Pull to refresh
38
Karma
0
Rating
  • Posts
  • Comments

Большая ретроспектива участия RBK.money в The Standoff 2020

RBK.money corporate blogPositive Technologies corporate blogInformation SecurityOpen sourcePayment systems
…или как хакеры ломали наш опенсорс платежный процессинг в кибергороде.

Привет! Мы тут недавно с процессингом RBK.money приняли активное участие в киберполигоне The Standoff — это когда делают виртуальную модель целого мегаполиса со всей его инфраструктурой, энергостанциями, магазинами и прочими важными элементами. А потом пускают в этот цифровой двойник города команды blue team (6 команд в этом году) и red team (29 команд в этом году соответственно), первая защищает всю эту инфраструктуру, вторая же активно пытается что-то сломать.


из к/ф “Бегущий по лезвию 2049”

Конечно, мы принесли на мероприятие наш процессинг, о котором вы можете почитать в предыдущих постах нашего блога. Процессинг был частью банка и предоставлял финансовые и платежные сервисы для жителей кибергорода, обслуживал эмиссию платежных карт, давал возможность продавать товары и услуги.

В этом посте я хочу рассказать, как нас ломали хакеры (спойлер: и не сломали), а также как мы сами пару раз стрельнули себе в ногу в процессе подготовки и разворачивания своего решения. И да, главное — для нас это изначально была ситуация win-win: не сломают нас, значит, не зря мы настолько уверены в своем процессинге, что выложили его в опенсорс и теперь отдаем хакерам. Сломают — вообще отлично, увидим, где были слабые места, и станем ещё более защищенными с точки зрения безопасности для наших клиентов.

Внедрялись в кибергород мы в ощутимой спешке: это один из первых наших деплойментов в Kubernetes (до этого мы все разворачивали Salt-стейтами), и нам пришлось использовать новые подходы по инсталляции. И последствия от этой спешки не заставили себя долго ждать.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views1.2K
Comments 0

Смешные собеседования: истории ИТ-рекрутеров (часть 1)

Хабр Карьера corporate blogPersonnel ManagementIT career

Недавно мы на Хабр Карьере устроили конкурс ко дню эйчара и попросили эйчаров и ИТ-рекрутеров рассказать нам о самых смешных собеседованиях, которые стали легендами в их компаниях. И в ответ получили столько историй, что хватило бы на небольшую книгу! Оказывается, работая эйчаром, можно познакомиться с семьёй и домашними любимцами кандидата, узнать о его кулинарных предпочтениях, стать объектом романтического внимания или свидетелем ДТП. 

Выбрать троих победителей было невероятно трудно, но пришлось. Сегодня покажем, кто выиграл в конкурсе, и поделимся другими смешными и эпичными историями тоже.

Читать далее
Total votes 80: ↑77 and ↓3 +74
Views66.4K
Comments 77

Защитить удаленку (и не только) с помощью решений Genie и Radware

Билайн Бизнес corporate blogInformation SecurityNetwork technologies

DDoS-атаке может подвергнуться любой ресурс. Чаще всего атаки носят целенаправленный характер — злоумышленники могут пытаться положить сайт с какой-то информацией (разного рода СМИ и сайты с ТВ-трансляции сталкивались с подобным, и не раз). Предприятия торговли и банки тоже страдают от этого, для них простой систем довольно критичен, люди привыкли заходить в приложение банка или интернет-магазина и в пару кликов переводить деньги или покупать товары. Поэтому здесь и очевидные финансовые потери, и снижение лояльности клиента сразу.

Если даже у вас средний бизнес, а не магазин с тысячами товаров, DDoS все равно штука не очень приятная, которую хорошо бы предотвращать. Да и, кроме DDoS, общий уровень информационной безопасности стоит поддерживать. Особенно сейчас, когда многие компании перешли на удаленку, и часть сотрудников работает не только с корпоративных ноутбуков, но и с личных.

Мы в Билайн.Бизнес начинаем предоставлять услугу под названием «Защита от DDoS атак NetFlow». В этом посте мы расскажем, что это и как работает.

Читать далее
Total votes 18: ↑18 and ↓0 +18
Views2.4K
Comments 1

Бизнес-эксперт и программирование. Совмещать нельзя разделять

Цифровой СИБУР corporate blogPythonStudying in ITPersonnel ManagementIT career
Привет! Меня зовут Виктория Краснова, я не так давно писала большой пост про data-driven в нефтехимии. Но там было про сам подход и систему. Давайте сегодня поговорим о тех, кто этой системой будет пользоваться (и кто будет её улучшать). То есть о людях.

Вообще же, про data driven легко говорить и кайфово это реализовывать в компаниях, в которых большинство сотрудников являются power users, то есть легко напишут запрос к базе, не отрываясь от заваривания чая, а в голове у них есть вопросы и задачи, которые можно решить только при наличии технологии Big Data.



А теперь представьте себе, каково это — внедрять DAAS (data as a service), если ваши пользователи взаимодействуют между собой только языком Excel и Power Point. Возникает разрыв: те, кто владеет навыками программирования, не владеют предметной областью на должном уровне, чтобы предметно продемонстрировать все плюшки современных технологий, а бизнес-эксперты пребывают в состоянии недоумения из-за того, что любую известную задачу можно решить при помощи «Small Data» в лице Excel.

