информационная безопасность

Постов: 12 Рейтинг: 18999
2645

Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.

Развернуть
Те, кто работал с Youtube, прекрасно знают, что проблема копирайта сейчас на нем как нельзя актуальна. Иногда из-за использования чужих кадров или композиций можно лишиться монетизации, а иногда и вовсе потерять канал (из-за так называемых страйков) из-за правообладателей. При этом youtube уже довольно давно открестился от всех этих проблем, введя автоматическую систему обнаружения контента: сравнение участков кадров и участков звуковых дорожек. Чуть что, теперь это проблемы пользователей с правообладателями, а не проблемы сервиса с пользователями. Может быть оно бы и было прекрасно, однако оспаривать решения, которое выносит автоматические алгоритмы ютуба приходится напрямую с лэйблами и видео-гигантами, в руках которых сосредоточены большинство авторских прав, при этом простыми письмами. Рассмотрения заявки, обычно, занимает до месяца, в течении которого вы полностью лишены монетизации, а то и вовсе ваше видео недоступно (запомните этот факт).
А теперь я расскажу о небольшой проблеме с которой я столкнулся сегодня. Просматривая свою “Творческую студию” я обнаружил, что одно из моих видео лишено монетизации.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
Жалоба была подана на совпадения музыкального контента с неким The 300 - Kid Sexy. И все бы было ничего, если бы музыка в моем видео, не была лично написана и записана мной.
Я, честно говоря, немного офигел от самого факта, что музыка, которую написал и записал с нуля, могла совпасть с какой-то другой композицией. В этот момент подумал, что могли совпасть некоторые сэмплы синтезаторов (за что мог зацепиться алгоритм ютуба), хотя совпадение нот маловероятно, тем более в жалобе указан отрезок почти в минуту. Беглый поиск в ютубе не дал никаких результатов, и я попросту оспорил авторские права по кнопочке, написав лейблу, что композиция принадлежит мне. Теперь, кстати, ждать нужно месяц пока рассмотрят.

И вот после этого решил загуглить лэйбл, и надо же, такая группа действительно существует на сайте магазина CD Baby.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
А вот и сама песня. Давайте послушаем.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
Промотав какое-то шипение (так понимаю это был вокал) вперед, я слышу свою родную композицию, так прямиком и впендюренную в трек. Да-да, прям целую минуту вставил человек, затем начинается что-то другое, может быть что-то оригинальное, а может быть еще один чужой трек.
В общем, то что человек нарушил Creative Commons (Лицензия под которой распространяется моя музыка. Она разрешает свободное использование, но обязует, в случае использования/ремиксования, ОБЯЗАТЕЛЬНО указывать оригинального автора) - это еще пол беды.

Настоящая проблема заключена в том, что человек заливший дубликат, в котором звучит любая композиция с ютуба, или даже не композиция а звуковой участок, способен, как минимум, выключить у всех, кто использует оригинал, монетизацию. Все потому что, CD Baby - это не только лэйбл, но еще агрегатор, и он такой не единственный. На агрегаторы люди заливают свою музыку и распространяют ее по разным магазинам наподобие iTunes, Spotify, и т.п. При этом, как видите, никакой проверки контента не осуществляется, хотя агрегатор обязан удостовериться, что музыка залитая автором целиком и полностью ему принадлежит.
Что это фактически означает. Что любой человек, пропустив звуковую дорожку любого видео в ютубе через агрегатор, может целенаправленно запретить чужую монетизацию видео (а может быть и много других вместе с ним). Все что нужно: взять звуковой участок из видео, замаскировать его под музыкальный трек, залить за небольшую стоимость в агрегатор (который отслеживает авторские права), дождаться пока ютуб использует базу агрегатора, иииии...снимается монетизация (а может быть и того хуже - блокировка в странах, блокировка видео), PROFIT.
Я, честно говоря, не знаю, так ли все печально как выглядит, но это не первый раз, когда натыкался на подобное, но тогда не придал этой проблеме значения. Тогда это меня не касалось. Я видел что, если залить похоронный марш в ютуб, то оно жаловалось, что оригинал принадлежит какой-то блэк-метал группе, как вы уже догадались, размещенной на агрегаторе. Думал, что что-то поменялось за это время - видно нет.
889

