Декілька важливих порад бігунам-початківцям (до 5 км)

  1. Бігайте кожен день, роблячи 1–2 дні перерви на тиждень. Не важливо якщо не буде виходити багато, бігайте кожен день скільки зможете. Можете три км — бігайте три. Можете п’ять — бігайте п’ять. Можете через силу десять — бігайте п’ять. Важливо займатися в районі 300 хв. на тиждень, порахуйте скільки маєте для цього пробігати і уперед. Інакше буде “полочка” яка може затягнутися на роки.
  2. Фінішуйте сильно. Тобто робіть зусилля на останніх 10–20% дистанції. Можете просто повертатися в стартовий темп, або перевищувати його. Розпочати сильно може будь-хто, фінішувати сильно може той, хто вміє розраховувати сили та контролювати дистанцію. Саме ці тактичні навички вам знадобляться, якщо захочете йти далі.
  3. Якщо щось болить, два дні не бігайте. Мається на увазі не кріпатура, вона проходить за перші 2–3 км. нової пробіжки. Мова про суглоби та кістки, зв’язки і т.і. Хочете зайнятися самолікуванням — купить мазь живокосту дохтура Тайса. Якщо розпухло, потемніло, не дає ступити, або болить через два дні — йдіть до лікаря.
  4. На переході через 5 км тренувальної дистанції у багатьох болять коліна. Це нормально, працюйте над технікою, починайте спілкуватися з досвідченими. Якшо що див. п. 3.
  5. Не їжте дві години перед бігом. Не пийте пів години. Нічого страшного тут нема, просто з порожнім шлунком приємніше бігти.
  6. Бігайте по місті, це розвиває. Продумайте собі пару маршрутів, один на тренувальну дистанцію, один на “велику” для вихідних. Комбінуйте, намагайтеся бігти дворами та вулицями з менш щільним трафіком. Плануйте щоб на маршруті були 2–3 МакДональдзи або інші мережі публічних туалетів. Кола по парку швидко набридають. Стадіони для спринтерів.
  7. Майте з собою грошей на таксі та якогось ідентифікатора. Айфон не канає, більшість людей поняття не мають, як в ньому знайти тривожний екран. Права згодяться.
  8. Якщо бігаєте там, де вигулюють псів або де тусуються дворняги, тримайте по камінчику у кожній долоні. Пси дурні та боягузливі, але не намагайтеся від них втекти. Гарчить та стає в стійку для атаки — зупиніться, займіть більше простору (ноги ширше, руки в боки) та чекайте пару секунд поки не заспокоїться та не звалить. Якщо зволікає або їх більшає — киньте камінь в одного, решта розбіжаться.
  9. Якщо палите, киньте, прозрієте від того, наскільки легше буде бігти. Якщо п’єте, не пийте в день тренування — алкоголь стримує відновлення клітин, отже блокує прогрес.
  10. Бігайте взимку. Все що вище -10С підходить для бігу. Купіть термо та нормальний перший шар. При до +3 бігайте в одному шарі, коли нижче вдягайте термо. Коли лежить сніг та вже +3 особисто я вже вдягаю шорти. Тут маються на увазі не цифри на термометрі, а т.з. комфортна температура (feels like). Головні місця для утеплення це долоні та голова, вони втрачають найбільше тепла та не гріють себе під час бігу.
  11. Маєте вади здоров’я — проконсультуйтесь в лікаря. Але не лікаря для хворих, а спортивного. Бо в поліклініці вам одразу покладуть десять діагнозів і посадять у візок.
  12. Посміхайтеся бігунам. Це індивідуальний спорт, але в нас більше спільного, ніж у інших. Покажіть що ви це розумієте.

Як зберегти приватність відвідувань вебсайтів від власного інтернет-провайдера

від власного інтернет-провайдера

Останнім часом, зважаючи на неприємні новини з-за океану про відміну Конгресом США вимог щодо приватності метаданих відвідування інтернету, досить часто постає питання “а що ж робити?” Відклавши політичні та суспільні компоненти проблеми, якими най опікуються резиденти та громадяни Штатів, перейду до суто технічного розв’язання. Коли мова йде про вашого інтернет-сервіс провайдера (ISP), є два популярні та дієві способи приховати від нього практично всю вашу активність в мережі. Це Tor та VPN.

Tor здійснює трошки більше ніж просто приховування вашого трафіку. По суті це величезна розподілена мережа, яка шифрує трафік від вашого пристрою до точки виходу з неї (але не за її межами), та при цьому додає вашим діям відносної анонімності. Відносної, тому що абсолютної анонімності в інтернеті немає, проте Tor це непоганий варіант, якщо вашим опонентом є “вичіслітєль по ІР”, а не FBI чи ФСБ. Хоча щодо ФСБ в мене сумніви, але я б не радив ризикувати.

