среда, 31 октября 2012 г.

Презентация: вовремя и связно

Сегодня хочу отойти от технической тематики в сторону "мягких" навыков - навыка презентации. Не всего конечно, ибо тема достойна обширной книги. Остановлюсь на парочке распространенных проблем, с которыми сталкиваются выступающие. Под выступающими я имею в виду не профессиональных продавцов/консультантов у которых выступления и презентации составляют треть жизни, а тех, кто выступает эпизодически.
Итак, симптом номер раз: не смотря на то, что вчера вечером мы еще четко представляли себе, что и в какой последовательности будем рассказывать, сегодня утром на презентации судорожно пытаемся вспомнить зачем тут этот слайд и как его связать с предыдущим. Суть выступления тонет в звуках "эээээээ.....", театральных паузах, фразах "ну, это я говорил на прошлом слайде..." и выступление, задуманное как интересное и информативное,  постепенно превращается в тыкву (с Хеллоуином кстати).
 Почему так произошло? Дело в том, что проговаривая для себя презентацию, мы делаем это мысленно. И хотя нам кажется, что мы озвучиваем слайды четко, ясно и последовательно, на самом деле так не происходит. Мы мыслим образами, а на связанными предложениями. Многие вещи, для нас очевидные, просто опускаются. Там, где нам кажется, что по поводу фразы или изображения на слайде мы проговорили красивое и умное описание, на самом деле, в мозгу прозвучало нечто вроде Кисы Воробьянинова: "Гебен зи мир битте... ну это я знаю". Ничего удивительного, что озвучивая то, что у нас происходит в голове, мы получаем набор разрозненных образов. Проговаривая их вслух, мы понимаем, что это - не совсем то, что мы бы хотели озвучить. А попытка озвучить один и тот же образ по-разному, пытаясь подобрать наиболее подходящую формулировку, будет выглядеть на презентации совсем уж нелепо.
Бороться с это проблемой очень просто. Нужно делать тестовый прогон презентации вслух. Тогда сразу всплывают огрехи и нестыковки. Подобрав удачную формулировку, ее лучше записать. Если мы используем Power Point (кто-то использует что-то другое?!?), для записей у нас есть соответствующий инструмент -  окошко notes под окном слайда. Получив набор подходящих формулировок, неплохо бы их прогнать вслух в виде связанного текста пару-тройку раз для закрепления эффекта.

Синдром номер два: вне зависимости от наличия первого синдрома, говорим мы четко и ясно или путано и туманно,  внезапно, в середине выступления выясняется, что из отведенного времени остается только 5 минут (или оно закончилось). Дальше мы судорожно листаем оставшиеся слайды пропуская большую часть доклада, на ходу пытаясь вспомнить, что же существенного осталось, что нужно озвучить в оставшиеся пару минут. Про вопросы и дискуссию можно забыть - при таком выступлении единственный вопрос у слушателей: "что это было?". Потом, после конференции, анализируя ситуацию, вспоминаем, что и это забыли сказать и то, и вообще озвучили только ту часть, которую можно было и не рассказывать.
Для успешного решения этой проблемы нужно сначала выполнить упражнение по решению первой - т.е. получить связный текст. Теперь делаем прогон вслух, но уже с хронометражем. Смотрим, на сколько мы выпадаем из отведенного времени и либо добавляем детали, либо наоборот - их убираем. Тут нам поможет второй полезный инструмент Power Point - Record Slide Show из меню Slide Show. Этот инструмент не только покажет общую продолжительность презентации - это можно сделать и при помощи часов, но и покажет сколько времени ушло на каждый слайд. А вот эта информация уже полезна - можно смотреть какой слайд занял много времени и подумать, действительно ли это все нужно озвучивать.
На сегодня все. Удачных презентаций.

пятница, 26 октября 2012 г.