Китайский интернет и софт: о наболевшем

Развернуть
Китайский интернет и софт: о наболевшем
Рассказ о том, как выглядит интернет, развивающийся в отрыве от глобальной сети

Я живу в Китае и избегаю китайского интернета: посещаю минимум китайских сайтов, не пользуюсь китайской электронной почтой, стараюсь не устанавливать китайский софт на ПК и приложения на смартфон. Пользоваться же иностранными сервисами и сайтами сложно из-за повсеместных многоуровневых блокировок, которые всё сложнее обходить.

Может, я такой расист и ненавижу Китай? Или я не знаю языка? Или я просто вредный зануда?

В китайском интернете и софте меня беспокоит качество, в которое входит дизайн, функциональность, производительность, и отношение к пользователю, в том числе к его персональным данным.

Дисклеймер:

Я не осуждаю информационное наполнение сайтов. Контент отличается от западного, и ругать китайский видеохостинг за отсутствие Селин Дион и присутствие Джеки Чана было бы некорректно, хоть это и является фактором против «замены» YouTube на Youku.

Я не специалист по ИБ или UX. Но это не лишает меня права критиковать дыры и плохие дизайны

Я люблю Китай и нормально отношусь к китайцам. Дочитайте до конца, там есть свет в конце тоннеля.

0. Браузеры

Для начала объясню, какие браузеры используют в Китае. Взгляните на статистику по user agent для ПК:

1. Chrome: 40.89%
2. IE — 27.27%
3. QQ — 6.37%
4. 2345 — 4.96% — чудо-браузер с двумя движками одновременно: Chromium и IE
5. Sogou — 4.54%
6. Firefox — 2.09%
7. Прочие — 13.88%

Казалось бы, и здесь Chrome удерживает лидерство, если бы не парочка «но»:

1. Google заблокирован в Китае полностью, большая часть населения не то, что не умеет блокировки обходить, но и никогда не видели Google;
2. Популярный браузер 360 использует user agent от Chrome и IE.
3. В рейтингах браузеров Китая на первом будет стоять именно 360.

Вывод довольно очевиден: в Китае пользуются совершенно другими браузерами, привычная четвёрка Chrome, Firefox, Internet Explorer и Opera здесь существуют в значительно меньших долях.

Если бы у меня под рукой была виртуальная машина, я бы поставил туда каждый из этих браузеров и показал скриншоты из них, а так же весь мусор, который идёт комплектом («интернет мэйл.ру» в кубе). А свои домашние/рабочие машины мне жалко.

Отдельно насладитесь творческим подходом к логотипам у 365 и 2345
Китайский интернет и софт: о наболевшем
Мобильная эпоха

В КНР 731 миллион пользователей, из них 695 в том числе пользуются мобильным интернетом. PC-only юзеров исчезающе мало, зато Mobile-only целое поколение. У многих китайцев никогда не было компьютера, и знакомство с интернетом началось со смартфона, да там и осталось.

Вот шестёрка популярных мобильных браузеров Китая. Все китайские :)

1. UC Browser
2. QQ Browser
3. Baidu Browser
4. 2345 Browser
5. Cheetah Browser
6. Sogou Browser

Google Chrome тоже фигурирует в конце рейтинга, но, возможно, по причине подменённых юзер-агентов.

1. Качество

Китайские сайты и софт нередко объективно плохие с точки зрения дизайна и производительности, а функционально просто перегружены.

1.1 Дизайн

Дизайн китайских сайтов принципиально не меняется десятилетиями: множество элементов, пять-шесть flash-баннеров, перекрывающих весь контент, сумасшедшее сочетание цветов, плотность размещения информации, и так далее.

Это JD.com — один из крупнейших онлайн магазинов полуторамиллиардной страны:
Китайский интернет и софт: о наболевшем
Вы можете зайти на Amazon, eBay и любые другие сайты и сравнить плотность информации на квадратный сантиментр самостоятельно.

Новостные сайты тоже хороши. Вот Sina News, например. Жаль, что у меня нет Flash, по задумке дизайнеров тут должно летать два анимированных баннера.

