Короткие инсайты после эфира AMLive и впреддверии CISO Forum:
1. Защита от DDoS это уже комодити услуга. У всех крупных облачных провайдеров свои собственные разработки, а мелкие покупают у крупных.
2. Производители оборудования и облака спорят как лучше, а по факту они все про разное. Есть своя автономка или нужно защищать свои инфру – покупай железки и каналы. Нужно защитить конкретное веб-приложение и можешь принимать сам решение по его защите – купи защиту в облаке. Варианты можно комбинировать, если требует ситуация или регулятор.
3. Среди множества обещаний терабитов пропускной способности (и отбитых атак) выбирать поставщика нужно по референсу и операционному опыту. ГИС, еком, гейминг – это все разный контекст и разный опыт. Посмотрите, кто что из ваших коллег-конкурентов использует и оттолкнитесь от этого. Покупать защиту у поставщика, где рядом хостится серый бизнес (казино, пиратские гейм-сервера и т.п.) если вы еком или тем более ГИС – обрекать себя на риск быть задетым “осколками” от атаки на других. Ну и наоборот. Нужно защитить свой сервер Майнкрафта – иди к тем, кто умеет это готовить.
4. Не надейтесь и не верьте обещаниям, что защита всегда работает идеально и по кнопке. Хуже всего, это игнорировать дыры в своем ПО/инфраструктуре и бизнес-логике и надеяться только на облако/железку. Особенно актуально в защите от ботов, где иногда проблема снимается раз и навсегда изменением бизнес-логики. Ну и сюда же истории про “пропустили на 50 rps больше, бэкенд сложился” – не надо так, надо уметь держать всплески трафика.
5. Часть атак вовсе и не DDoS, а активность “мертвого интернета”: парсеры, поисковые боты и индексация, да в конце концов ваши маркетологи запустили акцию в мессенджерах и пользователи побежали покупать. А еще может прилечь какой-нибудь популярный зеленый мессенджер, а пользователи думают, что у них закончился Интернет и идут проверять баланс в кабинет оператора. Как результат – несколько десятков тысяч легитимных RPS и вот вы уже лежите.
6. Качество и опыт защиты от DDoS в России выше, чем на западе, особенно последние годы, по понятным причинам. Это и про облака и про он-прем решения. Что касается облаков, то тут есть нюанс по комплексности услуг, но кажется есть шанс нагнать западные аналоги даже в случае вероятной отмены санкций и возвращения западных компании.
В остальном DDoS остается эффективным инструментом, которым продолжают пользоваться. Так что нужно уметь правильно готовиться к его приходу.
ℹ️PS. Буду рассказывать о худших практиках при защите от DDoS на CISO Forum, который пройдет в Москве 10 апреля – https://infosecurity-forum.ru/program/24228/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤5👍3
Почему нельзя полноценно протестировать защиту от DDoS, не нарушив закон
CISO Forum прошел, появилось несколько идей для поста по итогам обсуждений и вопросов из зала.
Как правильно тестировать защиту от DDoS?
Технически всё просто. С точки зрения закона – есть вопросы. Давайте разбираться.
Чтобы понять, как тестировать, нужно определиться, какие цели могут быть у злоумышленника:
1. Пропускная способность ваших аплинков. Забиты каналы – доступа для пользователей нет. Способы известны: различные виды амплификации, DDoS со спуфингом с dedicated-серверов или ботнета. Естественно, это L3-L4 стейтлесс-флуд, тупой, но мощный.
2. Атаки на сетевой стек и сетевое оборудование/сервер. Допустим, аплинк не забили, но количество пакетов наш условный маршрутизатор переварить не может. Чаще это L3-L4 stateless-flood: syn-flood и подобные флады маленькими пакетами. Тут же, но отдельно, connection-flood, так как устанавливается сессия и нельзя использовать спуфинг. Тут либо в принципе слабое оборудование, либо атака на переполнение таблицы сессий или другого механизма, если оборудование не предназначено под высокие нагрузки (pps, соединения).
3. Атаки на приложение (всё, что выше 4-го уровня). Атаки на SSL/TLS-согласование и разнообразные атаки на HTTP. Тут можно положить как фронтящий реверс-прокси, так и приложение на бэкенде, так и БД, если при формировании ответа на запрос выполняется тяжелый SELECT.
4. Атаки на бюджет. Все атаки отбили, всё работает, но платим за потраченный ресурс: количество нелегитимного трафика/запросов, мощности в облаке и т.п. Не частая история, но бывает.
Проблемы при тестировании защиты от атак на сетевом и транспортном уровне
Организовать просто, если разбираетесь в вопросе. Тут можно сделать спуфинг, а значит, не нужно большого ботнета и можно обойтись своими мощностями. Но есть риск, что если сгенерировать большой трафик, то можно положить кого-то по пути: не хватит аплинка у оператора или просто не справится мультитенантная инфраструктура: помните, кто-то делит с вами железный сервер или канал оператора.
Проблемы при тестировании защиты от атак на прикладном уровне (+ connection-flood)
Если в первом случае полноценный генератор трафика может быть ваш и полностью белый, то тут сложнее. Да, для имитации атаки можно обойтись автоматизацией в облаке и сотней адресов, но это синтетика. Во-первых, по адресам будет видно, что они принадлежат облакам/ДЦ. Во-вторых, эта сотня очень быстро попадет в чёрный список из-за RPS, которое им придется генерировать, чтобы создать какой-никакой значимый пакетрейт. Такие синтетические атаки хороши для общего понимания работы защиты, посмотреть, как работает аналитика, пройти smoke-тест и т.п. Но к реальности они имеют мало отношения.
Что же делать? Выход есть – настоящий ботнет!
Да-да. Сгенерировать максимально релевантный трафик атаки на уровне приложения можно, только используя зараженные устройства и серые схемы.
Тут и старые роутеры, которые давно не обновлялись, и ПК пользователей, которые не следят за цифровой гигиеной, и IoT-устройства, и просто взломанные серверы с несколькими десятками Гб/с пропускной способности. К серым схемам относятся покупка проксей, которые также существуют на взломанных устройствах и мобильных фермах.
В итоге тема имитации атак оказывается очень скользкой, и странно слышать заявления некоторых компаний (которые тем более при этом занимаются защитой от DDoS), что они могут помочь с тестированием и организовать любую атаку и эффективно протестировать защиту других поставщиков (что такое «эффективно» и какие последствия – см. выше).
Любая компания, которая делает защиту, должна обладать компетенцией в имитации атак, иметь свои тестовые полигоны, генераторы трафика и т.д. Но переходить грань и использовать серые/чёрные методы, платить за ботнет, фермы мобильных, прокси и так далее – значит потакать киберпреступникам.
