Задай вопрос Алексею Тодирашу!

[Алексей Тодираш]

2 часа назад, Mrak сказал:

Речь о механизме, когда после нескольких ошибочных вариантов пароля (например, трёх или пяти) включается увеличивающийся таймер на каждую новую попытку:

подбор пароля редко происходит через интерфейс сервиса, чаще всего это делается на более низком уровне, где разработчику отдельного сервиса слишком дорого или вообще невозможно добавить такие проверки. Почему такие проверки не реализованы на низком уровне мне сказать сложно.

[Алексей Тодираш]

54 минуты назад, Ta2i4 сказал:

А как же старички? Алонсо и Хэмилтон? Понятно, что они звезд с неба в последнее время не хватали... Но "Федор Иваныч" Алонсо! А как Хэм выступил в финальной гонке сезона?!

Кстати, может быть каких-то российских видеоблогеров/обзорщиков по F1 смотрите/читаете?

И к Алонсу и к Хэму у меня большое уважение, но, я думаю, что их время уже прошло. Все-таки в спорте, где важны сотые, а то и тысячные им будет сложно. Пример с последней гонке - пример опыта, но, смотря на весь сезон целиком, это скорее исключение. Кстати, поэтому, я скептический оцениваю переход Хэма в Феррари, лучше бы Сайнса оставили.

 

55 минут назад, Ta2i4 сказал:

Возможно, это интересно. По крайней мере, близкая мне тема (тоже недавно переехал, и делал ремонт, но в денежном выражении на 99% самостоятельно, хоть я и "стучатель по клавиатуре" по призванию). Ремонт делали с "аутсорсом" или "своими силами"?

Аутсорс. У нас квартира с черновой отделкой - делать это самому было слишком долго и я не настолько в себе уверен, чтобы такие работы самому делать.

 

58 минут назад, Ta2i4 сказал:

Хобби - это картинг? Дорого ли обходится? На что нужно обратить внимание новичкам?

Не дешево - в зависимости от мощности карта от 3к до 4к за занятие. Я ходил в школу на открытом картодроме (под Зеленоградом) и там оплата за занятие, в который входит 3 заезда в формате: тренировка. квала, гонка. Но открытый картодром это совсем иные впечатления по сравнению с крытым, тем более он всепогодный и заезды зимой, когда выпал снег, - это отдельный уровень ощущений.

Плюс картинга, что для новичков очень низкий порог входа (кроме стоимости самих заездов) а дальше все упирается в опыт - больше заездов -> быстрее едешь -> ярче впечатления. 

А вот если затягивает, это уже становится недешевой историей: шлем, перчатки, костюм, защита ребер, обувь, но и без этого можно ехать достаточно быстро. Я себе купил только перчатки пока.

 

[SevereK]

Здравствуйте, 

1. Можете пролить свет на то как могло стать реальностью CVE-2020-27020? Как менеджер паролей от лидирующей кибербез компании в СНГ мог 11 лет генерировать одинаковые пароли? Существование этого бага в 1, максимум - 2, версиях еще как-то можно объяснить. Но как можно объяснить существование этой проблемы на протяжении 11 лет? Отсутствие тестирования - это вынужденная мера? Если вы разработали алгоритм который генерирует пароли, то неужели за 11 лет его тестирование не проводилось НИ РАЗУ? Неужели никто не додумался запустить на двух разных ПК и сгенерировать используемым алгоритмом 100-200 паролей и с удивлением обнаружить что пароли будут ОДИНАКОВЫМИ? Даже на одном ПК, в пределах одной секунды пароли были бы одинаковыми. И даже в оконцовке проблему обнаружили не ЛК, а сторонние люди.

2. Ориентируетесь ли вы при разработке на нормальные и качественные продукты? На такие как, например, KeePass. Учитывая что у него открытый исходный код, перенимаете ли вы оттуда какие-нибудь практики? 

3. Верите ли вы в то что компании, разрабатывающие продукты с закрытым исходным кодом а-ля KPM, находящиеся под юрисдикцией одной из стран мира (вовсе не важно какой - РФ, США или любая другая), при официальном обращении от этой страны в стиле "мы арестовали злоумышленника, в хранилище его паролей есть улики, пароля у нас нет", может ответить в стиле "да вы че, посмотрите какие бездари у нас пишут генератор паролей, а тестировщиков у нас вообще нет - что любоптные юзеры найдут, то и фиксим, про какие бэкдоры вы говорите, мы даже не знаем что это такое!"?

4. Пользуетесь ли вы сами KPM-ом для хранения чего-либо более существенного чем кулинарные рецепты?

Изменено Воскресенье в 22:18 пользователем SevereK

[jobe]

Здравствуйте, Алексей

1. Какой для вас идеальный набор софта для корпоративного клиента?

