Запись стрима с Дмитрием Федоровым(@dm_fedorov) на тему развития молодых специалистов
Переходите по ссылке и смотрите запись: https://news.1rj.ru/str/cyber_edu/481
Быстрый старт в профессии "Инженер облачных сервисов": https://github.com/abadd00d/web-for-juniors
Написать мне:
● https://github.com/abadd00d/
● https://getmentor.dev/mentor/vladimir-zaycev-4235
Подписывайтесь на канал Дмитрия "Кибербез образование": @cyber_edu
Переходите по ссылке и смотрите запись: https://news.1rj.ru/str/cyber_edu/481
Быстрый старт в профессии "Инженер облачных сервисов": https://github.com/abadd00d/web-for-juniors
Написать мне:
● https://github.com/abadd00d/
● https://getmentor.dev/mentor/vladimir-zaycev-4235
Подписывайтесь на канал Дмитрия "Кибербез образование": @cyber_edu
Telegram
Кибербез образование
Как стать специалистом по безопасности облачных сервисов? 🤔
Говорим об этом с Владимиром Зайцевым, заместителем технического директора NGENIX, автором канала "Как-то справляюсь" 👷
Таймкоды:
0:29 - Владимир о себе и своем пути в кибербез. Про первые сервисы…
Говорим об этом с Владимиром Зайцевым, заместителем технического директора NGENIX, автором канала "Как-то справляюсь" 👷
Таймкоды:
0:29 - Владимир о себе и своем пути в кибербез. Про первые сервисы…
🔥7❤6👍5
Завтра в прямом эфире AM LIve
Поговорим про практику защиты веб-приложений:
🔹какие ошибки при организации защиты встречаются чаще всего;
🔹нужна ли защита, если у вас никогда не было инцидентов;
🔹следует ли отдавать безопасность на аутсорс;
🔹когда облако лучше для защиты.
Регистрация по ссылке – https://live.anti-malware.ru/am-live/praktika-zashhity-veb-prilozhenij/
Поговорим про практику защиты веб-приложений:
🔹какие ошибки при организации защиты встречаются чаще всего;
🔹нужна ли защита, если у вас никогда не было инцидентов;
🔹следует ли отдавать безопасность на аутсорс;
🔹когда облако лучше для защиты.
Регистрация по ссылке – https://live.anti-malware.ru/am-live/praktika-zashhity-veb-prilozhenij/
AM Live
Практика защиты веб-приложений - AM Live
🔥4❤3👍2
Ошибки на переговорах
Последнюю неделю все обсуждают переговоры в овальном кабинете. Мне захотелось написать пост про переговорную составляющую этого события.
Политики в рабочем контексте я стараюсь не касаться, но здесь она и не нужна. В этом посте будем разбирать переговорные промахи Зеленского, т.к. именно он находится в слабой позиции, а результаты встречи можно оценить как провальные.
Итак, погнали.
👔 Проигрышный внешний вид
Я бы даже сказал ужасный для такого места и такого события. Нельзя настолько сильно выбиваться из общей канвы. Если на европейских конференциях или у себя дома такой вид еще ок, то тут это был откровенный фейл. Скорее всего для принимающей стороны место проведения имеет сакральное значение и нужно было сделать исключение и надеть костюм. В итоге внешний вид и дальнейшее поведение были восприняты как неуважение, что мы и слышим в речи Трампа.
Понятно, что Зеленский хочет показать единение со свои народом и воюющей её частью, но в данном случае это выглядело совсем неуместно. Поэтому вопрос журналиста про костюм напрашивался. Я даже предположу, что это не была попытка задеть, а просто вопрос, который уже давно всех беспокоил. Реакция на него – агрессия, хотя можно было просто отшутиться, но на это не было ресурса (об этом в следующем пункте).
🤯 Общий внешний вид и невербалика
Не может спокойно сидеть на месте, нервничает, чешется и так далее. Да, три года человек живет в режиме с плохим сном, постоянными джетлагами от перелетов + огромный стресс и другие моменты, о которых мы можем только догадываться, но факт остается фактом. Рядом со спокойным Трампом выглядит очень невнятно.
💥 Публичное вынесение сора из избы и спор по мелочам
Споры в таком виде на публичной пресс-конференции, когда ты еще и в позиции просящего, – одна из самых больших ошибок. Тем более с таким опытным и матерым политиком как Трамп. Не знаток, но, скорее всего, банально был нарушен протокол. Возможно, к концу встречи сдали нервы.
Всего-то нужно было спокойно пообщаться и перенести все сложные вопросы на встречу без журналистов.
😤 Нет контроля над своими эмоциями
Про закатывания глаз и мимику уже много писали. Тут все понятно: нет ресурсов это все контролировать с учетом всего контекста текущей жизни Зеленского.
🗣 Переговоры на не родном языке
Последний пункт, но очень важный. Понятно, что хочет показаться своим и прогрессивным. Но если ты в таком состоянии, то пытаться выжимать из себя сложные переговорные конструкции да еще и на не родном языке – огромная ошибка. Нужно думать над правильным содержанием, а перевод оставить профессионалам. Тем более, что под стрессом мозг переключается в режим “бей/беги” и выбираешь совсем простые конструкции, а иногда и неправильные и в итоге выглядишь как абориген перед белыми людьми.
💡 Выводы
Переговоры, особенно такие конфликтные это отдельная компетенция. К подобному нужно готовиться, в том числе и постоянно тренироваться “на кошках”. В нашем случае не видно, что на подготовку было затрачено должное время и внимание.
📌 PS. Будет проще воспринять эту ситуацию с т.з. переговоров, если мы перенесем ее на ИТ-бизнес: представьте, что руководитель пришел просить бюджет на сложный затянувшийся проект у нового директора. Возможно, притянуто за уши, но если, как я говорил, убрать весь политический контекст, получается примерно одно и то же.
Дадут или не дадут – время покажет. Но это уже другая история.
Последнюю неделю все обсуждают переговоры в овальном кабинете. Мне захотелось написать пост про переговорную составляющую этого события.
Политики в рабочем контексте я стараюсь не касаться, но здесь она и не нужна. В этом посте будем разбирать переговорные промахи Зеленского, т.к. именно он находится в слабой позиции, а результаты встречи можно оценить как провальные.
Итак, погнали.
👔 Проигрышный внешний вид
Я бы даже сказал ужасный для такого места и такого события. Нельзя настолько сильно выбиваться из общей канвы. Если на европейских конференциях или у себя дома такой вид еще ок, то тут это был откровенный фейл. Скорее всего для принимающей стороны место проведения имеет сакральное значение и нужно было сделать исключение и надеть костюм. В итоге внешний вид и дальнейшее поведение были восприняты как неуважение, что мы и слышим в речи Трампа.
Понятно, что Зеленский хочет показать единение со свои народом и воюющей её частью, но в данном случае это выглядело совсем неуместно. Поэтому вопрос журналиста про костюм напрашивался. Я даже предположу, что это не была попытка задеть, а просто вопрос, который уже давно всех беспокоил. Реакция на него – агрессия, хотя можно было просто отшутиться, но на это не было ресурса (об этом в следующем пункте).
