• What else do you looking for?

• Nothing else, thanks

• My friend, I have nothing else!!

Подготовка

• Bushwacker, плейлист видео Древний Египет

  • Додинастический Древний Египет

  • Раннее и Древнее Царства

  • Среднее Царство

  • Возвышение Нового Царства

  • Упадок и смерть Нового Царства

• Фильмы

  • 1/10 Откровения пирамид - дичайшая конспирология, у которой почему-то 8+ на Кинопоиске и 7+ на imdb, очень жаль потраченное время, но вложился в понижеине рейтинга тем, что поставил 1/10

  • 7/10 Curse of the Seventh Wonder S:04 EP:05 - выпуск про историю Александрийского маяка

  • 7/10 Боги Египта - несмотря на низкие рейтинги и историю с тем, что режиссер вообще после этого решил на много лет перестать снимать кино, мне показался вполне интересным экшн-фильмом для знакомства с мифологией, плюс есть крутые фразы ("Зачем богиня красоты тому, кто слеп??")

  • 7/10 Тут - достаточно интересный мини-сериал про Туттанхамона, хотя и в основном fictional, но посмотреть на костюмы и города интересно

  • 7/10 Мумия - куда без неё

  • 7/10 Ночь в музее - очень похож по атмосфере на одну из достопримечательностей ниже

Особенности поездки

• Visa only. Вход в практически все туристические места оплачивается только по карте. Карта union pay Газпромбанка итак перестала работать примерно за месяц до поездки, но здесь union pay все равно, кажется, не принимают - только visa или mastercard. Мы пытались придумать, с чем это связано, может быть коррупцией или еще чем-то, но все-таки кажется, что создавать препятствия для людей, желающих посетить государственные туристические объекты - не полезно. Единственный выход в такой ситуации - просить кого-то купить билет за тебя, то есть докапываться до других людей. Апофеозом этой проблемы стал визит на Помпейскую колонну в Александрии, где шел дождь, кроме нас не было ни одного туриста, при этом стояло человек 5-6 сотрудников, которые просто сочувственно разводили руками и отказывались хотя бы каким-либо образом помочь нам оплатить несчастные 400 рублей входного билета. Бизнес-идея: если в Египте существует "кэшбек на музеи", то можно выбрать его, встать около туристического объекта и просто обменивать счет карты на наличные, при этом зарабатывая на кэшбеке.

• Курс египетского фунта. Сейчас его курс не сильно стабильнее курса рубля, поэтому здесь можно чуть-чуть почувствовать себя "богатым иностранцем". В первый же день мы ужинали в кафе на "первой линии" вида на пирамиды, и когда мы поднялись, нам сказали, что минимальный счет на одного человека - 700 фунтов (мы считали примерно х2, то есть это 1400 рублей). Мы начали немного сомневаться, наши сомнения развеял официант, убеждающий, что если мы планируем вдвоем поесть, то столько точно наедим. И действительно - наели. Уже в другие дни мы узнали, что это было очень дорого для Египта. Самая дешевая и вкусная (мы до сих пор её вспоминаем) еда была в небольшой локальной забегаловке около Александрийской библиотеки, где два блюда, десерт и напитки суммарно вышли нам в 200 рублей.

• Местное дорожное движение. Удивительно, как Каир умудряется не стоять постоянно в пробках, учитывая как здесь ездят. Никаких правил практически нет, даже красный свет не означает что надо остановиться. Пешеходный переход мы видели всего один - где-то на отшибе. Очень интересно, как город все равно продолжает двигаться - если никто не следит за правилами дорожного движения, то система езды очень сильно меняется, но все равно продолжает работать.

• Местный автопром. В районе Александрии до 2014 года делали Жигули, поэтому почти все такси в Александрии - Жигули. Классическая ситуация в пробке - повозка с лошадью, четыре Жигуля и Мерседес

  

Что мы посмотрели и что точно стоит посмотреть

• Гиза

  • Grand Egyptian Museum - открылся только в октябре 2024, пока открыты не все из 12 галерей, зал Тутанхамона также еще не перевезен из Каирского музея, но масштаб и современный дизайн уже впечатляет. Тут столько древностей, что в какой-то момент от них уже устаешь и застаешь себя за мыслями, что 300 г. н.э. - что-то слишком новое и неинтересное

    

  • Пирамиды в Гизе - действительно внушительные, особенно когда смотришь на них из окна и сравниваешь с остальным городом

    

• Гиза -> Саккара, Дахшур

  • Пирамида Тети - интересна тем, что её постоянно заносит песком, и с этим в конце концов решили ничего не делать

    

  • Пирамида Джосера - первая пирамида, вроде бы самое древнее каменное сооружение в мире

    

  • Красная пирамида

    

  • Ломаная пирамида - в целом если посмотреть на неё, то понимаешь, что их точно строили люди, вон, даже косячили

    

• Каир

  • Базар Хан Эль-Халили - есть два-три очень антуражных кафе, где сидят местные, играют и поют, в остальном - сотни лавочек с одними и теми же товарами (серьезно, на всём базаре невозможно найти магнитик с Каиром помимо того одного дизайна, который есть у всех), найти какие-то интересные сувениры в этих лабиринтах у нас не получилось

    

  • Каирский египетский музей - очень сильный вайб фильма "Ночь в музее", стоит посетить как минимум ради этого

    

  • площадь Тахрир - очень важное место для арабской весны и других политических событий, но вот делать там особо нечего. Чтобы подойти к памятнику нужно пройти несколько многополосных дорог, а там на каждом (!) из четырех подходов стоит по человеку, который вежливо просит не подходить близко к памятнику. Так что можно просто сфоткать издалека (от Каирского музея)

    

  • дворец Абдин - если верить гуглкартам, то туда можно зайти, но выглядит он так, что заходить туда не хочется. Дворец и парк около него очень похожи на Питер в миниатюре с поправкой на звуки азана

• Александрия

  • крепость Кай-Бей (на месте Александрийского маяка)

    

  • Новая Александрийская библиотека (Bibliotheca Alexandrina) - обратите внимание на букву "n", явно отличающую эту библиотеку от "той самой", которая утрачена. Это - рай, надеюсь сюда попадают после смерти.

    

  • Мемориал неизвестному солдату - очень сильная задумка с пустым постаментом, раньше я такого не встречал

    

  • катакомбы Ком-Эль-Шукафа - есть своя "тайная комната Слизерина" под землей

    

  • Помпейская колонна (которая на самом деле не помпейская) - вроде бы чуть ли не единственная достопримечательность, которая до сих пор стоит там, где стояла изначально

    

  • Местный трамвай - старейший трамвай в Африке, один из трех (вместе с Гонконгом!) с двухэтажными трамваями, нам удалось покататься на более старой версии

    

Интересная еда

• В кафе, посвященном Умм Кульсум, попробовали традиционный египетский десерт - Ом Али, по сути сладкий размоченный хлеб, под чай достаточно вкусно

• Под fish & chips в Каире (по крайней мере в одном ресторане) понимают рыбные кольца и картошку по-деревенски, к чему я был совершенно не готов

• После библиотеки в Александрии мы ужинали в местном маленьком заведении "Сальса Кошари", где пробовали местное блюдо - кошари, состоящее из разных макарон, орехов, и чего-то ещё, обычно с печенью, но мы попросили убрать печень. К нему дали томатный соус, и с ним было очень вкусно. На десерт дали рисовый пудинг, и за все это с лимонадом взяли 200 рублей. Потом мы приходили туда второй раз и уже в Москве до сих пор скучаем по кошари, на удивление найти его в Москве пока не удалось

Музыка Египта

Теперь музыкальная часть. Я пытался найти какую-то местную музыку до поездки, чтобы погрузиться в атмосферу, но ничего не нашел, поэтому делюсь тем, что мне удалось собрать и нашазамить уже в самой поездке. Плейлисты: Яндекс.Музыка (без части треков), Spotify

• Umm Kulthum (Умм Кульсум). "Четвертая пирамида" (после трех главных в Гизе), "главный арабский голос XX века". В Каире, на Базаре Хан Эль-Халили, помимо памятников, есть посвященное ей кафе. Продают магнитики с ней, я узнал о том, кто она, как раз спрашивая, кто на них изображен

  • Alf Leila We Leila - 40 минут достаточно неспешного, но при этом энергичного выступления

• Moscow. Рэпер из Гизы с интересным ником и потрясающе дорогим продакшеном и миллионами прослушиваний. Зашазамил его песни в "Сальса Кошари".

  • Meen - очень энергичный припев с фаст-флоу (Только в Spotify)

  • Shafra - просто качественный и красивый трек (Только в Spotify)

  • Dawly - последние 40 секунд трека это то, чего можно было бы не делать, а просто закончить трек, но как же там круто все замешано и представляю, сколько сил в это вложено

• Amr Diab. Что-то вроде поп-классики

  • Nour El Ein - один из его классических хитов

• Shehab. Еще один зашазамленный у местных классный рэпер родом из Александрии. - AGANS (اجانص) - Monafqeen

• DJ Arms B.I.G. vs 2Pac. Услышанный в такси сборник мешапов Тупака и Бигги, чтобы просто прочувствовать, что здесь в машинах чаще слушают что-то вот такое, скачанное из интернета и просто качающее (Только в Spotify)

• Обзор за 2024 год

• Обзор за 2023 год

• Обзор за 2022 год

• Обзор за 2021 год

Хайлайты

• Книга года: «Остров Сахалин», Чехов

• Книг прочитано - 10

• Постов в блоге - 0 (…)

Что хорошего произошло?

• ALT Linux Team. В этом году после почти полутора лет прохождения по процессу Join-а я наконец стал полноправным участником ALT Linux Team и теперь могу иногда “пособирать пакеты” в свое удовольствие)

• Яндекс. В апреле я перешел на работу в Яндекс, что раньше казалось мне чем-то невозможным и я бы даже себе не признался, что хочу тут работать, чтобы не сталкиваться потом с тем, что не получилось. За 9 месяцев новой работы я уже немного попривык к этому ощущению и освоился с ним, но это событие точно повлияло на практически всё остальное вокруг меня. Очень крутая возможность работать с очень крутыми людьми :)

• ШАД. После 20 лет образования подряд (11 лет школы + 6 лет универа + 3 года аспирантуры), я, видимо, не смог остановиться и прервать этот период, поэтому поступил в ШАД на годовую программу для сотрудников Яндекса. ШАД – это, пожалуй, тоже что-то из области фантастики для меня-год-назад, и я был очень рад, когда прошел отбор.

• Испытания статических анализаторов. В этом году я поучаствовал в качестве члена жюри/участника в испытаниях статических анализаторов ФСТЭК России. Это был очень классный опыт, возможность посмотреть на практически весь рынок статических анализаторов России и помочь показать, что могут и чего не могут опенсорс-анализаторы. Опенсорс-анализаторы для C/C++ показали себя отлично и в части тестов обогнали многие коммерческие анализаторы, чему мы очень радовались. Ну и конечно тут было много поездок в Бауманку (площадку испытаний), ночных запусков тестов и починки странных багов)

• Путешествия. В этом году мы посетили 4 новых страны и одну новую область России - остров Сахалин. Не всегда получалось уделять время изучению истории, но все равно удалось увидеть много всего интересного и классного, о чем я все еще надеюсь написать отдельно…

Тут я лезу за кокосом на пальму

А тут типа крутой вожу BMW по снежным Балканам

• Аспирантура. Здесь я остался при своем решении из прошлого обзора - поэтому обучение в аспирантуре просто завершилось защитой ВКР, что уже хорошо :)

• Недвижимость. Сейчас кажется, что 2025 год вряд ли останется в истории как самый лучший год для вложения в строящуюся недвижимость и взятия кредитов/рассрочек, но мы все равно попробовали и пока получается неплохо, в следующем году оно все начнет достраиваться и оценим результаты)

• Преподавание. В этом году помимо обычной преподавательской нагрузки получилось попробовать новый формат занятий - запись лекций и проведение онлайн-семинаров для студентов Цифровой кафедры. Было интересно, хотя пока и не тянет к этому возвращаться. И как-то незаметно набрались три года преподавательского опыта и я стал старшим преподавателем Бауманки)

• Бердвотчинг. Весной я случайно наткнулся на статьи про ebird и inaturalist и открыл целый мир наблюдений за птицами. Эти сайты добавляют некоторой геймификации при том, что данные о птицах/животных/растениях еще и могут использоваться для исследований. В итоге получается своеобразный pokemon go, только в реальном мире с реальными видами птиц, так что теперь часто хожу задрав голову и с камерой наготове

Здесь я хожу по джунглям в поисках птиц-эндемиков

А это самый редкий вид в коллекции so far - толстоклювый восточный бюльбюль!

Что прошло не очень хорошо?

• Количество дел и нагрузки. В период с сентября по декабрь у меня фактически было 3 работы: основная в Яндексе, совместительство в Базальте для участия в Испытаниях статических анализаторов, преподавание в Бауманке, и при этом еще учеба в ШАДе. Хотелось сделать очень много всего, и я во все вписался, но переоценил свои силы. В результате просыпались практически все:

  • В Яндексе не смог полностью выполнить квартальный план.

  • На Испытаниях не смог досконально изучить возможности всех анализаторов-участников, хотя очень хотел и это был основной интерес моего участия.

  • В Бауманке не смог переработать и обновить курс и в итоге прочитал практически тот же курс, что и год назад, с минимальными улучшениями и обновлениями лабораторных, хотя хотел многое переделать.

  • В ШАДе, куда я изначально пошел, чтобы узнать больше про ML и его безопасность, моих сил хватало еле-еле на то, чтобы смотреть половину пар и выполнять домашки в минимально необходимом объеме, чтобы не отчислиться. В результате я, конечно, приобрел новые знания, но точно не в том объеме, в котором хотел, и все-таки придется догонять.

• Спорт и форма. Зафиксируем 2025 год как первый год моей жизни, когда моя возможность есть всё, что хочу (в основном вредное), не заниматься спортом и не страдать от последствий, начала потихоньку замедляться. В результате впервые я начал замечать жир и хотел бы даже с этим что-то сделать, учитывая, что на работе есть спортзалы, но с нагрузкой выше мне всё время было как-то не до этого и это был постоянный источник нервов и переживаний весь год.

• Блог. Чем больше я набираюсь опыта и работаю, тем сложнее мне писать что-то в блоге, потому что я начинаю загоняться, что нужно писать сразу 100-процентную истину и без ошибок, если это технический пост, либо 100-процентно информативный пост, если он про путешествия (у меня даже несколько черновиков записок о путешествиях уже из позапрошлого года). В результате я не выкладываю вообще ничего, боясь каких-то собственных завышенных стандартов и ожиданий.

• Творчество. По сравнению с прошлым годом в этом ни один проект не дошел до завершения. По плану прошлого обзора я попробовал сходить на занятия вокалом, но не смог найти подходящие и выработать из занятий систему. Из интересного попробовал читать “Путь художника” и выполнять задания, вдохновившись Doechii, продержался четыре недели пока остальная нагрузка это не вытеснила, в новом году точно попробую продолжить)

Над чем я планирую работать в новом году?

