Облачный TL;DR: непривычная «дистанционка», досмотр гаджетов и рекомендации по личной ИБ

109
Продолжаем делиться TL;DR-версиями публикаций из нашего блога. Здесь — все основные моменты каждого материала, а ссылки на развернутые тексты публикаций — легко найти в подзаголовках.


Фото — Ed Robertson — Unsplash.com
 
 

Нельзя так просто взять и мониторить сотрудников на дистанционке

 

Коронакризис сделал «дистанционку» безусловным мейнстримом этого года, но такой формат организации рабочих мест появился еще до индустриальной революции. Он прошел путь от надомного труда ремесленников и домашних мастерских до постепенного «бегства из офисов» в конце 90-х и доступной сегодня «удаленки» не только для IT-специалистов и чиновников. Ее преимущества вроде экономии времени и гибкого графика очевидны, но в работе не из офиса встречаются и сложности.

На пике карантина привычные для оффлайна методы оценки эффективности сотрудников попали под «локдаун», а попытки онлайн-трекинга персонала, только-только вышедшего на удаленку, вызвали ожесточенную критику. Основания для этого были: кто-то требовал от дистанционщиков ставить кейлоггеры на личные компьютеры и ноутбуки, другие — подсовывали им тайм-трекеры, третьи — шли еще дальше и строили процесс оценки вокруг видеосвязи и веб-камер.

Адаптироваться нужно было быстро, и многие сервисы это сделали: Zoom отключили возможность контроля внимания собеседника, а в Basecamp — решили отказаться от любого surveillance-функционала кроме того, что помогает добровольно следить за рабочим процессом (календарь и таймер для задач). Но в сути дела разобрались только те компании, которые переключили свое внимание с выбора инструментария на самих людей и их проблемы в кризисной ситуации.

Дело в том, что в ходе «первой волны» увеличились риски выгорания специалистов, занимающихся сложными и творческими задачами. Попытки привязать к работе, не поддающейся шаблонному учету, примитивные средства слежения вызвали настоящий кризис доверия. Вопрос о том, как его разрешить «мирным» путем, все еще открыт для многих компаний и во всю обсуждается на Хабре.
 
 

Досмотр мобильных устройств — как обстоят дела в мире

 

Этим летом суд Сиэтла запретил специальным службам и правоохранителям осуществлять необоснованный анализ экрана блокировки смартфона. Теперь для этого требуется специальный ордер, подчеркивающий исключительный характер ситуации и необходимость подобных мер. Такое регулирование затрагивает только работу ведомств Соединенных Штатов. Именно поэтому мы решили сделать обзор того, как складывается обстановка с досмотром гаджетов в других странах.

Согласно британской практике, ордер для этих задач не требуется. Также местное законодательство допускает слив дампов даже с заблокированных устройств с помощью специальных систем — их уже закупила шотландская полиция. В Австралии — обязанность получать ордер все-таки есть, а для досмотра устройств журналистов — требуется разрешение особого типа. С другой стороны, австралийские специальные службы всегда могут запросить возможности для расшифровки данных у разработчиков и производителей устройств — на это им дают право законы страны.

Подобные практики все чаще обсуждают в IT-сообществе. В Basecamp даже опубликовали тематические рекомендации для поддержания должного уровня информационной безопасности в командировках. Мы также сделали обзорный пост со статистикой досмотров и несколькими комментариями представителей технологический компаний.
 
 

Нельзя так просто взять и «перепрошить» свой гаджет

 

Если вы купили гаджет, это еще не значит, что вся его начинка находится в вашем распоряжении. И речь вовсе не о Right to Repair и попытках вендоров привязать клиентов к авторизованным мастерским. На этот раз дело в праве на модификацию программных компонентов и железа с целью расширения возможностей или полного перепрофилирования приобретенных вами устройств.

Так, весной этого года энтузиаст поделился вариантом доработки известной модели калькулятора. В ходе реинжиниринга он заменил солнечную батарею OLED-дисплеем и добавил в комплектацию устройства Wi-Fi-модуль, а результаты — опубликовал на GitHub. После бурного отклика в гиковском сообществе и выходе материалов в крупнейших тематических изданиях, его репозиторий закрыли по просьбе организации, занимающейся борьбой с контрафактом электроники.

И это — не первый такой случай. Девять лет назад Activision проводила разбирательство из-за модификации гаджета для чтения RFID-меток на фигурках персонажей из игр компании. Без каких-либо оснований вендор выразил опасения, что внесенные изменения позволят открывать внутриигровой контент и получать бесплатно виртуальные товары, связанные с игрушками.

Остается только догадываться, как будет развиваться регулирование таких вопросов, но на Хабре и на Hacker News уже неоднократно высказывали критику и предложения о закреплении в законодательстве санкций за ложные обвинения энтузиастов и независимых инженеров, не стремящихся к какой-либо массовой коммерциализации переделенных ими гаджетов.
 
 

Подборки книг о кибербезопасности (первая, вторая)

 

Мы посмотрели, что рекомендуют на Хабре, Hacker News и Reddit. Это — своего рода «мемуары» топ-менеджера Microsoft; взгляд известного специалиста по ИБ на борьбу за киберпространство; экспертный обзор методов социальной инженерии; рассказ пентестера о мире «белых хакеров»; аналитический материал об ИБ для IoT; и справочник для тестирования на проникновение.
 

Во второй подборке — чуть меньше практики и чуть больше драмы. Первое издание рассказывает об одной из культовых группировок ИБ-андеграунда конца прошлого века, второе — это расследование редактора Wired о распространителях NotPetya, третье — книга об охоте за Полом Ле Ру.

Другие книги из дайджеста сфокусированы на таких темах как открытое аппаратное обеспечение, регулирование реверс-инжиниринга, безопасность и утечки персональных данных. Плюс — мы не забыли поделиться изданием об истории легендарного Кевина Митника и его опыте работы.
 
 

Как «замести следы» и удалить себя из большинства популярных сервисов

 

Обсуждаем тему личной кибергигиены, «право на забвение» и сервисы для быстрого удаления аккаунтов в соц.сетях и популярных медиаплатформах. Один из таких проектов называется JustDeleteMe. У него даже есть расширение для Chrome, которое поможет понять, стоит ли регистрироваться там, откуда потом будет достаточно сложно удалить персональные данные.
 

Что еще есть у нас в блоге:

Потенциальные атаки на HTTPS и как от них защититься
Какие инструменты помогут соответствовать GDPR
Почему разработчики дороже денег, как их сохранить и приумножить
«Нашел, увидел, получил»: необычные приглашения на собеседование
Компьютер, который отказывается умирать