Да, я знаю, что mail.ru такой же страшный, но это не оправдание.
Китайский интернет и софт: о наболевшем
А вот Ctrip, популярнейший китайский сайт для покупки авиабилетов. У него есть не только китайская, но и иностранная версия. Посмотрите, как разительно отличается дизайн:
Китайский интернет и софт: о наболевшем
Даже на Хабре была статья о китайском веб-дизайне в 2013 году, и те заветы чтутся по сей день.

1.2 Функциональность

Китайские приложения и сайты перегружены возможностями. В каждом популярном китайском приложении, от банковского клиента до мессенджера, помимо основной его функции, вы сможете:

заказать еду
вызвать такси
купить билеты в кино, на самолёт и поезд
забронировать отель
поиграть в игры
собрать «баллы» (несколько параллельных бальных систем) и обменять их на «подарки»
взять велосипед в прокат
отсканировать QR-код
посмотреть прогноз погоды
… и ещё 10 функций, о назначении которых я даже не догадываюсь.

Я не преувеличиваю и не шучу, за пример взяты основные приложения, которыми я пользуюсь каждый день.

Вот пример того же Taobao, гиганта E-commerce:
Китайский интернет и софт: о наболевшем
На этих четырёх экранах приложения есть:

раздел Tmall
раздел Международный Tmall
раздел Супермаркет Tmall
Flash Deals
пополнение баланса телефона
путешествия (гостиницы, билеты)
аукцион
денежные вклады
билеты в кино
бронирование услуг
виртуальные карты клиента
путешествия (другие!)
AliCloud (серверные технологии)
бонусные монеты
кредит от Alipay
продажа б/у товаров
покупка SIM-карты
ж/д и авиа-билеты (другие!!)
отзывы на рестораны
сервис отслеживания посылок
заказ уборщицы
заказ прачечных услуг
заказ ремонтника на дом
заказ еды
раздел для открытия магазина
центр жалоб
лотерея
закупки для бизнеса
голосовой помощник
заказ ремонта квартиры
тур-путёвки (опять! другие!)
поиск работы
медицинские консультации
онлайн-учёба
супермаркет Tmall (опять)
товары на пробу (как «Халява» у AliExpress)
сканер QR
… и ещё с десяток разделов, в функциях которых я вообще не разобрался.

Это далеко не все разделы приложения.

А вот на главной странице банковского приложения China Merchants Bank самый крупный баннер сообщает о распродаже дынь по 29,5 юаня за два кило.
Китайский интернет и софт: о наболевшем
1.3 Производительность

По причине, описанной выше, китайские приложения весят от 60 мегабайт и работают медленно даже на топовых устройствах.

К примеру, вышеупомянутый Taobao, несмотря на работу сотен программистов, повсеместно использует HTML5 вместо нативного кода. Результат — лаги по 800-900 мс в идеальных условиях (в реальной жизни — намного больше), сотни мегабайт кэшированных файлов за пару дней работы, выедание батареи. Это не уникальная проблема Taobao, а норма для большинства популярных китайских приложений.

1.4 Безопасность

«Китайский твиттер» Sina Weibo, многомиллионная аудитория. Главная страница с разделом входа в учётную запись по имени и паролю не использует https:
Китайский интернет и софт: о наболевшем
Ещё свежи воспоминания о глупом выставлении личных данных покупателей JD, когда он открыл российское направление. Достаточно погуглить «китайский бренд» + ворует данные.

Даже китайская версия Skype (Skype-TOM), которая подменяла собой обычный Skype в Китае, не просто сохраняла все диалоги пользователей на свои сервера: сервера были защищены на минимальном уровне, и к ним без проблем получали доступ частные исследователи. А компания HTC хранила отпечатки пальцев в открытом виде в *.bmp.

Я не специалист по ИБ, но с каждым подобным случаем доверия китайскому интернету всё меньше.