• Углубление технических навыков в DevSec и ML. Тут помогают работа в Облаке и ШАД, где постоянно есть возможность узнавать очень много нового, чем и буду заниматься :)

• Спорт и форма. Буду учиться пользоваться спортзалами в офисах))

• Блог и творчество. Буду стараться выделять явное время для этого, чтобы оно не просыпалось как самое ненужное, потому что не нужно никому, кроме, собственно, меня

• Недвижимость. Тут вообще не понятно, что я планирую делать и как оно пойдет, но понимаю, что сюда уйдет значительное количество времени в новом году)

Итоги

В прошлом году я точно не мог даже приблизительно предположить, как пройдет этот, и это круто. Раньше время учебы в универе казалось самым лучшим, но сейчас с бóльшим количеством времени и возможностей выбирать нагрузку и занятия кажется, что я живу свою лучшую жизнь, так и запишем)

Хайлайты

• Книга года: «Темный лес», Лю Цысинь

• Книг прочитано - 12

• Постов в блоге - 4

• Самый популярный пост - Средство доверенной загрузки: что покупать и зачем? (116 просмотров)

Что хорошего произошло?

• Настя. Настя крутая :)

• Путешествия. В этом году было 4 больших путешествия, про которые можно было бы написать отдельно, но планирование новых как будто бы и не оставляет на это времени

• Развитие технических навыков. Перейдя в конце прошлого года на новую работу, я получил огромные возможности для развития технических навыков (как и хотел в прошлом годовом обзоре, кстати!). Действительно, я узнал очень много нового, так, что первые пару месяцев я даже вел заметки «что я узнал сегодня», потому что информации было ну очень много. Конечно, в программировании и инфобезе есть еще миллионы всего, что можно и нужно узнавать, но я уже хотя бы чувствую себя более-менее уверенно в общих вещах, в которых не так сильно разбирался в ходе учебы в универе.

• Профессиональные достижения. Уверенности в себе добавили профессиональные достижения - двум уязвимостям, которые я зарепортил и для которых помогал разрабатывать исправления присвоили идентификаторы CVE: CVE-2024-1441 и CVE-2024-2494. Я был нереально рад когда это произошло. В декабре команде Базальт СПО из 8 человек, включая меня, вручили награду "Лучшие по коду 2024", за лучший вклад в статическую разметку в Центре исследования безопасности системного ПО ИСП РАН, что тоже стало признанием вклада и очень меня порадовало, хотя я немного потерялся на вручении и хотя и приехал на него, не вышел на сцену, поэтому красивой фотографии с вручением нет

• Выступления на конференциях. В этом году я выступил с докладами на ISCRA Talks 2024 и OSDay 2024. Помню, как пару лет назад я был уверен, что это недосягаемый уровень и люди, выступающие там, казались мне какими-то нереальными. Тем круче было почувствовать, что вот он я, тоже могу здесь выступать. Сам процесс подготовки и выступления мне понравился, хотя было и немало стресса, а вот в результате я как-то практически сразу потерял интерес к выступлению в качестве спикера. Может быть это оттого, что суть происходящего стала ясна изнутри, а может быть просто потому, что больше не появлялось таких же интересных тем. Над этим точно нужно будет раздумывать в новом году, но момент перехода от «Мамочки, какие они крутые, они выступают спикерами!!» до «Да ладно, я вот тоже так могу» произошел этим летом)

• Преподавание. После смены работы я стал отказываться от возможностей преподавания в своей старой области деятельности - аттестации и технической защиты информации. Но преподавать мне все равно хотелось, и в осеннем семестре я был очень рад возможности провести курс по безопасной разработке ПО для студентов 4-го курса. Это стало отличной возможностью структурировать уже имеющиеся знания и стимулировало узнавать что-то новое в процессе подготовки заданий и лекций

• Музыка. В этом году я с нуля научился более-менее играть песни из простых аккордов на гитаре, прошел два курса в Школе Маскелиаде: саундчейн, после которого мой трек добавили на карту Школы и который можно послушать, и сонграйтинг, после которого я написал две песни. Музыка тоже потихоньку перестает быть для меня чем-то пугающим своей непонятностью и я начинаю понимать, как всё работает, поэтому не собираюсь останавливаться :)

Что прошло не очень хорошо?

• СПГС. При всем вышеописанном хорошем иногда в отношении многих даже из этих вещей у меня включался синдром поиска глобального смысла - а зачем все это, для чего, все бессмысленно, и все такое. В целом это мне свойственно, но пожалуй именно в этом году приводило к наибольшим периодам грусти, нежелания что-либо делать вообще и отказу от предоставляющихся возможностей

• Нехватка работы в команде. Я до сих пор остаюсь единственным сотрудником своего отдела в Москве, что сказывается на отсутствии неформальной коммуникации с коллегами. Сначала я думал, что мне не хватает именно коммуникации, но сейчас думаю, что это скорее именно работа в команде - когда вы вместе трудитесь над конкретным общим делом и помогаете друг другу, сейчас это, конечно, тоже есть, но индивидуальной работы сильно больше.

• Аспирантура. В этом году я окончательно решил, что сейчас не хочу заниматься кандидатской диссертацией и её защитой. Желание продолжать обучение и научную работу по технической защите информации было со мной первый год обучения в аспирантуре, но в этом году, когда осталось полтора года до её окончания, оно меня покинуло. Учитывая, что я итак достаточно долго занимался тем, чем заниматься не хотел, я решил немного прислушаться к себе и не вымучивать из себя написание кандидатской просто потому, что "так надо". В этом смысле хорошо, что обучение в аспирантуре не предполагает обязательной защиты кандидатской для завершения.

Над чем я планирую работать в новом году?

Указанные в прошлом году творчество и углубление прикладных навыков я считаю вполне себе исполненными, что опять же стимулирует серьезно относиться к формированию этих планов:

• Творчество. В этом году получилось выложить на саундклауд один трек и написать две незаконченные песни. В новом году определенно хочется еще большего :)

• Путешествия и изучение истории. Мне очень понравилось совмещать путешествия с погружением в историю тех мест, куда мы отправляемся. В новом году хочу еще глубже изучить мировую историю и историю тех мест, куда поеду, потому что сейчас стал считать это очень интересным

• Дальнейшее техническое развитие. Технические навыки начали приносить удовлетворение и профессиональные достижения, что безусловно стимулирует и дальше их развивать

Итоги

В этом году я публикую итоги года очень поздно - в марте 2025, поэтому не буду пытаться отправиться назад и подумать, какие итоги я бы подвел. Жизнь бежит вперед и уже надо набирать материал для следующего обзора :)

Видимо, в рамках той же научно-популярной деятельности он решил записать серию видео-лекций для MasterClass.com. Я посмотрел их все и написал конспект, который затем переработал, чтобы лучше упорядочить и сгруппировать тезисы по темам и основным мыслям. Некоторые из них казались мне знакомыми и банальными, но я все равно старался выносить все ключевые моменты лекций.

Дисклеймер: несмотря на то, что Мэттью имеет большое количество опубликованных исследований и ему явно знакомы принципы научной работы, в этой серии видео он не приводит ни одной ссылки на источник, что лично меня очень сильно удивляет. Поэтому в моем конспекте, как и в источнике, предлагается поверить этому, опираясь, видимо, на авторитет автора.

Содержание

• Теоретическая основа

  • Виды сна

  • Циркадный ритм, выработка мелатонина

  • Хронотипы

    • Изменение хронотипов с возрастом

• Кофеин и алкоголь

  • Влияние кофеина на сон

  • Влияние алкоголя на сон

• Почему плохо спать мало

• Почему хорошо спать много

• Долг сна, дневной сон и джетлаг

  • Дневной сон

  • Джетлаг

• Сон на протяжении жизни

• Сны

• Советы как лучше спать

• Будущее в контексте сна

Теоретическая основа

Виды сна

Существует два вида (фазы) сна:

• Non-REM (rapid eye movement - быстрое движение глаз (БДГ)) сон

• REM (БДГ) сон

БДГ это достаточно активный сон. Некоторые части мозга на 30% активнее во время фазы БДГ, чем во время бодрствования, а количество БДГ-сна связывают с продолжительностью жизни.

Циркадный ритм, выработка мелатонина

Цикрадный ритм может выглядеть следующим образом:

“Подъем” начинается спустя три-четыре часа во сне (когда уменьшается sleep pressure - “давление сна”):

При приближении вечера sleep pressure повышается, а циркадный ритм идет на спад. Мы начинаем чувствовать, что мы устали и хочется спать. За эти ощущения отвечает участок мозга SCN - Супрахиазматическое ядро:

Но как это ядро подает сигналы остальному мозгу и телу? Оно использует гормон мелатонин. Также когда SCN (ядро) получает солнечный свет через сетчатку, оно прекращает выработку мелатонина, поэтому тело и мозг получают сигнал о том, что пора просыпаться. Но когда количество света, поступающего через сетчатку уменьшается, медленно начинается выработка мелатонина. На графике это выглядит примерно так:

Это может быть проблемой, т.к. в современной жизни мы можем находиться в офисном освещении, где нет сильного света, который сказал бы SCN, что сейчас день. Также вечером, мы используем освещение и электронные устройства, которые обманывают SCN, который начинает получать свет от них и думает, что не нужно вырабатывать мелатонин.

Существует недопонимание, что мелатонин может улучшить качество сна. Исследования говорят, что для взрослых этого не происходит

Стоит ли принимать мелатонин, чтобы выравнивать сон? Лектор считает, что следует принимать только очень малые дозы, чтобы не отучить организм вырабатывать собственный мелатонин. С возрастом количество вырабатываемого мелатонина уменьшается. Здесь прием дополнительного мелатонина может помочь, и если это помогает - то почему нет.

Хронотипы

Хронотипы зависят от генов, у двух "сов" с большой вероятностью родиться "сова", а у двух "жаворонков" - "жаворонок". В целом примерно 25-30% людей совы, 25-30% жаворонки, а остальные где-то посередине. От хронотипа зависит вид циркадного ритма и соответственно предпочтительное время отхода ко сну:

Теория лектора о происхождении хронотипов - эволюционная, чтобы все племя не было уязвимо 8 часов, некоторые люди ложились спать раньше, а другие позже, чтобы уменьшить время уязвимости. Часто несоответствие между тем, когда мы даем себе возможность ложиться спать и тем, когда организм этого ожидает (например, сменная работа) может вызывать различные проблемы, в том числе бессонницу.

Изменение хронотипов с возрастом

Хронотипы меняются с возрастом. Большинство детей засыпают раньше, а пожилые люди очень рано встают. С подростковым возрастом происходит довольно сильный сдвиг:

Меньше 15% подростков получают достаточно сна, т.к. часто подъем в школу слишком ранний, а в выходные родители не дают спать до полудня, считая это проявлением лени, хотя на самом деле это сон в гармонии с циркадным ритмом. В дальнейшем ритм начинает возвращаться обратно:

А к пожилому возрасту вообще возвращается к изначальному детскому:

Кофеин и алкоголь

Влияние кофеина на сон

Уровень кофеина снижается до половины в организме взрослого за 5-6 часов. Четверть кофеина всё еще может оставаться в организме 10-11 часов. Кофеин может уменьшать количество глубокого сна, несмотря на то что может не мешать самому сну. Кофеин блокирует рецепторы аденозина, заставляя мозг думать, что он не сонный:

При этом аденозин все равно продолжает накапливаться, в результате чего после снижения уровня кофеина он окажет еще большее воздействие на организм

Совет:

• Ограничить кофеин после обеда

Влияние алкоголя на сон

Алкоголь седативный, но sedation is not sleep. Пример нормального перемещения по фазам сна:

И того, как они меняются при употреблении алкоголя:

Алкоголь вызывает:

• фрагментацию сна, заставляя часто просыпаться ночью, причем эти просыпания могут не запоминаться

• сильное уменьшение REM-сна, а количество REM-сна связывают с продолжительностью жизни

Влияние алкоголя на обучение: Три группы учат материал и проверяют запоминание через неделю. Одна группа не пила алкоголь, второй дали несколько шотов водки в первую ночью после обучения, а третьей - на третью ночь. Вторая и третья группа забыла 30-50% информации.

Совет:

• Даже при употреблении алкоголя стараться поддерживать режим, просыпаясь в то же самое время как и без него

Почему плохо спать мало

• После 22 часов без сна риск попасть в автомобильную аварию практически такой же, как у пьяного:

• 

• Количество людей, которые могут выживать при сне менее 7 часов так, чтобы это не отразилось на их деятельности, по отношению к популяции - 0%. В день "перевода часов" регулярно наблюдается больше аварий, больше сердечных приступов, даже судебные приговоры строже, лектор предполагает, что это реакция на потерянный час сна.

• При недостатке сна префронтальная кора начинает слабее контролировать эмоциональные реакции

• Люди, которые спят меньше 7 часов за ночь в 3 раза более уязвимы для простуды

• Введение вакцины людям, которые мало спали, оказывалось менее эффективно. Чтобы еще точнее проверить эту гипотезу, у группы людей неделю следили за состоянием сна, после чего посадили их на карантин и ввели им вирус простуды. Наблюдалась прямая корреляция, люди, спавшие 5 часов и меньше заболевали на 50% чаще.

• Чем больше сна ты получаешь, тем лучше функционирует иммунная система.

• Мужчины, спящие 4-5 часов в день, имеют уровень тестостерона соответствующий возрасту на 10 лет больше, чем у них.

• Женщины, спящие меньше необходимого, или имеющие непостоянное расписание сна, имеют более частое непостоянство менструального цикла. Женщины, работающие в ночную смену, имеют более частые нарушения менструального цикла, а также больший риск выкидышей.

• Если люди, уже больные раком, будут спать меньше, то рак будет развиваться до 200% быстрее.

• Когда тело не получает достаточно сна, оно при нехватке энергии начинает сжигать мышечную массу, а не жир. Поэтому сидеть на диете и плохо спать бессмысленно - вы будете сжигать то, что хотите сохранить, и сохранять то, что хотите сжечь.

• Реакция организма на нездоровую еду гораздо сильнее, когда человек не получает сна, а префронтальной коре сложнее сопротивляться сиюминутным желаниям.

• Нехватка сна может изменить баланс лептина и грелина - гормонов отвечающих за то, голодны мы или нет, причем чаще всего именно в сторону переедания.

• Иметь высокий уровень сахара в крови постоянно не очень полезно, это дорога к диабету 2 типа. Наш организм привык к тому, чтобы резко повышать или понижать уровень сахара в крови. Понижение происходит с помощью инсулина, который говорит клеткам поглощать сахар из крови. Клетки должны быть готовы воспринимать сигнал инсулина. Даже если инсулин будет в теле, но клетки не воспримут сигнал, это будет бессмысленно. Для исследования взяли людей без склонностей к диабету, 5 дней давали им по 5 часов сна. После этого им дали очень сладкий напиток резко повышающий уровень сахара. Их тела не вырабатывали достаточно инсулина, при этом даже тот инсулин, который вырабатывался, практически не воспринимался клетками. При этом их состояние оценивалось как близкое к диабету.

• Недостаток сна уменьшает способность легких вдыхать кислород и выдыхать углекислый газ, а также уменьшает время до наступления усталости и истощения.

• Недостаток сна ускоряет переработку молочной кислоты, что может привести к спазмам и травмам.

Почему хорошо спать много

• Во время REM-сна сглаживается эмоциональный опыт. Когда мы просыпаемся, у нас есть память об эмоции, но не сама эмоция, или хотя бы не такая сильная. Поэтому на самом деле "лечит" не время, а время сна.