🤯 Общий внешний вид и невербалика
Не может спокойно сидеть на месте, нервничает, чешется и так далее. Да, три года человек живет в режиме с плохим сном, постоянными джетлагами от перелетов + огромный стресс и другие моменты, о которых мы можем только догадываться, но факт остается фактом. Рядом со спокойным Трампом выглядит очень невнятно.
💥 Публичное вынесение сора из избы и спор по мелочам
Споры в таком виде на публичной пресс-конференции, когда ты еще и в позиции просящего, – одна из самых больших ошибок. Тем более с таким опытным и матерым политиком как Трамп. Не знаток, но, скорее всего, банально был нарушен протокол. Возможно, к концу встречи сдали нервы.
Всего-то нужно было спокойно пообщаться и перенести все сложные вопросы на встречу без журналистов.
😤 Нет контроля над своими эмоциями
Про закатывания глаз и мимику уже много писали. Тут все понятно: нет ресурсов это все контролировать с учетом всего контекста текущей жизни Зеленского.
🗣 Переговоры на не родном языке
Последний пункт, но очень важный. Понятно, что хочет показаться своим и прогрессивным. Но если ты в таком состоянии, то пытаться выжимать из себя сложные переговорные конструкции да еще и на не родном языке – огромная ошибка. Нужно думать над правильным содержанием, а перевод оставить профессионалам. Тем более, что под стрессом мозг переключается в режим “бей/беги” и выбираешь совсем простые конструкции, а иногда и неправильные и в итоге выглядишь как абориген перед белыми людьми.
💡 Выводы
Переговоры, особенно такие конфликтные это отдельная компетенция. К подобному нужно готовиться, в том числе и постоянно тренироваться “на кошках”. В нашем случае не видно, что на подготовку было затрачено должное время и внимание.
📌 PS. Будет проще воспринять эту ситуацию с т.з. переговоров, если мы перенесем ее на ИТ-бизнес: представьте, что руководитель пришел просить бюджет на сложный затянувшийся проект у нового директора. Возможно, притянуто за уши, но если, как я говорил, убрать весь политический контекст, получается примерно одно и то же.
Дадут или не дадут – время покажет. Но это уже другая история.
👍11🔥5🤔4❤3
Завтра в 11:00 очередной интересный эфир про защиту от DDoS-атак. Состав мощный, дискуссия будет интересная 🙂 Подключайтесь!
https://news.1rj.ru/str/ru_websecurity/89
https://news.1rj.ru/str/ru_websecurity/89
Telegram
NGENIX: Всё о веб-безопасности
🎙 Встречаемся завтра в эфире AM Live
5 марта заместитель технического директора NGENIX Владимир Зайцев снова посетит онлайн-конференцию AM Live. На этот раз эксперты рынка будут обсуждать эшелонированную защиту от DDoS-атак.
DDoS-атаки становятся сложнее…
5 марта заместитель технического директора NGENIX Владимир Зайцев снова посетит онлайн-конференцию AM Live. На этот раз эксперты рынка будут обсуждать эшелонированную защиту от DDoS-атак.
DDoS-атаки становятся сложнее…
👍10🔥5
Пока болею, небольшой пост про новое увлечение – начал тренироваться печатать вслепую десятью пальцами.
Всю жизнь печатал шестипальцевым методом, а тут решил переучиться: в последнее время приходится много писать, поэтому хочется, чтобы мысль просто шла, а не упиралась в скорость пальцев.
Начать смотивировало одно видео на Ютубе, где парень рассказывал, что за неделю переучился и достиг скорости более 100 слов в минуту. Я пока занимаюсь около месяца, но регулярно. Исключения – несколько дней, что тяжело болел.
Для тренировки использую тренажер на https://www.keybr.com/. Очень понятный, лаконичный, с разнообразной статистикой: скорость, точность, статистика по буквам и пальцам.
В тренажере есть минимальный "daily goal" – 30 минут. Опять же, стараюсь выполнять, но не упарываться.
Ну и главный совет, который услышал в том видео: заниматься хоть немного, но регулярно. Важно не упороться за раз на 3 часа, а потом пропустить неделю, а заниматься каждый день по чуть-чуть.
Обязательно будет пост, как полностью перейду на слепую печать.
Кому интересно, ссылка на мой профиль – https://www.keybr.com/profile/54wc7v7
Всю жизнь печатал шестипальцевым методом, а тут решил переучиться: в последнее время приходится много писать, поэтому хочется, чтобы мысль просто шла, а не упиралась в скорость пальцев.
Начать смотивировало одно видео на Ютубе, где парень рассказывал, что за неделю переучился и достиг скорости более 100 слов в минуту. Я пока занимаюсь около месяца, но регулярно. Исключения – несколько дней, что тяжело болел.
Для тренировки использую тренажер на https://www.keybr.com/. Очень понятный, лаконичный, с разнообразной статистикой: скорость, точность, статистика по буквам и пальцам.
В тренажере есть минимальный "daily goal" – 30 минут. Опять же, стараюсь выполнять, но не упарываться.
Ну и главный совет, который услышал в том видео: заниматься хоть немного, но регулярно. Важно не упороться за раз на 3 часа, а потом пропустить неделю, а заниматься каждый день по чуть-чуть.
Обязательно будет пост, как полностью перейду на слепую печать.
Кому интересно, ссылка на мой профиль – https://www.keybr.com/profile/54wc7v7
🔥11👍5❤4
Короткие инсайты после эфира AMLive и впреддверии CISO Forum:
1. Защита от DDoS это уже комодити услуга. У всех крупных облачных провайдеров свои собственные разработки, а мелкие покупают у крупных.
2. Производители оборудования и облака спорят как лучше, а по факту они все про разное. Есть своя автономка или нужно защищать свои инфру – покупай железки и каналы. Нужно защитить конкретное веб-приложение и можешь принимать сам решение по его защите – купи защиту в облаке. Варианты можно комбинировать, если требует ситуация или регулятор.
3. Среди множества обещаний терабитов пропускной способности (и отбитых атак) выбирать поставщика нужно по референсу и операционному опыту. ГИС, еком, гейминг – это все разный контекст и разный опыт. Посмотрите, кто что из ваших коллег-конкурентов использует и оттолкнитесь от этого. Покупать защиту у поставщика, где рядом хостится серый бизнес (казино, пиратские гейм-сервера и т.п.) если вы еком или тем более ГИС – обрекать себя на риск быть задетым “осколками” от атаки на других. Ну и наоборот. Нужно защитить свой сервер Майнкрафта – иди к тем, кто умеет это готовить.
4. Не надейтесь и не верьте обещаниям, что защита всегда работает идеально и по кнопке. Хуже всего, это игнорировать дыры в своем ПО/инфраструктуре и бизнес-логике и надеяться только на облако/железку. Особенно актуально в защите от ботов, где иногда проблема снимается раз и навсегда изменением бизнес-логики. Ну и сюда же истории про “пропустили на 50 rps больше, бэкенд сложился” – не надо так, надо уметь держать всплески трафика.
5. Часть атак вовсе и не DDoS, а активность “мертвого интернета”: парсеры, поисковые боты и индексация, да в конце концов ваши маркетологи запустили акцию в мессенджерах и пользователи побежали покупать. А еще может прилечь какой-нибудь популярный зеленый мессенджер, а пользователи думают, что у них закончился Интернет и идут проверять баланс в кабинет оператора. Как результат – несколько десятков тысяч легитимных RPS и вот вы уже лежите.