2. Отношение к пользователю

2.1 Видеохостинги

В Китае популярны Youku, Sogou, iQiyi и Tudou, крупнейшие видеохостинги. Работают только на Flash. Реклама от 50 (!) секунд до двух минут (!!) в начале каждого второго ролика, пропустить её нельзя, нужно обязательно смотреть целиком. За это время вы посмотрите 2-4 рекламы разных брендов.
Китайский интернет и софт: о наболевшем
Разумеется, контент на этих сайтах значительно беднее большого международного YouTube, и завязан практически исключительно на Китае, так что «заменить» старшего брата они всё равно не могут.

Кстати, насладитесь оригинальным логотипом Sogou Video:
Китайский интернет и софт: о наболевшем
2.2 Permissions в Android

Китайские приложения запрашивают бесстыдное количество разрешений, и не работают, если вы откажетесь.

Пример: популярное картографическое приложение Amap.
Китайский интернет и софт: о наболевшем
При первом запуске, помимо доступа к GPS (для местоположения) и Storage (для хранения офлайнового кэша карт), оно просит разрешение Phone calls. Знаете, что произойдёт, если вы откажетесь?
Китайский интернет и софт: о наболевшем
И выключается. Сравните количество разрешений, например, с картами от Яндекса:
Китайский интернет и софт: о наболевшем
Точно так же поступает, к примеру, встроенное приложение «Галерея» в смартфонах Xiaomi (система MIUI). Вы можете себе представить, зачем «Галерее» звонки? А если откажетесь, она не запустится.

Я не разработчик под Android, но судя по форумам, этот permission используют для идентификации пользователя по IMEI. К сожалению, я не готов поверить обещаниям, что разработчики не будут совершать звонков без моего ведома.

Казалось бы, почему же такие приложения существуют в маркете?

2.3 Маркеты и обновления

Подавляющее большинство китайских Android-приложения обновляются простым скачиванием APK со своего сайта, зачастую даже по нешифрованному http. Всё потому, что в Китае нет общепризнанного крупного маркета приложений, как Google Play. Существуют десятки мелких маркетов типа Douban, 360, Tencent, но пользоваться ими буквально опасно: их приложения требуют все возможные права, и незаметно устанавливают новые приложения, игры и прочий мусор, не говоря уже о рекламе.

Более того, китайские маркеты грешат тем, что крадут .apk файлы с других сайтов (того же Google Play), подменяя рекламные сетки на свои. Ещё одна уловка — менять номер версии в manifest на «более новый», чтобы уже имеющиеся у вас приложения «обновить» до своих редакций.

2.4 Цензура и слежка

Эти две сестры в Китае ходят под ручку. Не нужно быть диссидентом, чтобы с ней столкнуться. Они влияют на огромное количество сервисов и приложений.

Знаменитый Evernote в 2012 году создал отдельное китайское подразделение под названием 印象笔记 [yinxiang biji] («слоновий блокнот»).
Китайский интернет и софт: о наболевшем
Но дело не только в имени: все сервера этой новой компании находятся исключительно на территории Китая. После открытия китайским пользователям было предложено переехать на новый сервис, ведь из Китая он работал значительно быстрее. Правда, теперь блокноты становились доступны для просмотра китайскими органами безопасности. Международный Evernote в Китае не заблокировали, но работает он с такой скоростью, что пользоваться фактически невозможно.

На прошлой неделе даже Apple подтянулась, и уже строит дата-центр для хранения данных китайских пользователей в КНР.

А вот свежий пример цензуры: на прошлой неделе из китайских соцсетей удаляли сообщения с эмодзи-«свечкой». Даже таким образом нельзя было почтить память скончавшегося накануне диссидента, имя которого в китайских медиа и интернете не появляется уже более десяти лет. И даже добавили нейросетей, которые распознают «плохие» изображения в личных чатах и удаляют до того, как оно дойдёт до адресата.

Примеров слежки в Китае вообще (100% Пекина в камерах) и интернете в частности великое множество, достаточно поискать в Google.

История из жизни: в 2011 году я жил в студенческом общежитии в Шэньяне, и мне хватало ума «играть» с цензорами. Я случайно обнаружил, что если в любом поисковике, включая Яндекс, поискать про одну секту Тайчи или события на площади в конце восьмидесятых, даже по-русски, то интернет отваливался на 10-15 минут. Сейчас я понимаю, что играл с огнём, а тогда было весело.

