо – все еще спали после празднования Нового года с друзьями. Я добрался до кухни, открыл бутылку "Боржоми" и жадно выпил всю бутылку. Подумав, я распечатал упаковку активированного угля, и, добавив аспирин, запил все второй бутылкой грузинской минералки. Это было мое первое пробуждение в 2016 году, и оно точно было не таким, каким я хочу видеть наступивший год.
Новый год – психологически лучшее время для актуализации целей на жизнь. К большим целям не прийти в одночасье, это долгая дорога в правильном направлении. Но как часто мы, вроде бы, стремясь к одному, делаем то, что ведет совершенно в другом направлении?
Именно об этом книга замечательного норвежского писателя Эрика Бертрана Ларссена "Без жалости к себе", вышедшая в издательстве "Манн, Иванов и Фербер". Книга, которую я проглотил за два дня.
Автор — профессиональный тренер по личностному росту и один из самых популярных мотивационных спикеров в Норвегии. Подобных "тренеров" сейчас много, но впечатляет бакграунд автора. Он служил парашютистом в норвежском спецназе, был в Афганистане и на Балканах, сотрудничал с британскими войсками специального назначения и американскими "морскими котиками". После службы Ларссен закончил Норвежскую школу экономики и бизнеса и занимался HR и развитием бизнеса в нескольких компаниях, после чего основал собственную — Bertrand Ltd.
Именно поэтому книга полна примеров из собственной жизни автора, с его собственным опытом преодолений и достижений.
Ларссен вроде бы говорит о понятных и всем известных вещах, но особую ценность книге придает, как я думаю, ее главная мысль: мелочи решают.
Выпить стакан колы или воды? Поспать еще 10 минут или налить кофе и подумать о планах на день? Досмотреть фильм или лечь спать? Съесть еще и десерт или ограничиться яблоком? Самое клевое в "Методе Бертрана", что вам не надо в одночасье и на всю жизнь терять все те "удовольствия от жизни", что вы могли уже себе представить. Вопрос правильности решения встает перед нами только в конкретный момент времени – когда он встает. В этом и отличие от той модели, к которой все привыкли: "С Нового года каждый делаю зарядку". Нет, все проще. По Ларссену решение делать зарядку или нет, актуально будет утром, когда вы проснетесь, умоетесь, почистите зубы… и вот в этот момент до завтрака, и надо будет либо делать зарядку, либо нет. А решать СЕЙЧАС за себя, который будет ЗАВТРА (не говоря уже о себе через полгода) – это неправильно. Почему? Потому что вы – это вы в данный конкретный момент времени, именно тот вы, который сейчас читает эти строки.
Принимать правильные решения в мелочах – это начало выработки привычки. Чем больше хороших и правильных привычек – тем больше шансов прийти к мечте.
Читайте книгу. Идите к мечте. Без жалости к себе.

http://www.mann-ivanov-ferber.ru/books/ty-mozhesh-bolshe/ - страница книги на сайте издательства.
|
Метки: без жалости к себе книги миф ларссен |
Отвратительно |
|
Метки: париж игил фейсбук терракты |