Vlad Styran | Хакер, що біжить

УніКальний досвід України в кібервійні

Мінцифри звітує, що досвід України в протистоянні Росії в кібервійні — унікальний. І його треба використовувати і т.д. Не дуже унікальний гоу-гоу дансер від ІТ в коментарях скандує про інновації та про те, що Україна — країна стартапів і країна-стартап.

Наводжу різкість. Коли тебе п**дять, це не досвід. Це страждання. Досвід, це коли ти даєш здачі і дивишся, що з того буде. Кому треба, ті вже давно цей досвід напрацьовують та використовують. А держава Україна поки що лише з занепокоєнням та цікавістю роздивляється, як її б‘ють та скільки лайна вибивають. «Адже кал цікавий, а цікавість — то погляд в майбутнє», як казав класик.

Є в бізнесі така приказка, «fake it till you make it». Залежно від області застосування, це можна трактувати по-різному: від геніальної стратегії до цинічного на**алова. Наприклад, якщо у вас немає ані спеціалістів, ані досвіду, ані часу здобути перше і друге, то сунутись в державний тендер на закупівлю відповідних послуг лише тому, що засновники вашої фірми бухають в сауні із профільним замміністра — це буде цинічне на**алово. А ось претендувати на нову посаду, яка дещо складніша та амбіційніша за попередню — це геніальна стратегія. Головне в‘вязатися, а там розберемось. Безвихідь ситуації створить ідеальні умови для розвитку і ви це зробите. А поки що, посміхайтесь та удавайте, що все під контролем.

Fake it Till You Make It стало генеральною стратегією уряду Зеленського. Тому що, як не крути, а ця команда вміє та любить грати. Але за періодом удаваної готовності взяти відповідальність за долю країни неодмінно прийде час, коли цією долею доведеться опікуватися. І ані президент, ані уряд, ані парламентська більшість до цього не готові. Для трансформації з дешевих імітаторів у державних діячів було занадто мало часу.

Звісно, я суджу лише з того, що бачу, та в чому розбираюся. Але в тій темі, де багато хто вважає мене експертом, дії поточної влади не витримують жодної критики. І я маю нахабність екстраполювати ці спостереження на інші галузі. Якщо Україна це стартап, то мушу нагадати, що базовий рейт успішних стартапів це 2%. А ще класик казав, «навіщо вам погляд у те, чого у вас нема?»

У школі мого малого на вході до кабінету директора довший час висів портрет Порошенка і це мене дуже бісило. Тепер там висить горщик із квітами.

Вплив зміни оточення на продуктивність праці

і до чого тут соціальна інженерія

Одразу в декількох друзів одночасно у стрічках Twitter та Facebook з’явилася новина про те, як пречудово Microsoft Japan провела експеримент із переведенням персоналу на чотириденний робочий тиждень, і як це викликало різкий приріст продуктивності праці аж на 40%. Хто ще не бачив, ось почитайте за посиланням, а потім повертайтесь, і я розповім вам, чому це все дуже витончена маніпуляція громадською думкою.

Тепер по пунктах.

По-перше, якщо ви слідкуєте за новинами в цій частині суспільних наук, то ви в курсі, що будь-яка, навіть незначна, зміна в робочому середовищі викликає приріст продуктивності. Наприклад, якщо на робочому місці трохи збільшити інтенсивність освітлення. Погана новина в тому, що цей приріст — тимчасовий, а з часом показники повертаються до середніх значень. Гарна новина в тому, що зворотна зміна… так, ви вгадали, також викличе тимчасове збільшення продуктивності. Зручно, правда? Головне не залишати оточення надовго без змін та регулярно рапортувати про чергове покращення. І, допоки не відбулася регресія до посередності, знову вигадати якусь тимчасову зміну.

По-друге, хоч ми й спостерігаємо стале збільшення продуктивності праці та зменшення робчого тижня в глобальному сенсі, ці процеси відбуваються в макроекономічному масштабі та тривають десятиліття. Тому вони не мають прямого стосунку до когнітивного впливу на поведінку людей, що викликаються тимчасовими змінами в оточенні. Так, ми весь час поступово стаємо спритніші та розумніші, але цьому сприяє система охорони здоров’я, якість харчування, рівень освіти та автоматизація праці. А не перехід на чоториденний робочий тиждень на чотири тижні в якості експерименту.

По-третє, і це найсумніше, в цьому піар меседжі чітко проступають неочевидні на перший погляд цілі Microsoft. Як мені здається, цей псевдо-експеримент спрямований на тривале утримання працівників через створення приємних спогадів про місяць, в який раз на рік можна не вджобувати до усрачки перед черговим дедлайном, а забити на все та провести три дні із сім’єю. Ефективність цієї мотиваційної стратегії я можу порівняти лише із її цинізмом.

Ну і на завершення, але мабуть це найважливіше, все якось дуже зручно співпало в часі із масовими звільненнями в Uber та стихійним відтоком кадрів з Google та Facebook.

Ось такі в мене думки з цього приводу. Вибачте, що наламав вам кайф.

Про експертів, експертизу та шарлатанів

Чому так просто називатися експертом в невідомій галузі, та як виявляти шарлатанів.

Так, давайте я одразу чесно розповім, навіщо я це пишу. Не знаю, як вам, але мені око муляє ота навала експертів, яких набігло в галузь кібербезпеки протягом останніх пів року. От не було експертів, не було, і тут невідомо звідки взялася аж ціла купа. Просто якийсь Великий вибух, їй-богу. Експертом називається буквально кожен, хто якимось дивом дорвався до годівниці. Адже тема зараз на хайпі й урвати ласий шматок хочеться багатьом. Як же ж так вийшло, що експертами в галузі вважаються люди, які мають про кібербезпеку дуже образне уявлення?

Продовжити читання

Геополітичний хакерський глобус України

з шинкою та моцарелою

На тлі подій, які розгорнулися цього тижня щодо партнерства одного українського кібербезпекового івенту та російського журналу “Хакер”, в багатьох колег, а тим більше в людей з-поза меж “кібер-тусовки”, виникло багато питань. Я за останні два дні трохи втомився на них відповідати, але залишати їх без відповіді не можна. Тому ось вам невеличкий екскурс в українську хакерську геополітику.

Почнемо з того, що більш за все дезорієнтує стороннього спостерігача, який волею-неволею зіштовхується з так званою спільнотою кібербезпеки. Немає ніякої спільноти. Звісно, є досить велика група людей, які ведуть діяльність в спільній, хоч і досить різнобарвній, області знань. Але цілісної спільноти вони не утворюють. Скоріше, це декілька утворень, які мають різні погляди, інтереси та цінності. Розрізнити такі утворення можна за двома ознаками: яке в його учасників бачення індустрії кібербезпеки як явища, та які в його учасників етичні пріоритети.

Бачення спільноти в людей буває або одного з трьох типів, або поєднує ці типи в комбінації. Перші розглядають кібербезпеку як бізнес та бачать тут лише роботу або підприємницьку діяльність. Другі бачать в кібербезпеці професію, область знань та предмет вивчення й подальшого розвитку. Треті бачать в кібербезпеці певну субкультуру, яку називають хакерською. Типи сприйняття накладають відбитки на поведінку своїх носіїв, наприклад, перші вимагають один від одного певної ділової етики, другі інвестують час у допомогу менш досвідченим колегам, а треті створюють та розганяють тематичні інтернет-меми. Комбінації двох бачень трапляються досить часто. Цілком ймовірно, що хтось наб’є собі тату з лого Kali Linux та поїде так виступати по світових конференціях. Але поєднання всіх трьох світоглядів в одній голові зустрічається дуже рідко. Проте нерідкі випадки, коли носії одного світогляду успішно імітують інший або навіть інші два. Але в підсумку для когось з нас кібер це бізнес, для когось — спільнота однодумців, а для когось — хакерська субкультура. І цей світогляд певною мірою визначає нашу поведінку.

Етичні пріоритети, це відповідь на питання, що для вас важливіше із отакого короткого списку:
1. Бути хорошою людиною
2. Бути хорошим членом суспільства
3. Бути хорошим громадянином
4. Бути хорошим професіоналом та працівником
Давати означення категоріям вище я не буду, адже це марна трата часу: в людей, в яких вони мають суттєві відхилення від загальноприйнятих, все настільки запущено, що в чомусь їх переконувати не має сенсу, а в решти із цим все добре. Ключові відмінності в етичних пріоритетах настільки важливі, що можуть розділяти цілі цивілізації. Наприклад, представники західної цивілізації набагато більші індивідуалісти та менше довіряють державі, тобто для них 2>3. Мешканці Сходу навпаки — більші колективісти, а інтереси держави ставлять вище особистих, хоч і не завжди добровільно. Наші рішення залежать від того, в якому порядку в нашій свідомості розташовані ці іпостасі. Для когось професійна діяльність та бізнес важливіші за громадянську позицію, тому він може продовжувати вести справи із представниками країни-агресора в умовах війни. А для когось життя та свобода людини важливіші за професійні обов’язки, тому замість виконання обов’язків за контрактом він організовує пікет під будинком суду.

Тип світогляду та моральні пріоритети визначають як люди поводяться та як вони організовуються у групи. Важко уявити собі цілісну спільноту, в якій співпраця із резидентами країни-агресора одними учасниками схвалюється, а іншим піддається критиці. Тому професіонали гуртуються за спільними цінностями й утворюють спільноти, яким ці цінності характерні. Все починається із виникнення лідера або лідерів, які розділяють світогляд один одного, та закладають фундамент майбутньої спільноти. Далі до лідерів приєднуються перші послідовники, які становлять ядро спільноти. А далі до нової спільноти приєднуються всі інші охочі учасники, які розділяють її ідеологію.

В результаті, українська професійна тусовка розпадається на ізольовані групи, які більшість часу ігнорують одна одну. Групи несуть різну ідеологію, від відверто ватно-миролюбної, де вважається за честь підтримувати дружні стосунки із російськими колегами, відвідувати російські професійні конференції та навіть брати участь в їхній організації; крізь, наскільки це можливо, нейтральну, де процвітає віра в “хороших русских”, які не цікавляться політикою та не схвалюють дії свого уряду; до радикально антиросійської, де сама ідея спілкування із росіянами, запрошення їх у доповідачі на конференціях та будь-яка інша співпраця розцінюється в кращому випадку як невдала спроба пожартувати. Ці розбіжності з професійної та субкультурної площин перетікають в бізнесову: компанії, точніше їхні працівники, прискіпливіше обирають, яку із спільнот підтримувати матеріально, коли намагаються уникати асоціацій із певними ідеологічними принципами або їхньою відсутністю. Зрештою, світогляд та етика переплітаються в певний орнамент, який визначає характер спільноти та її успіх в цільової аудиторії. Народжуються символічні гасла та меми, як то “мы за дружбу”, “хакери вне политики” та “чей Крым?”, спільноти-носії яких явно себе ідентифікують, чим притягують нових членів та відштовхують ідеологічних противників. (Про всяк випадок розшифрую гасла: “мы за дружбу хакеров России и Украины”; “хакеры вне политики”, а той факт, що кібератаки становлять чи не найгарячіший домен геополітичного протистояння, ми ігноруємо; “чей Крым?” — і ви можете подумати, що відповідь на це питання визначить перспективу нашого подальшого спілкування, але скоріш за все ми просто над вами знущаємось).

Діяльність спільнот протікає в більш-менш спокійному темпі, допоки в діях однієї з них не виникне вчинок, який кардинально суперечить світогляду іншої або інших. Спільноти в різній формі обмінюються критикою, форма якої, як і реакція на неї, буває досить різноманітною та залежить від освіченості, вихованості та настрою лідерів та учасників спільнот: від “дякую за конструктивне зауваження” до “іди умнічай в своєму чаті”. Загалом, більшість часу все доволі тихо та взаємні випади максимально нівелюються небажанням розводити черговий срач в чатах та коментах. Але серйозні косяки викликають обурення, яке викликає рефлексію, а там і до ланцюгової реакції недалеко. Останнім часом такими косяками стають вчинки, які кидають тінь на усе умовне українське “ком’юніті”, якого, як я написав на початку, фактично не існує. І саме тому все більше людей та спільнот хочуть відмежуватися один від одного та зруйнувати цей стереотип про єдину спільноту.

Сподіваюся, наступного разу, коли ви будете читати статтю, що починається зі слів “експерт з кібербезпеки вважає…”, “українські хакери стверджують…” або “хакерська конференція запросила до партнерства…”, ви не станете узагальнювати та застосовувати її вміст до усіх представників нашої професії.

Про виступи на конференціях

У відповідь на мою згадку про відмову у доповіді на OWASP Poland продовжується така дивна (для мене) реакція, що напевно ситуація вимагає пояснень.

По-перше, дивіться, як працює Call for Proposals (або Call for Papers чи просто CFP) на конференціях. Є період подачі заявок на виступ, протягом якого всі доповідачі, окрім запрошених “ключових” (keynote), ідуть на спеціальний сайт, на якому докладно описують, про що вони хочуть розповісти. Подаючи заявку, вони погоджуються на умови виступу: формат, обмеження по тематиці і формі, згода на запис та трансляцію, відшкодування частини, всіх або жодних витрат, вимоги до унікальності вмісту тощо. Зокрема, кожен із них погоджується віддати право вирішувати їхню долю Програмному комітету конференції.

Програмний комітет може бути частиною команди організаторів, а може бути незалежним – це коли його члени не беруть участь в організації конфи. Задача комітету – оцінити всі заявки, проголосувати (скажімо по шкалі 1-5) та дійти згоди щодо майбутньої програми. Що коїться за лаштунками ПК – велика таємниця, це свята святих будь-якої конференції, тому лізти туди з порадами чи рекомендаціями зась. І рішення ПК не оскаржують. Точніше, деколи оскаржують, але це є дуже поганим тоном.

По-друге, дивіться, які справи із контентом, тобто з доповідями. Попри сором’язливість та інтровертність представників нашої професії, відбою в заявках великі конференції зазвичай не мають. Тому ПК доводиться відмовляти, деколи багатьом. З різних причин: деякий контент відверто не вписується в концепцію конференції та не буде цікавий цільовій аудиторії. Деякі спікери вже доповідали по своїй темі та відео виступів вже є в інтернеті. В деяких випадках доставити доповідача на конференцію і назад буде коштувати настільки дорого, що організатори банально змушені відмовляти з матеріальних причин. А ще деколи в заявках пишуть таке… що зі спокусою відповісти відмовою без голосування доводиться боротися. Для довідки: навіть на NoNameCon 2019, конференції, якій аж два рочки, нам довелося відмовити майже половині бажаючих виступити. Що вже казати про розпіарені події з міжнародним ім’ям та традиціями?

Отже, по-третє, і це моя головна думка, відмова – це нормальна частина життя спікера. В цьому немає нічого образливого чи сумного, просто в когось була краща заявка, або когось “кинули” спонсори. Комусь може здатися, що я себе так заспокоюю, щоб дуже не перейматися через численні відмови. Але насправді це не так, я дійсно дуже по-філософськи ставлюся до реджектів. Тому що отримати реджект набагато легше та простіше, ніж його написати та надіслати. А такого досвіду в мене теж достатньо.

Мораль: якщо потенційна відмова Програмного комітету – це єдина причина, яка стримує вас від подання заявки на виступ, то це не причина. Насправді нічого поганого у відмові немає, навіть навпаки: кожна відмова це привід запитати обґрунтовану критику, тобто попросити пояснити, чому саме вам відмовили, та наступного разу взяти це до уваги. Але нагадую: в жодному разі не піддавайте рішення ПК сумніву – ось це справді табу на конференц-сцені.

Ще один важливий плюс відмов – це “приземлення” амбіцій та приборкування власного его. Тому що якщо тобі відмовляють, то напевно не такий ти вже й суперський доповідач в універсальному контексті, і не такий вже в тебе й цікавий матеріал, коли є з чим порівнювати. Іди і try harder.