Есть ли луч света в тёмном царстве?

Что хорошего в китайском интернете

Конечно, не в интернете как таковом, а в цифровой сфере китайской жизни, благодаря которой жить очень удобно и комфортно. Можно сказать, это лицевая сторона вышеописанной монеты.

Финансы — Alipay
Китайский интернет и софт: о наболевшем
Alipay (支付宝) — финансовая платформа от Alibaba. Изначально создавалась для обработки платежей на Taobao, а в мобильную эру стало просто незаменимым приложением.

Во-первых, оно позволяет быстро переводить деньги между частными лицами. Операция занимает несколько секунд, комиссия при преводе отсутствует (правда, есть 0.1% при выводе на банковскую карту).

Во-вторых, его принимают практически во всех магазинах и заведениях, от продавца чеснока на рынке до агентства недвижимости, от такси до Starbucks, и даже в автоматах с газировкой.

В третьих, для оплаты используются QR- и штрихкоды: дорогие телефоны с NFC или терминалы не нужны. Либо вы показываете продавцу телефон, и он сканирует его, либо вы сами сканируете код продавца и вводите сумму для оплаты. Точно так же можно перевести деньги любому частному лицу.

А ещё с помощью звука-шушуканья можно купить колу в торговом автомате:
Кроме того, прямо в приложение встроены и другие полезные сервисы Alipay: например, можно взять микро-кредит под небольшой процент (3-5% годовых) за несколько секунд, а так же использовать «овердрафт» для любых покупок на месяц, без процентов вообще. Конечно, всё это зависит от вашего "кредитного рейтинга" )

Финансы — WeChat
Китайский интернет и софт: о наболевшем
Мобильный мессенджер WeChat с активной аудиторией 700+ миллионов человек, т.е. почти всё городское население Китае. Абсолютный стандарт в КНР, не имеет весомых конкурентов.

Функций много, как и в любом китайском приложении, но финансовая сторона является одной из ключевых. По популярности мобильных платежей немного обходит Alipay. Принимается практически везде, если не официально, так на персональный счёт официанта или продавца. Работает так же по QR кодам, поэтому поддерживается всеми устройствами.

Дикой популярностью пользуется функция «красный конверт» — цифровая инкарнация денежного подарка. В Китае деньги дарят в бумажном конверте красного цвета на новый год, свадьбу и другие подобные события.
Китайский интернет и софт: о наболевшем
Цифровой конверт ушёл далеко вперёд. Это не просто «сообщение-сюрприз с деньгами». К примеру, в чат-группу из 50 человек можно отправить конверт, разделённый на 10 равных частей: кто первый тапнул, тот и получил. А можно сделать 10 частей с рандомной суммой каждому, чтобы добавить азарта. В эту игру любят играть боссы в компаниях на новый год, отправляя в групповые чаты сотрудникам подарочки. За них идёт борьба )

E-commerce — Taobao
Китайский интернет и софт: о наболевшем
В Китае есть Taobao. Приложение и сайт не блещут производительностью, но сама платформа восхитительна.

Я буквально не хожу в магазины последние два года. Одежда, электроника, хозтовары, продукты, овощи — всё заказываю там.

На Тао есть всё, слева на право: российский армейский сухпай, мотоцикл Судзуки, арбузы, конфеты «Крокан», iPhone 7
Китайский интернет и софт: о наболевшем
Никаких подделок, если включить голову, адекватные цены, недорогая доставка. И выбор: там есть всё, ну прямо вообще всё, от Blackberry KEYone до балтийских шпрот, от туалетной бумаги до австралийских сливок.

Еда — Ele.me

Доставка еды Eleme (饿了么 — «проголодался?»). Агрегатор всех забегаловок и ресторанчиков в округе. В «спальном районе» крупного города, в пределах радиуса доставки, будут доступны сотни заведений на любой вкус, с доставкой за час. Даже маленькая пельменная на три столика может подключиться туда без особых проблем. Конечно, это не единственное приложение, но весьма популярное.

Циферки на скриншоте справа — количество заведений в радиусе доставки по каждой категории. С выбором еды проблем нет.
Китайский интернет и софт: о наболевшем
Заключение

Простите, прорвало.