Мне кажется, что в индустрии не зря придумали термины про белые/чёрные шляпы, и вы не можете относить себя к белым, если используете незаконные методы в своей работе.
CISO Forum прошел, появилось несколько идей для поста по итогам обсуждений и вопросов из зала.
Как правильно тестировать защиту от DDoS?
Технически всё просто. С точки зрения закона – есть вопросы. Давайте разбираться.
Чтобы понять, как тестировать, нужно определиться, какие цели могут быть у злоумышленника:
1. Пропускная способность ваших аплинков. Забиты каналы – доступа для пользователей нет. Способы известны: различные виды амплификации, DDoS со спуфингом с dedicated-серверов или ботнета. Естественно, это L3-L4 стейтлесс-флуд, тупой, но мощный.
2. Атаки на сетевой стек и сетевое оборудование/сервер. Допустим, аплинк не забили, но количество пакетов наш условный маршрутизатор переварить не может. Чаще это L3-L4 stateless-flood: syn-flood и подобные флады маленькими пакетами. Тут же, но отдельно, connection-flood, так как устанавливается сессия и нельзя использовать спуфинг. Тут либо в принципе слабое оборудование, либо атака на переполнение таблицы сессий или другого механизма, если оборудование не предназначено под высокие нагрузки (pps, соединения).
3. Атаки на приложение (всё, что выше 4-го уровня). Атаки на SSL/TLS-согласование и разнообразные атаки на HTTP. Тут можно положить как фронтящий реверс-прокси, так и приложение на бэкенде, так и БД, если при формировании ответа на запрос выполняется тяжелый SELECT.
4. Атаки на бюджет. Все атаки отбили, всё работает, но платим за потраченный ресурс: количество нелегитимного трафика/запросов, мощности в облаке и т.п. Не частая история, но бывает.
Проблемы при тестировании защиты от атак на сетевом и транспортном уровне
Организовать просто, если разбираетесь в вопросе. Тут можно сделать спуфинг, а значит, не нужно большого ботнета и можно обойтись своими мощностями. Но есть риск, что если сгенерировать большой трафик, то можно положить кого-то по пути: не хватит аплинка у оператора или просто не справится мультитенантная инфраструктура: помните, кто-то делит с вами железный сервер или канал оператора.
Проблемы при тестировании защиты от атак на прикладном уровне (+ connection-flood)
Если в первом случае полноценный генератор трафика может быть ваш и полностью белый, то тут сложнее. Да, для имитации атаки можно обойтись автоматизацией в облаке и сотней адресов, но это синтетика. Во-первых, по адресам будет видно, что они принадлежат облакам/ДЦ. Во-вторых, эта сотня очень быстро попадет в чёрный список из-за RPS, которое им придется генерировать, чтобы создать какой-никакой значимый пакетрейт. Такие синтетические атаки хороши для общего понимания работы защиты, посмотреть, как работает аналитика, пройти smoke-тест и т.п. Но к реальности они имеют мало отношения.
Что же делать? Выход есть – настоящий ботнет!
Да-да. Сгенерировать максимально релевантный трафик атаки на уровне приложения можно, только используя зараженные устройства и серые схемы.
Тут и старые роутеры, которые давно не обновлялись, и ПК пользователей, которые не следят за цифровой гигиеной, и IoT-устройства, и просто взломанные серверы с несколькими десятками Гб/с пропускной способности. К серым схемам относятся покупка проксей, которые также существуют на взломанных устройствах и мобильных фермах.
В итоге тема имитации атак оказывается очень скользкой, и странно слышать заявления некоторых компаний (которые тем более при этом занимаются защитой от DDoS), что они могут помочь с тестированием и организовать любую атаку и эффективно протестировать защиту других поставщиков (что такое «эффективно» и какие последствия – см. выше).
Любая компания, которая делает защиту, должна обладать компетенцией в имитации атак, иметь свои тестовые полигоны, генераторы трафика и т.д. Но переходить грань и использовать серые/чёрные методы, платить за ботнет, фермы мобильных, прокси и так далее – значит потакать киберпреступникам.
Мне кажется, что в индустрии не зря придумали термины про белые/чёрные шляпы, и вы не можете относить себя к белым, если используете незаконные методы в своей работе.
👍8❤7🔥4🤯1
мы только начинали погружаться в тему ИБ. В то время компания была классическим CDN-провайдером, и путь давался непросто: с технической, процессной и кадровой точек зрения мы скорее напоминали стартап на распутье.
Приятно оглянуться назад и увидеть, какой путь пройден: череда успешных проектов, преодоленные вызовы и, конечно, килограммы съеденных кактусов. Сегодня наши решения и компетенции во многом превосходят тех конкурентов, на которых мы когда-то равнялись.
🔟10 лет спустя: NGENIX на PHDays Fest
Символично, что ровно через 10 лет NGENIX стал официальным спонсором Positive Hack Days Fest, а я выступлю с докладом на любимую тему — защита веба от DDoS-атак и ботов (22 мая 16:30, зал Тьюринг).
В последний раз я участвовал в PHDays еще в доковидном формате. С тех пор событие выросло из конференции в масштабный фестиваль — уверен, в этом году будет еще интереснее.
Буду рад пообщаться! Заходите на наш стенд или ловите меня в кулуарах — обсудим безопасность, технологии и, конечно, кактусы.
https://news.1rj.ru/str/ru_websecurity/143
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
NGENIX: Всё о веб-безопасности
🎉 NGENIX — спонсор киберфестиваля Positive Hack Days!
В своем видеоприглашении Константин Чумаченко, генеральный директор NGENIX, рассказал, что интересного можно будет услышать в докладе эксперта компании, а также увидеть на их стенде.
До встречи на PHDays…
В своем видеоприглашении Константин Чумаченко, генеральный директор NGENIX, рассказал, что интересного можно будет услышать в докладе эксперта компании, а также увидеть на их стенде.
До встречи на PHDays…
🔥13❤6👍6
На что, как вы думаете, тратишь больше времени, когда работаешь на PHDays, а не отдыхаешь на пуфиках на улице?
50% – нарезаешь круги по Лужникам в поисках нужных локаций
30% – общаешься на стенде с клиентами и партнерами
10% – ищешь, где бы поесть и выпить кофе без очереди
7% – переживаешь из-за предстоящего выступления (на самом деле – постоянно)
3% – выступаешь
Сейчас понимаю, что контента вышло многовато для такого тайминга, а это лишь малая часть того, что хотел рассказать. По ощущениям, сильно гнал и не раскрыл части деталей – хотелось бы больше вдаваться в техническую сторону проблемы.
