Forwarded from Freedom F0x
Please open Telegram to view this post
VIEW IN TELEGRAM
НЛМК нанимает девопсов до 270тр - промышленность пока ещё отстает от рынка, но подтягивается в тренд.
Давеча дети из Спецлаба столкнулись с тем, что государство на тендерах требует все делать на Astra Linux. В честь чего они написали на Хабр какашечку (и спасли и дополнили ее у себя), которую тезисно можно изложить так:
- В совке был дефицит и авторам приходилось спать на полу
- Сейчас совок, потому что обязывают покупать Астру
- Astra - тухлятина 5 летнего отстоя с небольшими доработками
- ФСО проверило этот отстой и сертифицировало его
- У всех дворников очень много тайн, поэтому все очень плохо, везде совок, погоны и Астра
- Все, кто используют старье - обречены на поражение из-за выявляемых уязвимостей
- Спецлаб в шоке от требований на тендерах
- У авторов статьи в регионе всего 2 инженера со знанием Линукса, и те госслужащие и не всегда доступны.
Проблема в том, что автор соврал во всем. Это признак дешёвого PR.
Во-первых, Linux в регионах учат сейчас все, кто хочет нормальную ЗП в ИТ (я начал изучать 20 лет назад с этой же целью).
Во-вторых, Astra регулярно выпускает патчи к своим дистрам.
В-третьих, нет ничего плохого в использовании доработанного Debian с научно обоснованной моделью защиты конфиденциальных данных и сертифицированной реализацией этой модели защиты.
В-четвёртых, Астра активно работает и обновляет компоненты по контрактам и для партнёров, вошедших в экосистему импортозамещения, включая программу тестирования Ready for Astra Linux
В-пятых, автор не знает, что Astra Linux SE сертифицирована сразу у всех регуляторов: ФСТЭК, ФСБ и МО. ФСО, упомянутая автором - всего лишь один из потребителей Астры, но никак не регулятор.
В-шестых, автор не пытается провести объективный предметный анализ, его тупо распуканило. Напомнило взрыв пукана Альта в рассылке Debian, где он жаловался на анонимного комментатора с Opennet.ru
Ну и напоследок, Astra Linux CE - бесплатна и публично доступна.
- В совке был дефицит и авторам приходилось спать на полу
- Сейчас совок, потому что обязывают покупать Астру
- Astra - тухлятина 5 летнего отстоя с небольшими доработками
- ФСО проверило этот отстой и сертифицировало его
- У всех дворников очень много тайн, поэтому все очень плохо, везде совок, погоны и Астра
- Все, кто используют старье - обречены на поражение из-за выявляемых уязвимостей
- Спецлаб в шоке от требований на тендерах
- У авторов статьи в регионе всего 2 инженера со знанием Линукса, и те госслужащие и не всегда доступны.
Проблема в том, что автор соврал во всем. Это признак дешёвого PR.
Во-первых, Linux в регионах учат сейчас все, кто хочет нормальную ЗП в ИТ (я начал изучать 20 лет назад с этой же целью).
Во-вторых, Astra регулярно выпускает патчи к своим дистрам.
В-третьих, нет ничего плохого в использовании доработанного Debian с научно обоснованной моделью защиты конфиденциальных данных и сертифицированной реализацией этой модели защиты.
В-четвёртых, Астра активно работает и обновляет компоненты по контрактам и для партнёров, вошедших в экосистему импортозамещения, включая программу тестирования Ready for Astra Linux
В-пятых, автор не знает, что Astra Linux SE сертифицирована сразу у всех регуляторов: ФСТЭК, ФСБ и МО. ФСО, упомянутая автором - всего лишь один из потребителей Астры, но никак не регулятор.
В-шестых, автор не пытается провести объективный предметный анализ, его тупо распуканило. Напомнило взрыв пукана Альта в рассылке Debian, где он жаловался на анонимного комментатора с Opennet.ru
Ну и напоследок, Astra Linux CE - бесплатна и публично доступна.
speclab
Безопасный город
Аппаратно-программный комплекс, позволяющий организовать глобальный контроль обстановки и оперативное реагирование на любую нештатную ситуацию в городе
Forwarded from SecAtor
В инфосек среде активно обсуждают опубликованное на Medium расследование в отношении выходных узлов Tor.
Согласно его материалам, в конце мая этого года, на пике, более 23% (!) выходных узлов Tor контролировалось одним злоумышленником/группой злоумышленников (ясно, что при частом использовании Tor вероятность попадания на "вредоносный" выходной узел резко увеличивалась).
