Forwarded from WTF_HR
Доброе понедельничное утро!
Начнем неделю с циферок на тему профориентации и рисков выбора карьерного пути. На эту тему много разговоров, но конкретной статистики маловато, хотя даже в век ментального здоровья и «счастья сотрудников» базовая логика выбора профессии для большинства людей – экономическая. И вот вам любопытные данные.
Американские исследователи рассчитали ROI (возврат на инвестиции) программ бакалавриата в США. Принцип расчета был примерно следующим: для каждого направления посмотрели медианную зарплату окончившего ее выпускника, умножили на нужное количество месяцев, чтобы получился человек, начавший работать в 23 года и ушедший на пенсию в 65 – и вычли из получившейся суммы средний доход за всю карьеру человека, который высшее образование не получал и вместо этого трудился. С учетом, конечно, стоимости получения степени и того факта, что доходы выпускника в период ее получения будут отрицательными.
Полученную сумму в абсолютных цифрах исследователи и предлагают считать возвратом на инвестиции в получение бакалавриата.
При том, что среднем американский бакалавр получает в год на 67% больше, чем выпускник средней школы, среднее – на то и среднее, чтобы на него не ориентироваться, потому что бакалавр бакалавру рознь (причем даже в одном университете, включая самые престижные).
Например, 68% дипломированных художников и музыкантов, зарабатывают за карьеру меньше, чем те, чья нога вообще не ступала в университетский кампус. Заработать за карьеру на миллион долларов больше среднего выпускника школы умудряются только 2% из них.
Среди философов и религиоведов отрицательный возврат на инвестиции в степень бакалавра у 60%, и всего 1% тех, у кого ROI получения образования – больше миллиона долларов. Среди психологов, лингвистов и прочих гуманитариев отрицательный ROI у 28%. Гуманитарии-прикладники, типа специалистов по коммуникациям и журналистике, чувствуют себя чуть лучше – там «банкротов» только 16%, но и «миллионеров» исследователи обнаружили меньше 1%.
Зато у инженеров ситуация обратная – даже самый никчемный бакалавр инжиниринга в Штатах сейчас заработает больше, чем его средний коллега без высшего образования. А тех, у кого ROI за карьеру больше миллиона, среди инженеров – 68%. Даже у финансистов и айтишников таковых меньше – соответственно 10% и 28%. Единственные гуманитарии, вошедшие в топ – это экономисты. Среди них «банкротов» - всего 2%, а «миллионеров» - 16%.
Тут нужно сделать несколько оговорок. Во-первых, данные американские и не всегда подходят нам – все знают, например, что американские медики сильно богаче наших, да и с инженерами все не так однозначно. Во-вторых, взяты сегодняшние зарплаты и сегодняшняя стоимость обучения в США, что снижает достоверность этих цифр при прогнозировании карьеры ваших детей на 40 лет вперед.
В 2061 году средний художник вряд ли будет получать больше среднего инженера, да и стоимость хорошего образования вряд ли упадет, исключать ничего нельзя, включая переформатирование системы высшего образования (не путать с победой скиллбоксов этого мира над здравым смыслом, этого точно не случится).
Ну и в-третьих, нужно учитывать, что исследование верно прежде всего для тех, у кого сбылось известное советское проклятие «чтоб ты жил на одну зарплату». Доходы предпринимателей в исследовании не изучали.
Но с этими оговорками выводы однозначны. Мы с уважением относимся к гуманитариям и теоретикам, но при прочих равных у технарей и прикладников больше шансов на хорошую зарплату. И хотя этот факт в целом не открывает Америку (оно так было, кажется, примерно всегда), он, возможно, кому-то поможет трезвее оценить свои шансы на хорошую жизнь.
Хорошей недели!
Начнем неделю с циферок на тему профориентации и рисков выбора карьерного пути. На эту тему много разговоров, но конкретной статистики маловато, хотя даже в век ментального здоровья и «счастья сотрудников» базовая логика выбора профессии для большинства людей – экономическая. И вот вам любопытные данные.
Американские исследователи рассчитали ROI (возврат на инвестиции) программ бакалавриата в США. Принцип расчета был примерно следующим: для каждого направления посмотрели медианную зарплату окончившего ее выпускника, умножили на нужное количество месяцев, чтобы получился человек, начавший работать в 23 года и ушедший на пенсию в 65 – и вычли из получившейся суммы средний доход за всю карьеру человека, который высшее образование не получал и вместо этого трудился. С учетом, конечно, стоимости получения степени и того факта, что доходы выпускника в период ее получения будут отрицательными.