• От количества сна зависит навык различения выражений лица, что влияет на понимание эмоций других людей.

• Навыки моторики, наподобие игры на музыкальном инструменте, обрабатываются мозгом во время сна и, если после практики следует качественный сон, они запоминаются лучше.

Долг сна, дневной сон и джетлаг

Весь потерянный сон восстановить организму не под силу. При этом если вы спите недостаточно, то часто не понимаете этого.

Дневной сон

Риск в том, что если поспать слишком долго или слишком поздно, то это повлияет на количество аденозина и будет сложнее уснуть. Как правильно спать днем:

• Спать недолго: для поднятия настроения и энергии требуется около 20 минут сна

• Стараться делать это до 3 часов дня, чтобы не испортить ночной сон

• Спать в подходящем месте: темном, тихом и прохладном

Джетлаг

• Простого решения преодолеть джетлаг нет

• Полная акклиматизация наступает примерно через 8 дней после смены часового пояса

• Помочь может смена времени на новую перед перелетом: начать потихоньку жить в другом часовом поясе

• Иметь 12 часов бодрости перед тем, как лечь спать в новом месте. Это значит, возможно, поспать в начале перелета и проснуться к его середине

• Утром стараться получать солнечный свет (без солнечных очков), делать упражнения

Сон на протяжении жизни

С возрастом люди спят меньше, но это не потому, что им нужно меньше сна (это как сказать, что с возрастом нужны более хрупкие кости), просто мозг больше не можешь создавать то количество сна, которое нужно организму

Сны

По сути, сон (в котором мы видим сны) - это психоз:

• видишь то, чего нет - это галлюцинации

• веришь в то, во что невозможно поверить - это иллюзии

• не понимаешь время и место - это дизориентация

• состояние аффекта - это перегруженность эмоциями

• Забываешь все это когда просыпаешься - это амнезия

  Если хоть одно из этого происходит вне сна - нам нужна помощь, но во сне это нормально.

• Зрительная кора на 30% активнее во сне.

• Префронтальная кора по сути деактивируется во время сна. То есть рациональная часть отключается, а остальные включаются больше, чем раньше.

• Во время сна мозг парализует двигательные мышцы, чтобы мы не навредили себе пока спим.

• Фрейд считал что сны это подавленные настоящие желания, которые в реальности мы видим как будто отцензурированными, потому что не могли бы их принять. Он также считал что у него есть «ключ» для интерпретации снов и этих скрытых желаний. Проблема этой теории в книге «Интерпретация снов» - в том, что она не подтверждена научно. В ней нет никаких предположений, которые можно подтвердить или опровергнуть.

Советы как лучше спать

• Взрослым нужно в среднем от 7 до 9 часов сна в день. Минимальные рекомендации в США - 7 часов.

• В общем случае лучше не ложиться спать слишком объевшимся или слишком голодным, поесть лучше за 2-3 часа до сна, небольшой перекус перед сном вполне допустим, главное чтобы он не содержал много сахара, потому что телу нужно время чтобы его обработать.

• Ложиться в одно и тоже время, как в будни, так и в выходные. "Социальный джетлаг" - когда люди ложатся раньше и встают раньше в рабочие дни, а в выходные ложатся позже и встают позже, даже на 3 часа - пытка для организма.

• Иметь какую-либо рутину отхода ко сну, например вести "дневник волнений", куда можно записать все что волнует перед сном, чтобы потом спать было легче.

• Спать при оптимальной для сна температуре - чуть выше 18 градусов. Во время сна уменьшается температура тела, поэтому прохлада вокруг помогает лучше спать.

• Перед сном принимать горячий душ/ванну.

• Уменьшать количество света (или хотя бы синего цвета, блокирующего выработку мелатонина) начиная за час до сна, чтобы стимулировать выработку мелатонина.

• Не создавать ассоциации кровати и нахождения в ней с другими активностями, например работой или просмотром телевизора.

• Люди, занимающиеся спортом, как правило спят глубже и меньше просыпаются ночью.

Будущее в контексте сна

Одновременный приход на работу - пережиток индустриальной эры, когда по свистку начиналась работа и все должны были быть на местах. Современное общество должно понимать существование хронотипов и позволять сотрудникам некоторый уровень свободы во времени работы.

Основная часть поста написана 23.02.2022, практически одновременно с началом серии постов про защиту диплома. Изначально я собирался раскрыть еще более подробно каждое из направлений, но это оказалось достаточно сложно, учитывая опыт работы только в двух. Поэтому он так и остался пылиться в черновиках, а чем дольше он лежал, тем менее логичным казалось его публиковать. Сейчас (март 2024) мне этот пост кажется несколько наивным, но в нем нет фактических ошибок (если заметите - обязательно пишите), и я все же считаю, что ему лучше быть, чем не быть, поэтому публикую его почти без изменений.

UPD 15.04.2024: В первой версии поста было указано, что "Общедоступную информацию защищать не нужно". Общедоступную информацию нужно защищать для обеспечения ее целостности и доступности, а информацию ограниченного доступа - еще и для обеспечения конфиденциальности.

Через четыре месяца я закончу университет. Никакого образования в это время уже не будет - только практика и написание диплома. Поэтому я решил, что сейчас самое время подвести итог моему высшему образованию специалиста по (технической) защите информации. Часто во время обучения я сталкивался с тем, что до конца не понимал о чём изучаемый предмет, пока не видел список вопросов к экзамену - он обычно был структурирован, и по нему была понятна общая идея предмета. Точно также и здесь я надеюсь в процессе написания этого поста уложить общую идею всего образования в вид, который был бы понятен мне на первом курсе и помог бы лучше осознавать, что и зачем я изучаю, что и зачем мне может пригодится в будущем.

Информация - что и зачем защищать?

Иногда информацию нужно защищать. Чтобы определить, какую информацию нужно защищать, государство разделило всю информацию на общедоступную информацию и информацию ограниченного доступа. Общедоступную информацию нужно защищать для обеспечения целостности и доступности. Информацию ограниченного доступа нужно защищать, помимо целостности и доступности, еще и для обеспечения ее конфиденциальности, но не всю одинаково. Поэтому информация ограниченного доступа делится на ещё несколько видов, защита которых может отличаться:

Вся государственная система защиты информации строится на том, что кто-то хочет обрабатывать информацию ограниченного доступа. Давайте назовем этого человека Петром Ивановичем. Для того чтобы обрабатывать информацию ограниченного доступа Пётр Иванович создает объект информатизации - это может быть помещение или компьютеры, где планируется обрабатывать требующую защиты информацию. Казалось бы дело сделано - создал объект информации и начинаешь обрабатывать всю необходимую информацию, однако на практике всё сложнее. Для того, чтобы получить право обрабатывать информацию ограниченного доступа на объекте информатизации требуется обеспечить необходимую защиту этой информации. Но что конкретно нужно сделать и как сделать это правильно? Для того чтобы ответить на этот вопрос и существуют специалисты по (технической) защите информации.

Регуляторы и лицензирование - кто и почему должен решать, как защищать?

Теперь нужно определить, как именно защищать информацию ограниченного доступа, для этого существуют регуляторы - органы власти, которые государство наделило правом издавать нормативные документы о том, как правильно защищать ту или иную информацию, то есть регулировать деятельность по защите информации. Примером регуляторов могут быть ФСТЭК России, ФСБ России, МО РФ. Иногда Петру Ивановичу достаточно просто сказать "У меня всё безопасно, я начинаю обрабатывать информацию.", но часто регуляторы делают так, что никто не может обрабатывать информацию ограниченного доступа без их проверки и одобрения. Однако штат регуляторов не позволяет постоянно проверять все существующие организации, поэтому они используют лицензирование. Регулятор издает требования к организации-лицензиату (так называют организацию с лицензией). Потом регулятор проверяет, соответствует ли организация-лицензиат этим требованиям, и если соответствует, то теперь регулятор разрешает этой организации выполнять функции регулятора в узкой области - проверять соответствие других организаций общим требованиям по защите информации, например. Это разрешение на работу и называется лицензией. Такая модель выгодна для всех участников:

• Регулятор не тратит свои ресурсы на постоянную проверку всех существующих организаций, а делегирует это лицензиатам

• Лицензиаты оказывают коммерческие услуги - проверяют соответствие требованиям за деньги

• Пётр Иванович может выбирать из существующих лицензиатов - он не обязан идти только к регулятору

Лицензирование применяется во многих областях в защите информации, например без лицензии нельзя разрабатывать средства защиты информации. Иногда регулятор идёт еще дальше и даже выдаёт лицензии на выдачу лицензий другим организациям. Проверка объекта Петра Ивановича на соответствие требованиям называется аттестацией, потому что в конце этой проверки обычно выдается аттестат, который означает, что Пётр Иванович обеспечил подобающую защиту и может приступать к обработке информации.

Другой используемый регуляторами инструмент - сертификация. Допустим, вы разработали (естественно, предварительно получив лицензию на это) средство защиты. Вы говорите, что оно отлично защищает от всего и соответствует всем требованиям, но вам никто не верит. Для того чтобы вы могли это заявить, вас должен проверить кто-то независимый и подтвердить, что вы действительно разработали хорошее средство и оно соответствует всем требованиям. Подтверждает он это выдачей сертификата. Как вы уже понимаете, полномочия проводить сертификацию есть у регулятора, но он ими делится с использованием уже знакомой нам процедуры - лицензирования. Еще в процессе сертификации участвуют испытательные лаборатории - это на их базе проверяется ваше средство защиты, для их работы также требуется лицензия. В результате вся эта система даёт на выходе конечный продукт - сертифицированное средство защиты информации, которое Пётр Иванович может поставить на свой объект, будучи точно уверенным, что оно удовлетворяет всем требованиям и сделано качественно.

Я уже упомянул, что регулятор имеет право издавать нормативные документы. Нормативные документы постоянно меняются - совершенствуются методики, изменяется подход, исправляются ошибки и неточности. При этом, как правило, после выхода нового документа никому уже не интересно что там было в старом, потому что тот перестал быть актуальным. Поэтому при обучении лучше опираться на принципы, а не на конкретные нормативные документы - документы устареют или могут содержать ошибки, а принципы будут актуальны всегда.

Чаще всего информацию нужно защищать от утечки по техническим каналам и от несанкционированного доступа.

Защита информации от утечки по техническим каналам

Технический канал - это путь утечки информации от источника информации до средства перехвата информации через какую-либо среду распространения. Технические каналы основаны на физических принципах - поэтому изучение физики пригодится для того, чтобы понимать, почему существует тот или иной канал. Чтобы изучать технические каналы и определять возможность утечки по ним используется множество различных комплексов и специального оборудования. Для работы с ними необходимо общее знание теории измерений и базовых принципов работы с приборами. Самые сложные из всех этих приборов - анализаторы спектра. Полезно понимать их внутреннее устройство и принципы функционирования, для этого нет ничего лучше учебника "Основы спектрального анализа" Кристофа Раушера. Большинство курсов по анализаторам спектра строится вокруг этого учебника, поэтому изучение первоисточника точно не повредит. Для работы с анализаторами спектра также бывают нужны антенны, их устройство также полезно знать и понимать. Хороших учебников по акустике в защите информации мало и они достаточно старые, поэтому для изучения общих принципов можно обратиться к акустике в музыкальной сфере - теория октав, частот и распространения звуковых волн одинаковая везде, при этом за счёт популярности музыкальной сферы там гораздо больше наглядного обучающего материала.

Защита от несанкционированного доступа

Помимо технических каналов, иногда нужно защищать информацию от несанкционированного доступа - это, например, когда я получаю доступ к папке другого человека на общем компьютере, где хранится информация, которая мне не предназначалась. Несанкционированный доступ бывает не только при работе с компьютерами, например, я могу пройти в помещение, в которое мне запрещено заходить, потому что кто-то написал код от двери на бумажке над замком. Для этой защиты используются политики разграничения доступа - специальные документы, в которых закрепляется, кому и к чему разрешается/запрещается доступ и как это будет организовано. Политики могут использовать разные модели и правила разграничения доступа - это достаточно активно развивающаяся область. Однако при работе с компьютерами мало написать документ - ведь если рядом с компьютером висит бумажка с надписью "Не заходите в чужие папки" это вряд ли остановит нарушителя. Для практической реализации политик разграничения доступа используются специальные программы - они по вашим данным узнают о том, кто сейчас за компьютером и разрешают вам работать только с вашими папками, а попытки нарушений фиксируют. Такие программы называют средствами защиты информации от несанкционированного доступа. Кстати, это не всегда программы, бывают и настоящие устройства в виде небольших плат - они вставляются в компьютер и обеспечивают его защиту постоянно - а не только после загрузки операционной системы как программы. Настраивать эти программы не всегда просто, потому что операционные системы не привыкли, что кто-то пытается ограничить их работу, поэтому часто возникают конфликты и проблемы, которые нужно решать. Решением этих проблем обычно занимается специалист по защите информации - администратор безопасности.

Где работать в области технической защиты информации?

Подытожим и постараемся определить, где нужны специалисты по технической защите информации:

1. Работать в конкретной организации и помогать Петру Ивановичу постоянно обеспечивать безопасность одного или нескольких объектов информатизации, например, как администратор безопасности - для этого нужно разбираться в требованиях нормативных документов, а также работе и правильной настройке средств защиты

2. Работать в организации с лицензией на работы по защите информации и проверять, как Пётр Иванович организовал защиту информации у себя на объекте

3. Работать в организации с лицензией на проверку других организаций-лицензиатов и проверять, могут ли специалисты из пункта 2 проверять Петра Ивановича

4. Работать в регуляторе, проверять и выдавать лицензии организациям из пунктов 2 и 3, издавать нормативные документы и не только

5. Разрабатывать средства защиты информации

6. Работать в испытательной лаборатории и проверять средства защиты информации, разработанные специалистами из пункта 5

Эта статья предназначена в первую очередь для владельцев объектов информатизации, которые столкнулись с требованием купить и установить средство доверенной загрузки (СДЗ), но не знают, с какой стороны подойти к этому вопросу. Тем не менее, и опытные пользователи СДЗ могут найти что-то интересное, например, почему нельзя просто ставить пароль на BIOS вместо СДЗ.

Предположим, что вам нужно купить и установить СДЗ. Вы столкнулись с этим, как с требованием, а теперь пробуете разобраться, зачем это вообще нужно, что конкретно и у кого покупать.

Зачем?

Если упростить, то компьютер запускается так: вы нажимаете кнопку, запускается BIOS, BIOS запускает операционную систему (например, Windows).

Именно BIOS выбирает, какую систему запускать. Для этого в нем есть упорядоченный список устройств, где он ищет пригодные для запуска системы: сначала поищет на жёстком диске, если там нет - на другом жёстком диске, если и там нет - на подключенных флешках и так далее.

Допустим, что у нас на жестком диске установлена абсолютно безопасная операционная система Windows, на которой ещё и сверху установлено средство защиты от несанкционированного доступа - Dallas Lock 8.0-К, например. Злоумышленнику нашу безопасную систему не пробить - там и контроль устройств, и пароли сложные, и вообще сплошные меры защиты.

Но что если злоумышленник на этапе загрузки BIOS установит свое устройство - например, флешку, на которой установлена другая версия Windows, или CD-диск с портативной версией Linux?