6. Качество и опыт защиты от DDoS в России выше, чем на западе, особенно последние годы, по понятным причинам. Это и про облака и про он-прем решения. Что касается облаков, то тут есть нюанс по комплексности услуг, но кажется есть шанс нагнать западные аналоги даже в случае вероятной отмены санкций и возвращения западных компании.
В остальном DDoS остается эффективным инструментом, которым продолжают пользоваться. Так что нужно уметь правильно готовиться к его приходу.
ℹ️PS. Буду рассказывать о худших практиках при защите от DDoS на CISO Forum, который пройдет в Москве 10 апреля – https://infosecurity-forum.ru/program/24228/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤5👍3
Почему нельзя полноценно протестировать защиту от DDoS, не нарушив закон
CISO Forum прошел, появилось несколько идей для поста по итогам обсуждений и вопросов из зала.
Как правильно тестировать защиту от DDoS?
Технически всё просто. С точки зрения закона – есть вопросы. Давайте разбираться.
Чтобы понять, как тестировать, нужно определиться, какие цели могут быть у злоумышленника:
1. Пропускная способность ваших аплинков. Забиты каналы – доступа для пользователей нет. Способы известны: различные виды амплификации, DDoS со спуфингом с dedicated-серверов или ботнета. Естественно, это L3-L4 стейтлесс-флуд, тупой, но мощный.
2. Атаки на сетевой стек и сетевое оборудование/сервер. Допустим, аплинк не забили, но количество пакетов наш условный маршрутизатор переварить не может. Чаще это L3-L4 stateless-flood: syn-flood и подобные флады маленькими пакетами. Тут же, но отдельно, connection-flood, так как устанавливается сессия и нельзя использовать спуфинг. Тут либо в принципе слабое оборудование, либо атака на переполнение таблицы сессий или другого механизма, если оборудование не предназначено под высокие нагрузки (pps, соединения).
3. Атаки на приложение (всё, что выше 4-го уровня). Атаки на SSL/TLS-согласование и разнообразные атаки на HTTP. Тут можно положить как фронтящий реверс-прокси, так и приложение на бэкенде, так и БД, если при формировании ответа на запрос выполняется тяжелый SELECT.
4. Атаки на бюджет. Все атаки отбили, всё работает, но платим за потраченный ресурс: количество нелегитимного трафика/запросов, мощности в облаке и т.п. Не частая история, но бывает.
Проблемы при тестировании защиты от атак на сетевом и транспортном уровне
Организовать просто, если разбираетесь в вопросе. Тут можно сделать спуфинг, а значит, не нужно большого ботнета и можно обойтись своими мощностями. Но есть риск, что если сгенерировать большой трафик, то можно положить кого-то по пути: не хватит аплинка у оператора или просто не справится мультитенантная инфраструктура: помните, кто-то делит с вами железный сервер или канал оператора.
Проблемы при тестировании защиты от атак на прикладном уровне (+ connection-flood)
Если в первом случае полноценный генератор трафика может быть ваш и полностью белый, то тут сложнее. Да, для имитации атаки можно обойтись автоматизацией в облаке и сотней адресов, но это синтетика. Во-первых, по адресам будет видно, что они принадлежат облакам/ДЦ. Во-вторых, эта сотня очень быстро попадет в чёрный список из-за RPS, которое им придется генерировать, чтобы создать какой-никакой значимый пакетрейт. Такие синтетические атаки хороши для общего понимания работы защиты, посмотреть, как работает аналитика, пройти smoke-тест и т.п. Но к реальности они имеют мало отношения.
Что же делать? Выход есть – настоящий ботнет!
Да-да. Сгенерировать максимально релевантный трафик атаки на уровне приложения можно, только используя зараженные устройства и серые схемы.
Тут и старые роутеры, которые давно не обновлялись, и ПК пользователей, которые не следят за цифровой гигиеной, и IoT-устройства, и просто взломанные серверы с несколькими десятками Гб/с пропускной способности. К серым схемам относятся покупка проксей, которые также существуют на взломанных устройствах и мобильных фермах.
В итоге тема имитации атак оказывается очень скользкой, и странно слышать заявления некоторых компаний (которые тем более при этом занимаются защитой от DDoS), что они могут помочь с тестированием и организовать любую атаку и эффективно протестировать защиту других поставщиков (что такое «эффективно» и какие последствия – см. выше).
Любая компания, которая делает защиту, должна обладать компетенцией в имитации атак, иметь свои тестовые полигоны, генераторы трафика и т.д. Но переходить грань и использовать серые/чёрные методы, платить за ботнет, фермы мобильных, прокси и так далее – значит потакать киберпреступникам.
Мне кажется, что в индустрии не зря придумали термины про белые/чёрные шляпы, и вы не можете относить себя к белым, если используете незаконные методы в своей работе.
CISO Forum прошел, появилось несколько идей для поста по итогам обсуждений и вопросов из зала.
Как правильно тестировать защиту от DDoS?
Технически всё просто. С точки зрения закона – есть вопросы. Давайте разбираться.
Чтобы понять, как тестировать, нужно определиться, какие цели могут быть у злоумышленника:
1. Пропускная способность ваших аплинков. Забиты каналы – доступа для пользователей нет. Способы известны: различные виды амплификации, DDoS со спуфингом с dedicated-серверов или ботнета. Естественно, это L3-L4 стейтлесс-флуд, тупой, но мощный.
2. Атаки на сетевой стек и сетевое оборудование/сервер. Допустим, аплинк не забили, но количество пакетов наш условный маршрутизатор переварить не может. Чаще это L3-L4 stateless-flood: syn-flood и подобные флады маленькими пакетами. Тут же, но отдельно, connection-flood, так как устанавливается сессия и нельзя использовать спуфинг. Тут либо в принципе слабое оборудование, либо атака на переполнение таблицы сессий или другого механизма, если оборудование не предназначено под высокие нагрузки (pps, соединения).
3. Атаки на приложение (всё, что выше 4-го уровня). Атаки на SSL/TLS-согласование и разнообразные атаки на HTTP. Тут можно положить как фронтящий реверс-прокси, так и приложение на бэкенде, так и БД, если при формировании ответа на запрос выполняется тяжелый SELECT.
4. Атаки на бюджет. Все атаки отбили, всё работает, но платим за потраченный ресурс: количество нелегитимного трафика/запросов, мощности в облаке и т.п. Не частая история, но бывает.
Проблемы при тестировании защиты от атак на сетевом и транспортном уровне
Организовать просто, если разбираетесь в вопросе. Тут можно сделать спуфинг, а значит, не нужно большого ботнета и можно обойтись своими мощностями. Но есть риск, что если сгенерировать большой трафик, то можно положить кого-то по пути: не хватит аплинка у оператора или просто не справится мультитенантная инфраструктура: помните, кто-то делит с вами железный сервер или канал оператора.