Скорее всего уже в следующий раз и на других конференциях.
https://news.1rj.ru/str/ru_websecurity/172
50% – нарезаешь круги по Лужникам в поисках нужных локаций
30% – общаешься на стенде с клиентами и партнерами
10% – ищешь, где бы поесть и выпить кофе без очереди
7% – переживаешь из-за предстоящего выступления (на самом деле – постоянно)
3% – выступаешь
Сейчас понимаю, что контента вышло многовато для такого тайминга, а это лишь малая часть того, что хотел рассказать. По ощущениям, сильно гнал и не раскрыл части деталей – хотелось бы больше вдаваться в техническую сторону проблемы.
Скорее всего уже в следующий раз и на других конференциях.
https://news.1rj.ru/str/ru_websecurity/172
Telegram
NGENIX: Всё о веб-безопасности
Принесли вам 30 минут трушного технического контента 🛠
Друзья, привет! Для всех, кто не смог послушать выступление Владимира Зайцева на PHDays 2025, принесла запись доклада.
Владимир рассказал, как выстраивать эшелонированную защиту в зависимости от…
Друзья, привет! Для всех, кто не смог послушать выступление Владимира Зайцева на PHDays 2025, принесла запись доклада.
Владимир рассказал, как выстраивать эшелонированную защиту в зависимости от…
🔥10❤4👍4
Держу в курсе: прогресс по печати вслепую
TL;DR: Полностью на слепую печать не перешел, но в большей части печатаю вслепую. Примерно 60/40.
Первый пост тут.
📝 Теперь подробно.
Я разбил обучение слепой печати на два трека: тренажер и печать вживую.
🏋️♂️ Тренажер
Уровень 1️⃣
Изучаете только буквы. Печатаете “фыва” и “олдж”, простые слова. После достижения определенного уровня точности и скорости и тренажер добавляет вам новую букву. Иногда после добавления новой клавиши скорость и точность не меняются, а иногда все показатели летят на дно. Обычно такое происходит при добавлении клавиш под самые слабые пальцы – мизинцы.
Уровень 2️⃣
Примерно пару месяцев у меня заняло открыть все клавиши. Научился набирать слова и попробовал начать печатать в реальной жизни – не получилось. Для вменяемого общения нужны знаки препинания. Добавил знаки препинания и стало еще сложнее – это верхний ряд цифр и рукам совсем неудобно, приходится сильно тянуться пальцами.
Уровень 3️⃣
Заглавные буквы. Добавление заглавных букв по началу сильно снижает скорость: Shift нужно зажимать противоположной рукой, а не как удобно было до этого. Но привыкаешь быстро.
—— Я нахожусь здесь ——
Уровень 4️⃣
Слепая печать цифр. Пока не достиг. Меньше всего требуются в обычной жизни, можно подглядеть, поэтому пока не включал в тренажере.
😭В реальности
Одно дело печатать на тренажере – с определенного момента он становится зоной комфорта и создается ложное ощущение, что в один день просто возьмешь и переключишься в работе на слепую печать, но на первой попытке меня ждало разочарование. Мозг тупит и печатаешь не так быстро: ты не видишь полностью слово, которое печатаешь, а переферийным зрением не видишь следующие слова. Бороться с этим можно только насильно заставляя себя печатать медленно вслепую. Жутко бесит, потому что переключаясь на тренажер все сразу “летит”. После недели подобных издевательств над собой у меня начался прогресс. Очень похоже на обучение игре на музыкальном инструменте – повтори 1000 раз медленно, на 1001 раз получится.
В работе, когда надо прям что-то быстро написать, могу смотреть на клавиатуру. Не факт, что напечатал бы медленнее вслепую, скорее тут просто привычка в срочных ситуациях забывать про то, что нужно заставлять себя.
Общие инсайты и советы
★ Постоянство лучше разовых сверхусилий. Лучше каждый день по 30 минут, чем 1 раз в неделю несколько часов.
★ Иногда нужно забить и отдохнуть. С удивлением обнаружил, что после отпуска печать в реальной жизни пошла лучше, хотя до отпуска я жутко мучился.
★ Может и очевидно, но нужно раньше вводить практику печати в реале, чтобы мозг привыкал быстрее.
★ Важно собрать удобное рабочее место: поставить правильно монитор, выбрать высоту стола и подставку под зяпястья, выбрать удобную клавиатуру.
🧠Немного размышлений
★ Чтобы какая-то вещь прочна вошла в вашу жизнь нужна дисциплина. С другой стороны, если вы посмотрите на мой профиль, то увидите, что в определенный момент я стал пропускать уроки. С одной стороны в определенный момент меня демотивировало отсутствие результата, с другой – стал печатать вживую и тренажер уже не так уж и нужен, к нему возвращаюсь периодически, просто размяться и вспомнить базу.
★ Я не жду быстрого результата и принял, что как придет – так придет, страраюсь получать удовольствие от процесса. В определенный момент заметил, что печатание превращается в медитацию – включаю музыку и забываю о происходящем вокруг. Хорошо переключает и настраивает на рабочий лад.
★ После занятий мозг хорошо разгоняется и хорошо включается в работу. Тут есть объяснение с научной точки зрения: развивается нейропластичность и улучшается работа префронтальной коры. Ну и вообще мелкая моторика очень полезна для мозга.
🔚 Заключение
Результатом доволен, планирую продолжать. Будет еще один пост – финальный. Профиль можно посмотреть тут.
PS. Все началось с видео, где какой-то паренек рассказал, что научился за неделю, у меня заняло немного больше 🙂
PPS. Этот текст полностью напечатал вслепую.
TL;DR: Полностью на слепую печать не перешел, но в большей части печатаю вслепую. Примерно 60/40.
Первый пост тут.
📝 Теперь подробно.
Я разбил обучение слепой печати на два трека: тренажер и печать вживую.
🏋️♂️ Тренажер
Уровень 1️⃣
Изучаете только буквы. Печатаете “фыва” и “олдж”, простые слова. После достижения определенного уровня точности и скорости и тренажер добавляет вам новую букву. Иногда после добавления новой клавиши скорость и точность не меняются, а иногда все показатели летят на дно. Обычно такое происходит при добавлении клавиш под самые слабые пальцы – мизинцы.
Уровень 2️⃣
Примерно пару месяцев у меня заняло открыть все клавиши. Научился набирать слова и попробовал начать печатать в реальной жизни – не получилось. Для вменяемого общения нужны знаки препинания. Добавил знаки препинания и стало еще сложнее – это верхний ряд цифр и рукам совсем неудобно, приходится сильно тянуться пальцами.
Уровень 3️⃣
Заглавные буквы. Добавление заглавных букв по началу сильно снижает скорость: Shift нужно зажимать противоположной рукой, а не как удобно было до этого. Но привыкаешь быстро.