Если он сможет заставить BIOS запустить не нашу абсолютно безопасную Windows, а портативный Linux, то все меры защиты Windows будут бесполезны - она просто не начнет работать. При этом наши ценные файлы, которые лежат на жёстком диске, будут видны так, как если бы мы просто подключили к Линуксу флешку - их можно просматривать и скачивать без всяких ограничений, потому что ограничения - это внутри Windows, а она же не запустилась. Как с этим бороться?

1. Установить пароль на BIOS, чтобы никто, кроме администратора, не смог изменить порядок загрузки операционных систем. Почему это не работает? Во-первых, пароль на BIOS - это не сертифицированное средство защиты, а значит использовать его там, где требуются только сертифицированные средства, нельзя. Во-вторых, у многих производителей есть такая классная и удобная для них штука - стандартный пароль на BIOS. То есть вы, конечно, можете задать какой угодно пароль, но рядом с ним всегда будет действовать условный пароль "Dell" (список известных запасных паролей есть тут)

2. Использовать такое средство, которое загрузилось бы раньше, чем в BIOS появилась возможность изменить порядок загрузки, и проконтролировало, что запустится именно та система, в безопасности которой мы уверены. Вот это и есть средство доверенной загрузки

Получается, что нам от СДЗ требуется следующее:

• Чтобы оно загружалось раньше, чем появляется возможность изменить порядок загрузки систем в BIOS

• Чтобы оно запрашивало логины и пароли тех, кто с ним работает, для продолжения загрузки

• Чтобы оно запускало только ту систему, в правильной настройке и безопасности которой мы уверены

• (... и, естественно, много чего еще, если хотим углубиться - можно посмотреть профиль защиты СДЗ)

Поскольку такое устройство должно запускаться раньше (на самом деле вместе, но это технические детали) BIOS, то оно чаще всего обречено быть аппаратным, то есть существовать в реальном мире в виде некой платы. Вот так, например, выглядит СДЗ ПАК "Соболь", производимое ООО "Код Безопасности".

Что покупать?

Теперь мы понимаем, зачем нам нужно СДЗ и готовы его купить. На что обращать внимание:

1. Сертификат

2. Разъем для подключения

3. Совместимость

4. Количество

Сертификат

Если к вам применимы требования о сертифицированных средствах защиты, значит СДЗ тоже должно быть сертифицировано. Причем сертифицировано именно по требованиям того регулятора, под область которого вы попадаете. Если этот регулятор - ФСТЭК России, то проверить сертификат СДЗ можно в реестре СЗИ ФСТЭК России. Примеры сертифицированных СДЗ, о которых дальше пойдет речь - СДЗ "Dallas Lock" (сертификат 3666) и ПАК "Соболь" версия 4 (сертификаты 4043 и 4575).

Разъем для подключения

Интересующие нас СДЗ чаще всего делаются в трех видах:

• Для подключения в слот PCI Express

• Для подключения в слот mini PCI Express

• Для подключения в слот M.2 A-E

Это значит, что в компьютере, в который вы планируете установить СДЗ, должен быть свободен соответствующий слот. Как правило, в стационарных компьютерах есть слоты PCI Express (в них обычно подключают видеокарты). А вот в ноутбук СДЗ PCI Express не вставить - слишком уж плата большая. Поэтому нужно смотреть, есть ли в ноутбуке слот mini PCI Express или M.2 A-E - в них частенько вставляют Wi-Fi модули. Узнать, есть ли в вашем компьютере данные слоты можно из технической документации, либо с помощью вскрытия корпуса. Если мы убедились, что подходящий разъем у нас есть, двигаемся дальше. Если подходящих разъемов нет - можно сразу посмотреть в конец следующего раздела.

Совместимость

СДЗ могут быть не совместимы с различными версиями материнских плат. Это значит, что производитель не гарантирует, что если вы просто купите его СДЗ и попробуете воткнуть его в ваш компьютер, то оно будет работать. При чем эта проблема совершенно реальна, СДЗ могут быть не совместимы с достаточно большим количеством устройств, так что закупать вслепую - очень опасный путь. Что же делать?

1. Запросить у производителя список устройств, совместимость с которыми проверена и подтверждена. "Код Безопасности", например, предоставляет таблицу совместимости ПАК Соболь прямо на сайте. Если ваше устройство там есть - всё круто, можно смело покупать СДЗ!

2. Если вашего устройства там нет, то можно, например, запросить у поставщиков СДЗ один экземпляр для тестирования. Список партнеров ООО "Конфидент" (производитель СДЗ "Dallas Lock"), у которых можно запросить СДЗ для тестирования, также есть на сайте. При этом к тестированию лучше привлечь человека, занимающегося настройкой СДЗ, т.к. не всегда эти средства работают "из коробки" и иногда им требуется изменение базовых параметров. Запрашиваете, проверяете, если подошло - можно закупать. А что если в таблице написано "не совместимо", или протестированный образец не запустился? К сожалению, такое тоже бывает, и иногда не остается ничего, кроме замены технических средств или использования дополнительных организационных мер защиты, которые согласуются с теми, кто вашу защищенность оценивает.

Количество

Из того, что СДЗ, как правило, представляет собой аппаратное устройство, следует, что, если у нас есть 5 компьютеров, то для их защиты нам нужно 5 СДЗ. Не получится купить одну плату и в документах "поставить" её сразу не все компьютеры - физически плата всё-таки одна. Это кажется очевидным, но, исходя из опыта, требует отдельного упоминания.

Итоги

Теперь мы понимаем, зачем покупать СДЗ, какие они бывают и на что ориентироваться при выборе.

Неосвещенные здесь вопросы, которые также могут пригодиться, если вы погружаетесь в тему доверенной загрузки:

• Программные средства доверенной загрузки

• Этапы запуска компьютера с точки зрения средства доверенной загрузки

• Если поставить сразу два средства доверенной загрузки - какое из них запустится первым?

UPD 15.04.2024: По результатам обратной связи добавлена часть про шринкфляцию оценок.

В последние годы я начал вести несколько списков:

• Прочитанных книг с рейтингом и иногда обзорами на goodreads

• Просмотренных фильмов с рейтингом на IMDb

• Игр, в который я играл на Rawg

В каждом из этих сервисов собственная система оценки:

• Goodreads - 5-балльная: от 1 до 5 звезд

• IMDb - 10-балльная: от 1 до 10 звезд

• Rawg - 4-балльная: skip, meh, recommended, exceptional

Такой разброс заставил меня задуматься о том, насколько правильно (для себя, естественно) я проставляю оценки - не могут ли попасть, например два фильма, один из которых я считаю изменившим мою жизнь, а второй просто хорошим, в одну категорию. Пришлось придумать для себя "объективные" причины расстановки оценок, вот как я их сформулировал:

Для фильмов:

1. Очень плохо

2-4. Разочаровавшие фильмы, субъективно по степени разочарования, т.к. здесь пока мало фильмов

5. Фильмы, оставившие смешанные чувства - посмотрел, забыл и ладно

6. Средние фильмы: о просмотре не пожалел, но и пересматривать нет желания

7. Неплохие фильмы, которым, однако, чего-то не хватило

8. Хорошие и интересные фильмы

9. Очень хорошие фильмы, которые оставили сильное впечатление и запомнились

10. Исключительные фильмы, которые каким-либо образом значительно повлияли на меня

Для книг:

1. Абсолютно не понравилось/пожалел о покупке

2. Разочаровавшие книги

3. Средние книги: прочитал, забыл и ладно

4. Хорошие и интересные книги

5. Очень хорошие книги, которые оставили сильное впечатление и запомнились

Для игр:

• Skip - абсолютно не понравилось

• Meh - средние игры: поиграл и забыл/не доиграл

• Recommended - хорошие и интересные игры

• Exceptional - очень хорошие игры, которые оставили сильное впечатление и запомнились

Таким образом, если соотнести все эти оценки между собой, получится что-то следующее:

Я вижу здесь две проблемы:

1. Для книг и фильмов отсутствует разделение между 9 и 10 баллами. Это делает невозможным отделение исключительных книг от очень хороших. Для сравнения, сейчас я отметил 3 фильма как 10/10 и 25 как 9/10. Несмотря на то, что все вместе они заслуживают 5 звезд из 5, мне жаль что в 5-балльной оценке я не смог бы никаким образом выделить 3 своих самых любимых фильма.

2. Категория "средние" слишком широкая - в неё попадает слишком много баллов, то есть условные игры на 2/10 и 6/10 являются "средними", что в общем мало чего о них говорит.

Мне кажется, что подобные проблемы присутствуют и в системе образования, которая чаще всего использует 4-балльную систему оценки: неудовлетворительно (2), удовлетворительно (3), хорошо (4) и отлично (5). В МГТУ им. Н.Э. Баумана в рамках балльной системы используется 100-балльная система оценки студентов. При этом по результатам семестра оценки выставляются следующим образом:

• С 60 баллов - 3

• С 70/72 (периодически меняется) баллов - 4

• С 85 - 5

На рисунке хорошо видно, что такая шкала оценки крайне неравномерна. Хуже того - оценки в цифрах заставляют считать, что тройка - это чуть-чуть получше двойки, а четверка - чуть-чуть получше тройки, хотя на самом деле там разрыв в 60 баллов. Собственно, у таких оценок присутствуют те же самые две проблемы:

1. Невозможно отделить исключительный результат (10/10) от очень хорошего (9/10).

2. Слишком широкая категория "двойка", особенно учитывая, что в нее никто не должен попадать. Она забирает слишком много баллов из шкалы оценки и лишает ее гибкости.

Представляется, что использование 10-балльной системы оценивания может решить обозначенные проблемы, при этом создаваемые им проблемы для меня не очевидны.

UPD: Шринкфляция оценок

Одной из проблем использования 10-балльной системы может стать шринклфляция оценок. Что это такое можно посмотреть на графике, оригинал которого мне найти не удалось, ввиду его большой растиражированности:

Чем больше массив объектов оценки, тем сложнее распределить их по любой шкале. В результате количество "очень хороших" объектов оценки, оцененных высоко в том числе для привлечения внимания, увеличивается настолько, что уже даже внутри них становится сложно ориентироваться без дополнительного ранжирования. Возможно, то же самое произошло и с пятибалльной системой оценивания, которую я критиковал выше, и именно эта шринкфляция, а не система оценок, является тем, о чем нужно говорить и с чем нужно справляться.

• Обзор за 2022 год

• Обзор за 2021 год

Хайлайты

• Книги года - "80000 часов" и "Навстречу смыслу"

• Прочитано книг - 18

• Постов в блоге - 4

• Самый популярный пост - удивительно, это технический пост про установку СДЗ Dallas Lock (1800 просмотров!!)

Что хорошего произошло?

• Переезд домена и движка блога. Домен almkuznetsov.ru всё еще остался за мной, но мне показалось, что kuznetsov.am выглядит интереснее. А смена движка с Эгеи на хэшнод, несмотря на то, что это всё ещё не self-hosted сайт, который я полностью контролирую, чего я бы хотел в будущем, открыла гораздо больше возможностей для работы над сайтом и в целом хэшнод оказался удобнее из-за поддержки автоматических бэкапов и синтаксиса markdown.

• Командировки и путешествия. В этом году получилось очень много классных командировок - Магнитогорск, Сочи и Орел. Все командировки были для участия в конференциях, и каждая была по-своему классной. В Магнитогорске получилось первый раз в жизни покататься на сноуборде, в Сочи закрепить этот опыт, первый раз постоять на стенде организации и влюбиться в Сириус, а в Орле приятно погулять по городу.

  

  Тут я первый раз стою у стенда

  И это все не считая самих конференций! За роадтрипы в этом году отвечала поездка в Карелию, в ходе которой, например, получилось первый раз прокатиться 195 км/ч и посмотреть на очень красивые озера и дороги, а также путешествие из Петербурга в Москву под прослушивание аудиокниги "Путешествие из Петербурга в Москву".

• Технопарк. В этом году началась и закончилась история моего обучения в Образовательном центре ВК в МГТУ (бывший Технопарк). Это было очень круто, при этом требовало просто бешеного количества времени (четыре-пять дней в неделю пары с 18:00 до 21:00, плюс домашние задания и командные проекты, и это не считая, что с 10 до 18 я работал!). Благодаря этому я практически не помню своего свободного времени в 2023 году (а было ли оно вообще?), но также благодаря этому я узнал огромное количество новых вещей о веб-разработке и IT в целом.

Тут мы с ребятами на экскурсии в офисе ВК, которую устроили для студентов Технопарка

А тут я рассказываю что-то смешное на предзащите

• Образование. Помимо Технопарка было еще несколько классных образовательных курсов - отличные курсы по фаззингу в ИСП РАН (задачу с которых описывал тут), курсы по архитектурному анализу ПО там же и месячное обучение написанию электронной музыки в школе Маскелиаде. Ну и нельзя не отметить курс по истории и философии науки в аспирантуре Бауманки, который я считаю вообще самым лучшим курсом за все свое обучение в университете. В целом мне все еще доставляет большое удовольствие изучать что-то новое и потом этим делиться. В новом году, когда все обязательные курсы и программы практически закончились, нужно будет найти что-то не менее крутое и интересное!

• Ридинг-группа по эффективному альтруизму. Вообще открытие эффективного альтруизма, произошедшее летом, я отношу к крайне важным для себя событиям, и об эффективном альтруизме в целом я планирую писать дальше. Очень удачно почти сразу после начала изучения этой темы я наткнулся на группу для студентов, посвященную чтению и обсуждению основных идей эффективного альтруизма. Еще более удачно, что меня, аспиранта, туда взяли и у меня получилось познакомиться и пообщаться с очень интересными людьми. Именно участие в ридинг-группе сократило количество прочитанных мной книг в этом году практически на 50% по сравнению с прошлым, потому что читал я в основном эссе и заметки, но это однозначно никакой не минус.

• Знакомство со своими эмоциями. Оказалось, например, что злиться - это нормально, чего я не мог принять всю свою жизнь до этого года.

• Смена работы. Возможность сменить область деятельности, оставаясь в рамках общей сферы защиты информации и не разрывая связи с университетом, казалась достаточно туманной, но все же произошла и, будем надеяться, что произошла к лучшему. Удивительно приятной была поддержка коллег в университете и очень много хороших слов о нашей работе!

Что прошло не очень хорошо?

• Кризис. Не знаю, как это правильно назвать - выгоранием, экзистенциальным кризисом (слишком пафосно) или кризисом среднего возраста (рановато?), но для меня вдруг стало очевидно, что вся моя деятельность лишена какого-либо смысла и не приносит никакой пользы. Повезло, что это произошло в июле перед почти месячным отпуском. За это время у меня с помощью и поддержкой родственников, друзей и двух найденных в нужный момент книг, получилось более-менее выйти из этого состояния. Однозначно позитивный вывод из этой ситуации - оказывается, что это нормально - говорить, что ты не понимаешь, чего хочешь, что не видишь в чем-то смысла, или что ты запутался. Оказывается, можно это признавать, а не просто копить в себе годами, кто бы мог подумать!