Для того, чтобы этот разрыв нивелировать, а в идеале вообще устранить, можно подойти к проблеме вот с каких сторон. Во-первых, набирать аналитиков со знанием SQL и Python. Во-вторых, учить существующих пользователей языкам программирования. И вроде как первый путь выглядит логичнее и проще, да? Но есть подводные камни, а именно:
Читать дальше →
Total votes 22: ↑16 and ↓6 +10
Views3.3K
Comments 0

Java-дайджест за 13 мая

JUG Ru Group corporate blogProgrammingJava


Иллюстрация получена вот из этого видео.


  • Джеймс Гослинг, создатель языка Java, заявил об участии в летней конференции JPoint и уже появился в списке спикеров на сайте. Говорят, кризис — время возможностей. Иногда это действительно так! Пару лет назад трудно было представить, что Гослинг будет отвечать у нас на вопросы из чата.


  • В рассылочке появилось интересное письмо о том, что в спеке языка ведется работа над более аккуратным использованием слов вроде «class», «interface» и «type». Например, вместо «sealed types» правильнее говорить «sealed classes and interfaces». Примечание: а вместо Linux нужно говорить GNU/Linux!


  • Стивен Стюарт-Галлус сделал на Java и выложил на GitHub игрушечную реализацию System F JIT, в наличии MethodHandles и Higher Order Abstract Syntax. Соответствующий тред есть на Reddit, где автору можно задавать вопросы. System F — система, которую придумал в 1972 году Жан-Ив Жирар для доказательств в логике, которая представляет собой систему типизированного лямбда-исчисления, отличающаяся от просто типизированной системы наличием механизма универсальной квантификации над типами.

Читать дальше →
Total votes 36: ↑35 and ↓1 +34
Views5.4K
Comments 8

Как (вы)жить без отдела безопасности

Конференции Олега Бунина (Онтико) corporate blogInformation SecurityWebsite developmentSystem administrationDevOps
Безопасность — это защита объектов и интересов от угроз. Когда кажется, что с ней всё хорошо, в интернете появляется много интересного: списки e-mail и телефонов из незащищённой базы данных крупных магазинов, записи колл-центров некоторых операторов, логины и пароли производителей оборудования из открытого репозитория или данные миллионов кредитных карт клиентов крупных банков.



Безопасность — это непросто. Но и ничего сложного в ней тоже нет — это множество рутинных действий: инвентаризация, мониторинг, проверка доступов, тесты, инвентаризация, контроль, мониторинг, логирование, инвентаризация и инвентаризация. В безопасности много инвентаризации. Почему так, что такое безопасность и с чего она начинается, расскажет Мона Архипова.

Мона Архипова — соучредитель и COO в sudo.su (МИРЦ) и vCISO Anna Systems. Ранее работала на различных руководящих и экспертных должностях в IT и безопасности. Всё ещё играющий бизнес-тренер.
Читать дальше →
Total votes 24: ↑22 and ↓2 +20
Views10.4K
Comments 12

Зачем нефтехимии цифровые двойники?

Цифровой СИБУР corporate blogSystem Analysis and DesignProject managementProduct ManagementIT career
Привет! Меня зовут Сергей Кирясов. В СИБУРе работаю около двух лет, а всего в отрасли нефтепереработки и нефтехимии — около семи. На протяжении всей карьеры занимаюсь оптимизацией технологических и бизнес-процессов: ранее повышал эффективность крупного НПЗ и участвовал в нескольких проектах для крупной нефтегазовой компании за рубежом в качестве консультанта. Сегодня я расскажу, что мы в СИБУРе подразумеваем под цифровым двойником технологического процесса и какая от него польза.

image
Читать дальше →
Total votes 2: ↑2 and ↓0 +2
Views4.2K
Comments 7

«Открытая организация»: Как не потеряться в хаосе и сплотить миллионы

Red Hat corporate blogOpen sourceReading roomBusiness ModelsIT-companies
Настал важный день для Red Hat, российского сообщества open source и всех причастных – на русском языке вышла книга Джима Уайтхерста «Открытая организация: Страсть, приносящая плоды». Она подробно и живо рассказывает, как мы в Red Hat даем лучшим идеям и самым талантливым людям дорогу, а еще о том как не потеряться в хаосе и сплотить миллионы людей по всему свету.



А еще эта книга – про жизнь и про практику. В ней много советов для всех, кто хочет научиться строить компанию по модели открытой организации и эффективно ей руководить. Ниже – несколько важнейших принципов, приведенных в книге, которые вы можете взять на заметку уже сейчас.
Читать дальше: Открытая организация
Total votes 15: ↑15 and ↓0 +15
Views4.2K
Comments 1

Актуальны ли пиратские FM радиостанции в наши дни?

Development of communication systems
Sandbox
Кадр из К/Ф Рок Волна

Когда я учился еще в школе, классе в 7, у меня появился дешевый китайский FM радиоприемник. На нем был дисплей и всего 2 кнопки, перемотать на станцию вперед и сбросить на начальную частоту 88 МГц. Я радовался, ходил и постоянно слушал музыку с радио. MP3 плееры тогда только стали появляться и были очень дорогими. Однажды, прохладным осенним вечером, перед сном листая радиостанции в надежде уснуть, я наткнулся на какой-то, как мне сперва показалось, телефонный разговор. Я начал слушать, вникать, а через несколько часов прослушивания понял, это вовсе не телефонный разговор.
Читать дальше →
Total votes 116: ↑113 and ↓3 +110
Views41.2K
Comments 122

Information

Rating
5,881-st
Works in
Registered
Activity