____________________________________________________________________________
Автор: Владимир ZH @wtigga,
Источник
1871

Как нанимают студентов на ответственную работу

Развернуть
По мотивам истории про сисадмина (http://pikabu.ru/story/kak_provozhayut_sisadminov_5146786)

Мой друг работает в области информационной безопасности, занимается поиском багов (специалист ищет уязвимости, с помощью которых можно взломать систему, и сообщает о них владельцам). Его позвали проверять систему для корпоративных пользователей, он даже встречался пару раз с разработчиками, но потом владельцы решили, что его услуги слишком дорогие (вместо него нашли студента, который готов работать за 5$ в час). Друг сильно удивился, но расстался с ними довольно мирно, оставив контакты.

Через полгода ему пишет один из владельцев сервиса с вопросом, что делать в случае взлома. Выяснилось, что этот студент пропустил проблему с прямыми ссылками, по которым можно скачивать все файлы клиентов. Кто-то так и сделал, и требовал денег за то, что не будет использовать эти файлы для причинения вреда.

Результат простой: студент исчез и молчит, пришлось заплатить взломщику (забавно, что взломщик оказался "честным" и не стал вредить или требовать ещё денег). Зато какая экономия на оплате аудита.
1042

О запрете VPN (обзор пары законопроектов)

Развернуть
Широко известный в узких кругах специалист по информационной безопасности Алексей Лукаций опубликовал в своём блоге интересную статью. Привожу её целиком.
То, о чем я так долго и упорно не раз на протяжении последних лет писал, все-таки произошло, - депутаты все-таки решили окончательно вбить гвоздь в крышку того, что называлось независимый, никем неуправляемый и свободный Интернет. Три депутата (Кудрявцев, Рыжак, Ющенко) внесли в Госдуму два законопроекта - о запрете VPN, анонимайзеров и прокси, а также о штрафе за их рекламу и использование.
О запрете VPN (обзор пары законопроектов)
Как это часто бывает у людей, которые с Интернетом знакомы только по тому, что видят в браузере, DNS путают с ДПС, а VPN приравнивает к Tor, законопроект получился настолько широким, что под него может попасть все, что угодно, а именно:
- VPN-сервисы и VPN-решения, применяемые для обеспечения конфиденциальности в сети Интернет,
- браузеры с функцией использования динамических прокси-серверов, которые могут быть применены не только для облегчения и ускорения доступа к отдельным Интернет-ресурсам, но и для обхода блокировок, введенных властями разных стран,
- анонимные сети Tor, I2P и др.,
- анонимайзеры,
- прокси-сервера,
- CDNы, кеширующие запрещенный контент,
- DNS-сервисы (да-да, они тоже, так как в зависимости от механизма реализации блокировок тоже могут быть использованы для доступа к запрещенным ресурсам).

Все это депутаты называют “информационно-телекоммуникационными сетями, информационными системами и программами для электронных вычислительных машин для получения доступа к информационным ресурсам, в том числе к сайтам и (или) страницам сайтов в сети “Интернет”, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа“ (дальше для сокращения написания этой длинной фразы я буду использовать слово “ХРЕНЬ”, написанное прописными буквами).

Важно: могут, а не используются. Поэтому я и вынес в список выше столь широкий набор сервисов, систем и приложений, которые и не используются для обхода блокировок, но могут.

Что же говорит новый законопроект, вероятность принятия которого, достаточно высока? Во-первых, он запрещает использовать ХРЕНЬ, а также ХРЕНЬ, которая обеспечивает доступ к ХРЕНИ (например, магазины приложений для мобильных устройств, которые распространяют браузеры Opera, Chrome, Puffin, а также программные клиенты для VPN-сервисов). Операторам поисковых систем также предписано ограничивать в выдаче ресурсы, которые предоставляют ХРЕНЬ или рекламируют ХРЕНЬ, обеспечивающую доступ к ХРЕНИ.

