The Bell Tech 20 сентября 2019

Утечка национального масштаба, профсоюз по-программистски и 25 полезных советов

Тема выпуска — телеком-утечка национального масштаба.

В начале недели стало известно о крупнейшей в мире утечке подробностей о национальной системе слежки и сбора информации. Из-за сотрудника Nokia, который дома поработал со служебными файлами, в сети на как минимум несколько дней засветились детали установки оборудования СОРМ в телекоммуникационной инфраструктуре МТС.

1,7 терабайта конфиденциальных данных были доступны без пароля всем, кто попытался бы зайти на определенный IP-адрес по 873-му порту. Судя по некоторым сообщениям, заинтересованные лица успели скачать архив.

Мы познакомим вас с самыми модными стартаперами. Подпишись на e-mail рассылку The Bell

Детальный рассказ специалистов UpGuard, обнаруживших утечку, находится здесь, продолжение опубликовано TechCrunch. Мы опубликовали несколько уроков, которые из этой истории мог бы извлечь любой бизнес.

Чтобы не повторяться, здесь мы кратко дадим несколько технических советов и подробностей, основанных на том, что известно об утечке.

  • Чтобы нанести ущерб компании, не нужны хакеры или вредоносное ПО. Достаточно одного человека, не выполняющего инструкции по информационной безопасности и взявшего работу на дом.
  • Защищенность системы равна защищенности самого слабого элемента. В отличие от других инцидентов, в этом виноваты не некомпетентные чиновники, а субподрядчики коммерческой компании. Но вне зависимости от того, где слабое звено, страдает безопасность всей цепочки. Лучше всего проектировать систему безопасности, считая ненадежными все звенья (хороший пример — недавняя уязвимость USBAnywhere).
  • Экономические масштабы СОРМ обычно остаются в тени. Между тем в утекших файлах говорится о модернизации инфраструктуры МТС в 16 городах для удовлетворения требованиям «закона Яровой». The Bell уже писал о том, как связанный с Алишером Усмановым бизнесмен через холдинг «Цитадель» фактически монополизировал рынок оборудования для СОРМ объемом свыше 10 млрд рублей.
  • Вокруг СОРМ появляются не только производители оборудования, но и, учитывая требования к безопасности, целая экосистема. Например, та же «Цитадель» вложилась в стартап «Бастион» сына начальника Службы экономической безопасности ФСБ Сергея Королева. «Бастион» изначально специализировался на этичном хакерстве — то есть тестировании информационных систем на наличие уязвимостей.
  • СОРМ действительно не помешали бы специалисты по оперативному тестированию информационных систем компаний. Операторы обязаны закупать на свои средства и устанавливать оборудование, но в случае обнаружения утечек в оборудовании СОРМ на их устранение может уходить до года — а находят утечки не люди в погонах.

+25 к продуктивности

Ведущий блога Little Blah! опубликовал список 25 вещей, которые полезны для карьеры и развития старших разработчиков. Полный список доступен как в виде сервиса, позволяющего отфильтровать задачи по категориям и требуемым усилиям, так и в машиночитаемом виде на GitHub.

Многие пункты списка пригодятся не только разработчикам. Мы выбрали и вольно перевели десять:

  • Разберитесь в бизнес-составляющей вашей работы. За счет чего компания делает деньги? Важно только это.
  • Участвуйте в найме своей команды и в кадровых процессах компании. Ставьте высокую планку для привлечения качественных кандидатов.
  • Требуйте ответственности не только от себя, но и от других.
  • Задавайтесь вопросом «почему», пока не дойдете до корня проблем.
  • Не забывайте наращивать влияние на другие команды.
  • Старайтесь избегать двусмысленной постановки задач. Всегда конкретизируйте.
  • Берите проекты с высоким риском и высокой наградой.
  • Ежегодно читайте несколько книг по специальности.
  • Прежде чем внедрять что-то модное, тщательно взвесьте все «за» и «против».
  • Участвуйте в нескольких проектах, но не в роли руководителя, а как консультант, аудитор или ментор.

Read later

Представители самых разных профессий в эти дни пишут открытые письма в защиту фигурантов «московского дела». Специалисты IT-индустрии подошли к делу по-своему: они выложили письмо в виде проекта на GitHub.

В результате оно на момент написания рассылки содержит 3999 правок от 1522 человек, состоит из 34 задач (26 уже выполнены) и в целом выглядит как самоорганизующаяся отраслевая инициатива с патчами и вариантами.

Разработчики не впервые используют GitHub для выражения гражданской позиции. Например, сотрудники китайских технокомпаний собирали информацию о режиме работы 996 (с 9 утра до 9 вечера 6 дней в неделю) именно на этой платформе.

Александр Амзин