• Самоорганизация. Несмотря на супермилую помощь разработчиков Amazing Marvin (о которой я писал тут), я все же лишился его из-за проблем с доступом к серверам. Поскольку за последние годы Марвин, наряду с Обсидианом, был для меня основой всей системы эффективности, его потеря сказалась достаточно сильно. В середине года я попробовал перейти на Things, но это так и не вышло, в итоге списки задач до сих пор находятся в достаточно хаотичном состоянии. Время, которое я выделял для еженедельных обзоров, стало занято ридинг-группой, что привело к тому, что я перестал их проводить. Тем не менее, общие привычки и другие инструменты, такие как календарь и, собственно, Обсидиан, не позволили всему этому серьезно сказаться на результатах работы - всё-таки не было проектов, о дедлайнах которых я забыл, или встреч, на которые я забыл прийти.

• Преподавание. В этом году я стал еще больше, чем в прошлых, вовлечен в проведение занятий на курсах повышения квалификации и у студентов. Во второй половине года на это наложилась моя неудовлетворенность областью деятельности, что сделало преподавание довольно тяжелым процессом. Тем не менее, я понял, что мне нравится делиться своим опытом и знаниями в целом, безотносительно конкретной области, поэтому я надеюсь, что возможность делать это у меня останется и дальше. Еще из позитивного: получилось попробовать новый формат - видеозапись занятия, было круто и очень понравилось!

Над чем я планирую работать в новом году?

В 2021 я написал здесь «спорт» и в 2022 снова начал ходить на скалодром. В 2022 я написал здесь «хард-скиллы» и в 2023 научился огромному количеству именно прикладных вещей в ИБ и ИТ в целом. Похоже надо начать более серьезно относиться к тому, что я тут пишу!

• Творчество. Сейчас я осознаю свою потребность в каком-то самовыражении, поэтому могу сказать, что хотел бы в новом году реализовать как минимум парочку творческих проектов, которые маринуются уже давно.

• Понимание себя, своих эмоций и желаний. Абсолютное открытие этого года в том, что над этим можно работать, чем я и планирую продолжать заниматься.

• Углубление прикладных навыков. В этом году я распробовал получение экспертизы и вспомнил, что мне нравится узнавать что-то новое, поэтому в следующем нужно точно продолжать развивать хард-скиллы.

Итоги

Несмотря на большое количество трудностей и тяжелых событий этот год подарил большие возможности для развития и роста. Поменялось столько всего, что уже даже этот сайт и годовые обзоры стали чем-то традиционным, что позволяет приятно вынырнуть из неопределенности и провести время за обзором произошедших изменений, которых в этом году и правда много, что скорее хорошо.

Спасибо, что прочитали, хорошего окончания новогодних праздников!

Комментарии, как обычно, закрыты, если что - тг @almkuznetsov.

Введение. Две конференции в один день и мгновенная карма

На прошлой неделе мне пришлось поучаствовать в двух конференциях в Бауманке в один день.

На первой - Студенческой научной весне - впервые был в качестве научного руководителя, поэтому сам не выступал. Слушающих доклады преподавателей было не очень много, я старался оживить дискуссию, задавая много вопросов всем выступающим. При этом я постоянно говорил себе, что у меня же нет цели никого «валить», мы все собрались на конференции, чтобы поделиться исследованиями и работами, послушать мнение других, поэтому ребята не должны этого бояться.

Как бы не так! Все эти идеи испарились, когда спустя полчаса после окончания Студвесны я уже сидел на другой конференции, но на этот раз в качестве выступающего. Я смотрел на других выступающих, и они казались мне более уверенными, их презентации выглядели лучше, их английский (а конференция была на английском) звучал гораздо лучше. Я начал нервничать, боялся, что мое выступление никому не понравится и меня «завалят» вопросами.

Как раз где-то здесь у меня щелкнуло, что я испытываю как раз те же ощущения, которые считал, что участники конференции испытывать не должны. Тогда попробовал успокоить себя теми же мыслями - я пришел не соревноваться, а поделиться своими наработками и идеями, послушать мнение других людей, и ничего страшного, если это мнение будет негативным - лучше так, чем продолжать делать то же самое, не получая обратной связи. И это помогло! Действительно стал чувствовать себя спокойнее и смог лучше подойти к выступлению, не переживая о том, насколько оно лучше/хуже других.

Эта ситуация заставила меня задуматься, а как же студентам, которые не могут почувствовать то же самое, что и я, когда был на конференции как научный руководитель, получить правильный настрой на конференцию? И как вообще объяснить ребятам, зачем нужно участвовать в таких конференциях?

Подход 1. Науки нет, конференции — это пережиток прошлого, получай деньги пока можешь.

Как правило главное, что дает участие в конференции - публикацию тезисов в сборнике трудов конференции. Иногда, конечно, в публикации могут отказать, но это скорее исключение из правил. Мне ни разу не приходилось видеть отказа в публикации, хотя однажды из-за цензуры пришлось отказываться от публикации самому.

Самый очевидный плюс публикации - возможность подать заявление на повышенную стипендию. Чаще всего для назначения стипендии важен сам факт публикации и уровень того журнала, где публикация вышла. Иными словами, все участники конференции будут равны - у всех будет ровно одна публикация тезисов. Чем больше таких публикаций - тем выше шанс получить различные повышенные стипендии. В Бауманке, например, помимо повышенной стипендии за научную деятельность есть как минимум более престижная стипендия Ученого совета. Параллельно с ними могут назначаться стипендии Президента и Правительства РФ, причем при назначении могут учитываться те же самые публикации.

Подходя к этому процессу максимально меркантильно, мы видим, что, если главная цель для нас - получить повышенную стипендию, значит в конференции мы участвуем чисто для галочки. Нужно написать не обязательно имеющую смысл и ценность статью на абсолютно любую тему, всеми силами пережить 5 минут выступления и ответов на вопросы, а потом как страшный сон забыть это все. В таком случае любой внимательный слушатель - наш враг. У нас появляется чувство, что все хотят нас "завалить", потому что они могут догадаться, что мы лишь хотим, чтобы это побыстрее закончилось.

Примерно с таким настроем я, видимо, и пришел на вторую конференцию - ведь основной целью участия в ней было то, что это должно было помочь с закрытием кандидатского минимума по английскому языку, мотивация не совсем денежная, но тем не менее. Однако мне помогла сама возможность перехода ко второму варианту.

Подход 2. Науки немного, но она есть и для нее важна обратная связь

Для человека, занимающегося изучением любой минимально-научной проблемы не просто потому, что так сказал научрук или что так надо для закрытия диплома, а еще и из интереса, желания разобраться и сделать что-то полезное, критически важна обратная связь.

Как любит говорить мой преподаватель истории и философии науки в аспирантуре - в современной науке процессы дифференциации опережают процессы интеграции. Иными словами, новые области появляются настолько быстро, что научное сообщество не успевает за ними уследить.

Вполне возможно, что решаемая вами проблема абсолютно не нова - ей посвящено уже три учебника, а вы и ваш научрук об этом не знаете, просто потому что авторы учебников называют эту проблему немного по-другому и вы не нашли этой связи. Вполне возможно, что на вашей же кафедре 5 лет назад была точно такая же работа и вы просто повторяетесь, а не "встаете на плечи гигантов" просто потому, что об этом не знаете. И в этом нет ничего плохого. Именно для этого критически важно выходить и рассказывать как можно большему количеству людей о том, что вы делаете, и почему считаете, что это важно. Да, вы рискуете узнать, что ваша работа уже не имеет актуальности или что она уже была сделана. Но также вы можете встретить одобрение и поддержку, потому что проблема действительно актуальна и все это понимают.

Нашей целью в этом подходе становиться развитие, желание разобраться и решить проблему. Откуда в таком случае у нас могут взяться враги? Все участники конференции превращаются в наших соратников - мы вовлекаем их в наши идеи, используем их внимание и время для помощи в решении общих задач. Любые вопросы воспринимаются как помощь - они указывают на узкие места, дают повод что-то переосмыслить, по-другому взглянуть на вещи. И вот нам уже не так важно, чтобы эти 5 минут выступления пролетели как можно быстрее.

Заключение

Конечно, в реальности эти подходы перемешиваются, и в этом тоже нет ничего плохого. Когда я начинал участвовать в конференциях, я не знал никакого подхода, кроме первого. Мне понадобилось несколько лет и опыт научного руководства для того, чтобы хоть немного сформулировать второй. Надеюсь, что эти мысли помогут вам по-другому взглянуть на участие в студенческих конференциях, да и не только. Давайте вместе стремиться к тому, чтобы не бояться делиться идеями!

Пост ориентирован на людей, похожих по уровню подготовки на меня сейчас - я понимаю, что такое фаззинг и зачем это нужно, но пока не могу сходу решать задачи по фаззингу чего-либо просто смотря на докерфайл и два скрипта по 40 команд. Мне бы хотелось прочитать более подробно описаный процесс фаззинга какого-нибудь ПО и поэтому я решил написать его сам.

Входные данные:

1. Open-source программа на C/C++ входящая в top-200 (посмотреть его можно, например, здесь) - cppcheck.

2. IJON - механизм создания аннотаций, которые помогают направлять фаззер AFL, который включен в репозиторий IJON.

3. Задача - провести фаззинг-тестирование cppcheck, определив интересующие состояния программы и создав для этих состояний аннотации с помощью IJON.

В результате работы мы:

• Сориентируемся, как работает cppcheck

• Подготовим набор входных данных с помощью генератора программ на C

• Соберем IJON и фаззер

• Соберем cppcheck с инструментацией

• Запустим фаззинг cppcheck с IJON в 4 потока

• Посмотрим на результаты деятельности

Изучаем cppcheck

Для начала постараемся быстро понять, как работает попавшаяся нам программа - cppcheck. Создадим в домашней папке директорию kuzz (kuznetsov + fuzz, очень оригинально, да) и скопируем туда файлы cppcheck

ubuntu@ubuntu:~$ mkdir kuzz 
ubuntu@ubuntu:~$ cd kuzz ubuntu@ubuntu:~/kuzz$ git clone https://github.com/danmar/cppcheck.git --single-branch --depth=1 cppcheck_simple 
ubuntu@ubuntu:~/kuzz$ cd cppcheck_simple/

Собираем с помощью make.

ubuntu@ubuntu:~/kuzz$ make

Теперь читаем мануал и узнаем, как же работает программа. Узнаем, что на вход она получает файлы с кодом на C++ и потом их анализирует. Значит легитимными входными данными, которые мы будем подавать на вход фаззеру должны быть файлы с кодом на C++. Остается найти какое-то количество таких файлов.

Собираем входные данные

Для подготовки входных данных воспользуемся программой csmith, которая генерирует программы на C. Установим csmith, предварительно установив cmake и m4 согласно документации:

ubuntu@ubuntu:~/kuzz$ sudo apt install cmake m4
ubuntu@ubuntu:~/kuzz$ git clone https://github.com/csmith-project/csmith.git --single-branch --depth=1 
ubuntu@ubuntu:~/kuzz$ cd csmith/ 
ubuntu@ubuntu:~/kuzz/csmith$ cmake . 
ubuntu@ubuntu:~/kuzz/csmith$ make 
ubuntu@ubuntu:~/kuzz/csmith$ sudo make install

Теперь создадим папку "in" для входных данных, куда положим 10 сгенерированных csmith файлов:

ubuntu@ubuntu:~/kuzz/csmith$ cd .. 
ubuntu@ubuntu:~/kuzz$ mkdir in ubuntu@ubuntu:~/kuzz$ cd in 
ubuntu@ubuntu:~/kuzz/in$ for i in {1..10}; do csmith > random"${i}".cpp; done

Попробуем подать один из этих файлов на вход нашей cppcheck

ubuntu@ubuntu:~/kuzz$ cd ~/kuzz/cppcheck_simple/
ubuntu@ubuntu:~/kuzz/cppcheck_simple$ ./cppcheck ../in/random1.cpp

Как видим, cppcheck проверил наш файл и не обнаружил ошибок. Теперь нужно определить, какое состояние программы мы будем считать интересным настолько, чтобы написать к нему аннотацию для IJON.

Собираем IJON

IJON не обновлялся достаточно давно, поэтому могут быть различные проблемы, но в общем процесс в соответствии с документацией выглядит так (у меня, например, не было рекомендованного 6-го clang, поэтому пришлось его поставить).

ubuntu@ubuntu:~/kuzz$ git clone https://github.com/RUB-SysSec/ijon ubuntu@ubuntu:~/kuzz$ cd ijon/ 
ubuntu@ubuntu:~/kuzz/ijon$ make 
ubuntu@ubuntu:~/kuzz/ijon$ cd llvm_mode/ 
ubuntu@ubuntu:~/kuzz/ijon/llvm_mode$ sudo apt install clang-6.0 
ubuntu@ubuntu:~/kuzz/ijon/llvm_mode$ LLVM_CONFIG=llvm-config-6.0 CC=clang-6.0 make

Фаззер готов.

Пишем аннотацию под IJON

Для начала сделаем новую копию репозитория, с еще не собранными исходными кодами:

ubuntu@ubuntu:~/kuzz$ git clone https://github.com/danmar/cppcheck.git --single-branch --depth=1 
ubuntu@ubuntu:~/kuzz$ cd cppcheck/lib 
ubuntu@ubuntu:~/kuzz/cppcheck/lib$ ls

Как видно, cppcheck состоит из достаточно большого количества файлов. Быстро пробежавшись по ним, определяемся с тем, что представляется интересным. Поскольку cppcheck это по сути статический анализатор кода, его предназначение - находить ошибки. Поскольку мы хотим добиться покрытия большего количества кода cppcheck (одна из целей фаззинга изначально), то нам интересно, чтобы ошибки находились как можно чаще. В этом нам может помочь IJON, если мы установим аннотацию, которая будет направлять фаззер в сторону увеличения количества ошибок в генерируемых файлах. Механизм вывода уведомлений о найденных ошибках описан в файле errorlogger.cpp. Откроем его с помощью vim.

ubuntu@ubuntu:~/kuzz/cppcheck/lib$ vim errorlogger.cpp

Разные ошибки вызывают разные функции, но есть то, что их объединяет - вывод уведомления об ошибках setmsg.

Чем чаще вызывается вывод уведомления об ошибках, тем больше (логично) ошибок было найдено, а это как раз то, что нам и нужно. Аннотацию IJON можно было бы "прицепить" к существующей переменной, но поскольку таких нет, то придется сделать свою переменную, которая будет считать количество обращений к этой функции. По рекомендации со stackoverflow добавляем к этой функции статическую переменную, подсчитывающую количество обращений. А потом добавляем аннотацию IJON, которая будет направлять фаззер в сторону увеличения значения этой переменной.