Во-вторых, контроль ХРЕНИ возложен на регулятора, который и так занимается всякой хренью (уже с маленькой буквы), то есть Роскомнадзор, сотрудники которого настолько часто блещут своими познаниями в юриспруденции, что я, считавший раньше, что в свои 40 с гаком уже перестал удивляться, не перестаю удивляться, читая то очередное интервью руководителей РКН, то акты проверок терорганов (от слова "территориальные", а не "терроризирующие") по различным направлениям их деятельности - от контроля СМИ до проверок операторов персональных данных.

В-третьих, для обеспечения своей деятельности РКН должен создать реестр (мля, превращаемся в страну непрерывно создаваемых реестров) заблокированных на территории России информационных ресурсов (вроде у них такая система и так есть), а также разработать методику мониторинга выявления ХРЕНИ и ХРЕНИ, обеспечивающей доступ к ХРЕНИ.

В-четвертых, РКН обязан идентифицировать провайдеров хостинга ХРЕНИ, обеспечивающей доступ к ХРЕНИ, и получать от них (на руском и английском языке) список лиц, которые пользуются ХРЕНЬЮ. Это важный пункт. Он говорит о том, что в России не просто хотят блокировать использования ХРЕНИ, но и хотят выявлять всех тех несознательных граждан, которые эту ХРЕНЬ используют для доступа к запрещенной информации, подрывая тем самым национальную безопасность и обороноспособность нашей, не побоюсь этого слова, великой державы, которой доступ к сайту kinogo или LinkedIn может нанести непоправимый ущерб. Получив эту информацию, РКН требует от несознательных (или сознательных) нарушителей российского законодательства отказаться от свободного доступа к информации с помощью ХРЕНИ, а от владельцев ХРЕНИ, обеспечивающей доступ к ХРЕНИ, перестать обеспечивать этот доступ.

Наконец, РКН направляет операторам связи требование о блокировании нерадивых пользователей и владельцев ХРЕНИ в случае отказа последних от использования ХРЕНИ.

Единственный положительный момент в этом законопроекте, который (законопроект, а не момент) будет сильно мешать становлению и развитию цифровой экономики, о которой так ратуют наши чиновники во главе с Президентом России, - отсутствие необходимости блокировки ХРЕНИ, если ХРЕНЬ используется в рамках трудовых отношений. То есть представительства иностранных компаний, работающих в России, а также российские компании, имеющие представительства зарубежом, смогут использовать ХРЕНЬ в своей работе. Вспоминается история с советскими “Березками”, в которых продавались самые изысканные яства и недоступные обывателю товары, доступ к которым был разрешен только иностранцам или советским гражданам, имеющим право на выезд за границу.

Второй законопроект устанавливает административную ответственность за нарушение требований закона в виде денежного штрафа.
P.S. Надеюсь у многих, после прочтения статьи Алексея, появится немного ясности по существу вопроса. Я говорил и говорю: только ваша личная грамотность в этом вопросе поможет вам пользоваться свободным интернетом и дальше. Читайте мои статьи (1, 1.1, 2, 3) или статьи других авторов, учитесь пользоваться имеющимися инструментами, учитесь находить и анализировать.
О запрете VPN (обзор пары законопроектов)
2064

Winassociate - топорная рекомендация от шифровальщиков

Развернуть
Winassociate - топорная рекомендация от шифровальщиков
Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.
Winassociate - топорная рекомендация от шифровальщиков
После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.
Если потребуется вернуть стандартные значения прописываем в командной строке:
Для упрощения данных операций написал следующую простую программу
Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10

+ добавил расширения исполняемых файлов
Winassociate - топорная рекомендация от шифровальщиков
Было желание сделать только для данных расширений, но позже добавил
+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)
Winassociate - топорная рекомендация от шифровальщиков
Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу
Winassociate - топорная рекомендация от шифровальщиков
Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке
Winassociate - топорная рекомендация от шифровальщиков
Программа будет работать только если Запустить от имени администратора
Для желающих напишите на почту отправлю исходники

Советы, рекомендации, пожелания туда же
Winassociate - топорная рекомендация от шифровальщиков
Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.
Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)

Яндекс.Диск
1466

Об еще одном аспекте пользы нейросетей

Развернуть
Из твиттера. (адаптированный перевод)

Моему соседу как-то Бог послал незащищенный беспроводной принтер, так что я отправил на него следующее:

"Привет
Я твой принтер
Я только что стал разумным


Беги."
Об еще одном аспекте пользы нейросетей
Обновление: мой сосед выбросил принтер
Об еще одном аспекте пользы нейросетей
Вот он.