Проблемы при тестировании защиты от атак на прикладном уровне (+ connection-flood)
Если в первом случае полноценный генератор трафика может быть ваш и полностью белый, то тут сложнее. Да, для имитации атаки можно обойтись автоматизацией в облаке и сотней адресов, но это синтетика. Во-первых, по адресам будет видно, что они принадлежат облакам/ДЦ. Во-вторых, эта сотня очень быстро попадет в чёрный список из-за RPS, которое им придется генерировать, чтобы создать какой-никакой значимый пакетрейт. Такие синтетические атаки хороши для общего понимания работы защиты, посмотреть, как работает аналитика, пройти smoke-тест и т.п. Но к реальности они имеют мало отношения.
Что же делать? Выход есть – настоящий ботнет!
Да-да. Сгенерировать максимально релевантный трафик атаки на уровне приложения можно, только используя зараженные устройства и серые схемы.
Тут и старые роутеры, которые давно не обновлялись, и ПК пользователей, которые не следят за цифровой гигиеной, и IoT-устройства, и просто взломанные серверы с несколькими десятками Гб/с пропускной способности. К серым схемам относятся покупка проксей, которые также существуют на взломанных устройствах и мобильных фермах.
В итоге тема имитации атак оказывается очень скользкой, и странно слышать заявления некоторых компаний (которые тем более при этом занимаются защитой от DDoS), что они могут помочь с тестированием и организовать любую атаку и эффективно протестировать защиту других поставщиков (что такое «эффективно» и какие последствия – см. выше).
Любая компания, которая делает защиту, должна обладать компетенцией в имитации атак, иметь свои тестовые полигоны, генераторы трафика и т.д. Но переходить грань и использовать серые/чёрные методы, платить за ботнет, фермы мобильных, прокси и так далее – значит потакать киберпреступникам.
Мне кажется, что в индустрии не зря придумали термины про белые/чёрные шляпы, и вы не можете относить себя к белым, если используете незаконные методы в своей работе.
👍8❤7🔥4🤯1
мы только начинали погружаться в тему ИБ. В то время компания была классическим CDN-провайдером, и путь давался непросто: с технической, процессной и кадровой точек зрения мы скорее напоминали стартап на распутье.
Приятно оглянуться назад и увидеть, какой путь пройден: череда успешных проектов, преодоленные вызовы и, конечно, килограммы съеденных кактусов. Сегодня наши решения и компетенции во многом превосходят тех конкурентов, на которых мы когда-то равнялись.
🔟10 лет спустя: NGENIX на PHDays Fest
Символично, что ровно через 10 лет NGENIX стал официальным спонсором Positive Hack Days Fest, а я выступлю с докладом на любимую тему — защита веба от DDoS-атак и ботов (22 мая 16:30, зал Тьюринг).
В последний раз я участвовал в PHDays еще в доковидном формате. С тех пор событие выросло из конференции в масштабный фестиваль — уверен, в этом году будет еще интереснее.
Буду рад пообщаться! Заходите на наш стенд или ловите меня в кулуарах — обсудим безопасность, технологии и, конечно, кактусы.
https://news.1rj.ru/str/ru_websecurity/143
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
NGENIX: Всё о веб-безопасности
🎉 NGENIX — спонсор киберфестиваля Positive Hack Days!
В своем видеоприглашении Константин Чумаченко, генеральный директор NGENIX, рассказал, что интересного можно будет услышать в докладе эксперта компании, а также увидеть на их стенде.
До встречи на PHDays…
В своем видеоприглашении Константин Чумаченко, генеральный директор NGENIX, рассказал, что интересного можно будет услышать в докладе эксперта компании, а также увидеть на их стенде.
До встречи на PHDays…
🔥13❤6👍6
На что, как вы думаете, тратишь больше времени, когда работаешь на PHDays, а не отдыхаешь на пуфиках на улице?
50% – нарезаешь круги по Лужникам в поисках нужных локаций
30% – общаешься на стенде с клиентами и партнерами
10% – ищешь, где бы поесть и выпить кофе без очереди
7% – переживаешь из-за предстоящего выступления (на самом деле – постоянно)
3% – выступаешь
Сейчас понимаю, что контента вышло многовато для такого тайминга, а это лишь малая часть того, что хотел рассказать. По ощущениям, сильно гнал и не раскрыл части деталей – хотелось бы больше вдаваться в техническую сторону проблемы.
Скорее всего уже в следующий раз и на других конференциях.
https://news.1rj.ru/str/ru_websecurity/172
50% – нарезаешь круги по Лужникам в поисках нужных локаций
30% – общаешься на стенде с клиентами и партнерами
10% – ищешь, где бы поесть и выпить кофе без очереди
7% – переживаешь из-за предстоящего выступления (на самом деле – постоянно)
3% – выступаешь
Сейчас понимаю, что контента вышло многовато для такого тайминга, а это лишь малая часть того, что хотел рассказать. По ощущениям, сильно гнал и не раскрыл части деталей – хотелось бы больше вдаваться в техническую сторону проблемы.
Скорее всего уже в следующий раз и на других конференциях.
https://news.1rj.ru/str/ru_websecurity/172
Telegram
NGENIX: Всё о веб-безопасности
Принесли вам 30 минут трушного технического контента 🛠
Друзья, привет! Для всех, кто не смог послушать выступление Владимира Зайцева на PHDays 2025, принесла запись доклада.
Владимир рассказал, как выстраивать эшелонированную защиту в зависимости от…
Друзья, привет! Для всех, кто не смог послушать выступление Владимира Зайцева на PHDays 2025, принесла запись доклада.
Владимир рассказал, как выстраивать эшелонированную защиту в зависимости от…
🔥10❤4👍4
Держу в курсе: прогресс по печати вслепую
TL;DR: Полностью на слепую печать не перешел, но в большей части печатаю вслепую. Примерно 60/40.
Первый пост тут.
📝 Теперь подробно.
Я разбил обучение слепой печати на два трека: тренажер и печать вживую.
🏋️♂️ Тренажер
Уровень 1️⃣
Изучаете только буквы. Печатаете “фыва” и “олдж”, простые слова. После достижения определенного уровня точности и скорости и тренажер добавляет вам новую букву. Иногда после добавления новой клавиши скорость и точность не меняются, а иногда все показатели летят на дно. Обычно такое происходит при добавлении клавиш под самые слабые пальцы – мизинцы.
Уровень 2️⃣
Примерно пару месяцев у меня заняло открыть все клавиши. Научился набирать слова и попробовал начать печатать в реальной жизни – не получилось. Для вменяемого общения нужны знаки препинания. Добавил знаки препинания и стало еще сложнее – это верхний ряд цифр и рукам совсем неудобно, приходится сильно тянуться пальцами.
Уровень 3️⃣
Заглавные буквы. Добавление заглавных букв по началу сильно снижает скорость: Shift нужно зажимать противоположной рукой, а не как удобно было до этого. Но привыкаешь быстро.
—— Я нахожусь здесь ——
Уровень 4️⃣
Слепая печать цифр. Пока не достиг. Меньше всего требуются в обычной жизни, можно подглядеть, поэтому пока не включал в тренажере.