Віртуальна приватна мережа (VPN) анонімності не гарантує, але від прослуховування на обладнанні інтернет-провайдера захистить. Під’єднуючись до VPN, ви встановлюєте зашифрований тунель від вашого пристрою до серверу VPN-провайдера (або вашого власного VPN-серверу, якщо аж настільки припекло). Звісно ж, VPN-провайдери теж не янголи, але більшість з них отримує за послуги ваші гроші, а не гроші рекламодавців, жадібних до журналів ваших відвідувань. Отже, є VPN-провайдери з гарною репутацією, яких не соромно й друзям порадить.

Важливе зауваження. Ані Tor, ані VPN не гарантують вам приватності за межами мережі/тунелю. Отже, використовуючи ці технології, переконайтеся, що “завертаєте” в них лише комунікації, які самі по собі захищені шифруванням. Тобто, що відвідуєте веб-сайти по протоколу HTTPS та спілкуєтеся з друзями в програмах, які здійснюють шифрування даних. В противному випадку, особливо коли мова йде про Tor, ваші дані можуть опинитися навіть в більшій небезпеці, ніж зазвичай.

Список рекомендованих VPN-провайдерів міститься в настановах щодо персональної кібербезпеки під кодовою назвою Don’t Click Shit: https://github.com/sapran/dontclickshit#Користуйтеся-vpn

Охочім отримати досвід з використання Tor — сюди: https://www.torproject.org

Бережіться.


Оновлено 21 грудня 2018 р.

Очевидно, тепер до переліку суб’єктів, від нам яких слід приховувати метадані, треба додати й постачальників послуг, якими ми користуємось. Таких як, наприклад, Slack, що заблокував цілу купу користувачів, які нещодавно побували на підсанкціних територіях.



Originally published at blog.styran.com on April 8, 2017.

Чому небезпечно надавати доступ до вашого профілю в Facebook

та в інших соціальних мережах

Напевно, всім знайомі оці прикольні “тести”, які видають вам правду жізні лишень отримавши “доступ до вашого профілю у Facebook та списку друзів”. Дехто навіть підозрює, що вони становлять загрозу приватності. Але більшість вважає, що їхнє ім’я та email не є великою таємницею, а список друзів можна подивитися в профілі, отже… в мене нема чого красти.

Розбазарювати чи ні список друзів, це окрема цікава тема, але сьогодні давайте поговоримо про ваш профіль. Якщо ви вважаєте, що творців подібних “тестів” цікавить хто ви є і як з вами зв’язатися — ви наївно помиляєтесь. Насправді їх цікавить, які сайти ви відвідуєте, які посилання на них клікаєте, та які дані в них вводите. “Але ж Фейсбук про це не знає!” — скажете ви. І це буде помилкою.

Кожен раз, коли ви заходите на веб-сайт, який має на ньому видиму (або не дуже) порцію коду з Facebook, ви ділитися з ним даними про це відвідування. Цей код може виглядати як кнопка поширення сторінки в ФБ, але для того, щоб ваш візит був зареєстрований в ФБ, вам не потрібно поширювати сторінку. Вам досить просто її відвідати. Щоб картинка була повною, додам, що для збирання цих даних ФБ зовсім не обов’язково, щоб ви були в ньому залогінені або навіть зареєстровані.

Дані про наші відвідування збираються та систематизуються у великих-превеликих базах даних, користуватись якими потім можуть клієнти Facebook — тобто ті, хто платить за це гроші. (Якщо ви вважали, що є клієнтами ФБ, мушу вас розчарувати: ви в цій схемі — товар. У вас навіть артикул є — це ваш рекламний ідентифікатор.) Отримавши доступ до цих даних, клієнти можуть тонко настроювати параметри реклами, яку вони поширюють через ФБ. Наприклад, націлюючи її на чоловіків у віці 18–35 років, які неодружені та полюбляють мотоцикли. Тобто відвідують веб-сайти мотоклубів та ділерів і не дай боже колись клікали посилання на весільні агентства або лайкали весільні фотки із своїм обличчям десь по центрі. Якщо ви колись опинялися в ситуації, коли шукали певний товар в інтернеті, а потім заходили в ФБ та одразу ж натикалися на рекламу цього товару — ось вона, магія таргетованої реклами.

Але це ще пів біди: вся ця кухня відбувається в межах ФБ та більш-менш контрольована. “Соціальна мережа” (а насправді — величезний оператор персональних даних про наші дії в інтернеті та не тільки) виступає ніби посередником між нами (товаром) та рекламодавцями (клієнтами). А тепер уявіть собі, що хтось крім ФБ “сидить” на тих самих вебсайтах та збирає ту саму інформацію, але не в змозі її співставити з вашою персоною. Аж раптом він отримує ваші персональні дані та рекламний ідентифікатор, причому майже безкоштовно. На цьому в мене все.