2. Идеален ли будет такой набор: Kaspersky Thin Client на KasperskyOS, с установленным Kaspersky Security для бизнеса, Kaspersky Password Manager, , выходящий в интернет через Kaspersky NGFW

По-моему не хватает Kaspersky Browser и Kaspersky Mail

3. В местах, в которых вы бывали в России, выбивается Нижнекамск. Каким образом вы там оказались и что там интересного?

 

4. Каким будет корпоратив в этом году? (это вопрос по результатам викторины)

5. Где и как будете отмечать Новый год?

[Алексей Тодираш]

Добрый день, 

12 часов назад, SevereK сказал:

1. Можете пролить свет на то как могло стать реальностью CVE-2020-27020? Как менеджер паролей от лидирующей кибербез компании в СНГ мог 11 лет генерировать одинаковые пароли? Существование этого бага в 1, максимум - 2, версиях еще как-то можно объяснить. Но как можно объяснить существование этой проблемы на протяжении 11 лет? Отсутствие тестирования - это вынужденная мера? Если вы разработали алгоритм который генерирует пароли, то неужели за 11 лет его тестирование не проводилось НИ РАЗУ? Неужели никто не додумался запустить на двух разных ПК и сгенерировать используемым алгоритмом 100-200 паролей и с удивлением обнаружить что пароли будут ОДИНАКОВЫМИ? Даже на одном ПК, в пределах одной секунды пароли были бы одинаковыми. И даже в оконцовке проблему обнаружили не ЛК, а сторонние люди.

Продукт разрабатывается людьми и есть человеческий факторт. Мы постоянно стремимся снизить его влияние. В результате данного инцидента внесли изменения в процессы, чтобы такое больше не повторялось.  Почему нашли сторонние разработчики, а не мы? Для этого у нас и существует программа Bugbounty, которая поощряет поиск уязвимостей в продукте сторонними исследователями, за которые мы платим в случае обнаружения.

 

12 часов назад, SevereK сказал:

2. Ориентируетесь ли вы при разработке на нормальные и качественные продукты? На такие как, например, KeePass. Учитывая что у него открытый исходный код, перенимаете ли вы оттуда какие-нибудь практики? 

Я рад возможности пообщаться с нашим форумом, но все-таки предпочел бы менее конфликтный тон, чем "нормальные и качественные продукты".

Относительно конкурентов, безусловно мы следим, за тем что они делают и в каком направление развиваются и перенимаем решения, которые вписываются в стратегию развития продукта.

 

12 часов назад, SevereK сказал:

"да вы че, посмотрите какие бездари у нас пишут генератор паролей, а тестировщиков у нас вообще нет

Давайте так, я на этот ваш комментарий отвечу, но, если вы продолжите в таком духе, интереса с вами вести дискуссию у меня не будет

 

12 часов назад, SevereK сказал:

Верите ли вы в то что компании, разрабатывающие продукты с закрытым исходным кодом а-ля KPM, находящиеся под юрисдикцией одной из стран мира (вовсе не важно какой - РФ, США или любая другая),

Все компании находятся под чьей-то юрисдикцией и открытый код не является панацеей и гарантией. При этом имея закрытый код у нас есть и программы Bugbounty и центры прозрачности, чтобы не было сомнений в нашей добросовестности. Также, учитывая какое внимание приковано к ЛК, если бы в ней все-таки были сомнения - это стало бы публичным.

 

13 часов назад, SevereK сказал:

4. Пользуетесь ли вы сами KPM-ом для хранения чего-либо более существенного чем кулинарные рецепты?

Конечно и пользуюсь всем доступным функционалом: У меня хранится больше 360 записей включая банковские карты, ключи второго фактора , персональные документы и заметки с чувствительной информацией, так что я более чем заинтересован в его безопасности не только как сотрудник ЛК, но и как активный пользователь.

[Алексей Тодираш]

Добрый день. 

 

8 часов назад, jobe сказал:

1. Какой для вас идеальный набор софта для корпоративного клиента?

8 часов назад, jobe сказал:

2. Идеален ли будет такой набор: Kaspersky Thin Client на KasperskyOS, с установленным Kaspersky Security для бизнеса, Kaspersky Password Manager, , выходящий в интернет через Kaspersky NGFW

По-моему не хватает Kaspersky Browser и Kaspersky Mai

Вот тут мне будет сложно сказать, так как занимаюсь и погружен в продукты для конечных пользователей. Поэтому на продукты для бизнеса я смотрю с позиции конечного пользователя, а с такой позиции для меня главное , чтобы я  мне безопасники как можно меньше мешали. В остальном полагаюсь на коллег, которые обеспечивают безопасность рабочего места.

