Автор: Vlad Styran

Моя поліція мене береже

Що вам треба знати про додаток My Pol (Моя поліція, SOS etc.) перед його встановленням.

  1. Додаток вимагає доступу до вашої геолокації: по базових станціях мобільного зв’язку, по точках доступу Wi-Fi, по GPS. Тобто з точністю до 1-2 метрів.
  2. Додаток може здійснювати дзвінки без вашого відома.
  3. Без надання додатку цих дозволів він не працює.

Що вам треба знати про додаток My Pol (Моя поліція, SOS etc.) перед його встановленням.

  1. Додаток вимагає доступу до вашої геолокації: по базових станціях мобільного зв’язку, по точках доступу Wi-Fi, по GPS. Тобто з точністю до 1-2 метрів.
  2. Додаток може здійснювати дзвінки без вашого відома.
  3. Без надання додатку цих дозволів він не працює.

В жодному з можливих трактувань поняття “демократична держава” силові структури не повинні мати такої можливості втручатися в приватність громадян.

Логічним рішенням було б створення організації, яка відіграє роль проксі між силовиками та оператором приватних даних. Або покласти цю роль на МЧС чи ще когось, хто не матиме спокуси їх використання під час негласних слідчих дій. Але наш уряд не вміє в логіку, він вміє в дешевий популізм.

В будь-якому разі, якщо ви не маєте 100% довіри до МВС, я б не радив це встановлювати.

Security Humble Bundle 2020

Сьогодні всі ці книжки сумарною вартістю майже 1,000 доларів можна купити за 700 гривень. А ще це крутий спосіб підтримати EFF та LetsEncrypt.

Сьогодні всі ці книжки сумарною вартістю майже 1,000 доларів можна купити за 700 гривень. А ще це крутий спосіб підтримати EFF та LetsEncrypt.

Найпоширеніше запитання, яке я чую, окрім, звичайно ж, який месенджер найбезпечніший, – як почати кар’єру в кібербезпеці. Десь 5 років тому я втратив ентузіазм в пошуку універсальної відповіді на це запитання. З того часу я різним людям відповідаю різні речі та даю різні поради, і дивлюся, що вийде. І виходить, мушу зізнатися, непогано.

Але сьогодні на Humble Bundle я придбав всі ці книжки, і напевно це найкраща відповідь відтепер і на деякий час. Всі ці речі я колись дуже хотів прочитати, а більшість таки прочитав. Пам’ятаю як нетерпляче очікував їх надходження з Амазону Укрпоштою, як радів коли отримував їх у відділенні. І не дарма, адже вони великою мірою сформували мою професійну траєкторію та відбилися на моїх поглядах. Стали ґрунтом для моїх принципів. Буду насолоджуватись.

https://www.humblebundle.com/books/cybersecurity-2020-wiley-books

Користуйтесь парольними менеджерами

Неможливо зробити щось одночасно легким для запам‘ятовування та важким для вгадування. 

Як людина, роботою якої довгий час було вгадування паролів, я вважаю цей текст одним з найкращих узагальнень в цій області знань.  Немає змісту перекладати чи наводити тут основні тези: читати треба повністю.

Мораль: не користуйтеся паролями. Користуйтеся парольним менеджером, який захищений нереально крутою пасфразою на 20+ символів. А ще краще – замикайте свій парольний сейф фізичним смарт-ключем.

https://wpengine.com/unmasked/

Відгук: James Clear – Atomic Habits

Зовсім забув сказати, прочитав книжку Atomic Habits. Твір дуже добре систематизує те, що вам вже може бути відомо з інших матеріалів. Якщо раніше ви вважали Power of Habit кращим твором на цю тему, тепер у вас є новий улюбленичок. Джеймс Клір не спростовує роботу Чарльза Дугіґґа, а радше впорядковує та систематизує її. В «Атомарних звичках» значно менше яскравих прикладів з історії великих корпорацій, зате до біса методичних вказівок, практичних настанов та інших матеріалів.

Якщо не гортати, а вчитуватись, книжка дуже добре перегукується з сучасними популярними філософськими поглядами. Це все класно відбивається на вашому сприйнятті історій успіху, змушує скептичніше ставитись до критеріїв досягнення цілей, та взагалі натякає що варто переглянути життєві орієнтири. І навіть якщо ви не готові позбавитися ілюзії свободи волі та все ще сприймаєте успіх та поразку як результати рішень окремих індивідуумів, ця книжка робить вас на крок ближче до дійсності.

Ви – це історія, досвід, результат мільярдів інтеракцій з іншими об’єктами у всесвіті. І на успішність чи провальність ваших дій впливає занадто багато факторів, щоб ваша «воля» відігравала на їхньому фоні якусь помітну роль. Хіба що, ви будете здійснювати спроби вплинути на всесвіт наполегливо, регулярно, систематично. Хіба що, ви змиритеся, що задля досягнення результату талант менш важливий, ніж системність у докладанні зусиль. Хіба що, ви усвідомите, що ви й є система.

Ну і центрова цитата, звісно ж,

Ви не підіймаєтеся до рівня ваших цілей. Ви падаєте до рівня вашої системи.

Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones

Перевірка програмного забезпечення на безпеку

Дозвольте накинуть.

Перевірка програмного забезпечення на безпеку. Загалом у вас є три шляхи:
1. Автоматичне сканування ультрадорогою вундервафлею, яка згенерує вам 100,500 хибних підозр на вразливості, що не існують. Якусь частину з них ви виправите, а на решту заб’єте для ясності.
2. Методичне тестування за допомогою «провідних методологій» на відповідність «галузевим стандартам» та «найкращим практикам». В мене для вас погані новини: наші методології все ще сирі, нормальних стандартів в цій галузі немає та не може бути, а найкращі практики зблизька виявляються методичками для інтернів, як робити те, про що не маєш уявлення.
3. Вибір досвідченого та авторитетного постачальника послуг, який створює комфортні умови праці для найкращих експертів у цій професії. І потім сподіватися на те, що вони добре зроблять свою справу.

Все ще вагаєтесь? Я спрощу вам задачу. Який би такий приклад обрати… Якби я не пішов в Application Security, то скоріш за все присвятив би себе нейрохірургії. Надто сильно люблю покопирсатися в якійсь незрозумілій фігні. Отже, питання до вас: кому б ви радше довірили операцію?
1. Новітньому медичному роботу, який виріже вам 70-80% мозку, бо з ними «щось не так».
2. Випускнику медичного коледжу із найкращим підручником з нейрохірургії, до якого він може заглядати протягом операції.
3. Або експерту-нейрохірургу (досвід 15 років) із командою асистентів (досвід 2, 5 років) в яких рухи відточені до автоматизму на сотнях операцій, а експертна інтуїція навчена тисячами історичних та практичних історій хвороб?

Голосуйте в коментах.

P.S. Конференц-сезон 2020 року я вирішив присвятити висвітленню зв‘язку між тим, як програми та люди підставляють одне одного. Слідкуйте за анонсами.