—— Я нахожусь здесь ——
Уровень 4️⃣
Слепая печать цифр. Пока не достиг. Меньше всего требуются в обычной жизни, можно подглядеть, поэтому пока не включал в тренажере.
😭В реальности
Одно дело печатать на тренажере – с определенного момента он становится зоной комфорта и создается ложное ощущение, что в один день просто возьмешь и переключишься в работе на слепую печать, но на первой попытке меня ждало разочарование. Мозг тупит и печатаешь не так быстро: ты не видишь полностью слово, которое печатаешь, а переферийным зрением не видишь следующие слова. Бороться с этим можно только насильно заставляя себя печатать медленно вслепую. Жутко бесит, потому что переключаясь на тренажер все сразу “летит”. После недели подобных издевательств над собой у меня начался прогресс. Очень похоже на обучение игре на музыкальном инструменте – повтори 1000 раз медленно, на 1001 раз получится.
В работе, когда надо прям что-то быстро написать, могу смотреть на клавиатуру. Не факт, что напечатал бы медленнее вслепую, скорее тут просто привычка в срочных ситуациях забывать про то, что нужно заставлять себя.
Общие инсайты и советы
★ Постоянство лучше разовых сверхусилий. Лучше каждый день по 30 минут, чем 1 раз в неделю несколько часов.
★ Иногда нужно забить и отдохнуть. С удивлением обнаружил, что после отпуска печать в реальной жизни пошла лучше, хотя до отпуска я жутко мучился.
★ Может и очевидно, но нужно раньше вводить практику печати в реале, чтобы мозг привыкал быстрее.
★ Важно собрать удобное рабочее место: поставить правильно монитор, выбрать высоту стола и подставку под зяпястья, выбрать удобную клавиатуру.
🧠Немного размышлений
★ Чтобы какая-то вещь прочна вошла в вашу жизнь нужна дисциплина. С другой стороны, если вы посмотрите на мой профиль, то увидите, что в определенный момент я стал пропускать уроки. С одной стороны в определенный момент меня демотивировало отсутствие результата, с другой – стал печатать вживую и тренажер уже не так уж и нужен, к нему возвращаюсь периодически, просто размяться и вспомнить базу.
★ Я не жду быстрого результата и принял, что как придет – так придет, страраюсь получать удовольствие от процесса. В определенный момент заметил, что печатание превращается в медитацию – включаю музыку и забываю о происходящем вокруг. Хорошо переключает и настраивает на рабочий лад.
★ После занятий мозг хорошо разгоняется и хорошо включается в работу. Тут есть объяснение с научной точки зрения: развивается нейропластичность и улучшается работа префронтальной коры. Ну и вообще мелкая моторика очень полезна для мозга.
🔚 Заключение
Результатом доволен, планирую продолжать. Будет еще один пост – финальный. Профиль можно посмотреть тут.
PS. Все началось с видео, где какой-то паренек рассказал, что научился за неделю, у меня заняло немного больше 🙂
PPS. Этот текст полностью напечатал вслепую.
🔥6❤4👍4
Про нашумевший инцидент ИБ
Вот прямо сейчас разные "авторитетные" эксперты будут со всех сторон пинать пострадавшую компанию и писать про истинные причины.
А по факту – никто ничего не знает, а часть новости из первоисточника вообще выглядит как псайоп.
Ребятам сил вывезти эту ситуацию и стать сильнее.
Всем остальным – урок, что в наше время никогда нельзя быть полностью спокойным за свою инфру.
Вот прямо сейчас разные "авторитетные" эксперты будут со всех сторон пинать пострадавшую компанию и писать про истинные причины.
А по факту – никто ничего не знает, а часть новости из первоисточника вообще выглядит как псайоп.
Ребятам сил вывезти эту ситуацию и стать сильнее.
Всем остальным – урок, что в наше время никогда нельзя быть полностью спокойным за свою инфру.
❤14👍4😱2🔥1
Резидентные прокси это новые дропы
Интересное расследование вышло у Кребса про компанию связанную с резидентными прокси.
TL;DR
На Реддит один из пользователей написал примерно следующее:
– Провайдер резидентных прокси DSLroot платит мне 250 долларов в месяц за размещение устройств в моем доме. Они (два ноутбука) подключены к сети, отличной от той, которую мы используем в личных целях. У них есть выделенные DSL-соединения (по одному на хост). Насколько это глупо с моей стороны? Они просто сидят где-то там и платят мне. Также оплачивают счета за Интернет.
Оригинальный пост был удален, но пользователи нашли другие посты автора на сабредите про кибербез, где он пишет, что работает в US Air National Guard🤡 . В итоге Кребс выясняет, что компания DSLRoot, имеет российско-белорусские корни. Не сказать, что расследование особо примечательное, темки с резидентными прокси актуальны уже давно, хоть и сильно обострились после 22 года. Кребса же скорее всего триггернул тот факт, что корни у DSLroot из России, а пользователь с реддита работает на госслужбе США.
Меня же этот пост подтолкнул еще раз вспомнить, каким образом обычно собирается ботнет, и, в частности ботнет для прокси.
Сегодня бизнес на резидентных прокси может быть нескольких видов:
1. Черный. Создание ботнета через заражение: Pay-Per-Install на трафике со взломанных сайтов, паленое ПО на торрентах и т.п. Самые большие ботнеты тут. Они же используются и для других киберкриминальных схем, в том числе и для классического DDoS.
2. Серый. Продажа готовых ферм для мобильных прокси или железок для ШПД (вариант с ШПД – менее рентабельный, но я встречал). Считается, что такой ботнет – легальный, а дальше уже вопрос, какой трафик через него гонят. Все сервисы, которые пытаются предоставлять сервис как белый, клянутся, что блокируют пользователей использующих прокси для брутфорса/стаффинга и другого нелегитима. Сомнительно, но окей. Все риски перенесены на обладателя фермы: ему отвечать перед отделом К, ему массово закупать сим-карты.
3. Белый. Мое мнение, что таких нет. Изначальная цель резидентных – обходить ограничения. Да, юридической базы под подобные действия нет (пока?), поэтому вроде как – легально. Встает вопрос с симкартами (сейчас нельзя сделать более 20 симок на одного человека), нарушением правил использования сети у провайдеров и генерировании чрезмерного трафика на ресурсы (что можно подвести под 272.1 УК).
В итоге отсюда такое обилие сервисов вида “купи у нас ферму, подключи, купи сам симки, получай деньги”. Для сервисов проксей, которые хотят выглядеть белыми – это единственный выход. Остальное – уже скам и очевидное нарушение УК. Все это выглядит как дропшипинг, только вы доставляете трафик, а не физический товар.
Как с этим бороться?