Насчет браузера, мое личное мнение, что отдельный продукт ЛК не нужен. У нас есть расширение с проверкой ссылок на фишинги и режим безопасной работы для браузера. Отдельный браузер актуальнее для компании, которые ориентированы на рекламу или которые строят сервисные экосистемы. 

Аналогично с почтовым клиентом, тем более у нас есть продукт для сегмента Б2Б, который устанавливается на почтовые гейты для фильтрации входящих писем.

 

8 часов назад, jobe сказал:

3. В местах, в которых вы бывали в России, выбивается Нижнекамск. Каким образом вы там оказались и что там интересного?

Это была командировка на предыдущем месте работы. Нижнекамск впечатлили промышленными предприятиями - огромные заводы.

 

8 часов назад, jobe сказал:

4. Каким будет корпоратив в этом году? (это вопрос по результатам викторины)

Зимний у нас проходит довольно камерно: Евгений Валентинович поздравляет сотрудников в офисе, а вечером концерт, на котором выступают группы состоящие из сотрудников ЛК

 

8 часов назад, jobe сказал:

5. Где и как будете отмечать Новый год?

Дома с семьей и в целом праздники планирую провести в Москве, нее то чтобы прям весело, но есть обстоятельства непреодолимой силы, которые не позволяют далеко уехать.

[SevereK]

6 часов назад, Алексей Тодираш сказал:

Продукт разрабатывается людьми и есть человеческий факторт. Мы постоянно стремимся снизить его влияние.

Спасибо за ответ, но это слишком обтекаемый ответ... Вы можете сказать как такое вообще могло произойти?

 

Кто-то разрабатывает генератор паролей, он добавляется в приложение. И за 11 лет никому в голову не пришло проверить не генерирует ли он одинаковые пароли? Дело в том что смотря на другой продукт - Kaspersky Security, порой (и в последнее время - все чаще и чаще) складывается впечатление что весь фокус сосредоточен на том что видно пользователю - напхать кучу уведомлений в стиле "вы защищены", "ввод с клавиатуры защищен", "вебкамера защищена" (даже если она отключена от ПК), и околонулевое количество усилий на абсолютно все, что находится дальше кнопки "Настройки". Не в первый раз складывается впечатление что порой версии продуктов, выкатываемых в релиз, вообще не проходили никакого тестирования. Существование незамеченной проблемы на протяжении 11 лет лишь подтверждает это. Можно ли константировать, что

1. Ревью технических решений не производится вообще.

2. В компании отсутсвуют тестировщики как класс и фиксисятся баги найденные добровольцами-бетатестерами (и то не все, а те которые "видно").

3. Основной фокус - маркетинговая составляющая. Не важно насколько хорошее решение - главное почаще говорить это пользователю и выпускать статьи про то как плох KeePass по причине того что под него написали троян, который вытягивает пароли из открытого хранилища? И главное - написать статью в таком стиле чтобы у читающего четко сложилось впечателние что KeePass - это плохо, а KPM - это хорошо. 

?

 

[Алексей Тодираш]

18 часов назад, SevereK сказал:

Кто-то разрабатывает генератор паролей, он добавляется в приложение. И за 11 лет никому в голову не пришло проверить не генерирует ли он одинаковые пароли?

К вопросу про 11 лет и генератор пароля в КПМ, мне добавить нечего. Глубоко лезть в детали "внутренней кухни" я не вижу смысла. Были ошибки, связанные с внутренними процессами, которые данные инцидент помог выявить. "По шапке" раздали и процессе исправили. Как именно у нас организованны сейчас процессы и какие "предохранители" стоят, я не думаю, что это публичный вопрос.

18 часов назад, SevereK сказал:

Дело в том что смотря на другой продукт - Kaspersky Security, порой (и в последнее время - все чаще и чаще) складывается впечатление что весь фокус сосредоточен на том что видно пользователю - напхать кучу уведомлений в стиле "вы защищены", "ввод с клавиатуры защищен", "вебкамера защищена" (даже если она отключена от ПК), и околонулевое количество усилий на абсолютно все, что находится дальше кнопки "Настройки".

Выскажу свое личное мнение, так как вопрос все-таки к команде Kaspersky Security.  Продукт должен решать задачу, которую на него возлагает пользователь. Standard/Plus/Premium покупают для спокойствия и безопасности и продукту необходимо показывать, что он выполняет возложенную на него задачу в сценариях, которые потенциально несут риск безопасности.

 

19 часов назад, SevereK сказал:

1. Ревью технических решений не производится вообще.

2. В компании отсутсвуют тестировщики как класс и фиксисятся баги найденные добровольцами-бетатестерами (и то не все, а те которые "видно").

3. Основной фокус - маркетинговая составляющая. Не важно насколько хорошее решени

Есть разница между тестированием функционала продукта и аудитом безопасности. Целью тестирования является соответствие функционала заявленным требования. Утверждение про отсутствие тестирование звучит как "набрасывание на вентилятор" так как мне непонятно на чем основывается данное утверждение. Бета-тест на то и бета - пользователи получают ранний доступ к продукту, соглашаясь, на то что его тестирование не закончено. При этом у них есть возможность влиять на развитие продукта.

 

За аудит безопасности у нас отвечает отдельная команда, которые дают рекомендации, как улучшить безопасности продукта или вообще не разрешают реализовать тот или иной функционал, если есть риски. Поэтому проблемы связанные с безопасностью, особенно если это выявляется третьей стороной, имеет очень серьезные последствия внутри компании.

 

Лучшим признанием наших усилии в области безопасности являются независимые тесты, в которых мы регулярно участвуем https://www.kaspersky.ru/about/awards и места, которые мы в них занимаем из года в год https://www.kaspersky.ru/top3 

 

19 часов назад, SevereK сказал:

И главное - написать статью в таком стиле чтобы у читающего четко сложилось впечателние что KeePass - это плохо, а KPM - это хорошо. 

?

Я не в курсе про такую статью, поэтому и комментировать не могу. Поделитесь, пожалуйста, мне будет интересно почитать. 

 

 

 

[Friend]

13.12.2024 в 17:25, Алексей Тодираш сказал:

закончил долгий и проблемный ремонт

Долгий - это год или меньше? В чем были сложности, если не секрет? 

21 час назад, Алексей Тодираш сказал:

но есть обстоятельства непреодолимой силы, которые не позволяют далеко уехать.

Это выход новой версии Kaspersky Password Manager 25?

[Алексей Тодираш]

22 минуты назад, Friend сказал:

Долгий - это год или меньше? В чем были сложности, если не секрет? 

Это выход новой версии Kaspersky Password Manager 25?

8 месяцев, вместо исходны 4х. Основные проблемы были связаны с подрядчиком, где довольно стандартно: срыв сроков, неудовлетворительное качество выполняемых работ, пренебрежение технической документацией. Не особо помог даже договор с описание сметы и поэтапная оплата работ. Главный совет, который могу дать (довольно очевидный, но тем не менее), - оплачивать этап только когда выполнены все работы в рамках него и не доверять уговорам формата "это мелочь, мы на следующей неделе доделаем".

28 минут назад, Friend сказал:

Это выход новой версии Kaspersky Password Manager 25?

в плане релизов в ЛК все отсроенное  хорошо и мы не выпускаем их перед длинными праздниками, так что за 25й релиз я спокоен. Да и релиз для Windiws у нас довольно долго и поэтапно "раскатывается" на пользователей, так что, если появляются аномалии, мы их успеваем отловить.

[kmscom]

А где вопросы про менеджер для Линукс ?
хм, куда подевалась эта огромная армия пользователей

[Friend]

32 минуты назад, Алексей Тодираш сказал:

Основные проблемы были связаны с подрядчико

Подрядчика сами искали или" кто-то посоветовал"?

28 минут назад, Алексей Тодираш сказал:

Не особо помог даже договор с описание сметы и поэтапная оплата работ

Будете судится или просто забыли как страшный сон?

29 минут назад, Алексей Тодираш сказал:

в плане релизов в ЛК все отстроено  хорошо и мы не выпускаем их перед длинными праздниками,

Если правильно помню, то для КРМ - это февраль и июль?

25 минут назад, kmscom сказал:

А где вопросы про менеджер для Линукс ?
хм, куда подевалась эта огромная армия пользователей

Так напишите в теме здесь и сразу они суда придут

[oit]

В данном интервью Вам хотелось бы получать вопросы по продуктам компании или личного характера?

Ожидание и реальность совпадает на текущий момент?

Что хотели бы изменить, если можно было вернуться на начало интервью?

[Алексей Тодираш]

1 час назад, kmscom сказал:

А где вопросы про менеджер для Линукс ?
хм, куда подевалась эта огромная армия пользователей

тоже думаю, что коллектив не дорабатывает.

[Umnik]

16.12.2024 в 13:24, Алексей Тодираш сказал:

за которые мы платим в случае обнаружения

Хмммм... Это касается тех, кто работает только с Россией? Потому что мне не заплатили, т.к. программа не распространялась на граждан РФ с карточками РФ. Ну и отдельная забавность была в том, что уровень был оценён на 4.2, тогда как такой же точно баг в KeePass был на 7.5.

Изменено Среда в 07:27 пользователем Umnik