Полученную сумму в абсолютных цифрах исследователи и предлагают считать возвратом на инвестиции в получение бакалавриата.
При том, что среднем американский бакалавр получает в год на 67% больше, чем выпускник средней школы, среднее – на то и среднее, чтобы на него не ориентироваться, потому что бакалавр бакалавру рознь (причем даже в одном университете, включая самые престижные).
Например, 68% дипломированных художников и музыкантов, зарабатывают за карьеру меньше, чем те, чья нога вообще не ступала в университетский кампус. Заработать за карьеру на миллион долларов больше среднего выпускника школы умудряются только 2% из них.
Среди философов и религиоведов отрицательный возврат на инвестиции в степень бакалавра у 60%, и всего 1% тех, у кого ROI получения образования – больше миллиона долларов. Среди психологов, лингвистов и прочих гуманитариев отрицательный ROI у 28%. Гуманитарии-прикладники, типа специалистов по коммуникациям и журналистике, чувствуют себя чуть лучше – там «банкротов» только 16%, но и «миллионеров» исследователи обнаружили меньше 1%.
Зато у инженеров ситуация обратная – даже самый никчемный бакалавр инжиниринга в Штатах сейчас заработает больше, чем его средний коллега без высшего образования. А тех, у кого ROI за карьеру больше миллиона, среди инженеров – 68%. Даже у финансистов и айтишников таковых меньше – соответственно 10% и 28%. Единственные гуманитарии, вошедшие в топ – это экономисты. Среди них «банкротов» - всего 2%, а «миллионеров» - 16%.
Тут нужно сделать несколько оговорок. Во-первых, данные американские и не всегда подходят нам – все знают, например, что американские медики сильно богаче наших, да и с инженерами все не так однозначно. Во-вторых, взяты сегодняшние зарплаты и сегодняшняя стоимость обучения в США, что снижает достоверность этих цифр при прогнозировании карьеры ваших детей на 40 лет вперед.
В 2061 году средний художник вряд ли будет получать больше среднего инженера, да и стоимость хорошего образования вряд ли упадет, исключать ничего нельзя, включая переформатирование системы высшего образования (не путать с победой скиллбоксов этого мира над здравым смыслом, этого точно не случится).
Ну и в-третьих, нужно учитывать, что исследование верно прежде всего для тех, у кого сбылось известное советское проклятие «чтоб ты жил на одну зарплату». Доходы предпринимателей в исследовании не изучали.
Но с этими оговорками выводы однозначны. Мы с уважением относимся к гуманитариям и теоретикам, но при прочих равных у технарей и прикладников больше шансов на хорошую зарплату. И хотя этот факт в целом не открывает Америку (оно так было, кажется, примерно всегда), он, возможно, кому-то поможет трезвее оценить свои шансы на хорошую жизнь.
Хорошей недели!
Enisa launches a new area of work “Foresight on Emerging and Future Cybersecurity Challenges”.
The report aims to highlight the most relevant foresight methods to adequately address future #cybersecurity threats & shape a more secure #society.
https://www.standict.eu/foresight-cybersecurity-enisa
The report aims to highlight the most relevant foresight methods to adequately address future #cybersecurity threats & shape a more secure #society.
https://www.standict.eu/foresight-cybersecurity-enisa
NIST's National Cybersecurity Center of Excellence has published for public comment a preliminary draft of Volume C of SP 1800-34, Validating the Integrity of Computing Devices. This preliminary draft includes specific product installation, configuration, and integration instructions for building the example implementation
Supply Chain Assurance | NCCoE
https://www.nccoe.nist.gov/supply-chain-assurance
Supply Chain Assurance | NCCoE
https://www.nccoe.nist.gov/supply-chain-assurance
NCCoE
Supply Chain Assurance | NCCoE
Project Abstract Product integrity and the ability to distinguish trustworthy products is a critical foundation of C-SCRM. Authoritative information regarding the provenance and integrity of components provides a strong basis for trust in a computing device…
Forwarded from SecAtor
Поставщик решений для менеджеров паролей Nordpass опубликовал рейтинг 200 самых слабых паролей по итогам 2020 года. Список паролей был составлен при поддержке независимых исследователей, специализирующихся на анализе утечки данных.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
Вниманию спецов были представлены 275 699 516 паролей, которые оказались раскрыты при утечках данных в 2020 году. Выяснилось, что только 44% из них были уникальными. Отчет показывает, что повсеместно продолжают использоваться слабые пароли.
Традиционно лидерами верхних строчек по-прежнему являются: 123456, 123456789, 12345, qwerty и «пароль» (password). Далее по уровню сложности следуют пароли, в качестве которых выбрались собственные имена, наименования автомобилей, городов и прочих ассоциированных с пользователем наименований.