Поскольку выходной узел является единственным в цепочке Tor-узлов, на котором виден клиентский трафик в незашифрованном виде, то злоумышленники могли использовать подконтрольные узлы для атаки "Man-in-the-middle", чтобы модифицировать проходящий трафик в своих интересах. По данным исследователей, хакеры выборочно убирали перенаправление HTTP-to-HTTPs (т.н. SSL stripping), после чего заменяли BTC-кошельки в проходящих через них криптотранзакциях на свои.
Обращает на себя внимание тот факт, что хакеры продемонстрировали способность восстановления своей вредоносной инфраструктуры после проводимых администрацией Tor чисток. На данный момент, по оценкам исследователей, злоумышленники контролируют до 10% выходных узлов Tor.
Согласно его материалам, в конце мая этого года, на пике, более 23% (!) выходных узлов Tor контролировалось одним злоумышленником/группой злоумышленников (ясно, что при частом использовании Tor вероятность попадания на "вредоносный" выходной узел резко увеличивалась).
Поскольку выходной узел является единственным в цепочке Tor-узлов, на котором виден клиентский трафик в незашифрованном виде, то злоумышленники могли использовать подконтрольные узлы для атаки "Man-in-the-middle", чтобы модифицировать проходящий трафик в своих интересах. По данным исследователей, хакеры выборочно убирали перенаправление HTTP-to-HTTPs (т.н. SSL stripping), после чего заменяли BTC-кошельки в проходящих через них криптотранзакциях на свои.
Обращает на себя внимание тот факт, что хакеры продемонстрировали способность восстановления своей вредоносной инфраструктуры после проводимых администрацией Tor чисток. На данный момент, по оценкам исследователей, злоумышленники контролируют до 10% выходных узлов Tor.
Medium
How Malicious Tor Relays are Exploiting Users in 2020 (Part I)
>23% of the Tor network’s exit capacity has been attacking Tor users
Forwarded from запуск завтра
Мы с Федей ищем технического директора в igooods себе на замену.
igooods — это доставка продуктов из гипермаркетов. Сотни тысяч клиентов, тысячи заказов в день, миллиард оборота в месяц. 36 городов России. В партнерах — Метро, Лента, Призма, Вкусвилл, Ашан, Глобус, Карусель, Окей.
Техническая команда — 31 человек. Под капотом рельса и реакт, мобильные приложения — нативные под iOS и Android.
Вы заберёте разработку, которая находится в процессе трансформации от небольшой уютной тусовки к машине по зарабатыванию денег. За последние полгода производство стало работать чётче, но до швейцарских часов ему пока далеко — много вещей делаются на ручном контроле. Вам предстоит выстроить QA, доукомплековать продуктовые команды, до конца перейти на сервисную архитектуру (цель — через полгода перестать писать код в монолит) и создать систему управления техдолгом.
Вторая задача — подчинить разработку бизнесу, работая бок о бок с CPO. Каждый джуниор-фронтендер должен знать, на какую метрику повлияет задача, которую он сейчас делает, а любая гипотеза про деньги должна проверяться не дольше трёх недель.
Мы с Федей запустили эти процессы, но чтобы завершить работу, нужно жить в Питере.
Команда прекрасная, но это не значит, что вам не придется много работать руками. Оно того стоит — вы выстроите первоклассную разработку в одном из крупнейших сервисов доставки продуктов в России.
Офис в Питере, помощь с переездом. Подчинение напрямую владельцу бизнеса; основной рабочий партнер — CPO Андрей Родин.
Пишите краткий рассказ о себе мне в личку или на s@samat.me.
igooods — это доставка продуктов из гипермаркетов. Сотни тысяч клиентов, тысячи заказов в день, миллиард оборота в месяц. 36 городов России. В партнерах — Метро, Лента, Призма, Вкусвилл, Ашан, Глобус, Карусель, Окей.
Техническая команда — 31 человек. Под капотом рельса и реакт, мобильные приложения — нативные под iOS и Android.
Вы заберёте разработку, которая находится в процессе трансформации от небольшой уютной тусовки к машине по зарабатыванию денег. За последние полгода производство стало работать чётче, но до швейцарских часов ему пока далеко — много вещей делаются на ручном контроле. Вам предстоит выстроить QA, доукомплековать продуктовые команды, до конца перейти на сервисную архитектуру (цель — через полгода перестать писать код в монолит) и создать систему управления техдолгом.
Вторая задача — подчинить разработку бизнесу, работая бок о бок с CPO. Каждый джуниор-фронтендер должен знать, на какую метрику повлияет задача, которую он сейчас делает, а любая гипотеза про деньги должна проверяться не дольше трёх недель.
Мы с Федей запустили эти процессы, но чтобы завершить работу, нужно жить в Питере.