Здесь следует сказать, что мы будем использовать именно максимизирующую аннотацию IJON_MAX(), о других аннотациях можно прочитать в README IJON, но стоит иметь ввиду, что аннотации IJON_ENABLE() и IJON_DISABLE() из коробки не работают (спасибо Дмитрию Пономареву за это замечание).

static unsigned int call_count = 0;
    call_count++;
IJON_MAX(call_count);

Собираем проект с инструментацией

Для того, чтобы собрать проект с инструментацией фаззера нужно проделать ту же команду make, только вместо стандартных компиляторов указать компиляторы, находящиеся в папке IJON.

ubuntu@ubuntu:~/kuzz/cppcheck/lib$ cd .. 
ubuntu@ubuntu:~/kuzz/cppcheck$ CC=/home/ubuntu/kuzz/ijon/afl-clang-fast  CXX=/home/ubuntu/kuzz/ijon/afl-clang-fast++ cmake .
ubuntu@ubuntu:~/kuzz/cppcheck$ CC=/home/ubuntu/kuzz/ijon/afl-clang-fast  CXX=/home/ubuntu/kuzz/ijon/afl-clang-fast++ make

Фаззинг

После того как завершена сборка с инструментацией можно наконец запустить фаззинг.

ubuntu@ubuntu:~/kuzz/cppcheck$ cd ../ijon/ 
ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -M fuzzer01 -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@

Появляется стандартная ошибка, в тексте которой сразу указано, что нужно исправить:

ubuntu@ubuntu:~/kuzz/ijon$ sudo su 
root@ubuntu:/home/ubuntu/kuzz/ijon# echo core >/proc/sys/kernel/core_pattern 
root@ubuntu:/home/ubuntu/kuzz/ijon# exit 
ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -M fuzzer01 -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@

Как мы могли заметить и ранее, cppcheck анализирует программы достаточно долго. Это усугубляется тем, что сгенерированные csmith тексты программ достаточно объемные, поэтому за установленную 1 секунду cppcheck может не успевать обработать входной сэмпл. Попробуем увеличить время обработки до 4 секунд и добавить знак "+", чтобы разрешить пропуск входных сэмплов по таймауту.

ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -M fuzzer01 -t 4000+ -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@

Как видим, часть тестов пропущена, но для нашей задачи это не принципиально. Теперь фаззинг запущен в одном потоке, откроем новые окна терминала и запустим в них параллельные потоки

**открываем новое окно терминала**
ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -S fuzzer02 -t 4000+ -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@ 
**открываем новое окно терминала**
ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -S fuzzer03 -t 4000+ -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@ 
**открываем новое окно терминала**
ubuntu@ubuntu:~/kuzz/ijon$ ./afl-fuzz -i /home/ubuntu/kuzz/in -o /home/ubuntu/kuzz/out -S fuzzer04 -t 4000+ -- /home/ubuntu/kuzz/cppcheck/bin/cppcheck @@

Поскольку cppcheck достаточно долго обрабатывает файлы, то количество выполнений не выглядит сильно ужасающим, хотя AFL и считает, что раз у нас меньше 100 запусков - мы slow. Посмотрим, получилось ли добиться каких-то результатов именно благодаря использованию IJON.

ubuntu@ubuntu:~/kuzz/ijon$ cd /home/ubuntu/kuzz/out/fuzzer01/ijon_max/ ubuntu@ubuntu:~/kuzz/out/fuzzer01/ijon_max$ ls

Как видим, папка ijon_max не пуста, следовательно есть результаты работы механизма аннотаций

Заключение

Выполнение задания было ограничено по времени, если бы его было больше, то можно было бы:

1. Собрать покрытие кода (например с помощью llvm-cov), которое скорее всего было бы достаточно низким за то время, которое был запущен фаззер. Поскольку генерировать требуется программы на языке C с достаточно сложным синтаксисом, то для фаззинга нужны гораздо большие мощности и время.

2. Определить другие состояния программы и установить аннотации IJON и на них тоже.

В целом использование аннотаций IJON кажется очень актуальным для фаззинга в ситуациях, когда нужно максимизировать какую-либо координату (это очень хорошо видно на примере фаззинга игр, но это скорее удобный способ демонстрации, чем реальное применение). Подробнее о возможных способах применения IJON можно прочитать в оригинальной научной публикации разработчика. Чтобы оценить, были ли аннотации полезны в данном задании требуется гораздо больше времени и мощностей для фаззинга.

Буду рад вашим комментариям и замечаниям к тому, что можно и нужно сделать лучше или по-другому. Отдельно хочется сказать большое спасибо коллективу ИСП РАН за проведение данного курса, команде Crusher и отдельно Виталию и Дмитрию за помощь и рекомендации по подготовке этого поста. Всем удачного фаззинга :)

1. Для тех, кто еще не занимался установкой СДЗ и хочет понять, насколько трудозатратно это может быть.

2. Для тех, кто уже занимается установкой СДЗ и хочет посмотреть, как это делают другие люди (лично мне этого очень часто не хватает, поэтому я и решил поделиться процессом).

3. Для тех, кто столкнулся с теми же проблемами (алгоритм решения приведен в конце поста).

На входе:

• моноблок Lenovo V30a-24IIL с ОС Windows 10 Professional 21H2 в режиме UEFI-загрузки

  

  

• СДЗ Dallas Lock M.2

  

День 1

Для установки СДЗ пришлось практически полностью разбирать моноблок, чтобы добраться до материнской платы, где в разъем M.2, в котором раньше был Wi-Fi модуль, и было установлено СДЗ. В настройках BIOS были выключены опции Secure Boot, Fast Boot и TCG security chip (пока что все по инструкции). После этого впервые получилось увидеть рабочий экран СДЗ.

Столкновение с проблемой

Единственная возникшая проблема - этот экран появлялся только при попытке зайти в BIOS, который, кстати, у Lenovo очень необычно включается нажатием F1. То есть, если не нажимать постоянно F1, то и не узнаешь, что в компьютере есть СДЗ - загрузка пролетает сразу в ОС. В принципе, свои функции по тому, чтобы не дать пользователю залезть в BIOS и изменить, например, порядок загрузки, чтобы загрузиться с диска, СДЗ выполняет и в таком режиме. Тем не менее, ожидалось, что СДЗ будет перехватывать загрузку и запрашивать логин и пароль постоянно. В процессе изучения проблемы выяснилось также, что СДЗ все-таки перехватывает загрузку и без попытки зайти в BIOS в одном случае - если предварительно выключить компьютер и сбросить питание (вытащить провод питания и понажимать несколько раз на кнопку включения).

Описание проблемы, которые мы потом использовали для техподдержки - СДЗ перехватывает загрузку ОС только в том случае, если на компьютере долгое время не было питания, то есть если вытащить и вставить обратно провод питания, то при следующем запуске СДЗ перехватит загрузку. Однако после того, как вход в СДЗ будет выполнен один раз, в дальнейшем ОС будет запускаться сразу же, как при перезагрузке, так и при выключении/включении компьютера, без отключения кабеля питания. При попытках зайти в BIOS во время перезагрузки СДЗ запускается до BIOS-а, но хотелось бы, чтобы СДЗ работало всегда одинаково и запускалось при каждом включении/выключении/перезагрузке компьютера.

Попытки самостоятельного решения

Испробованы были различные варианты настроек BIOS, в том числе - выключение secure boot (в таком случае СДЗ не работает в принципе), включение TCG security chip (ни на что не повлияло), включение fast boot (ни на что не повлияло). Тогда было принято решение менять настройки СДЗ. В параметрах загрузки СДЗ наиболее подходящим вариантом для включения показался вариант "ранняя загрузка", который, согласно документации, используется в случаях проблем с ОС, установленными в режиме UEFI-загрузки. Его включение действительно привело к тому, что СДЗ стало перехватывать загрузку! Вот только само СДЗ перестало загружаться. На экране появлялась постоянная надпись "SDZ Dallas Lock is starting.. ...". В ожидании этой загрузки мы провели около 20 минут, после чего решили, что она, видимо, так и не загрузится. Вот только убрать галочку с "ранней загрузки" теперь мы не могли.

Первое обращение в техподдержку

С проблемой "ранней загрузки" и произошло первое обращение в техподдержку. При обращении по телефону нам рассказали, что вывести СДЗ из этого режима без доступа к плате не получится, но в целом это несложно - загрузить утилиту ktservice, которая прилагается к СДЗ на диске и выключить с ее помощью так мешающую нам "раннюю загрузку". Единственный минус этого решения - нам опять пришлось разбирать моноблок, чтобы получить доступ к плате. На плате переключили два микропереключателя (на картинке из базы знаний о Dallas Lock ниже) в режим "ON", после чего поменяли в BIOS опции загрузки на загрузку с оптических дисков и заново включили моноблок.

Утилита ktservice запускается около 10 минут, после чего действительно появляется возможность исправить ошибки - убрать галочку с "ранней загрузки". После этого СДЗ снова начал работать как раньше. Однако, как мы помним, "как раньше" - не совсем то, чего мы хотели.

Второе обращение в техподдержку

Удачно перезвонив тому же человеку, что и в первый раз, мы отчитались о том, что все было сделано и описали проблему с неправильным перехватом загрузки. Предложили попробовать использовать другие функции в "параметрах загрузки" (их там всего 5). Однако остальные функции не оказали никакого влияния на работу СДЗ. К сожалению, с этим по телефону уже помочь не смогли, порекомендовали писать запрос на почту с приложением всех настроек СДЗ и BIOS. Этот момент знаменует уже около 3-4 часов работы с СДЗ, что, учитывая час на реакцию техподдержки по почте, привело к решению продолжить в другой день.

День 2

Третье обращение в техподдержку

Собственно, здесь и было сформировано указанное выше описание проблемы. В течение часа нам ответили и порекомендовали следующий алгоритм действий:

Мы снова разобрали моноблок и выполнили все по пунктам, включение параметра "ранняя загрузка", как и в прошлый раз, заставило плату зависать с надписью "SDZ Dallas Lock is starting.. ...". Опять перевели в сервисный режим, убрали галочку с "ранней загрузки" - ура, наша проблема была решена! Теперь СДЗ корректно перехватывало загрузку при перезагрузке или включении/выключении моноблока. Но это был еще не конец. На радостях мы опять собрали моноблок, после чего, уже в собранном виде, поменяли последовательность загрузки так, чтобы убрать с первого места DVD-RW привод (мы же грузились с диска, чтобы попасть в сервисный режим). После того как мы это сделали, проблема начала повторяться снова. Естественно, мы попробовали вернуть все обратно, но это не помогло.

Эксперименты

Поскольку не было понятно, что конкретно произошло с компьютером (ведь если бы это был именно порядок загрузки, все получилось бы вернуть обратно при его изменении?) пришлось возвращаться к началу и экспериментировать с различными настройками BIOS. Обращаться снова в техподдержку показалось бессмысленным, поскольку невозможно было точно сказать, что привело к появлению проблемы - то, что мы работали внутри ОС дольше, то, что мы собрали моноблок, или что-нибудь еще. В результате экспериментов было выявлено, что:

1. Похоже, порядок загрузки в этом моноблоке меняется только при сбросе питания. То есть если в BIOS поменять порядок загрузки, вытащить провод питания и пару раз нажать на кнопку включения, а потом вставить провод и включить моноблок - порядок загрузки изменится, а просто так - нет.

2. Выключение устройства "Wi-Fi & Bluetooth" в BIOS приводит к тому, что СДЗ перестает работать (что не удивительно, ведь СДЗ установлен как раз на то место, где должен быть Wi-Fi адаптер)

3. Несмотря на то, что само СДЗ в порядке загрузки не отображается, именно изменение порядка загрузки влияет на возникновение нашей проблемы Пока мы меняли различные настройки и делали приведенные выше выводы наша проблема каким-то образом решилась. Ради интереса было решено повторить все действия - снова вызвать проблему, чтобы потом выявить, что же конкретно привело к ее решению. Поэтому, наконец

Решение проблемы

Решение проблемы было найдено следующее:

• Установить во вкладке порядка загрузки BIOS загрузку через Network и через M.2 Drive (там SSD с ОС) на первые места

• Во вкладке devices в BIOS выключить Wi-Fi & Bluetooth (это как раз тот разъем, куда мы вставили плату СДЗ)

• Перезагрузить компьютер

• Во вкладке devices в BIOS включить Wi-Fi & Bluetooth

• Выключить компьютер

• Вытащить провод питания и несколько раз нажать на кнопку включения, чтобы сбросить остатки питания

• Вставить провод питания и заново включить компьютер После выполнения этой процедуры СДЗ снова начинает перехватывать загрузку и после перезагрузки и после включения/выключения.

Выводы

Таким образом, на решение данной проблемы и установку СДЗ Dallas Lock M.2 в моноблок Lenovo V30a-24IIL было потрачено 2 дня и около 8 часов времени. Что можно было бы сделать, чтобы избежать допущенных ошибок и ускорить этот процесс?

1. После любых изменений настроек BIOS, порядка загрузки и прочего не только перезагружать компьютер, но и сбрасывать питание (хотя если это и правда делать для каждого компьютера - замучаешься. Лучше просто знать, что такое может случиться и вести себя в соответствии с этим).

2. Собирать компьютер только в том случае, когда уверенность в правильной работе СДЗ стопроцентная, т.к. нам явно пришлось сделать несколько лишних разборок.

Комментарии и замечания к тому, что мы могли бы сделать лучше/по-другому, приветствуются! Отдельно хочется сказать большое спасибо всем участникам и свидетелям данного непростого процесса: Никите, Саше, Лёше, Андрею, Евгению, Константину и Алёне.

Хайлайты

• Книга года - "Герой веков" Брэндона Сандерсона (вообще вся оригинальная трилогия "рожденного туманом", но эта - последняя - особенно)

• Прочитано книг - 31

• Приложение года - Obsidian, он стал для меня и дневником, и средством для подготовки к экзаменам, и средством ведения научной работы

• Покупка года - автомобиль

• Постов в блоге - 8

• Самый популярный пост - начало серии про диплом (198 просмотров)

Что хорошего произошло?

• Окончание университета. Этот год, а именно лето, выдалось для меня самым насыщенным на важные события. Было намешано много всего, но основное, однозначно - окончание Бауманки. Отдельно для меня было интересным опытом попытаться зафиксировать мой процесс написания и защиты диплома в блоге - я написал пять частей постов про все это (начало, опять же, тут). Ну и красный диплом Бауманки это все-таки приятно.

• Поступление в аспирантуру. Получение диплома университета стало испытанием еще и потому, что я понятия не имел, что делать дальше, поэтому воспользовался появившейся возможностью попробовать поступить в аспирантуру. Экзамены прошли достаточно легко и вот, с первого сентября я теперь уже не студент, а аспирант Бауманки, а значит придется ходить на пары еще три года. Пар, правда очень мало, так что это не такая большая проблема.

• Покупка машины и путешествия на ней. Для меня, никогда раньше не выезжавшего на машине дальше, чем 33 километра от Череповца, было очень интересно путешествовать на машине. За август получилось посетить Тулу, Калужскую область и даже проехать 600 с чем-то километров от Москвы до Череповца и обратно. Культура "роадтрипов" у нас, конечно, не так развита, но мне ездить понравилось, думаю, нужно будет попробовать ездить еще подальше и еще на подольше :)

Осколок солнечных дней и путешествий, в существование которых сейчас уже как будто не верится

• Спорт. В этом году нашел в Москве скалодром и начал туда ходить. Мне очень нравилось скалолазание еще в школе, но за шесть лет университета возможности заниматься им не представлялось. Теперь, когда вещи на тренировку можно возить с собой в машине, ходить на занятия стало гораздо удобнее. Да и сам скалодром достаточно интересный.

Тут я удивленно смотрю на зацепы

• Посещение конференций. В этом году получилось посетить множество конференций: Интерполитех, SOC-форум, Standoff Talks, Открытая конференция ИСП РАН и другие. Стал больше понимать о мире вокруг информационной безопасности, что большой плюс.

А тут мы перехватили Алексея Викторовича между выступлениями

Что прошло не очень хорошо?