Но вот, что точно не укладывается в уме так это: Марина, занимающая 41 место в рейтинге среди пользователей из России, который сразу следует за Samsung (40-ая позиция). При этом 46 место взял Nikita, который смог на одну позицию подняться выше Stalker. А вот Sergey и Andrey разделили 51 и 58 места.
69 место у Adidas, Spartak смог занять 77 позицию, а lokomotiv - на 100 ниже (177 место). 82 и 94 позиции взяли vkontakte и rambler (yandex и mail в рейтинг предпочтений не попали). И, наконец, нижнюю строчку антирейтинга взяла комбинация 123321, не сложная, но вместе с тем.
Поэтому как бы не был хорош ваш пароль, а второй фактор все же лучше.
NordPass
Top 200 Most Common Passwords
For the seventh year in a row, NordPass presents its list of the top 200 most common passwords. Discover how common password trends differ across generations of users.
Forwarded from SecAtor
Спешим вас обрадовать еще одной неприятностью, связанной с популярным среди хакеров (и в особенности для АРТ) Microsoft Exchange. Но в данной ситуации - все исправимо.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
В минувшие выходные исследователем Janggggg был опубликован PoC для уязвимости высокой степени серьезности CVE-2021-42321, которая затрагивает локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange). Ошибка была пропатчена после выхода Patch Tuesday.
Успешная эксплуатация RCE позволяет авторизованным в Exchange злоумышленникам удаленно выполнять код на уязвимых серверах.
Пока Microsoft трубят о необходимости применения последних обновлений, админы Exchange вовсю наблюдают, как хакеры сканируют уязвимые системы и пытаются взломать их.
Помня о том, как с начала 2021 года Exchange подвергались массовым атакам с использованием уязвимостей ProxyLogon и ProxyShell, рекомендуем поскорее актуализировать состояние Exchange и просмотреть события в журнале на предмет выявления попыток эксплуатации CVE-2021-42321, после чего накатить все предложенные разработчиком патчи.
Twitter
Kevin Beaumont
Just caught somebody in the wild trying to exploit CVE-2021-42321 to execute code on MailPot, by chaining it with ProxyShell (no, I don't know why either - it doesn't work).
https://www.bugcrowd.com/resources/guides/inside-the-mind-of-a-hacker/
Key takeaways
91 percent of ethical hackers said that point-in-time testing cannot secure companies year-round.
80 percent of ethical hackers found a vulnerability they had not encountered before the pandemic.
74 percent of ethical hackers agree vulnerabilities have increased since the onset of COVID-19.
71 percent of ethical hackers report they earn more now that most companies work remotely.
45 percent of ethical hackers believe lack of scope inhibits the discovery of critical vulnerabilities.
27 billion dollars worth of cybercrime was prevented by ethical hackers.
Key takeaways
91 percent of ethical hackers said that point-in-time testing cannot secure companies year-round.
80 percent of ethical hackers found a vulnerability they had not encountered before the pandemic.
74 percent of ethical hackers agree vulnerabilities have increased since the onset of COVID-19.
71 percent of ethical hackers report they earn more now that most companies work remotely.
45 percent of ethical hackers believe lack of scope inhibits the discovery of critical vulnerabilities.
27 billion dollars worth of cybercrime was prevented by ethical hackers.
Bugcrowd
Inside the Mind of a Hacker | Bugcrowd
Learn what ethical hackers can teach us about the next era of artificial intelligence
Forwarded from SecAtor
Еще вчера мы писали о 0-day уязвимости локального повышения привилегий в установщике Microsoft Windows (CVE-2021-41379), обнаруженную как обход исправлений последнего Patch Tuesday, который и должен был исправить ту самую дыру.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
А сегодня опубликованную исследователем Абдельхамидом Насери рабочую версию эксплойта хакеры уже сконвертировали в вредоносное ПО, образцы которого обнаружили специалисты Cisco Talos Security Intelligence & Research Group.
Характер проводимых злоумышленниками работ при этом указывает на то, что ведется проверка кода, настройка и тестирование экспериментального эксплойта для будущих полномасштабных кампаний.
Как мы уже отмечали, ситуацию еще более накаляет то, что патчей или обхода для новой уязвимости нет. Поэтому, в самое ближайшее время мы станем свидетелями этих самых атак.
Cisco Talos Blog
Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
Cisco Talos is releasing new SNORTⓇ rules to protect against the exploitation of a zero-day elevation of privilege vulnerability in Microsoft Windows Installer. This vulnerability allows an attacker with a limited user account to elevate their privileges…