Осведомленность, как образ жизни

Экономический кризис уже не первый год продолжает  бить по карманам потребителей, вынуждая экономить на многих товарах и услугах. Как результат, продажи падают, доходы тоже, соответственно и бюджет на развитие. Компании от пафосной каскадной рекламы перешли на проверенные временем методы рыночных попрошаек - хватанию за руку и наглым требованиям  спаму и "холодным" продажам по телефону. А для того, чтобы донести свою "полезную" информацию как можно до большего количества респондентов, собираются всеми возможными способами контакты этих самых респондентов. В методах и средствах компании не брезгуют ничем - от требований заполнить анкету для предоставления услуги до перетягивания сотрудников вместе с базой клиентов предыдущего работодателя. Прихожу я, к примеру, в банк, куда пришли деньги на мое имя. Задача банка не сложная - идентифицировать меня и отдать законные кровные. А вот и нет. Кроме паспортных данных, сонный клерк требует заполнить анкету на 8 страниц. А в анкете нужно заполнить не только информацию обо мне, но и моих родственниках, их контакты, адреса проживания ... вплоть до увлечений. На мой вопрос, какое отношение все эти данные имеют к моей идентификации, получаю лаконичный ответ, что это - постановление руководства банка и без заполнения анкеты ничего не будет.  Интересуюсь: а это самое постановление пришло до или после письма национального банка, которое разъясняет  тем кто в танке какие данные банки имеют право требовать с клиентов, а какие - нет? И чудо - оказывается, что "нужно заполнить  всю анкету" означает "только паспортные данные".
Или другой пример. Звонок с незнакомого номера. Беру трубку. Уважаемый Владимир, меня зовут имярек из компании "Рога и Ко" и я хочу Вам предложить... Раньше кроме как молча положить трубку или сделать встречное предложение с использованием местных идиоматических выражений - отправится в пешую прогулку конкретного направления, вариантов не было. Сейчас же спокойно предлагаешь удалить свои персональные данные из их базы и рассказываешь о последствиях с цитатами из законодательства, и - опять чудо. Из трубки слышаться испуганные извинения и обещания больше не звонить. И не звонят.
Есть еще конечно SMS спам. Честно говоря, удалить не читая много времени не занимает, а перезванивать лень. А вот мой знакомый, получив каждый раз от того или иного спамера очередную SMS, не лениться и перезванивает. Дальше разговор проходит по вышеописанному сценарию, и - снова чудо. В 95% случаев SMS больше от данного спамера не приходит. Есть конечно 5% особо тупых настойчивых. В этом случае мой знакомый терпеливо звонит еще раз и объявляет, что разговор может быть записан для повышения качества понимания. И цитирует закон в той части, где ответственность. Второй раз действует безотказно.
Наконец-то закон по защите персональных данных начинает работать так, как он первоначально задумывался - для защиты прав субъектов персональных данных, а не создания еще одной кормушки. Несите закон в массы, отстаивайте свои права, делайте свою жизнь проще.

среда, 17 октября 2012 г.

Запись bloggers meet up на UISGCON8

Выкладываю ссылку на bloggers meet up с моим участием, который проходил на UISGCON8.
http://vimeo.com/51255279

Необычный формат общения с блоггерами, но показался достаточно интересным.

понедельник, 8 октября 2012 г.

Впечатления от UISGCON 8

В прошлую пятницу состоялась 8-я конференция украинского сообщества информационной безопасности. Если быть точным, то "конференция", пожалуй, 4-я - посиделки с пивом и драками не в счет, а "конференция UISG", так вообще первая, ибо UISG официально только-только создали ... В общем, состоялось UISGCON 8.

Организационно-административная часть
Не смотря на достаточно сжатые сроки подготовки и, мягко скажем, поздний старт этой самой подготовки, мероприятие прошло с рекордно маленьким количеством неприятностей, которые случаются на любой конференции. Если не считать того факта, что на мероприятие успело зарегистрироваться и прийти больше народу, чем планировалось изначально (что породило на некоторых выступлениях нехватку стульев, и некий дефицит закусок на кофебрейках), можно сказать, что накладок вообще не было.
Отдельно хотелось отметить качество синхронного перевода. Неоднократно сталкивался на других мероприятием с некачественным, да еще и асинхронным переводом, который очень сильно портил впечатление от докладов. И был приятно удивлен качеством на UISGCON 8.
Также порадовала работа модераторов, которые не только сурово следили за временем докладов, но и заворачивали при необходимости дискуссии в колею тематики мероприятия. Практически все доклады прошли строго в отведенное время, что на моей памяти происходило на других мероприятиях ... никогда. Короче, организация на отлично.

Содержательная часть
Мероприятие проходило в виде двух параллельных потоков. По сему, пока не доступны видео записи второй половины, впечатление только по одному потоку (первый в программе).
Доклады, в основном, понравились. И, судя по полным залам и почти отсутствующим кулуарам, не только мне. Было много иностранцев-докладчиков, что сильно повлияло на посещаемость. Во истину, нет пророка в своем отечестве.  Хотя тематика докладов была скорее не конференции ИБ, а конференции консультантов ИБ. Были отзывы и от других представителей реального сектора, что, мол, хочется больше послушать детального и прикладного... Да вот только не вызвался никто поделится опытом в выступлении.
Необычной частью мероприятия был blogger's meet-up, когда зал задает вопросы блогерам, а те должны ответить, при чем ответов должно быть не меньше двух. На практике пришлось ограничивать количество ответов "не больше трех", ибо у каждого находилось что сказать. Вопросы были в основном "вечные": кому подчинить ИБ, как убедить руководство, как построить ИБ для малого бизнеса, почему руководство компании не понимает зачем им ИБ и т.д. Не упомянули в суе только KPI и почему не работает оценка рисков.