• Весь год в целом. Слишком уж много было негативных событий, в описание которых пускаться не хочется, тут и добавить нечего. Очень хочется, чтобы в новом году их было гораздо меньше.

• Постоянство публикаций (опять). Снова не строил никаких планов на публикации, писал только в том случае, когда чувствовал в этом необходимость.

• Медитация. После 75 дней подряд (о результатах первых 65 - здесь), после того, как из-за работы пришлось не спать одну ночь, я так и не смог вернуться к постоянной практике. Может быть, оно и к лучшему - теперь медитация это один из инструментов в моем наборе, который иногда очень хорошо помогает успокоиться или заснуть.

• Переезд блога. Еще летом я запланировал перевести блог на другой движок. Решил попробовать генератор статических сайтов Hugo и GitHub Pages, в результате получился сайт almkuznetsov.github.io, который я так и не довел до логического завершения, согласно которому он должен был заменить текущую версию сайта на Эгее. Проблемой стали изображения, нормальное отображение которых получалось сделать только в том виде, в котором ими было бы невозможно пользоваться. От самой идеи переезда я не отказался, так что буду и дальше работать в этом направлении.

Над чем я планирую работать в новом году?

• Общение. Это было направлением для развития в прошлом году, и однозначно останется в следующем, поскольку за этот год контактов было потеряно еще больше. Зато были восстановлены некоторые старые, что не может не радовать.

• Блог в целом. Этому сайту уже почти полтора года, так что какой-то опыт набран. Буду стараться чаще делиться своими мыслями и как-то изменять способ доставки контента.

• Хард-скиллы. Хочу научится большому количеству вещей в области информационной безопасности, начало было положено во второй половине года, а в новом планирую продолжать это делать и дальше.

Итоги

Я, как и в прошлом году, отвел для завершающей работы над обзором четвертое число. Но вечером третьего, видимо, отравился, поэтому все четвертое провел, не вылезая из кровати. Поэтому завершающие штрихи доделываю уже пятого, а значит, сегодня мой день рождения и пойду-ка я его отмечать (гречкой и варёной курицей, отравился же...) :) Комментарии традиционно закрыты, если что - телеграм @almkuznetsov.

1. Ваша приватность важна. "Мне нечего скрывать" это ложь, вы должны контролировать ваши данные.

2. Советы:

   • Используйте менеджеры паролей.

   • Заведите анонимный ящик электронной почты.

   • Шифруйте важные электронные письма.

   • Шифруйте важные данные.

   • Используйте Tor.

   • Купите отдельное устройство для важных финансовых операций.

   • Используйте VPN.

   • Используйте мессенджеры с функцией оконечного шифрования.

3. Хорошо, что вы не преступник. Если вы преступник — вас всё равно поймают.

Вот и всё. На протяжении 450 страниц своей книги Кевин приводит множество ссылок на конкретные случаи - когда из-за невыполнения одного из этих советов пострадала приватность людей. Иногда он немного уходит в технические детали - рекомендует конкретный мессенджер (Signal) или рассказывает, как работает VPN. Получается, что помимо основных пунктов, приведенных выше, можно варьировать две переменные:

• Рассказать, почему этот совет важен и его нужно соблюдать. Привести примеры.

• Рассказать, как технически реализовать этот совет. Сравнить существующие альтернативы, порекомендовать что-либо.

Получается, что все книги, написанные для людей, не являющихся специалистами по кибербезопасности, отличаются только разным содержанием этих двух переменных, а всё остальное - одинаковое у всех.

Проблема тут наверное не в том, что это плохо, просто очень уж одинаковые у всех получаются советы. При этом как минимум от бывшего хакера ждёшь чего-то более интересного. Если вы сталкивались с книгой подобной направленности, которая не подходит под шаблон - присылайте название, с удовольствием прочитаю и изменю шаблон.

• Диплом. Часть 1. Два года подготовки

• Диплом. Часть 2. Первая предзащита

• Диплом. Часть 3. Нормоконтроль и вторая предзащита

• Диплом. Часть 4. Оформление работы и три дня до защиты

Со дня защиты прошло уже больше месяца и наконец-то появилась возможность поделиться тем, как всё прошло.

Подготовка

Ночью в чатах появилась идея, что нужно приносить с собой распечатанные слайды и раздавать членам комиссии, чтобы им было удобнее - так называемая "раздатка". Сначала я отнесся скептически, но потом подумал, что у меня есть слайды, где текста много, а говорю я мало, и возможно было бы полезно дать людям возможность дочитать что-то. С такой мыслью практически до часу ночи 22 июня я сидел и печатал 8 экземпляров (6 членов комиссии, председатель и секретарь) своей презентации.

Защита

Утром, естественно, очень нервничал. Чтобы отвлечься, всю дорогу слушал музыку и больше всего запомнилась песня Джейдена Смита - "I'm ready" - когда я шел ко входу в университет, то шагал ровно под бит в ней. В среду 22 июня нас защищалось 16 человек. 8 до перерыва и 8 после. Я был вторым по очереди до перерыва, что было просто отлично, поскольку не могу представить, насколько тяжелее было ждать момента защиты несколько часов. А так, началось в 9:00, а в 9:15 я уже зашел в аудиторию, где проходила защита. По-моему, я был чуть ли не единственным человеком с раздаткой, что, в принципе, не имело никакого значения, кроме того, что я потратил почти две минуты на то чтобы пройти и всем её раздать. И вот, я стою перед ноутбуком, куда мы полчаса назад загрузили наши презентации, делаю глубокий вдох, выдох, и начинаю рассказывать. Очень непривычно было рассказывать в полной тишине, во время всех репетиций мы регулярно останавливались чтобы прокомментировать друг другу что-то, поэтому говорить 7 минут без обратной связи было достаточно непривычно. Я очень старался говорить медленнее, потому что на нервах всегда начинаю говорить быстрее, но, по-моему, даже моё "медленнее" было всё равно слишком быстро. После окончания моего доклада спросили три вопроса:

• Пробовал ли я уже реализовать работу базы знаний с информацией ограниченного доступа, или моё предположение о том, что это можно сделать - теоретическое? (Оно теоретическое, но я приводил нормативные документы, которые допускали возможность такого использования, поэтому практика не должна сильно отличаться)

• Чем меня не устроила Википедия? (Имелся ввиду скорее всего движок Википедии - MediaWiki, т.к. саму Википедию использовать не получится из-за критерия значимости, которого базе знаний узкого круга людей может не хватить. На это я ответил, что MediaWiki невозможно использовать одновременно и для работы с открытой информацией, и с информацией ограниченного доступа, поскольку там эту информацию невозможно будет отделить одну от другой)

• Существуют ли три компонента системы управления знаниями - технические, организационные и человеческие, в отдельности друг от друга, или они взаимосвязаны? (Конечно, они связаны, и присутствует синергетический эффект)

После того как вопросов не остается, слово предоставляется научному руководителю, который отметил важность работы для кафедры и в целом похвалил подход к работе. Потом зачитали рецензию на работу (которую всё же немного изменили от того, что я написал в 4 части, добавив фразу про рекомендуемую оценку) и сказали заветное "ваша защита окончена, ожидайте оценки в коридоре". Я ожидал, что после этого адреналин спадет и я как-то успокоюсь, но этого не произошло - всё время ожидания я просто нервно сидел и пил сок, периодически повторяя всем, кто еще не прошел защиту, состав комиссии и вопросы, которые мне задавали. Оценки выставляли перед перерывом - то есть первые 8 человек узнали свои оценки раньше, чем остальные 8 даже успели защититься. Нас вызвали в тот же кабинет, выстроили, и зачитали, что у двух людей 4, а у остальных 5, и что теперь мы свободны. Сразу я вообще ничего не понял, просто вышел, пошел в кабинет, где был накрыт стол, и сидел несколько минут просто пил сок. Потом мы начали ходить и собирать подписи членов комиссии и всех, кого видели на кафедре на свои каски. Отпустило далеко не сразу. Узнали оценки мы где-то в 11:30, а вот около 14 часов, когда уже защитились вообще все и мы уже получили много подписей на каски, навалилась усталость, которая так и не отпустила до самого вечера. А осознание того, что я закончил университет, вообще не пришло до сих пор, даже когда забирал диплом. Наверное, это потому, что в момент, когда забираешь диплом, оказывается, что ты больше ничего не должен университету, а университет - тебе, но я всё равно продолжал ходить туда на работу еще месяц до отпуска в августе - поэтому такого не почувствовал.

Завершение

Не знаю что будет дальше, я хотел написать еще одну часть про выпускные мероприятия, поскольку в университете они были организованы просто ужасно, но получилось как-то слишком негативно и публиковать такое пока не хочется. Так что вполне возможно, что этот пост завершает серию, а значит нужна фотография, как и обещал в первой части. Правда вот моих фото с дипломом в руках нет - когда все фотографировались нам их еще не выдали. А диплом - вот он :)

• Диплом. Часть 1. Два года подготовки

• Диплом. Часть 2. Первая предзащита

• Диплом. Часть 3. Нормоконтроль и вторая предзащита

Единственное фото распечатанного и сшитого диплома из "Копирки", где я даже не уверен какой из двух мой

Прошивание (сшивание, сшитие?)

Чтобы успеть сдать распечатанный диплом до 27 мая (пятницы) пришлось печатать его в среду до двух часов ночи, потому что я печатал по 10 страниц и вычитывал их, постоянно находя какие-то опечатки и неточности, которые на бумаге видно гораздо лучше, чем с экрана. Затем пришло время отдать его в копировальный центр - за примерно тысячу рублей и пятнадцать минут там сделали все необходимые преобразования. Сшивать работу тоже нужно специфически - на обложке обязательно должно быть "Выпускная квалификационная работа", хотя предлагают также и "Дипломную работу", которая никому не подходит. Но ведь зачем-то же делают такие обложки? Зато вот сами слова, до тех пора пока это "Выпускная квалификационная работа", могут быть хоть все заглавными, хоть все прописными, хоть с завитушками и подчеркиваниями - у каждого копировального центра свои особенности. Главное, чтобы первым в сшитой работе шел файлик - в него вставляется внешняя рецензия и документ по результатам нормоконтроля, название которого я не запомнил. А в конце работы посередине форзаца должен быть приклеен конверт для диска с электронной версией работы. Отдельного внимания заслуживает цвет. Традиционно можно сделать обложку синей или красной, хотя, нам сказали, что можно найти и белую, и зелёную, а цвет никого не волнует. До этого я не понимал, как выбрать обложку для своей работы, если ты её ещё не защитил. Ведь я могу защитить на 3 или 4, тогда она должна быть синей, а могу и на 5, тогда она должна быть красной (при соблюдении условий на диплом с отличием). Оказалось, что никого это не волнует, тогда я со спокойной душой выбрал красную обложку и буду надеяться на лучшее.

Отзыв и рецензия

К четвергу работа была готова и сшита, после чего оставалось вписать в неё отзыв руководителя, который, естественно, вписать нужно самому, а руководитель только распишется - такая уж, как писал Водолазкин, специфика жанра. С моим проблемным почерком я всё-таки попросил коллегу с каллиграфическим почерком вписать туда этот отзыв за меня - какой же красивый он получился! С такой же спецификой после сдачи диплома на хранение мной был написан текст внешней рецензии с указанием на собственные (естественно, негрубые) ошибки и неточности, а также с рекомендацией присвоить мне квалификацию. В каком виде этот отзыв был подписан я, правда, пока не знаю, но судя по тому, что он был принят и вложен в работу, там ничего экстраординарного не встретилось.

Подготовка к защите

После того как в четверг 26 мая я сдал работу, оказалось, что 27 мая было, как обычно, не самым серьезным дедлайном, а растягивать сдачу можно было ещё пару недель точно. А вот мне, сдавшему все в первый обозначенный срок, оказалось нечего делать! Оказывается, последний месяц перед защитой отводился на то, чтобы все студенты "догнали" сроки и точно в них уложились. В результате стало понятно, что никаких предзащит уже больше не будет, а единственное, чем можно заняться - написать текст к выступлению и согласовать его с руководителем. Осознав, что срока ещё практически месяц, я отложил все дела на попозже и заболел. Выздоровел окончательно только к 11 июня и за три выходных таки написал текст к выступлению, на что у меня ушло минут 20. Провели с научруком последнее предварительное выступление, чтобы скорректировать текст и презентацию. Оно прошло в четверг 16 июня, серьезных замечаний не было, только решили добавить больше скриншотов на слайды, чтобы было видно, что из себя представляет работа с программой. Интересно, что первые защиты у нас на кафедре начались ещё 14 числа, так что к 16 уже даже несколько моих одногруппников защитились и ходили с традиционными белыми касками, пока я только репетировал выступление. Оказалось, что на касках могут расписываться не только преподаватели, но и любой человек, которого попросят. Я к этому был не готов, поэтому не мог практически ничего придумать, и только к третьей каске определился с тем, что можно написать. Но про каски я, пожалуй, подробнее напишу уже после своей защиты. А сейчас до нее ещё осталось три дня - она в среду 22 июня, так что пойду поправлю презентацию и начну немного нервничать!

Следующая часть

• Диплом. Часть 1. Два года подготовки

• Диплом. Часть 2. Первая предзащита

От самой работы - к описанию и оформлению

Если к первой предзащите у меня еще что-то менялось в самой работе, то к нормоконтролю стало очевидно, что от доработки нужно отказаться и заняться оформлением того, что есть сейчас. Зато в ходе написания теоретической части работы я гораздо сильнее углубился в научные работы по управлению знаниями - монографии и статьи Карла Виига, Бориса Захаровича Мильнера и многих других авторов, в результате чего список источников сейчас состоит из 86 элементов (работа с которыми достаточно проста - спасибо Zotero). Планирую сделать выжимку из всего что узнал и опубликовать ее здесь, но, стараясь все же наполовину следовать совету "don't blog before a deadline", сегодня поделюсь только кратким описанием произошедшего, поскольку параллельно стараюсь дописать еще одну часть работы :)

Нормоконтроли

Ожиданий и страхов было гораздо больше чем самого нормоконтроля. Нормоконтролей с последнего поста уже прошло целых два - предварительный и настоящий. Оба они стали причинами моей самой продуктивной работы над дипломом - именно за выходные перед предварительным нормоконтролем я написал основную часть работы, а за выходные перед настоящим нормоконтролем до конца оформил все термины и определения, источники и прочее. По сути, страх того, что на нормоконтроль нужно принести готовый диплом стал для меня главной мотивацией что-либо делать, хотя я бы никогда раньше не подумал что дойдет до такого. Ответственность за проекты по работе захватила меня больше, чем ответственность за работу над дипломом, в результате чего работе над ним я уделял только немного времени по вечерам и на выходных. Результат - за две пары выходных дней моя работа превратилась из разрозненных заметок и текстов прошлых работ в осмысленный и связный текст, оформленный по всем требованиям которые удалось найти, хотя они и очень часто противоречили друг другу. В результате во время настоящего (второго) нормоконтроля я получил еще несколько замечаний по доработке и оформлению и услышал заветное "можно печатать", так что теперь к 27 мая у меня уже должна быть распечатанная и сшитая дипломная работа!