Бережіться.

Чому не можна користуватися Яндекс-пробками та іншими російськими сервісами з геолокацією

та іншими російськими сервісами з геолокацією

Прилетіло “в приват”” чергове “в мене нічого красти”, цього разу на тему геолокаціі. Але не пасивно-агресивне, як зазвичай, а вже інтригуюче та зацікавлене. Це дуже радує! Значить ми тут не дарма і народ потроху починає прозрівати в плані загроз кібербезпеки.

Отже, чому не можна користуватися Яндекс-пробками та іншими російськими сервісами з геолокацією?

Зазвичай у користувачів Яндекс-пробок два аргументи: по-перше, цей сервіс кращий за, скажімо, Google Maps, а по-друге, “кому потрібні мої координати?”

Щодо першого в мене немає аргументів, тому що я в своєму житті жодного разу не користувався Яндекс-пробками і просто не можу порівнювати. Я можу сказати що Apple Maps в Україні просто безпорадні, тому що в них немає майже жодних даних про наше пересування. Так, в Україні порівняно мало айфонів, а ті, що є, “рідними” картами не користуються. В мене є враження від Google Maps та Waze, лише позитивні. А на кожну історію з третіх рук про те що Google Maps завів вас в бур’яни, в мене є аналогічна історія про Яндекс навігатор.

Щодо другого в мене теж немає аргументів: як і в випадку з електронною поштою, я повністю погоджуюся, що особисто ваша геолокація нікому нафіг не впала. Але є така штука, як “великі дані”: агрегована інформація про пересування мільйонів громадян дуже допомагає під час, скажімо, планування диверсійних операцій, масових заворушень та терористичних атак. Тепер, з цим новим знанням, перегляньте своє ставлення до власних геоданих та дайте відповідь на питання: кому ви радше довірите свої маршрути та координати? Країні, в якій зараз своїх проблем вистачає, або країні, яка має тут цілком очевидні геополітичні інтереси?

Отже, мені по цій темі взагалі немає чого вам порадити, але я впевнений, що ви зможете самостійно зважити аргументи та дійти власних висновків.

Бережіться.

Як зупинити фішинг раз і назавжди

Людоньки, хочете я вам розкажу, як зупинити фішинг раз і назавжди у три БЕЗКОШТОВНІ кроки? Вам навіть не треба буде тирити у нас матеріали наших авторських тренінгів з протидії соціальній інженерії (і таке трапляється). Більше того, ми з кентами одразу ж закриємо Berezha Security Group та розпочнемо кар’єру десь в астрофізиці, політиці чи соціальній психології. Хочете? То слухайте.

Крок 1: Переїдьте на хмарну пошту

От просто розпочніть користуватися Google Apps for Business чи Office365 просто зараз. Кожен раз, коли по пентест звертається компанія, яка використовує цих монстрів, десь у Всесвіті починає плакати соціальний інженер. Поштові фільтри у Гугла та МС настільки навернуті на машинному навчанні датасетами з мільярдів листів щодня (лише 10–20% з яких є легітимними), тому пробитися через них — показник справжнього професіоналізму. Вони не пропустять макроси, вони не пропустять заархівовану програму, вони не пропустять архів з паролем. Вам дуже пощастить, якшо ви створите шаблон листа для фішингу по URL, який буде виглядати легітимно та пролізе через Gmail не потрапивши в папку Infected.

Крок 2: Розпочніть використовувати PGP або S/MIME

От просто завайтлістіть собі легітимні сертифікати або ключі ваших контрагентів та розшарьте їх всередині компанії. Ні, не треба нічого шифрувати! Просто підписуйте листи та довіряйте підписаним листам, це вся криптографія, яка вам потрібна для захисту від фішингу! Так, і це можна обійти шляхом повної компрометації комп’ютера вашого колеги чи партнера, але це в десятки, сотні разів складніше, ніж підібрати його пароль до пошти чи змусити його натиснути каку.

Крок 3. Створіть білі списки програм та бібліотек

Безкоштовно, засобами вашої корпоративної операційної системи. Споримо це Windows? Тоді розпочніть ось з цього, а потім створіть політики для сертифікатів, якими ваші вендори та аутсорсери підписують код. І все, тепер навіть в разі компрометації вашого комп’ютера пост-експлуатація перетворюється на кошмар для хакера. Так, профі зроблять все in-memory, без запису на диск та читання з диску. Але такі техніки поки що нові, плюс дивіться кроки 1 та 2.

І все! Ви на 99,99% захищені!

Але ж то хмара, то не зна де, і хто до того має доступ… А криптографія складна, давайте краще підемо пошопимось модним залізом… Та які в біса сертифікати та білі списки, в нас скрам, аджайл і контінуоус анігілейшн! Ну ви поняли.

Бережіться.