😭В реальности
Одно дело печатать на тренажере – с определенного момента он становится зоной комфорта и создается ложное ощущение, что в один день просто возьмешь и переключишься в работе на слепую печать, но на первой попытке меня ждало разочарование. Мозг тупит и печатаешь не так быстро: ты не видишь полностью слово, которое печатаешь, а переферийным зрением не видишь следующие слова. Бороться с этим можно только насильно заставляя себя печатать медленно вслепую. Жутко бесит, потому что переключаясь на тренажер все сразу “летит”. После недели подобных издевательств над собой у меня начался прогресс. Очень похоже на обучение игре на музыкальном инструменте – повтори 1000 раз медленно, на 1001 раз получится.
В работе, когда надо прям что-то быстро написать, могу смотреть на клавиатуру. Не факт, что напечатал бы медленнее вслепую, скорее тут просто привычка в срочных ситуациях забывать про то, что нужно заставлять себя.
Общие инсайты и советы
★ Постоянство лучше разовых сверхусилий. Лучше каждый день по 30 минут, чем 1 раз в неделю несколько часов.
★ Иногда нужно забить и отдохнуть. С удивлением обнаружил, что после отпуска печать в реальной жизни пошла лучше, хотя до отпуска я жутко мучился.
★ Может и очевидно, но нужно раньше вводить практику печати в реале, чтобы мозг привыкал быстрее.
★ Важно собрать удобное рабочее место: поставить правильно монитор, выбрать высоту стола и подставку под зяпястья, выбрать удобную клавиатуру.
🧠Немного размышлений
★ Чтобы какая-то вещь прочна вошла в вашу жизнь нужна дисциплина. С другой стороны, если вы посмотрите на мой профиль, то увидите, что в определенный момент я стал пропускать уроки. С одной стороны в определенный момент меня демотивировало отсутствие результата, с другой – стал печатать вживую и тренажер уже не так уж и нужен, к нему возвращаюсь периодически, просто размяться и вспомнить базу.
★ Я не жду быстрого результата и принял, что как придет – так придет, страраюсь получать удовольствие от процесса. В определенный момент заметил, что печатание превращается в медитацию – включаю музыку и забываю о происходящем вокруг. Хорошо переключает и настраивает на рабочий лад.
★ После занятий мозг хорошо разгоняется и хорошо включается в работу. Тут есть объяснение с научной точки зрения: развивается нейропластичность и улучшается работа префронтальной коры. Ну и вообще мелкая моторика очень полезна для мозга.
🔚 Заключение
Результатом доволен, планирую продолжать. Будет еще один пост – финальный. Профиль можно посмотреть тут.
PS. Все началось с видео, где какой-то паренек рассказал, что научился за неделю, у меня заняло немного больше 🙂
PPS. Этот текст полностью напечатал вслепую.
TL;DR: Полностью на слепую печать не перешел, но в большей части печатаю вслепую. Примерно 60/40.
Первый пост тут.
📝 Теперь подробно.
Я разбил обучение слепой печати на два трека: тренажер и печать вживую.
🏋️♂️ Тренажер
Уровень 1️⃣
Изучаете только буквы. Печатаете “фыва” и “олдж”, простые слова. После достижения определенного уровня точности и скорости и тренажер добавляет вам новую букву. Иногда после добавления новой клавиши скорость и точность не меняются, а иногда все показатели летят на дно. Обычно такое происходит при добавлении клавиш под самые слабые пальцы – мизинцы.
Уровень 2️⃣
Примерно пару месяцев у меня заняло открыть все клавиши. Научился набирать слова и попробовал начать печатать в реальной жизни – не получилось. Для вменяемого общения нужны знаки препинания. Добавил знаки препинания и стало еще сложнее – это верхний ряд цифр и рукам совсем неудобно, приходится сильно тянуться пальцами.
Уровень 3️⃣
Заглавные буквы. Добавление заглавных букв по началу сильно снижает скорость: Shift нужно зажимать противоположной рукой, а не как удобно было до этого. Но привыкаешь быстро.
—— Я нахожусь здесь ——
Уровень 4️⃣
Слепая печать цифр. Пока не достиг. Меньше всего требуются в обычной жизни, можно подглядеть, поэтому пока не включал в тренажере.
😭В реальности
Одно дело печатать на тренажере – с определенного момента он становится зоной комфорта и создается ложное ощущение, что в один день просто возьмешь и переключишься в работе на слепую печать, но на первой попытке меня ждало разочарование. Мозг тупит и печатаешь не так быстро: ты не видишь полностью слово, которое печатаешь, а переферийным зрением не видишь следующие слова. Бороться с этим можно только насильно заставляя себя печатать медленно вслепую. Жутко бесит, потому что переключаясь на тренажер все сразу “летит”. После недели подобных издевательств над собой у меня начался прогресс. Очень похоже на обучение игре на музыкальном инструменте – повтори 1000 раз медленно, на 1001 раз получится.
В работе, когда надо прям что-то быстро написать, могу смотреть на клавиатуру. Не факт, что напечатал бы медленнее вслепую, скорее тут просто привычка в срочных ситуациях забывать про то, что нужно заставлять себя.
Общие инсайты и советы
★ Постоянство лучше разовых сверхусилий. Лучше каждый день по 30 минут, чем 1 раз в неделю несколько часов.
★ Иногда нужно забить и отдохнуть. С удивлением обнаружил, что после отпуска печать в реальной жизни пошла лучше, хотя до отпуска я жутко мучился.
★ Может и очевидно, но нужно раньше вводить практику печати в реале, чтобы мозг привыкал быстрее.
★ Важно собрать удобное рабочее место: поставить правильно монитор, выбрать высоту стола и подставку под зяпястья, выбрать удобную клавиатуру.
🧠Немного размышлений
★ Чтобы какая-то вещь прочна вошла в вашу жизнь нужна дисциплина. С другой стороны, если вы посмотрите на мой профиль, то увидите, что в определенный момент я стал пропускать уроки. С одной стороны в определенный момент меня демотивировало отсутствие результата, с другой – стал печатать вживую и тренажер уже не так уж и нужен, к нему возвращаюсь периодически, просто размяться и вспомнить базу.
★ Я не жду быстрого результата и принял, что как придет – так придет, страраюсь получать удовольствие от процесса. В определенный момент заметил, что печатание превращается в медитацию – включаю музыку и забываю о происходящем вокруг. Хорошо переключает и настраивает на рабочий лад.
★ После занятий мозг хорошо разгоняется и хорошо включается в работу. Тут есть объяснение с научной точки зрения: развивается нейропластичность и улучшается работа префронтальной коры. Ну и вообще мелкая моторика очень полезна для мозга.
🔚 Заключение
Результатом доволен, планирую продолжать. Будет еще один пост – финальный. Профиль можно посмотреть тут.
PS. Все началось с видео, где какой-то паренек рассказал, что научился за неделю, у меня заняло немного больше 🙂
PPS. Этот текст полностью напечатал вслепую.
🔥6❤4👍4
Про нашумевший инцидент ИБ
Вот прямо сейчас разные "авторитетные" эксперты будут со всех сторон пинать пострадавшую компанию и писать про истинные причины.
А по факту – никто ничего не знает, а часть новости из первоисточника вообще выглядит как псайоп.
Ребятам сил вывезти эту ситуацию и стать сильнее.
Всем остальным – урок, что в наше время никогда нельзя быть полностью спокойным за свою инфру.