Команда прекрасная, но это не значит, что вам не придется много работать руками. Оно того стоит — вы выстроите первоклассную разработку в одном из крупнейших сервисов доставки продуктов в России.
Офис в Питере, помощь с переездом. Подчинение напрямую владельцу бизнеса; основной рабочий партнер — CPO Андрей Родин.
Пишите краткий рассказ о себе мне в личку или на s@samat.me.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Container Breakouts
Серия статей, посвященная тому, как происходит выход за пределы контейнера. Об этой угрозе часто можно услышать от маркетологов решений по Container Runtime Security, но время разобраться, как это происходит на самом деле.
Part 1: Access to root directory of the Host
Part 2: Privileged Container
Part 3: Docker Socket
Также автор предлагает познакомиться с CVE-2019-5736, CVE-2019-14271, а также со статьей "Abusing Privileged and Unprivileged Linux Containers "
Для того, чтобы предотвратить возможность выхода за пределы контейнера, Clint Gibler написал отдельный перечень инструментов тестирования.
#docker
Серия статей, посвященная тому, как происходит выход за пределы контейнера. Об этой угрозе часто можно услышать от маркетологов решений по Container Runtime Security, но время разобраться, как это происходит на самом деле.
Part 1: Access to root directory of the Host
Part 2: Privileged Container
Part 3: Docker Socket
Также автор предлагает познакомиться с CVE-2019-5736, CVE-2019-14271, а также со статьей "Abusing Privileged and Unprivileged Linux Containers "
Для того, чтобы предотвратить возможность выхода за пределы контейнера, Clint Gibler написал отдельный перечень инструментов тестирования.
#docker
Forwarded from Hacker News
Атака ReVoLTE позволяет дешифровать и слушать чужие разговоры
https://xakep.ru/2020/08/14/revolte/
https://xakep.ru/2020/08/14/revolte/
XAKEP
Атака ReVoLTE позволяет дешифровать и слушать чужие разговоры
Эксперты из Рурского университета и Нью-Йоркского университета в Абу-Даби опубликовали доклад об атаке ReVoLTE. Закупив оборудование, стоимостью около 7000 долларов, злоумышленники могут взламывать шифрование голосовых вызовов 4G и слушать чужие разговоры.
Forwarded from Информация опасносте
А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне
Forwarded from Записки админа
🔑 Очень... Нет, ОЧЕНЬ много ссылок на различные доки, статьи, обзоры, сопутствующие разработки и всё вот это вот по Wireguard. Отличная подборка, как по мне: https://docs.sweeting.me/s/wireguard#Tutorials
#фидбечат #wireguard #vpn
#фидбечат #wireguard #vpn
State of DNS Rebinding DEF CON - Google Презентации
371.9 KB
State of DNS Rebinding DEF CON - Google Презентации
Forwarded from Технологический Болт Генона
Microservices Security Pattern — Implementing a policy based security for microservices with OPA
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
Forwarded from BZD • Книги для программистов
#НейронныеСети
[Russian]
Title: Обработка естественного языка в действии
Author: Хобсон Лейн, Ханнес Хапке, Коул Ховард
Year: 2020
Pages: 576
ISBN: 978-5-4461-1371-2
Screenshot: https://xn--r1a.website/bzd_screenshots/5816
Description: Эта книга станет вашим руководством по созданию программ, способных распознавать и интерпретировать человеческий язык. В издании рассказано, как с помощью готовых пакетов на языке Python извлекать из текста смыслы и адекватно ими распоряжаться. В книге дается расширенная трактовка традиционных методов NLP, что позволит задействовать нейронные сети, современные алгоритмы глубокого обучения и генеративные приемы при решении реальных задач, таких как выявление дат и имен, составление текстов и ответов на неожиданные вопросы.
@bzd_channel
[Russian]
Title: Обработка естественного языка в действии
Author: Хобсон Лейн, Ханнес Хапке, Коул Ховард
Year: 2020
Pages: 576
ISBN: 978-5-4461-1371-2
Screenshot: https://xn--r1a.website/bzd_screenshots/5816
Description: Эта книга станет вашим руководством по созданию программ, способных распознавать и интерпретировать человеческий язык. В издании рассказано, как с помощью готовых пакетов на языке Python извлекать из текста смыслы и адекватно ими распоряжаться. В книге дается расширенная трактовка традиционных методов NLP, что позволит задействовать нейронные сети, современные алгоритмы глубокого обучения и генеративные приемы при решении реальных задач, таких как выявление дат и имен, составление текстов и ответов на неожиданные вопросы.
@bzd_channel
Forwarded from Записки админа
OSTconf2020-LKRG-In-A-Nutshell.pdf
1.2 MB