Начал писать и понял, что уложиться в небольшой пост неполучится. Мое мнение, что нужна как регуляторная история, так и определенное развитие технологий: со стороны государства что-то типа социального рейтинга в Интернете, со стороны провайдеров – возможность идентифицировать пользователя каким-то образом по IP (давать вычислять по IP, ага) и дальше получать/влиять на его рейтинг.
Вот такое вот нас ждет будущее. Если это для вас выглядит дико, то вспомните вот что🤔 :
1. До 2014 года сим-карту можно было купить без предъявления паспорта в любом ларьке. В результате бывают вот такие истории про миллионы симкарт на нескольких человек.
2. Операторов сотовой связи обязали регистрировать все короткие номера + стали жестко наказывать за СМС-спам.
3. Публичный wifi. Раньше можно было запросто подключиться в любом маке (и дать поснифать свой трафик), а сейчас – будь добр, подтверди личность.
4. До 2012 года можно было зарегистрироваться в соцсети без мобильного телефона, сейчас – нет. Вообще попробуйте без телефона где-то зарегистрироваться.
Интересное расследование вышло у Кребса про компанию связанную с резидентными прокси.
TL;DR
На Реддит один из пользователей написал примерно следующее:
– Провайдер резидентных прокси DSLroot платит мне 250 долларов в месяц за размещение устройств в моем доме. Они (два ноутбука) подключены к сети, отличной от той, которую мы используем в личных целях. У них есть выделенные DSL-соединения (по одному на хост). Насколько это глупо с моей стороны? Они просто сидят где-то там и платят мне. Также оплачивают счета за Интернет.
Оригинальный пост был удален, но пользователи нашли другие посты автора на сабредите про кибербез, где он пишет, что работает в US Air National Guard
Меня же этот пост подтолкнул еще раз вспомнить, каким образом обычно собирается ботнет, и, в частности ботнет для прокси.
Сегодня бизнес на резидентных прокси может быть нескольких видов:
1. Черный. Создание ботнета через заражение: Pay-Per-Install на трафике со взломанных сайтов, паленое ПО на торрентах и т.п. Самые большие ботнеты тут. Они же используются и для других киберкриминальных схем, в том числе и для классического DDoS.
2. Серый. Продажа готовых ферм для мобильных прокси или железок для ШПД (вариант с ШПД – менее рентабельный, но я встречал). Считается, что такой ботнет – легальный, а дальше уже вопрос, какой трафик через него гонят. Все сервисы, которые пытаются предоставлять сервис как белый, клянутся, что блокируют пользователей использующих прокси для брутфорса/стаффинга и другого нелегитима. Сомнительно, но окей. Все риски перенесены на обладателя фермы: ему отвечать перед отделом К, ему массово закупать сим-карты.
3. Белый. Мое мнение, что таких нет. Изначальная цель резидентных – обходить ограничения. Да, юридической базы под подобные действия нет (пока?), поэтому вроде как – легально. Встает вопрос с симкартами (сейчас нельзя сделать более 20 симок на одного человека), нарушением правил использования сети у провайдеров и генерировании чрезмерного трафика на ресурсы (что можно подвести под 272.1 УК).
В итоге отсюда такое обилие сервисов вида “купи у нас ферму, подключи, купи сам симки, получай деньги”. Для сервисов проксей, которые хотят выглядеть белыми – это единственный выход. Остальное – уже скам и очевидное нарушение УК. Все это выглядит как дропшипинг, только вы доставляете трафик, а не физический товар.
Как с этим бороться?
Начал писать и понял, что уложиться в небольшой пост неполучится. Мое мнение, что нужна как регуляторная история, так и определенное развитие технологий: со стороны государства что-то типа социального рейтинга в Интернете, со стороны провайдеров – возможность идентифицировать пользователя каким-то образом по IP (давать вычислять по IP, ага) и дальше получать/влиять на его рейтинг.
Вот такое вот нас ждет будущее. Если это для вас выглядит дико, то вспомните вот что
1. До 2014 года сим-карту можно было купить без предъявления паспорта в любом ларьке. В результате бывают вот такие истории про миллионы симкарт на нескольких человек.
2. Операторов сотовой связи обязали регистрировать все короткие номера + стали жестко наказывать за СМС-спам.
3. Публичный wifi. Раньше можно было запросто подключиться в любом маке (и дать поснифать свой трафик), а сейчас – будь добр, подтверди личность.
4. До 2012 года можно было зарегистрироваться в соцсети без мобильного телефона, сейчас – нет. Вообще попробуйте без телефона где-то зарегистрироваться.
Please open Telegram to view this post
VIEW IN TELEGRAM
Krebs on Security
DSLRoot, Proxies, and the Threat of ‘Legal Botnets’
The cybersecurity community on Reddit responded in disbelief this month when a self-described Air National Guard member with top secret security clearance began questioning the arrangement they'd made with company called DSLRoot, which was paying $250 a month…
👍6🔥3❤2
рассказал, почему автоматизированный трафик занимает половину всего трафика Интернета, кто платит за это, а кто извлекает выгоду + немного про опыт NGENIX в борьбе с нелегитимом.
https://securitymedia.org/articles/interview/vladimir-zaytsev-zamestitel-tekhnicheskogo-direktora-ngenix-poka-est-internet-vsegda-budut-popytki-n.html?erid=2SDnjeiqQez
Please open Telegram to view this post
VIEW IN TELEGRAM
securitymedia.org
Владимир Зайцев, заместитель технического директора NGENIX: Пока существует Интернет, всегда будут попытки недобросовестно нажиться…
Специалисты по ИБ и киберпреступники находятся в постоянном соперничестве — кто кого победит в текущем «раунде», окажется ли «броня» крепче «снаряда». Один из таких «снарядов» это DDoS-атаки, которые не теряют своей актуальности и опасности для бизнеса. Как…
❤5🔥5👍3
Хорошие новости для тех, кто борется преступностью в Интернете во всех ee проявлениях
С 1 ноября вступают в силу изменения в федеральный закон “О связи”: теперь нельзя оформить больше 20 симок на одного человека (не более 10 шт для иностранцев).
Что это означает?
1. Будет сложнее массово регистрировать учетки на различных сервисах. Верификация по номеру уже стандарт для любого уважающего себя сервиса. Про ГИС, соцсети и интернет-магазины я вообще молчу. Теоретически это снизит количество автоматического контента: каменты, лайки, бот-аккаунты.
2. Сложнее будет использовать фермы для прокси. Можно, но придется искать людей, на которых можно оформить симку. Учитывая, что фермы на 50 телефонов уже норма, придется сильно постараться, чтобы не потерять в мощностях.
3. Ужесточение контроля в целом повлияет на черную и серую активности: дропы, обнал, крипта и подобное. Вспомнить хотя бы те же коллцентры в местах с определенным режимом.