Вот прямо сейчас разные "авторитетные" эксперты будут со всех сторон пинать пострадавшую компанию и писать про истинные причины.
А по факту – никто ничего не знает, а часть новости из первоисточника вообще выглядит как псайоп.
Ребятам сил вывезти эту ситуацию и стать сильнее.
Всем остальным – урок, что в наше время никогда нельзя быть полностью спокойным за свою инфру.
❤14👍4😱2🔥1
Резидентные прокси это новые дропы
Интересное расследование вышло у Кребса про компанию связанную с резидентными прокси.
TL;DR
На Реддит один из пользователей написал примерно следующее:
– Провайдер резидентных прокси DSLroot платит мне 250 долларов в месяц за размещение устройств в моем доме. Они (два ноутбука) подключены к сети, отличной от той, которую мы используем в личных целях. У них есть выделенные DSL-соединения (по одному на хост). Насколько это глупо с моей стороны? Они просто сидят где-то там и платят мне. Также оплачивают счета за Интернет.
Оригинальный пост был удален, но пользователи нашли другие посты автора на сабредите про кибербез, где он пишет, что работает в US Air National Guard🤡 . В итоге Кребс выясняет, что компания DSLRoot, имеет российско-белорусские корни. Не сказать, что расследование особо примечательное, темки с резидентными прокси актуальны уже давно, хоть и сильно обострились после 22 года. Кребса же скорее всего триггернул тот факт, что корни у DSLroot из России, а пользователь с реддита работает на госслужбе США.
Меня же этот пост подтолкнул еще раз вспомнить, каким образом обычно собирается ботнет, и, в частности ботнет для прокси.
Сегодня бизнес на резидентных прокси может быть нескольких видов:
1. Черный. Создание ботнета через заражение: Pay-Per-Install на трафике со взломанных сайтов, паленое ПО на торрентах и т.п. Самые большие ботнеты тут. Они же используются и для других киберкриминальных схем, в том числе и для классического DDoS.
2. Серый. Продажа готовых ферм для мобильных прокси или железок для ШПД (вариант с ШПД – менее рентабельный, но я встречал). Считается, что такой ботнет – легальный, а дальше уже вопрос, какой трафик через него гонят. Все сервисы, которые пытаются предоставлять сервис как белый, клянутся, что блокируют пользователей использующих прокси для брутфорса/стаффинга и другого нелегитима. Сомнительно, но окей. Все риски перенесены на обладателя фермы: ему отвечать перед отделом К, ему массово закупать сим-карты.
3. Белый. Мое мнение, что таких нет. Изначальная цель резидентных – обходить ограничения. Да, юридической базы под подобные действия нет (пока?), поэтому вроде как – легально. Встает вопрос с симкартами (сейчас нельзя сделать более 20 симок на одного человека), нарушением правил использования сети у провайдеров и генерировании чрезмерного трафика на ресурсы (что можно подвести под 272.1 УК).
В итоге отсюда такое обилие сервисов вида “купи у нас ферму, подключи, купи сам симки, получай деньги”. Для сервисов проксей, которые хотят выглядеть белыми – это единственный выход. Остальное – уже скам и очевидное нарушение УК. Все это выглядит как дропшипинг, только вы доставляете трафик, а не физический товар.
Как с этим бороться?
Начал писать и понял, что уложиться в небольшой пост неполучится. Мое мнение, что нужна как регуляторная история, так и определенное развитие технологий: со стороны государства что-то типа социального рейтинга в Интернете, со стороны провайдеров – возможность идентифицировать пользователя каким-то образом по IP (давать вычислять по IP, ага) и дальше получать/влиять на его рейтинг.
Вот такое вот нас ждет будущее. Если это для вас выглядит дико, то вспомните вот что🤔 :
1. До 2014 года сим-карту можно было купить без предъявления паспорта в любом ларьке. В результате бывают вот такие истории про миллионы симкарт на нескольких человек.
2. Операторов сотовой связи обязали регистрировать все короткие номера + стали жестко наказывать за СМС-спам.
3. Публичный wifi. Раньше можно было запросто подключиться в любом маке (и дать поснифать свой трафик), а сейчас – будь добр, подтверди личность.
4. До 2012 года можно было зарегистрироваться в соцсети без мобильного телефона, сейчас – нет. Вообще попробуйте без телефона где-то зарегистрироваться.
Интересное расследование вышло у Кребса про компанию связанную с резидентными прокси.
TL;DR
На Реддит один из пользователей написал примерно следующее:
– Провайдер резидентных прокси DSLroot платит мне 250 долларов в месяц за размещение устройств в моем доме. Они (два ноутбука) подключены к сети, отличной от той, которую мы используем в личных целях. У них есть выделенные DSL-соединения (по одному на хост). Насколько это глупо с моей стороны? Они просто сидят где-то там и платят мне. Также оплачивают счета за Интернет.
Оригинальный пост был удален, но пользователи нашли другие посты автора на сабредите про кибербез, где он пишет, что работает в US Air National Guard
Меня же этот пост подтолкнул еще раз вспомнить, каким образом обычно собирается ботнет, и, в частности ботнет для прокси.
Сегодня бизнес на резидентных прокси может быть нескольких видов:
1. Черный. Создание ботнета через заражение: Pay-Per-Install на трафике со взломанных сайтов, паленое ПО на торрентах и т.п. Самые большие ботнеты тут. Они же используются и для других киберкриминальных схем, в том числе и для классического DDoS.
2. Серый. Продажа готовых ферм для мобильных прокси или железок для ШПД (вариант с ШПД – менее рентабельный, но я встречал). Считается, что такой ботнет – легальный, а дальше уже вопрос, какой трафик через него гонят. Все сервисы, которые пытаются предоставлять сервис как белый, клянутся, что блокируют пользователей использующих прокси для брутфорса/стаффинга и другого нелегитима. Сомнительно, но окей. Все риски перенесены на обладателя фермы: ему отвечать перед отделом К, ему массово закупать сим-карты.
3. Белый. Мое мнение, что таких нет. Изначальная цель резидентных – обходить ограничения. Да, юридической базы под подобные действия нет (пока?), поэтому вроде как – легально. Встает вопрос с симкартами (сейчас нельзя сделать более 20 симок на одного человека), нарушением правил использования сети у провайдеров и генерировании чрезмерного трафика на ресурсы (что можно подвести под 272.1 УК).
В итоге отсюда такое обилие сервисов вида “купи у нас ферму, подключи, купи сам симки, получай деньги”. Для сервисов проксей, которые хотят выглядеть белыми – это единственный выход. Остальное – уже скам и очевидное нарушение УК. Все это выглядит как дропшипинг, только вы доставляете трафик, а не физический товар.
Как с этим бороться?
Начал писать и понял, что уложиться в небольшой пост неполучится. Мое мнение, что нужна как регуляторная история, так и определенное развитие технологий: со стороны государства что-то типа социального рейтинга в Интернете, со стороны провайдеров – возможность идентифицировать пользователя каким-то образом по IP (давать вычислять по IP, ага) и дальше получать/влиять на его рейтинг.
Вот такое вот нас ждет будущее. Если это для вас выглядит дико, то вспомните вот что
1. До 2014 года сим-карту можно было купить без предъявления паспорта в любом ларьке. В результате бывают вот такие истории про миллионы симкарт на нескольких человек.