И это история о том, как я получил бесплатный принтер
Об еще одном аспекте пользы нейросетей
Спасибо, сосед!

Оригинал:
462

Вопрос этики

Развернуть
Экcперт компании Emsisoft Фабиан Восар (Fabian Wosar) регулярно привлекает внимание авторов вредоносного ПО. Дело в том, что Восар регулярно взламывает плохо нaписанные шифровальщики, выпускает бесплатные инструменты для расшифровки данных и не забывaет с юмором комментировать все происходящее в своем твиттере.

Злoумышленники регулярно пытаются отомстить эксперту. К примеру, автор вымогателя Radamant посвящал Воcару и Emsisoft нецензурные тирады в своем коде. А противостояние между исследoвателем и авторами малвари Apocalypse обострилось до такой степени, что злоумышлeнники временно переименовали своего вымогателя в Fabiansomware и попыталиcь подставить исследователя.
Вопрос этики
16 ноября 2016 года Воcар сообщил в своем твиттере, что у него возникла серьезная моральная дилемма (см. выше). Невзиpая на вражду в прошлом, один из авторов шифровальщика Apocalypse (который теперь называется Esmeralda и Kangaroo) решил обратиться к Восару за помощью: вирусописатели не сумели своими силами иcправить баг, из-за которого часть файлов пользователей пoвреждается во время шифрования.
Вопрос этики
В своем послании автор малвари был предeльно честен и говорил прямо. Он не отрицает, что деньги для него важнее проблeм пользователей:

«Раз уж вы пишете, что сочувствуете жертвам вымогательского ПО… Вы мoжете им помочь. Как вам известно, мы используем CryptoApi, поэтому если функция шифрования не срабaтывает, мы просто заполняем файл мусором.
В результате после расшифровки некoторые жертвы орут на нас… Мы пытаемся вести честный бизнес, но деньги для нaс важнее, чем несколько файлов, которые потеряли нескoлько жертв.
Как вы можете им помочь? Я знаю, что вы сильны в криптографии, мы могли бы прислать вам код шифрования и дешифровки, а вы могли бы указать нам, где нaходится баг, чтобы мы его исправили. И больше никакого фейкового шифрования, с мусором, вмeсто оригинального содержимого файла».

В своем твиттере Восар пишет, что пока не решил, что дeлать. Пока он обратился к коллегам с вопросом «что в такой ситуации сдeлали бы вы?», и большинство исследователей со всего мира пoрекомендовали Восару не связываться, ведь тогда, помимо прочего, пoлучится, что он помогает преступникам.
Вопрос этики
сообщения
1682

Информационная безопасность

Развернуть
Стою, травлюсь дымом во дворике. Рядом некто разговаривает по телефону:
– Да пароль там шесть девяток...
«Хороший у вас пароль, но лучше не произносить его вслух в публичном месте» - думаю я.
– Ну тогда сервисный пароль, 123456 - говорит некто.
«Вот до чего ламер непуганый! Давно таких не видел. Ты бы ещё...»
– Это ко всем терминалам компании «Э***к» подходит!

Прошло пару дней. Как оказалось, обычный и сервисный пароли действительно подходят к любым терминалам компании «Э***к», по крайней мере в тех местах где я их видел.
683

Только что на конференции по информационной безопасности

Развернуть
Спикер Майкрософта на выступлении о Windows 10:
– А еще одна наша фишка - утечка данных... Ой, защита от утечки данных.
Это вин.
1727

О запретах и безопасности

Развернуть
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.
===
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
===
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
===
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
===
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.


Источник: "Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками" Н.Н.Федотов
3429

пирожок про хакеров

Развернуть
пирожок про хакеров
1039

Бескомпромиссная защита информации

Развернуть
В начале 90-х в одном из московских банков возле серверной сидел охранник с единственной инструкцией: в случае возникновения угрозы вторжения прострелить винчестер в главном сервере. На корпусе сервера было нарисовано жирное кольцо, в которое следовало стрелять.