И еще интересное: для иностранцев необходимо личное присутствие в салоне связи и привязка IMEI к номеру. А, например, в Казахстане привязка IMEI к номеру действует уже давно для всех без исключения. Думаю, что это ждет и нас в недалеком будущем.
Так ли все радужно?
Врядли операторы будут рады вот так просто расстаться с частью своей выручки. Было бы интересно посмотреть, какую часть выручки занимают подобные абоненты с несколькими симками. Руки так и просятся написать селект. Очень хочется верить, что у регулятора будет механизм выявления нарушений со стороны операторов и немедленного их наказания.
Как мы помним, операторы очень любят придумывать новые интересные способы увеличения ARPU, вот интересные расследования, про которые важно помнить:
- раз (https://habr.com/ru/articles/448530/),
- два (https://habr.com/ru/articles/550448/),
- три (https://habr.com/ru/articles/756230/).
Возможные негативные сценарии
1. Операторы забьют и не будут блокировать. Или будут, но не сразу.
2. Ограничение на 20 симок можно будет обойти, найдя какую-нибудь дырку в законе. Сомнительно, но кто знает.
3. Использовать социально незащищенные части населения (читай бомжей) и регистрировать на них по 20 симок за бутылку водки.
4. Тоже самое, только с приезжими.
5. Да еще миллион вариантов, не в первый раз что-то запрещают.
Как минимум страдальческие стоны о поиске новых вариантов уже слышны на известных формах любителей по-быстрому заработать на разных интернет-темках. Ждем новостей.
Выводы
Государство взялось за регулирование тогда, когда это стало проблемой для государства: терроризм, мошенничество, уход от налогов. Это все к тому, что когда вы не понимаете, почему государство не принимает законов для решения проблемы, скорее всего это не проблема для государства. Сейчас, учитывая весь внешний и внутренний контекст, анонимность стала ой какой большой проблемой.
Двигаемся в сторону Интернета по паспорту, но про это напишу отдельно. Или запишу видео.
PS. Оформленные на себя симки можно посмотреть на Госуслугах.
С 1 ноября вступают в силу изменения в федеральный закон “О связи”: теперь нельзя оформить больше 20 симок на одного человека (не более 10 шт для иностранцев).
Что это означает?
1. Будет сложнее массово регистрировать учетки на различных сервисах. Верификация по номеру уже стандарт для любого уважающего себя сервиса. Про ГИС, соцсети и интернет-магазины я вообще молчу. Теоретически это снизит количество автоматического контента: каменты, лайки, бот-аккаунты.
2. Сложнее будет использовать фермы для прокси. Можно, но придется искать людей, на которых можно оформить симку. Учитывая, что фермы на 50 телефонов уже норма, придется сильно постараться, чтобы не потерять в мощностях.
3. Ужесточение контроля в целом повлияет на черную и серую активности: дропы, обнал, крипта и подобное. Вспомнить хотя бы те же коллцентры в местах с определенным режимом.
И еще интересное: для иностранцев необходимо личное присутствие в салоне связи и привязка IMEI к номеру. А, например, в Казахстане привязка IMEI к номеру действует уже давно для всех без исключения. Думаю, что это ждет и нас в недалеком будущем.
Так ли все радужно?
Врядли операторы будут рады вот так просто расстаться с частью своей выручки. Было бы интересно посмотреть, какую часть выручки занимают подобные абоненты с несколькими симками. Руки так и просятся написать селект. Очень хочется верить, что у регулятора будет механизм выявления нарушений со стороны операторов и немедленного их наказания.
Как мы помним, операторы очень любят придумывать новые интересные способы увеличения ARPU, вот интересные расследования, про которые важно помнить:
- раз (https://habr.com/ru/articles/448530/),
- два (https://habr.com/ru/articles/550448/),
- три (https://habr.com/ru/articles/756230/).
Возможные негативные сценарии
1. Операторы забьют и не будут блокировать. Или будут, но не сразу.
2. Ограничение на 20 симок можно будет обойти, найдя какую-нибудь дырку в законе. Сомнительно, но кто знает.
3. Использовать социально незащищенные части населения (читай бомжей) и регистрировать на них по 20 симок за бутылку водки.
4. Тоже самое, только с приезжими.
5. Да еще миллион вариантов, не в первый раз что-то запрещают.
Как минимум страдальческие стоны о поиске новых вариантов уже слышны на известных формах любителей по-быстрому заработать на разных интернет-темках. Ждем новостей.
Выводы
Государство взялось за регулирование тогда, когда это стало проблемой для государства: терроризм, мошенничество, уход от налогов. Это все к тому, что когда вы не понимаете, почему государство не принимает законов для решения проблемы, скорее всего это не проблема для государства. Сейчас, учитывая весь внешний и внутренний контекст, анонимность стала ой какой большой проблемой.
Двигаемся в сторону Интернета по паспорту, но про это напишу отдельно. Или запишу видео.
PS. Оформленные на себя симки можно посмотреть на Госуслугах.
Интерфакс
Глава Минцифры рассказал об оформленных на 56 человек 1,2 млн сим-карт
Глава Минцифры РФ сообщил о выявлении 56 человек, на которых оформлено 1,2 млн сим-карт, и предложил правоохранительным органам обратить внимание на этих абонентов."Хотел бы обратить внимание, что мы выявили 56 человек, на которых оформлено 1,2 млн активных…
🔥8👍6❤2🤔1
300 откликов по вакансии за час
Вчера повесили вакансию на миддл ПМ к нам в дирекцию. Через час мне написали, что уже около 300 откликов и страшно, что будет дальше.
Это я к тому, что есть большая разница между тем, когда ты слышишь, что на рынке кризис, и тем, когда ты своими глазами видишь проявления этого кризиса. Меня это впечатилило и я решил описать свои ощущения об индустрии на примере ипотечного кризиса 2008 года.
ИТ-индустрия и ипотечный кризис 2008 года
Люблю находить красивые аналогии, а может даже притягивать их за уши. Они от этого не становятся менее красивыми.
Есть такой фильм – “Игра на понижение” (The Big Short). В нем рассказывается про ипотечный кризис 2008 года и как банки и заемщики к нему пришли.
Если коротко: банки массово выдавали кредиты неплатежеспособным заемщикам, на эти кредиты выпускали облигации, продавали их другим банкам, придумывали другие финансовые инструменты, которые также продавали друг другу (как никогда уместна аналогия с ИИ и трижды перевареным говном). В итоге в экономке вертелась куча виртуальных инструментов, неподкрепленных реальными деньгами, а потом в определенный момент все вдруг по цепочке рухнуло.