2. Операторов сотовой связи обязали регистрировать все короткие номера + стали жестко наказывать за СМС-спам.
3. Публичный wifi. Раньше можно было запросто подключиться в любом маке (и дать поснифать свой трафик), а сейчас – будь добр, подтверди личность.
4. До 2012 года можно было зарегистрироваться в соцсети без мобильного телефона, сейчас – нет. Вообще попробуйте без телефона где-то зарегистрироваться.
Please open Telegram to view this post
VIEW IN TELEGRAM
Krebs on Security
DSLRoot, Proxies, and the Threat of ‘Legal Botnets’
The cybersecurity community on Reddit responded in disbelief this month when a self-described Air National Guard member with top secret security clearance began questioning the arrangement they'd made with company called DSLRoot, which was paying $250 a month…
👍6🔥3❤2
рассказал, почему автоматизированный трафик занимает половину всего трафика Интернета, кто платит за это, а кто извлекает выгоду + немного про опыт NGENIX в борьбе с нелегитимом.
https://securitymedia.org/articles/interview/vladimir-zaytsev-zamestitel-tekhnicheskogo-direktora-ngenix-poka-est-internet-vsegda-budut-popytki-n.html?erid=2SDnjeiqQez
Please open Telegram to view this post
VIEW IN TELEGRAM
securitymedia.org
Владимир Зайцев, заместитель технического директора NGENIX: Пока существует Интернет, всегда будут попытки недобросовестно нажиться…
Специалисты по ИБ и киберпреступники находятся в постоянном соперничестве — кто кого победит в текущем «раунде», окажется ли «броня» крепче «снаряда». Один из таких «снарядов» это DDoS-атаки, которые не теряют своей актуальности и опасности для бизнеса. Как…
❤5🔥5👍3
Хорошие новости для тех, кто борется преступностью в Интернете во всех ee проявлениях
С 1 ноября вступают в силу изменения в федеральный закон “О связи”: теперь нельзя оформить больше 20 симок на одного человека (не более 10 шт для иностранцев).
Что это означает?
1. Будет сложнее массово регистрировать учетки на различных сервисах. Верификация по номеру уже стандарт для любого уважающего себя сервиса. Про ГИС, соцсети и интернет-магазины я вообще молчу. Теоретически это снизит количество автоматического контента: каменты, лайки, бот-аккаунты.
2. Сложнее будет использовать фермы для прокси. Можно, но придется искать людей, на которых можно оформить симку. Учитывая, что фермы на 50 телефонов уже норма, придется сильно постараться, чтобы не потерять в мощностях.
3. Ужесточение контроля в целом повлияет на черную и серую активности: дропы, обнал, крипта и подобное. Вспомнить хотя бы те же коллцентры в местах с определенным режимом.
И еще интересное: для иностранцев необходимо личное присутствие в салоне связи и привязка IMEI к номеру. А, например, в Казахстане привязка IMEI к номеру действует уже давно для всех без исключения. Думаю, что это ждет и нас в недалеком будущем.
Так ли все радужно?
Врядли операторы будут рады вот так просто расстаться с частью своей выручки. Было бы интересно посмотреть, какую часть выручки занимают подобные абоненты с несколькими симками. Руки так и просятся написать селект. Очень хочется верить, что у регулятора будет механизм выявления нарушений со стороны операторов и немедленного их наказания.
Как мы помним, операторы очень любят придумывать новые интересные способы увеличения ARPU, вот интересные расследования, про которые важно помнить:
- раз (https://habr.com/ru/articles/448530/),
- два (https://habr.com/ru/articles/550448/),
- три (https://habr.com/ru/articles/756230/).
Возможные негативные сценарии
1. Операторы забьют и не будут блокировать. Или будут, но не сразу.
2. Ограничение на 20 симок можно будет обойти, найдя какую-нибудь дырку в законе. Сомнительно, но кто знает.
3. Использовать социально незащищенные части населения (читай бомжей) и регистрировать на них по 20 симок за бутылку водки.
4. Тоже самое, только с приезжими.
5. Да еще миллион вариантов, не в первый раз что-то запрещают.
Как минимум страдальческие стоны о поиске новых вариантов уже слышны на известных формах любителей по-быстрому заработать на разных интернет-темках. Ждем новостей.
Выводы
Государство взялось за регулирование тогда, когда это стало проблемой для государства: терроризм, мошенничество, уход от налогов. Это все к тому, что когда вы не понимаете, почему государство не принимает законов для решения проблемы, скорее всего это не проблема для государства. Сейчас, учитывая весь внешний и внутренний контекст, анонимность стала ой какой большой проблемой.
Двигаемся в сторону Интернета по паспорту, но про это напишу отдельно. Или запишу видео.
PS. Оформленные на себя симки можно посмотреть на Госуслугах.
С 1 ноября вступают в силу изменения в федеральный закон “О связи”: теперь нельзя оформить больше 20 симок на одного человека (не более 10 шт для иностранцев).
Что это означает?
1. Будет сложнее массово регистрировать учетки на различных сервисах. Верификация по номеру уже стандарт для любого уважающего себя сервиса. Про ГИС, соцсети и интернет-магазины я вообще молчу. Теоретически это снизит количество автоматического контента: каменты, лайки, бот-аккаунты.
2. Сложнее будет использовать фермы для прокси. Можно, но придется искать людей, на которых можно оформить симку. Учитывая, что фермы на 50 телефонов уже норма, придется сильно постараться, чтобы не потерять в мощностях.
3. Ужесточение контроля в целом повлияет на черную и серую активности: дропы, обнал, крипта и подобное. Вспомнить хотя бы те же коллцентры в местах с определенным режимом.
И еще интересное: для иностранцев необходимо личное присутствие в салоне связи и привязка IMEI к номеру. А, например, в Казахстане привязка IMEI к номеру действует уже давно для всех без исключения. Думаю, что это ждет и нас в недалеком будущем.
Так ли все радужно?
Врядли операторы будут рады вот так просто расстаться с частью своей выручки. Было бы интересно посмотреть, какую часть выручки занимают подобные абоненты с несколькими симками. Руки так и просятся написать селект. Очень хочется верить, что у регулятора будет механизм выявления нарушений со стороны операторов и немедленного их наказания.
Как мы помним, операторы очень любят придумывать новые интересные способы увеличения ARPU, вот интересные расследования, про которые важно помнить:
- раз (https://habr.com/ru/articles/448530/),
- два (https://habr.com/ru/articles/550448/),
- три (https://habr.com/ru/articles/756230/).
Возможные негативные сценарии
1. Операторы забьют и не будут блокировать. Или будут, но не сразу.
2. Ограничение на 20 симок можно будет обойти, найдя какую-нибудь дырку в законе. Сомнительно, но кто знает.
3. Использовать социально незащищенные части населения (читай бомжей) и регистрировать на них по 20 симок за бутылку водки.
4. Тоже самое, только с приезжими.
5. Да еще миллион вариантов, не в первый раз что-то запрещают.
Как минимум страдальческие стоны о поиске новых вариантов уже слышны на известных формах любителей по-быстрому заработать на разных интернет-темках. Ждем новостей.