Вторая предзащита

Через 4 дня после этого состоялась вторая предзащита. К ней уже нужна была настоящая презентация с которой я буду защищать диплом. Презентацию я подготовил как раз за оставшиеся после нормоконтроля дни - благо требования к ее оформлению заставляют фокусироваться на содержании, а не на форме, поэтому не было соблазна прикрутить красивые анимации или разноцветный фон. В очереди на предзащиту в этот день я был вторым, в результате чего выступать пришлось перед совсем небольшой комиссией - в начале было два преподавателя, а во время моего выступления пришел третий. Основные замечания включали слишком маленький (30-ый!) шрифт и отдельный слайд по определению направлений дальнейшей деятельности - его рекомендовали вообще убрать, а про направления сказать отдельно. Плюс, поскольку выступающего передо мной сильно торопили (ну и из-за волнения, конечно), я говорил слишком быстро, над чем тоже нужно будет поработать к самой защите диплома.

Что дальше?

К 27 мая должен быть готов распечатанный и сшитый диплом - постараюсь выложить фото! А вот дальше пока (как и раньше) ничего не понятно, примерные даты защиты - 20-21 июня, а вот чем заниматься месяц до них - большой вопрос. Наверное, репетировать выступление к защите? Посмотрим.

Следующая часть

1. Оказалось, что базы знаний по информационной безопасности - совсем не новая идея. Еще в 2015 году существовала база знаний Клуба Информационной Безопасности РГСУ, которая, однако сейчас не доступна по старым ссылкам. Я связался с одним из создателей базы знаний - и удивился, к насколько похожим идеям мы пришли, только у него эти идеи гораздо лучше продуманы и опробованы на опыте.

2. Пропала возможность платить за Obsidian Publish. Пришлось искать новые варианты публикации и рассматривать возможность вообще не публиковать базу, а держать её только на гитхабе. На данный момент удалось найти 3 варианта публикации базы из Obsidian:

   • Jekyll

   • Obsidian Digital Garden

   • Obsidian Zola

3. Параллельно рассматриваю возможность в целом отказа от Obsidian и перехода на open-source решения наподобие Zettlr.

4. Я начал связываться с выпускниками кафедры прошлых лет, чтобы найти интересующие меня с точки зрения наполнения базы материалы, которые были потеряны, когда они закончили университет.

5. Я пытаюсь всё больше узнать о чужом опыте и экспериментах по созданию коллективных баз знаний. На недавно созданном форуме сообщества по управлению знаниями я поднял такую тему для обсуждения - посмотреть можно тут.

Сама предзащита прошла спокойно - я показал слайд с целями и задачами дипломной работы, где около каждой из них стояла галочка - зеленая, желтая или красная в зависимости от степени проработки задачи. В вопросах мне подсказали о необходимости большей проработки именно "научной" стороны исследования - критериях эффективности работы базы знаний и вообще обоснованности выбора именно этой структуры, а не любой другой. Дальнейшие дедлайны пока неизвестны, так что продолжаем работу!
Следующая часть

Amazing Marvin

Годовая подписка заканчивалась 27 марта. За три дня до отключения транзакций Visa и Mastercard я написал в службу техподдержки и попросил списать с меня деньги за годовую подписку раньше, пока есть возможность. Они согласились и организовали платеж, но он не прошел, т.к. его не приняли в платежной системе Stripe, которая, видимо, ввела ограничения раньше. Тем не менее, мне разрешили пользоваться подпиской, пока я не смогу осуществить перевод, что просто супермило со стороны разработчиков! В Марвине я держу практически все свои дела и планы, вплоть до уведомлений о записи к врачам через год или больше, поэтому будет очень неприятно потерять к нему доступ.

Evernote, Instapaper, Headspace

Подписки на все эти сервисы у меня были оформлены через iCloud. В течение тех же трех дней до ухода Visa и Mastercard я перешел во всех трех приложениях на годовые планы с ежемесячных и посчитал сколько будет стоить общий платеж на все годовые подписки - пришлось пополнить счет Apple ID на 6 с половиной тысяч. Зато практически все оплаты уже прошли и в течение года остается возможность ими пользоваться. Правда, пришлось немного побеспокоиться об облачности Evernote и выгрузить все данные на компьютер - нормальный экспорт у меня получился только с помощью использования Evernote Legacy App, если кому-то будет интересно, пишите, расскажу поподробнее. Instapaper и Headspace не хранят значительной для меня информации, поэтому из них я ничего не выгружал.

MindNode

Интересный сервис, от подписки на который пришлось отказаться, вместо него для создания майндкарт продолжаю пользоваться бесплатной версией XMind

Spotify

Многие успели купить подарочные карты с подпиской на год, я не был в их числе. Бесплатная версия Spotify к сожалению имеет слишком много ограничений, а потому пришлось вернуться к Яндекс.Музыке и перенести медиатеку с помощью удобного встроенного импорта.

Notion

У меня есть подписка Personal Pro для студентов образовательных учреждений, которая продолжает действовать. При этом всё-таки несколько опасаясь полной "облачности" Notion, я экспортировал все свои страницы и стараюсь начать вести всё, что вёл там, в Obsidian.

Obsidian, MEGA, Google.Календарь

Во всех трех приложениях я пользуюсь бесплатными версиями, доступ к ним не ограничен, поэтому моя работа с ними не изменилась.

Заключение

Вот и все приложения, которыми я пользуюсь чаще всего и которые претерпели изменения. Расскажите о ваших в комментариях!

4 курс

На нашей кафедре существуют научно-исследовательские работы студента - каждый семестр, начиная с восьмого (сейчас идёт последний - двенадцатый) необходимо проводить какое-либо научное исследование, которое затем надо будет защитить - своеобразная подготовка к диплому, во время которой, по идее, можно как раз разработать большую его часть. Именно поэтому первый раз о теме диплома у нас обычно задумываются на 4 курсе, то есть для меня - два с половиной года назад. Однако к началу 4 курса, когда мне впервые пришлось думать о будущем дипломе и об областях моего интереса, чтобы выбрать руководителя и тему исследований, сначала я свернул "не туда" - моей первой темой научного исследования была попытка обмануть один из самых популярных механизмов распознавания лиц с помощью анализа его реакции на различные маски, грим, одежду, макияж и аксессуары. Биометрия тогда показалась мне перспективной областью в которой мне хотелось разобраться. Тема была интересной, но вот навыков по работе с алгоритмами распознавания мне критически не хватало - первые 9 месяцев "научных исследований" ушли у меня на то, чтобы подобрать материал и просто запустить программу - там требовалась установка нескольких пакетов для работы подобных алгоритмов, которые никак не могли обосноваться на моём компьютере. В итоге во время курса лабораторных работ по машинному обучению я узнал про существование Google Colab и смог запустить программу внутри него, что было для меня большим счастьем. На удивление оказалось, что просто запустить программу недостаточно для того, чтобы найти в ней уязвимые места, которые позволят её обмануть (кто бы мог подумать!). Тогда я начал пробовать различные способы заставить алгоритм ошибиться при распознавании лица - то есть я должен был загрузить картинку с фотографией лица, а он не должен был его на ней обнаружить. В итоге в какой-то момент я пришел к загрузке вот этой фотографии, найденной по запросу "мужчина в белой рубашке":

В тот момент я пытался просто закрыть какую-то часть лица красным квадратом и посмотреть на реакцию алгоритма. Начал я с совсем маленьких квадратов 20х20 пикселей, постепенно увеличивая размер, хотя стоило делать наоборот - начать с самых больших, так я бы сэкономил время, потому что алгоритм распознавал на этой фотографии лицо даже вот в такой ситуации:

Пожалуй, это меня и подкосило. Я понял, что алгоритм явно умнее меня, и ни о каком использовании одежды для обмана распознавания лица речи не идет - он распознает лицо даже там, где его большей части в принципе нет! Не знаю, почему это произошло, может быть эта фотография была в базе, на которой обучался алгоритм, может быть при распознавании он учитывал всю голову, а не только лицо, может быть я в принципе не понимал как всё это работает, но к тому времени я уже охладел к этой теме и мотивации продолжать исследования не было, потому что я уже увлекся базами знаний. Я очень долго боялся признаться научному руководителю что у меня практически ничего не получается и что я больше не хочу этим заниматься, однако он отнесся с большим спокойствием и пониманием и сказал, что ничего страшного в этом нет.

5-6 курс

Два последующих семестра были посвящены оформлению идеи формирования базы знаний. Я увидел проблему в том, что многие научные исследования, проводимые студентами, никак не сохранялись на кафедре после их ухода - по сути нам приходилось заново изучать все с нуля, проводя измерения и исследования, которые точно были проведены до нас. Базы знаний и управление знаниями в 2015 году получили серию ГОСТов, но несмотря на это тема не сильно популярная, хотя по-моему очень интересная и перспективная. Как я писал в посте "Как связанные заметки могут изменить мир", мне кажется что очень интересным было бы использовать современный подход к персональному управлению знаниями применительно к управлению знаниями корпоративными. В принципе, этот пост - как раз и есть часть моих идей, которые я описывал в ходе своих работ по управлению знаниями. Я в это время как раз изучал работу со связанными заметками, Notion и Obsidian и подумал, что с помощью таких инструментов можно было бы создать как минимум базу результатов измерений, а как максимум - базу актуальных исследований, в которой видны результаты проведенных исследований и пробелы, которые можно заполнить с помощью будущих работ, вместо того чтобы повторять уже пройденное. Для решения что и как делать я построил майндкарту, кусок которой можно посмотреть ниже:

В результате, как можно заметить по майндкарте, я пришел к тому, чтобы использовать git репозиторий. Параллельно с этим я выбрал Obsidian как программу для обработки файлов, так как мне нравились графы и простота создания прямых и обратных ссылок. Я понемногу начал собирать информацию в демонстрационную базу знаний, чтобы показать, как в результате может выглядеть работающая база. Тогда я еще никаким образом не использовал git, но понимал, что придётся. Ближе к началу этого года я добавил еще немного информации в демонстрационную базу, вот например как выглядит попытка увязать множество существующих определений слова "Информация":

А вот так выглядит общий граф демонстрационной базы:

Для того чтобы обеспечить доступ к этой базе онлайн я использовал инструмент от разработчиков Obsidian - Obsidian Publish. Это позволило одновременно продемонстрировать весь функционал работы Obsidian и не требовать установки для этого какого-либо дополнительного ПО. Базу я выложил на домене Obsidian Publish (тут) , хотя после последней презентации не стал продлять публикацию - стоимость Obsidian Publish 10 долларов в месяц, а база всё равно еще находится в разработке, так что этот сайт вполне может быть недоступен. Тем не менее, я считаю, что информация, которая использована в базе знаний должна быть доступна, и иметь возможность редактирования в свободном доступе, поэтому она была выгружена на GitHub (тут). Получается на данный момент процесс редактирования выглядит так:

• Кто угодно может пользоваться сайтом на Obsidian Publish и получить информацию из базы

• Кто угодно может скачать все файлы базы для работы с GitHub, а затем внести изменения и предложить их для добавления в базу

• После принятия изменений в репозиторий данные выгружаются через Obsidian Publish на сайт - информация добавлена

Итог

Я написал этот пост и вообще начал серию потому что мне самому, будучи на 4 курсе, хотелось бы прочитать что-то подобное. Хотелось бы узнать насколько важно определиться с конкретной темой и хватит ли мне времени на продумывание чего-то необычного. Если это ваш случай, то, как видите, я менял за время работы не только темы, но и полностью области работы, а дорабатывать то, что выбрал для диплома, продолжаю до сих пор, так что ничего страшного в этом нет!

Что дальше

Очевидно, что дальше можно и нужно работать над наполнением базы, чтобы она лучше демонстрировала все свои возможности и преимущества, а также чтобы выявить недостатки и неточности в её организации, которые вскроются только спустя какое-то количество записей. Еще можно продолжить думать над другими вариантами представления базы и даже над другими программами - например, можно подружить базу с open-source обработчиком Markdown-файлов Zettlr. Тем не менее конкретное направление я и сам пока не определил, так что заранее сказать не могу!

Вот пожалуй и всё сжатое описание работы, предшествовавшей моему диплому. Остается еще около 4 месяцев, посмотрим, что из этого выйдет!

Следующая часть

Периодически я попадал в ситуацию, когда не мог найти нужную фотографию даже когда знал, что она есть. Из-за отсутствия организации мои фотографии - это просто лента из приблизительно 2 тысяч снимков, среди которых есть как уже давно неактуальные скриншоты, так и важные для меня изображения, которые я хотел бы сохранить. С каждой сменой телефона я пытался решить эту проблему тем, что начинал заново - не переносил предыдущие фотографии. Тем не менее мой подход особо не менялся и через примерно полгода ситуация повторялась - снова бесконечная несвязанная лента.

Конечно я догадывался, что другие люди тоже сталкиваются с такой проблемой, но открытием для меня стало, что есть люди, профессионально помогающие другим организовать их фотографии! Называют они себя photo organizers и узнал я об этом из подкаста «The Productivity Show» эпизод 371. Гость подкаста - Изабель Дерво (Isabelle Dervaux), её сайт здесь. Изабель занимается тем, что помогает людям решать проблемы организации фотографий, но её цель - не организация ради организации. Она считает, что фотографии должны приносить радость и поэтому помогает людям организовать проекты - это могут быть поздравительные видео к дням рождения, годовщинам свадеб или просто воспоминания о прошлом, связанные общей темой.

В интервью The New Yorker Изабель рассказала, что делит фотографии на три группы:

1. Семья, друзья и воспоминания
2. Места и вещи
3. Практическая информация (такая как скриншоты номеров заказов или фотографии номеров телефонов)

Для того, чтобы отделить третью группу от остальных Изабель часто пользуется запросом «документ» в Apple Photos, в результате чего сразу видит все потенциально ненужные фотографии. Конечной целью организации фотографий Изабель считает уменьшение коллекции до не более чем 1200 фотографий в год (по словам Изабель, семья из 4 человек генерирует около 5000 снимков в год). Из них несколько сотен составят цифровой альбом этого года, и, наконец, 12-15 лучших фотографий будут повешены на стену или превращены в поздравительные открытки.

Изабель охотно делится хитростями, которые она использует в своей работе, но сама система организации, которую она использует, для меня осталась непонятна, хотя я прочитал несколько интервью и прослушал подкаст. Вполне разумно, учитывая что консультацию с помощью в организации фотографий от Изабель стоит 125$ в час! В попытках организовать свои фотографии я пришел к следующей системе, которую использую сейчас:

1. Каждому году соответствует папка альбомов - «2020», «2021», «2022».
2. В папке создаются альбомы, связанные с какими-либо событиями в этом году, куда помещаются все снимки - например «Новый год 2022», «9 мая 2021».
3. Снимки, не связанные с конкретными событиями, помещаются в другие папки. Например, случайные фотографии кошек в папку «Котики», сохраненные мемы в папку «Мемы».
4. Во время еженедельного обзора фотографии, сгенерированные за неделю, просматриваются и распределяются в соответствии с шагами выше.

Такая система позволяет мне не утонуть в бесконечной ленте фотографий, а составлять из них осмысленные альбомы, тем не менее, я никогда не пользовался ими для создания каких-то проектов, а это может быть интересным! Используете ли вы какую-либо систему для организации фотографий, или, как и я, периодически тонете в бесконечной ленте из снимков? Расскажите в комментариях :)