Подводя итоги, мероприятие удалось. Жалею, что не попал на неофициальную часть и жду видео выступлений.        
 
Чего хочется от  UISGCON 9
  • Более ранняя регистрация докладов
  • Доклады от представителей реального сектора, а не только консультантов.
  • Формирование программы в разбивке на тематические блоки. Чтобы избежать ситуации когда на 20 докладов на тему пентеста нет ни одного на тему, например, управления инцидентами.
  • Более ранняя регистрация участников и регистрация на конкретные потоки/доклады. Таким образом убивается сразу два зайца: более четкое планирование посадочных мест и заблаговременное планирование командировок для иногородних.

четверг, 4 октября 2012 г.

Свежая серьезная уязвимость в Android

Как вы уже, наверное, слышали, в  Android обнаружена новая достаточно серьезная уязвимость.
Суть ее состоит в том, что встроенный по умолчанию диалер не понимает разницы между телефонными номерами и USSD-кодами. Вторая часть проблемы состоит в том, что для части USSD кодов не нужно нажимать кнопку "позвонить". Почему это серьезная  проблема ? Потому, что в системе Android есть такая замечательная вещь, как TEL протокол, который позволяет набирать телефонный номер из текста в браузере. И внедрив на любую веб страничку незамысловатый код вроде можно преподнести пару крайне неприятных сюрпризов всем, кто ее посетит на устройстве с системой Android. Например, можно убить SIM-карту или сбросить настройки устройства до первоначальных заводских, параллельно стерев все данные. Не очень радужные перспективы?
Как утверждает открыватель сего феномена, уязвимости подвержена практически вся линейка android 2.х, 3.х, 4.х... Т.е. все современные смартфоны и планшеты. Сам автор говорит о Samsung, HTC, Motorola и Sony Ericsson, но не исключает уязвимость других устройств.
Сам я попробовал на двух устройствах: Samsung и HTC - эксплоит прекрасно работает на обоих устройствах.
Убедиться в защищенности/незащищенности вашего любимого девайса можно зайдя с него на страницу http://www.isk.kth.se/~rbbo/testussd.html. Тот же адрес в виде QR-кода:

В случае, если устройство уязвимо, вы увидите ваш IMEI.
Если кода не увидели - можно спокойно спать пока не найдется другая уязвимость. Если же ваше устройство попало в печальное большинство, выходов несколько:
  • Фантастический сценарий. Ждем обновления от производителя устройства. До этого момента в интернет с устройства ни ни! Почему сценарий фантастический? Потому, что обновление должно быть от производителя телефона, на разработчиков операционной системы. А эти ребята крайне не заинтересованны копаться в прошивках уже проданных устройств. Не нравится? Дырявое? Так ему же уже 6 месяцев на рынке! Хочешь хороший девайс без багов? Купи новый "имярек III 10G S HD XL Sensasion One XC+++" и будет тебе всемирное счастье на 6 месяцев. Ну, в общем, понятно.
  • Если TEL протокол не дорог вам как память, установите бесплатное приложение TelStop, которое можно найти на Google Play. Судя по отзывам на приложение, оно проблему решает, но установка не без танцев с бубном (описание танцев там же).
  • Можно установить альтернативный диалер, обязательно протестировав его на уязвимость по вышеописанному сценарию.
  • Вариант, на который я наткнулся случайно сам, тестируя уязвимость. На обоих моих устройствах код прекрасно работал как на встроенном браузере, так и в Firefox. Однако, когда я попробовал данный фокус с Opera Mini - чудо не случилось. То ли Opera не поддерживает TEL протокол, то ли это баг, то ли уже закрыли дырку... В общем не работает в ней зловредный код. Так что, пока это - мой браузер по умолчанию.

среда, 3 октября 2012 г.

Принят законопроект 10472-1 (персональные данные)


Законопроект 10472-1, о котором я недавно писал, принят вчера вечером с некоторыми поправками. Описывать правки не буду, все любопытные - в первоисточник. Полный текст закона - тут.


понедельник, 1 октября 2012 г.

Небольшое обновление списка стандартов

Немного обновил страницу со списком стандартов и ведущих практик.
Что нового:
  • Полный перечень на workshop agreements Европейского комитета по стандартизации на тему защиты персональных данных.
  • Раздел на тему управления инцидентами ИБ
  • Документы в свободном доступе теперь будут добавляться с ссылками на источник