Pull to refresh
96
0.2
Павел @PavelMSTU

системный архитектор

Send message

В 1999 году Андрей Ильич Фурсов написал очерк Еще один «очарованный странник»,
посвящённый своему учителю Владимиру Васильевичу Крылову. Рекомендую к прочтению.

Это очерк не просто о Крылове, а о его окружении и о вырождении советской гуманитарной науки. Вот почитал эту статью и прямо дежавю. Суть та же, только про технические науки.

Если честно, то наука как система вырождается уже с 60-х годов. Последней точкой невозврата, лично для меня, была COVID истерия. В результате неё упал авторитет науки в глазах очень широких слоёв населения.

Это сложнейшие тектонические социальные процессы. Кто сможет найти "ключик" и создать островок системных передаваемых знаний -- тот будет на коне в конце XXI века.

И только процентов 10 занимаются чем-то, что можно назвать исследованием. 

Как вам повезло!

Целых 10 процентов!.. Я дважды пытался (по молодости лет) войти в "правильную науку", так еле-еле 3% наскребу... К счастью, не получилось.

Прямо порадовали меня. (сарказма нет)

Для людей, родившихся в прошлом тысячелетии -- нет пикантности.

А для зумеров все крутые ребята из России вышли из СберТеха, Яндекса, Мейла... Все остальное -- прошлый век.

Я просто оставлю это здесь:
Цифровые наличные на пальцах

А вообще боятся двуствольного ружья, когда есть одноствольное -- очень странно.. Цифровой концлагерь можно построить и без цифровых наличных.

У меня очень простой вопрос:

А что такое разглашение зарплат своих коллег с... юридической точки зрения?

Вот если человек, утрировано, написал на входной двери: "Вася Пупкин зарабатывает 300 тыс\в сек" -- это одно.

Но если кто-то за чашкой кофе что-то ляпнул -- это другое... А если с глазу на глаз? И нет свидетелей? А если на рыбалке, на природе, под коньячок?...
Как доказать, что произошло разглашение?... Это ж как надо заморочится.

Я думаю, это всё не будет работать.

Не в открытую, а в зашифрованном виде.

и сразу стать обнаруженным

Перед кем? и каким образом? (На практике, разумеется, помещать нужно через проксю.)

 стеганографическим сообщением можно считать только вот эти четыре байта, остальное неважно.

Ой, да назовите хоть горшком, только в печку не суйте.

Если вы почитаете 99% академических работ по стеганографии, то везде пишут (упрощённо) "нужно впихнуть как можно больше данных... Но если много данных впихнуть -- это станет заметно... " Далее накручивается разная математика (совершенно секретная система по Кашену, по Грушо и т.д.)

Суть "ссылочной стеганографии" (не нравится -- назовите по другому) в том, что эта задача не имеет ничего общего с практикой. Любое сообщение шифруем, пихаем, получаем ссылку, сокращаем, записываем 4-8 байт.

У ребят -- один из примеров.

Можно конечно сделать секретнее, но мы не будем. По понятным причинам. :)

Это для меня было открытием: оказывается, на самом деле очень много крутых людей готовы тратить свое время на передачу опыта студентам — причем не столько за деньги, сколько за идею.

Как педагог из отрасли (10+) и организатор образовательных кружков и клубов могу подтвердить это. Мы называем это "закон 3%". Суть закона в том, что поговорив и рассказав о своём образовательном движении с 30 специалистами, ты получишь +1 человека в команду.

@dmitriibotov, пользуйтесь!

(Надеюсь, никто из них из-за этого не выгорел!)

Люди неопытные в педагогике часто выгорают. Нужно умышленно на первых порах их ограничивать.

— Ой, я сделаю спецкурс на 15 занятий!

— Стоп! Давай мини-спецкурс на 4. Для начала так.

Статья отличная...
Теперь нужно сделать ещё одну статью, но с позиции взгляда клиента.

Как понять что вам хотят сначала продать, а потом сделать? Вдруг не сделают? :)

Получается клиенту нужно врать, что у вас всё сделано, хотя на самом деле конь не валялся.

Вы нашли рынок. Генерирование дурацких сочинений для школы и для ВУЗ-а :)))

Самое смешное, что какой-нибудь манагер по какому-нибудь внутреннему дебильному KPI получит большую премию... А чё? Денег больше пришло (на таких-то объемах) -- молодец!

И никого не волнует, что это предельно таксичная штука. Когда Сбер стал чудить с комиссией, я поменял банк. Чисто принципиально. Дело не в деньгах. Этого 1% не жалко. Просто это ХАМСТВО.

При первой комиссии -- перехожу на другого оператора, у которого нет этой фигни.

У меня никогда не было депрессии после 19 лет. Мне 30+

Просто оставлю ссылку на свой пост здесь: Экономика радости. Наставничество как частный случай. Закон трёх процентов

Если кратко, то есть "экономика выживания", "экономика удовольствий" и "экономика радости". Всё должно быть гармонично, т.е. все экономики должны быть в вашей жизни. Про третью экономику тупо забивают. А некоторые даже не знают о чём это.

Для радости нужно БЕСКОРЫСТНОЕ служение. Для меня это научный факт. А для вас?... Решайте сами. Информации оч.много. Хотя бы про Истерлина узнайте.

Да нет никакой второй культуры... Просто программирование стало массовым явлением. По этой причине потребовались "люди попроще". Вот вам и "вторая культура".

При этом есть серьезные спецы, которые немножко недоумевают. Часть из них становится чуток токсичными и они "защищаются" от всех этих вайтишников и инфоцыган созданием своей "культуры 1".