Выводы
Государство взялось за регулирование тогда, когда это стало проблемой для государства: терроризм, мошенничество, уход от налогов. Это все к тому, что когда вы не понимаете, почему государство не принимает законов для решения проблемы, скорее всего это не проблема для государства. Сейчас, учитывая весь внешний и внутренний контекст, анонимность стала ой какой большой проблемой.
Двигаемся в сторону Интернета по паспорту, но про это напишу отдельно. Или запишу видео.
PS. Оформленные на себя симки можно посмотреть на Госуслугах.
Интерфакс
Глава Минцифры рассказал об оформленных на 56 человек 1,2 млн сим-карт
Глава Минцифры РФ сообщил о выявлении 56 человек, на которых оформлено 1,2 млн сим-карт, и предложил правоохранительным органам обратить внимание на этих абонентов."Хотел бы обратить внимание, что мы выявили 56 человек, на которых оформлено 1,2 млн активных…
🔥8👍6❤2🤔1
300 откликов по вакансии за час
Вчера повесили вакансию на миддл ПМ к нам в дирекцию. Через час мне написали, что уже около 300 откликов и страшно, что будет дальше.
Это я к тому, что есть большая разница между тем, когда ты слышишь, что на рынке кризис, и тем, когда ты своими глазами видишь проявления этого кризиса. Меня это впечатилило и я решил описать свои ощущения об индустрии на примере ипотечного кризиса 2008 года.
ИТ-индустрия и ипотечный кризис 2008 года
Люблю находить красивые аналогии, а может даже притягивать их за уши. Они от этого не становятся менее красивыми.
Есть такой фильм – “Игра на понижение” (The Big Short). В нем рассказывается про ипотечный кризис 2008 года и как банки и заемщики к нему пришли.
Если коротко: банки массово выдавали кредиты неплатежеспособным заемщикам, на эти кредиты выпускали облигации, продавали их другим банкам, придумывали другие финансовые инструменты, которые также продавали друг другу (как никогда уместна аналогия с ИИ и трижды перевареным говном). В итоге в экономке вертелась куча виртуальных инструментов, неподкрепленных реальными деньгами, а потом в определенный момент все вдруг по цепочке рухнуло.
Вся эта история произошла из-за следующих вещей:
1. Ипотечные кредиты. Само по себе как бы не зло, но с них все началось.
2. Облигации на ипотечные кредиты – MBS (Mortgage-Backed Securities). Банки придумали облигации, чтобы продавать обязательства по кредитам другим банкам в промышленных масштабах и получать деньги прямо сейчас.
3. Выдача ипотечных кредитов неплатежеспособным. На обязательствах по кредитам (облигации MBS) банки стали делать огромные деньги, и хотелось делать еще больше и нужно было еще больше облигаций. Откуда их взять? Выдавать кредиты всем, кому попало.
4. CDO (Collateralized Debt Obligation) – новый виртуальный финансовый инструмент. Набор из нескольких MBS, поделенных по уровням риска: AAA, BBB и CCC, в порядке увеличения риска невыплаты. При этом если внутри конкретного CDO были одни только плохие кредиты (англ subprime-кредиты), рейтинговые агентства все равно ставили верхнему слою CDO высший рейтинг ААА, как у государственных облигаций.
5. Синтетические CDO – ставка на то, обанкротится ли CDO или нет. Понимаете какой уже уровень финансовой шизы? Виртуальный инструмент на виртуальном инструменте.
6. CDS (Credit Default Swap) – страховка. Вы платите страховой за страховку CDO, если CDO банкротится – вы получаете деньги. То, на чем в итоге и заработал герой Бейла в фильме.
Похожая цепочка сейчас и в ИТ. Индустрия вдруг поняла, что есть потребность в большем количестве технарей (считай ипотек) и стала клепать их из subprime-специалистов, у которых мало опыта (считай неплатежеспособны и не выполнят обязательств по работе), либо опыта вообще нет и он накручен.
Дальше появляются те, кто ставит на поток создание таких специалистов. Т.е. создают своего рода облигации и CDO, только вместо ипотек – программисты и инженеры.
⬇️⬇️⬇️
Вчера повесили вакансию на миддл ПМ к нам в дирекцию. Через час мне написали, что уже около 300 откликов и страшно, что будет дальше.
Это я к тому, что есть большая разница между тем, когда ты слышишь, что на рынке кризис, и тем, когда ты своими глазами видишь проявления этого кризиса. Меня это впечатилило и я решил описать свои ощущения об индустрии на примере ипотечного кризиса 2008 года.
ИТ-индустрия и ипотечный кризис 2008 года
Люблю находить красивые аналогии, а может даже притягивать их за уши. Они от этого не становятся менее красивыми.
Есть такой фильм – “Игра на понижение” (The Big Short). В нем рассказывается про ипотечный кризис 2008 года и как банки и заемщики к нему пришли.
Если коротко: банки массово выдавали кредиты неплатежеспособным заемщикам, на эти кредиты выпускали облигации, продавали их другим банкам, придумывали другие финансовые инструменты, которые также продавали друг другу (как никогда уместна аналогия с ИИ и трижды перевареным говном). В итоге в экономке вертелась куча виртуальных инструментов, неподкрепленных реальными деньгами, а потом в определенный момент все вдруг по цепочке рухнуло.
Вся эта история произошла из-за следующих вещей:
1. Ипотечные кредиты. Само по себе как бы не зло, но с них все началось.
2. Облигации на ипотечные кредиты – MBS (Mortgage-Backed Securities). Банки придумали облигации, чтобы продавать обязательства по кредитам другим банкам в промышленных масштабах и получать деньги прямо сейчас.
3. Выдача ипотечных кредитов неплатежеспособным. На обязательствах по кредитам (облигации MBS) банки стали делать огромные деньги, и хотелось делать еще больше и нужно было еще больше облигаций. Откуда их взять? Выдавать кредиты всем, кому попало.
4. CDO (Collateralized Debt Obligation) – новый виртуальный финансовый инструмент. Набор из нескольких MBS, поделенных по уровням риска: AAA, BBB и CCC, в порядке увеличения риска невыплаты. При этом если внутри конкретного CDO были одни только плохие кредиты (англ subprime-кредиты), рейтинговые агентства все равно ставили верхнему слою CDO высший рейтинг ААА, как у государственных облигаций.
5. Синтетические CDO – ставка на то, обанкротится ли CDO или нет. Понимаете какой уже уровень финансовой шизы? Виртуальный инструмент на виртуальном инструменте.
6. CDS (Credit Default Swap) – страховка. Вы платите страховой за страховку CDO, если CDO банкротится – вы получаете деньги. То, на чем в итоге и заработал герой Бейла в фильме.
Похожая цепочка сейчас и в ИТ. Индустрия вдруг поняла, что есть потребность в большем количестве технарей (считай ипотек) и стала клепать их из subprime-специалистов, у которых мало опыта (считай неплатежеспособны и не выполнят обязательств по работе), либо опыта вообще нет и он накручен.
Дальше появляются те, кто ставит на поток создание таких специалистов. Т.е. создают своего рода облигации и CDO, только вместо ипотек – программисты и инженеры.
⬇️⬇️⬇️
🔥8👍2❤1