Вся эта история произошла из-за следующих вещей:
1. Ипотечные кредиты. Само по себе как бы не зло, но с них все началось.
2. Облигации на ипотечные кредиты – MBS (Mortgage-Backed Securities). Банки придумали облигации, чтобы продавать обязательства по кредитам другим банкам в промышленных масштабах и получать деньги прямо сейчас.
3. Выдача ипотечных кредитов неплатежеспособным. На обязательствах по кредитам (облигации MBS) банки стали делать огромные деньги, и хотелось делать еще больше и нужно было еще больше облигаций. Откуда их взять? Выдавать кредиты всем, кому попало.
4. CDO (Collateralized Debt Obligation) – новый виртуальный финансовый инструмент. Набор из нескольких MBS, поделенных по уровням риска: AAA, BBB и CCC, в порядке увеличения риска невыплаты. При этом если внутри конкретного CDO были одни только плохие кредиты (англ subprime-кредиты), рейтинговые агентства все равно ставили верхнему слою CDO высший рейтинг ААА, как у государственных облигаций.
5. Синтетические CDO – ставка на то, обанкротится ли CDO или нет. Понимаете какой уже уровень финансовой шизы? Виртуальный инструмент на виртуальном инструменте.
6. CDS (Credit Default Swap) – страховка. Вы платите страховой за страховку CDO, если CDO банкротится – вы получаете деньги. То, на чем в итоге и заработал герой Бейла в фильме.
Похожая цепочка сейчас и в ИТ. Индустрия вдруг поняла, что есть потребность в большем количестве технарей (считай ипотек) и стала клепать их из subprime-специалистов, у которых мало опыта (считай неплатежеспособны и не выполнят обязательств по работе), либо опыта вообще нет и он накручен.
Дальше появляются те, кто ставит на поток создание таких специалистов. Т.е. создают своего рода облигации и CDO, только вместо ипотек – программисты и инженеры.
⬇️⬇️⬇️
Вчера повесили вакансию на миддл ПМ к нам в дирекцию. Через час мне написали, что уже около 300 откликов и страшно, что будет дальше.
Это я к тому, что есть большая разница между тем, когда ты слышишь, что на рынке кризис, и тем, когда ты своими глазами видишь проявления этого кризиса. Меня это впечатилило и я решил описать свои ощущения об индустрии на примере ипотечного кризиса 2008 года.
ИТ-индустрия и ипотечный кризис 2008 года
Люблю находить красивые аналогии, а может даже притягивать их за уши. Они от этого не становятся менее красивыми.
Есть такой фильм – “Игра на понижение” (The Big Short). В нем рассказывается про ипотечный кризис 2008 года и как банки и заемщики к нему пришли.
Если коротко: банки массово выдавали кредиты неплатежеспособным заемщикам, на эти кредиты выпускали облигации, продавали их другим банкам, придумывали другие финансовые инструменты, которые также продавали друг другу (как никогда уместна аналогия с ИИ и трижды перевареным говном). В итоге в экономке вертелась куча виртуальных инструментов, неподкрепленных реальными деньгами, а потом в определенный момент все вдруг по цепочке рухнуло.
Вся эта история произошла из-за следующих вещей:
1. Ипотечные кредиты. Само по себе как бы не зло, но с них все началось.
2. Облигации на ипотечные кредиты – MBS (Mortgage-Backed Securities). Банки придумали облигации, чтобы продавать обязательства по кредитам другим банкам в промышленных масштабах и получать деньги прямо сейчас.
3. Выдача ипотечных кредитов неплатежеспособным. На обязательствах по кредитам (облигации MBS) банки стали делать огромные деньги, и хотелось делать еще больше и нужно было еще больше облигаций. Откуда их взять? Выдавать кредиты всем, кому попало.
4. CDO (Collateralized Debt Obligation) – новый виртуальный финансовый инструмент. Набор из нескольких MBS, поделенных по уровням риска: AAA, BBB и CCC, в порядке увеличения риска невыплаты. При этом если внутри конкретного CDO были одни только плохие кредиты (англ subprime-кредиты), рейтинговые агентства все равно ставили верхнему слою CDO высший рейтинг ААА, как у государственных облигаций.
5. Синтетические CDO – ставка на то, обанкротится ли CDO или нет. Понимаете какой уже уровень финансовой шизы? Виртуальный инструмент на виртуальном инструменте.
6. CDS (Credit Default Swap) – страховка. Вы платите страховой за страховку CDO, если CDO банкротится – вы получаете деньги. То, на чем в итоге и заработал герой Бейла в фильме.
Похожая цепочка сейчас и в ИТ. Индустрия вдруг поняла, что есть потребность в большем количестве технарей (считай ипотек) и стала клепать их из subprime-специалистов, у которых мало опыта (считай неплатежеспособны и не выполнят обязательств по работе), либо опыта вообще нет и он накручен.
Дальше появляются те, кто ставит на поток создание таких специалистов. Т.е. создают своего рода облигации и CDO, только вместо ипотек – программисты и инженеры.
⬇️⬇️⬇️
🔥8👍2❤1
⬆️⬆️⬆️
А именно
Курсы и менторство. Умные люди смекнули, что много и быстро заработать можно на тех, кто хочет много и быстро заработать. Почему бы не начать продавать им иллюзию вката. И если сначала у курсов был реальный смысл и при успешном их прохождении тебе могли гарантировать трудоустройство, то сейчас такая халява закончилась. В лучшем случае это просто курс, по которому можно что-то изучить, структурированный материал. А зачем, если есть куда бесплатного контента и ИИ, который сможет сам тебе структурировать материал и дать ссылки на видео и статьи?
Отдельно про менторов. Как только курсы стали сдуваться (да и раньше), появились различные личности и сообщества, где можно было найти себе ментора. В большинстве случаев ментором является вчерашний джун/миддл (архитектор в 20 и CTO в 22), который немного вкатился, понял, что руками работать тяжело и эффективнее учить других. Большая часть вкатунов ведется на маркетинг, поэтому тот, кто научился хорошо себя продавать, тот и привлекает основную массу страждущих. Их количество оценить сложно, но при откликах в 300 человек на миддл-вакансию, можете сами представить себе основание этой пирамиды.
Ворох расплодившихся HR-компаний, каждая из которых “намбер онэ ин хайринг”, “талэнт серч” и “воркинг ворлдвайд” (на самом деле из Армении, в лучшем случае из Сербии). Такие ребята еще сильнее накручивают и так уже накрученный опыт, продают не стесняясь (продавали до 2024) кандидатов пачками, получают деньги и уходят в закат. Кто снимал когда-нибудь квартиру в Москве, тот знает, сколько пользы от риэлтора. Нисколько. Тут тоже самое.
Подходим к главному
Самый напряженный момент в фильме, когда герой, заранее закупившись дефолтными свопами, дождался массовых невыплат по кредитам и хотел начать продавать свопы, но цены на ипотечные облигации не падали, потому что:
1. основными держателями облигаций были банки,
2. они же определяли их стоимость, а не биржевая торговля,
3. рейтинговые агенства были прокормлены банками и давали рейтинг ААА, когда было нужно (всегда).
Такая же история сейчас и у нас в отрасли: есть ложные лидеры мнений и те, кому выгодно зарабатывать на вкатунах и тех, кто хочет много и быстро заработать, да и просто те, кто продолжает верить, что можно вкатиться на 300к/наносек – все продолжают (кто-то перестал) делать вид, что все хорошо.
Чем все закончится и что делать
В 2008 все закончилось относительно хорошо. Ну как хорошо, обанкротились крупнейшие банки, другие были поглощены, кого-то уволили, но почти никого не посадили. Какие-то банки спасло государство. Меньше всего сейчас заметно тех, кто пострадал больше всех – тех, кто потерял дом (неплательщики кредитов) и простых инвесторов. В этот раз – тоже самое. У этой многоликой и безмолвной толпы нет и не будет возможности как-то сказать о том, что у них не получилось. А статистику менторов и курсов мы никогда не получим. Судить можно будет только по опосредованным данным из разных источников, которые, как вы знаете, в большинстве своем являются заинтересованными (компания на 2 буквы).
И в этой ситуации хочется только посочувствовать хорошим спецам, которые по воле судьбы оказались на рынке. Пройти через подобную воронку с сотнями других кандидатов с накрученными резюме это поистине сложная задача. Но выполнимая.
В целом ничего страшного в масштабах вселенной и в этот раз не произошло. Мы в очередной раз убедились, что задача выживания это привелегия.
А именно
Курсы и менторство. Умные люди смекнули, что много и быстро заработать можно на тех, кто хочет много и быстро заработать. Почему бы не начать продавать им иллюзию вката. И если сначала у курсов был реальный смысл и при успешном их прохождении тебе могли гарантировать трудоустройство, то сейчас такая халява закончилась. В лучшем случае это просто курс, по которому можно что-то изучить, структурированный материал. А зачем, если есть куда бесплатного контента и ИИ, который сможет сам тебе структурировать материал и дать ссылки на видео и статьи?
Отдельно про менторов. Как только курсы стали сдуваться (да и раньше), появились различные личности и сообщества, где можно было найти себе ментора. В большинстве случаев ментором является вчерашний джун/миддл (архитектор в 20 и CTO в 22), который немного вкатился, понял, что руками работать тяжело и эффективнее учить других. Большая часть вкатунов ведется на маркетинг, поэтому тот, кто научился хорошо себя продавать, тот и привлекает основную массу страждущих. Их количество оценить сложно, но при откликах в 300 человек на миддл-вакансию, можете сами представить себе основание этой пирамиды.
Ворох расплодившихся HR-компаний, каждая из которых “намбер онэ ин хайринг”, “талэнт серч” и “воркинг ворлдвайд” (на самом деле из Армении, в лучшем случае из Сербии). Такие ребята еще сильнее накручивают и так уже накрученный опыт, продают не стесняясь (продавали до 2024) кандидатов пачками, получают деньги и уходят в закат. Кто снимал когда-нибудь квартиру в Москве, тот знает, сколько пользы от риэлтора. Нисколько. Тут тоже самое.
Подходим к главному
Самый напряженный момент в фильме, когда герой, заранее закупившись дефолтными свопами, дождался массовых невыплат по кредитам и хотел начать продавать свопы, но цены на ипотечные облигации не падали, потому что:
1. основными держателями облигаций были банки,
2. они же определяли их стоимость, а не биржевая торговля,
3. рейтинговые агенства были прокормлены банками и давали рейтинг ААА, когда было нужно (всегда).
Такая же история сейчас и у нас в отрасли: есть ложные лидеры мнений и те, кому выгодно зарабатывать на вкатунах и тех, кто хочет много и быстро заработать, да и просто те, кто продолжает верить, что можно вкатиться на 300к/наносек – все продолжают (кто-то перестал) делать вид, что все хорошо.
Чем все закончится и что делать
А работать вы не пробовали?
В 2008 все закончилось относительно хорошо. Ну как хорошо, обанкротились крупнейшие банки, другие были поглощены, кого-то уволили, но почти никого не посадили. Какие-то банки спасло государство. Меньше всего сейчас заметно тех, кто пострадал больше всех – тех, кто потерял дом (неплательщики кредитов) и простых инвесторов. В этот раз – тоже самое. У этой многоликой и безмолвной толпы нет и не будет возможности как-то сказать о том, что у них не получилось. А статистику менторов и курсов мы никогда не получим. Судить можно будет только по опосредованным данным из разных источников, которые, как вы знаете, в большинстве своем являются заинтересованными (компания на 2 буквы).
И в этой ситуации хочется только посочувствовать хорошим спецам, которые по воле судьбы оказались на рынке. Пройти через подобную воронку с сотнями других кандидатов с накрученными резюме это поистине сложная задача. Но выполнимая.
В целом ничего страшного в масштабах вселенной и в этот раз не произошло. Мы в очередной раз убедились, что задача выживания это привелегия.
🔥13❤3👍3
Как же это так, что человек, на которого все равнялись еще пару лет назад, мастер острого слова в твиттере, генератор статей и успеха вдруг оказался имитатором бурной деятельности? Ответа нет.
На самом деле Фил – прекрасный пример культурных и профессиональных трендов, которые наметились в ИТшке последние несколько лет (5-10-15). Я бы даже сказал – экспонат, так как не стесняется говорить все как есть не думая о последствиях.
К сожалению подобные внезапные разоблачения для большинства не имеют никакой пользы – обезьяний мозг не способен в подобного рода долгую аналитику, а жить гораздо проще по стимулам и на быстром дофамине.
Результат (даже в прямом смысле) – на лице.
На самом деле Фил – прекрасный пример культурных и профессиональных трендов, которые наметились в ИТшке последние несколько лет (5-10-15). Я бы даже сказал – экспонат, так как не стесняется говорить все как есть не думая о последствиях.
К сожалению подобные внезапные разоблачения для большинства не имеют никакой пользы – обезьяний мозг не способен в подобного рода долгую аналитику, а жить гораздо проще по стимулам и на быстром дофамине.
Результат (даже в прямом смысле) – на лице.
👍1😱1
Forwarded from Пименов Вещает
This media is not supported in your browser
VIEW IN TELEGRAM
Эстимейты, командная работа, статусные собрания...
Вот вам правда жизни и такого полно!
Вот вам правда жизни и такого полно!
💩1