Я не принадлежу ни к одной из них. Люблю вырви мозг алгоритмы и чистый Си, многое пишу на Python. Меньше токсичности, больше дела.

Культура 1: формальные языки, алгоритмы поиска, анализ конечных автоматов, хитрые структуры данных
Культура 2: deep learning

Вы серьезно? :) Не путайте реальный Data Science, Machine Learning, Deep Learning и "я установил scipy, torch...

Как практикующий DS-ник с большим опытом и работы руками, и руководства, и R&D с патентами... могу сказать следующее: очень много хайпа среди "культуры 2". Сейчас в моде диплёрнинг, через десять лет будет другое... Это просто хайп.

Поэтому правильно писать так:

Культура 1: формальные языки, алгоритмы поиска, анализ конечных автоматов, хитрые структуры данных
Культура 2: хайп (сейчас это deep learning)

программисты только кастующие одни джейсонки в другие

я их называю JSON-жонглёрами... :)

При чём тут мелкий бизнес. Если это будут внедрять, то по причине госконтрактов.

Мелкий бизнес не умрёт. Так как при внедрении цифровых наличных, физические наличные и безналичные банковские счета остануться.

Крупные суммы воруются на госконтрактах.

Что входит в доверенную среду? ВСЁ? Тогда не хватит пространства на смарт-карте. Либо сами карты нужно делать более жирными.

Если не всё - нужно думать.

В SIM-картах есть не только память для номеров.
Технически можно разработать SIM с памятью... ну скажем 1 Гб. Другое дело, что вот прям сейчас таких SIM-ок в продаже нет.  Там обычно в районе 128/256 КБ... Но это пока. CBDC гос.движуха откроет рынок "жирных симок", специально для этих задач.

Само приложение авторизовывать в рамках "на пальцах" не нужно. В этом нет необходимости для защиты от фальшивомонетчиков. Хотя, конечно не помешает. Плюс работа с SIM тот ещё гемор. Знаю как это делать root-ом, но как без него -- пока не знаю.

  1. Да, это проблема. Нужно делать эксчендж (размен) с эмитентом. Либо придумать "сдачу" от кошелька Б. У покупателя 100 у.е., у продавца две купюры по 10 у.е.. Товар стоит 80 у.е. Значит вы ему 100, он вам два раза по 10. Но проще сделать так, чтобы ситуации с разменом возникали как можно реже. Нужно набрать статистику и эмпирически как-то решить.

  2. Конвертация валюты это в рамках цифровых денег что? Если у нас есть разные купюры но разных валют? Я думаю это за рамками.

  3. Да, верно, отмена в рамках алгоритма не предусмотрена. "Как вариант эмитент поменчает переданую купюру "невалидной", а жертве выпускает новую."

Вы хоть сами это читали?

Перечитайте вот это

Как работают банковские карты с чипом

Чип на карте — это не просто микросхема флеш-памяти. На самом деле это небольшой компьютер, позволяющий запускать приложения. Когда вы вставляете карту с чипом в терминал, происходит вот что: Первым делом начинается инициализация. На этом этапе терминал получает основные сведения о карте, такие как имя владельца, срок действия и так далее, а также список приложений, которые есть на карте.

Дальше идет опциональный этап аутентификации данных. На этом этапе при помощи криптографических алгоритмов терминал удостоверяется, что карта настоящая. Однако согласно стандарту этот этап не является обязательным — то есть его можно пропустить.

Следующий этап тоже не обязательный — это верификация владельца. То есть терминал должен убедиться, что человек, вставивший карту — это ее настоящий владелец. Для этого человек должен либо ввести PIN-код, либо расписаться на чеке — в зависимости от того, как карта запрограммирована.

Наконец, следующий этап — это собственно транзакция, то есть перевод денег.

Еще раз обращаем ваше внимание: обязательными являются только первый и четвертый этапы, а второй и третий — опциональные. Этим-то и воспользовались бразильские мошенники.

Карточка на все согласна

Итак, условия задачи: карточка умеет запускать приложения и при общении с терминалом первым делом сообщает ему информацию о себе и список доступных приложений. Количество этапов при осуществлении платежа определяется терминалом и картой.

Решение: бразильцы написали для карты Java-приложение, которое делает, по сути, две вещи. Во-первых, оно сообщает платежному терминалу, что проводить аутентификацию данных, то есть второй этап, не нужно. То есть никакой криптографии дальше не используется, что существенно упрощает задачу. Остается этап верификации владельца при помощи PIN-кода.

Но стандартом предусмотрены разные варианты подтверждения пина, и в том числе такой, когда правильность его ввода подтверждает… собственно, сама карта. А точнее, установленное на ней приложение. Преступники написали такое приложение, которое на вопрос о том, правильно ли введен PIN, всегда отвечает терминалу «да-да, все отлично».

То есть злоумышленник с клонированной картой может ввести на терминале четыре абсолютно случайные цифры — и эти цифры будут приняты как правильный PIN.

И где здесь взлом самой смарт-карты? Его нет.

Есть "бразильские оптимизации". Вангую придумал какой-нибудь гениальный манагер. По сути это то же самое, когда входная дверь в квартиру открывается ключом, но это "опционально", и можно войти к вам в квартиру и БЕЗ ключа :)

Давайте другой пруф.

И ещё раз: в ИБ нет ничего абсолютного. Есть управление рисками. Использовать смарт-карты для цифровых денег так же безопасно как использовать те же смарт-карты для безналичных платежей. При условии отсутсвии "бразильских оптимизаций". О чём тут спорим?

Information

Rating
2,158-th
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity