...

суббота, 14 апреля 2018 г.

В ЕС вступает в силу новый регламент защиты ПД

В конце мая Европейский союз планирует ужесточить требования к обработке персональных данных. Подробнее о нововведениях и реакции ИТ-компаний — под катом.


/ фото Stock CatalogCC

Что такое GDPR


General Data Protection Regulation — это регламент защиты данных, который призван ужесточить в том числе и регулирование сферы ПД в рамках ЕС. Оно вступит в силу 25 мая 2018 года и заменит собой Data Protection Directive — директиву, принятую в 1995 году.

GDPR коснется любых компаний и организаций, так или иначе обрабатывающих ПД граждан ЕС (в том числе и американских ИТ-корпораций). Исходя из этой ситуации, Министерство торговли США еще в июле 2016 года разработало механизм EU-US Privacy Shield (защита ПД в рамках сотрудничества США и ЕС). Его задача — помочь американским компаниям привести свою деятельность на территории ЕС в соответствие с локальными директивами о работе с ПД. В октябре 2017 года EU-US Privacy Shield был одобрен самим ЕС, и им заинтересовались более 2000 компаний, в том числе Google, Microsoft и Facebook. Однако европейские наблюдатели неоднократно критиковали этот механизм за недостаточную жесткость в регулировании работы с ПД.

Как работает GDPR


Регламент обязателен к исполнению. Штрафы в случае несоблюдения — до 20 млн евро или 4% годового оборота компании, который будут определять на основе выручки не только в ЕС, но и по всему миру. Регулятор намеревается применять достаточно общие положения регламента в интересах жителей ЕС — компании скорее всего не смогут найти здесь какие-либо лазейки. Например, ответственность распространяется на любую организацию со штатом свыше 250 человек, но и не исключает компании с меньшим числом сотрудников, если деятельность бизнеса представляет риск для прав и свобод граждан ЕС. Такая формулировка потенциально затрагивает любую компанию.

Закон выделяет две категории организаций: операторы данных (data controllers) и обработчики данных (data processors). Операторы — это компании, которые осуществляют хранение ПД. Обработчики — это любые компании, которые эти данные используют. Регламент возлагает одинаковую ответственность на обе категории. Если фирма использует сторонний сервис, не отвечающий требованиям GDPR, она автоматически не соблюдает требования регламента. Таким образом, ввод нового регулирования будет означать пересмотр взаимоотношений бизнеса с облачными провайдерами, SaaS-стартапами и платежными организациями.

Исследование PwC показало серьезное отношение американских компаний к GDPR — 68% компаний планируют потратить от 1 до 10 млн долларов на выполнение новых требований, а 9% организаций — больше 10 млн долларов. По данным отчета Ovum, две трети американских компаний считают, что новый регламент заставит их пересмотреть свою стратегию работы в ЕС. При этом большинство американских компаний говорят, что европейские бизнесы получают конкурентное преимущество, а американцы будут оштрафованы. Консалтинг-агентство Oliver Wyman прогнозирует, что ЕС может собрать не менее 6 млрд долларов в виде штрафов за первый год с момента ввода нового регламента.

Реакция Google на GDPR



Новое регламент вынудил Google внести коррективы в работу практически всех своих сервисов. Например, для AdWords и Google Analytics были обновлены пользовательские соглашения, предупреждающие о требованиях GDPR.

В случаях, где Google и компания-клиент, использующая его приложения, выступают в роли независимых друг от друга операторов данных, Google обновит текущие соглашения, а также введет новые, так называемые «межоператорные» соглашения (controller-contoller terms). Суть этих межоператорных соглашений сводится к тому, что оба оператора (Google и компания-клиент) каждый по-своему усмотрению распоряжаются ПД в рамках, удовлетворяющих требованиям GDPR.

По мнению PageFair, подобное соглашение чревато для компаний, пользующихся сервисами Google. Ведь в данном случае ИТ-гигант может получить доступ к ПД, которые собирает компания-клиент. В таком случае компания-клиент не сможет уведомить своих пользователей о том, как именно будут использоваться их ПД. Учитывая, что GDPR распределяет ответственность между всеми обработчиками информации, другие обработчики рискуют нарушить договор, если Google злоупотребит своим положением.

Также для удовлетворения требований GDPR Google запустит сервис неперсонализированной рекламы. Пользуясь таким сервисом, клиенты смогут рекламировать продукцию не прибегая к сбору ПД своих пользователей.

Реакция Facebook на GDPR




На своем сайте Facebook заявил о ведущейся работе по удовлетворению требований GDPR. Компания расширила отдел защиты данных в Дублине, а также сделала его главным по координации всех усилий в этом направлении. Например, в конце марта Facebook закрыла «партнерские категории» (Partner Categories). Они позволяли рекламодателям площадки использовать ПД, собранные крупными сторонними операторами Datalogix, Epsilon, Acxiom и BlueKai.

Однако до сих пор неясно планирует ли Facebook выполнять требования GDPR глобально или постарается соблюсти требования исключительно в европейском сегменте. На прошлой неделе Марк Цукеберг в телефонном интервью Reuters отказался от повсеместного внедрения изменений в платформу и отметил, что компания работает над тем, чтобы часть требований GDPR работала в мировом масштабе, но отказался комментировать, о какой именно части идет речь.

В открытом письме Цукербергу ряд американских и европейских организаций по защите прав потребителей потребовали от компании «подтвердить согласие с требованиями GDPR на глобальном уровне, а также предоставить детальный план проводимых в связи с этим мероприятий». На данный момент официального ответа от Facebook не поступило.

Больше материалов в Первом блоге о корпоративном IaaS:

Let's block ads! (Why?)

История ИБ в Китае: начинаем разбираться с законами и регулированием

В 2016 году в Китае представили современную версию национальный стратегии по кибербезопасности. Его основной посыл — использование любых средств для обеспечения суверенитета национального киберпространства. В новой серии статей мы расскажем о том, какие именно инструменты применяет Китай для обеспечения информационной безопасности в стране.

Начнем с общего обзора различных классификаций и законов.


/ Flickr / Surian Soosay / CC

Многоуровневая система защиты


В 2007 году Китай обновил свою «классификацию многоуровневой системы защиты» (MLPS). Она лежит в основе законов, охватывающих сферу кибербезопасности. Например, в соответствии с MLPS принимаются решения об уровне допуска иностранных продуктов в ту или иную сферу или систему. MLPS дает пять уровней ИБ с точки зрения потенциальных последствий:

1. Повреждение ИС наносит вред правам граждан и организаций.

2. Здесь к п.1 добавляется ущерб общественному порядку.

3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.

4. Значимый ущерб всех трех уровнях (п.1 — п.3).

5. Критический ущерб на уровне национальной безопасности.

Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.

Регулирование шифрования


Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования. Одна из первых директив в этом отношении вышла еще в 1999 году.

Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.

В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты. Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.


/ Flickr / Jessica Spengler / CC

В 2009 году в Китае появился каталог импортеров продуктов шифрования. Его состав пересматривался позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается от строгих требований для иностранных компаний и стремится к унификации регулирования.

В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации. Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.

Закон о кибербезопасности


В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел в число стран, понесших самые большие потери от киберпреступлений в мире.

В 2015 году в Китае был принят новый закон о национальной безопасности. Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.

В 2016 году закон был окончательно принят, а в 2017-м вступил в силу. Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.

Закон о кибербезопасности применяется ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.

Последнее положение вызвало неоднозначную реакцию. Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.


/ Flickr / ChiralJon / CC

Тем временем закон продолжает поэтапно вступать в силу. Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.

Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.

На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.

Другие материалы из нашего корпоративного блога:


Наш Network-дайджест на Хабре —20 материалов о сетях и битве за Net Neutrality.

Let's block ads! (Why?)

[recovery mode] IPO и $250 млн: HeadHunter выйдет на Nasdaq

Компания HeadHunter планирует провести IPO и привлечь $250 млн. Организация уже подала документы в Комиссию по ценным бумагам и биржам США (SEC) и планирует разместить американские депозитарные расписки (ADR) на бирже Nasdaq. Акциям присвоен тикер HHR.

Организаторами первоначального размещения выступят Morgan Stanley, Goldman Sachs, Credit Suisse, BofA, Merrill Lynch, «ВТБ Капитал» и Sberbank CIB. В ходе IPO действующие акционеры HeadHunter — Highworld Investments Limited (подразделение фонда «Эльбрус Капитал», владеет 59,99999% HeadHunter) и ELQ Investors VIII Limited (подразделение Goldman Sachs Group Inc., владеет 40%) — разместят свои американские депозитарные расписки (ADS). При этом компания от проведения IPO прибыли не получит. Деньги будут перечислены действующим собственникам.

В заявке на проведение IPO указывается, что HeadHunter планирует развивать свою деятельность в городах с населением менее 100 тысяч человек, а также увеличивать количество предложений для рабочих специальностей. Кроме того, руководство не исключает покупку более мелких рекрутинговых интернет-компаний.

Компания существует на рынке с 2000 года и входит в десятку самых популярных сервисов для поиска работы в мире по данным платформы SimilarWeb.

В 2016 году фонд прямых инвестиций «Эльбрус капитал» купил HeadHunter у Mail.Ru Group за 10 млрд рублей, оценка актива в рамках IPO значительно выше этой суммы. Это объясняется развитием компании: сайт ежедневно посещают 18 млн пользователей, а в базе хранится 33 млн резюме. Кроме того, выручка компании с каждым годом заметно растёт: в 2017 HeadHunter заработал 4,7 млрд рублей, что на 44% больше, чем в 2016.

Аналитики считают, что с учётом развития бизнеса и снижением уровня безработицы, оценка актива в рамках IPO может быть значительно выше суммы, за которую «Эльбрус капитал» купил HeadHunter у Mail.Ru Group.

Другие материалы по теме финансов и фондового рынка от ITI Capital:


Let's block ads! (Why?)

Противостояние W3C и WHATWG: Apple, Google, Microsoft, Mozilla возражают против DOM 4.1

Как всем известно, существует две спецификации HTML: W3C (консорциум World Wide Web) и WHATWG (компании Apple, Google, Microsoft и Mozilla, де-факто авторы стандарта HTML5). На этой неделе между создателями спецификаций состоялся открытый конфликт.

Ситуация развивалась следующим образом. Началось всё с того, что W3C сделала форк спецификации живого стандарта WHATWG DOM и назвала его DOM 4.1. Затем W3C внесла в неё несовместимые изменения и объявила форк официальной спецификацией, хотя по факту вся важная работа производилась в версии WHATWG.

Прошло некоторое время, и месяц назад стартовало публичное обсуждение предложения W3C сделать спецификацию Кандидатом в рекомендации (после неё существенные изменения по сути уже не вносятся, только уточняются детали дизайна в PR, рекомендация принимается официально). Прочитать это познавательное обсуждение можно на Github по адресу: https://github.com/w3c/dom/issues/175.

Логично предположить, что у некоторых членов W3C возникли вполне обоснованные возражения по поводу несовместимости двух версий DOM. Здесь в вопрос вмешался CEO W3C, который вступил с ними в спор и отклонил все их возражения, продвинув спецификацию до статуса Кандидата в рекомендации (Candidate Recommendation, CR) и объявив призыв к консенсусу.

Разумеется, членам WHATWG такой поворот событий не понравился. После того, как директор W3C отказался изменять спецификации, эти компании несколько дней назад выступили с официальным возражением (Formal Objection) против DOM 4.1, пообещав W3C, что в текущем виде данную спецификацию ни один из движков браузеров реализовывать не собирается — поскольку две несовместимые версии DOM не нужны ни разработчикам, ни пользователям.
В своём возражении Google указала на конкретные технические проблемы несовместимости с новой спецификацией W3C:

Использование некорректного Web IDL (языка определения веб-интерфейса), несовместимости Event Dispatch, интеграции Shadow DOM, интеграции отдельных элементов, Ranges и обхода дерева DOM
.В итоге W3C была вынуждена взять тайм-аут и пообещала сначала рассмотреть технические проблемы, после чего вернуться к принятию DOM 4.1.

Возникает вопрос — зачем всё это нужно W3C? Как утверждается, дело в том, что помимо членов WHATWG, в организации W3C состоит ещё 450 компаний, которые не имеют особого влияния на мир браузеров, но регулярно приносят W3C доход в виде взносов. В прошлом году W3C провернула похожий трюк с DRM (Encrypted Media Extensions), который, со слов инженера Google Яна Хиксона, «невозможно реализовать практически» — ради того, чтобы привлечь в консорциум несколько компаний, у которых до этого момента не было причин спонсировать W3C.

Многострадальный черновик W3C DOM 4.1 можно скачать по ссылке. Самая первая версия спецификации DOM была подготовлена W3C почти двадцать лет назад — 1 октября 1998 года. Ссылки на возражения: возражение Mozilla, возражение Apple, возражение Microsoft, возражение Google.

Let's block ads! (Why?)

[Из песочницы] Как можно разработать две части игры за полгода и не сойти с ума

В эпоху новостей о том, что чуть ли не каждый день появляются новые вирусы или как хакеры украли огромное количество денег, нам показалось, что на рынке мобильных игр не хватает классной игры про хакеров.

Меня зовут Юрий, я один из создателей и разработчик двух серий игр. Я хочу поделиться опытом их создания и небольшим опытом продвижения.

Данная статья не затрагивает детали реализации (здесь нет ни строчки кода), а лишь в общих чертах описывает немного рутинный, но в тоже время необычный процесс инди-гейм-девелопмента.


С чего все началось? Однажды, мы с моим другом-дизайнером обсуждали мобильные игры. Мысль создать игру и купаться в золоте понравилась нам обоим. Как мы придумали идею?
В мае 2017 года мы собирались вечерами и занимались тем, что генерировали различные идеи.

Мы выбрали эталон игр, на которые мы хотели равняться:


  • Plague Inc
  • Симулятор России 2

Написали список пунктов, что обязательно должно быть в нашей игре:


  • Прокачка персонажа
  • Нелинейное прохождение
  • Хардкорность
  • Наличие юмора в игре
  • Соревновательная составляющая(зарабатывание очков).

Для этих составляющих отлично подходил жанр симулятор. Такой же жанр был и у наших эталонов.

И какие только безумные идеи нам не приходили в голову. Вот несколько примеров:


  • симулятор завода
  • симулятор владельца ночного клуба
  • симулятор самолета

Но во всех идеях явно не хватало какой-то искры.

На тот момент в сети появилась новость об очередном хакере или вирусе. Идея о хакерах и развитии компьютерного вируса пришла нам почти сразу. Мы начали развивать ее, проходясь по всем пунктам, составленными нами:


  • Прокачка вируса
  • Нелинейная прокачка вируса и нелинейное развитие антивируса
  • Хардкорность
  • “Живой” чат от жителей, которые бы писали о текущем состоянии вируса
  • Соревновательная часть заключалась в скорости заражения всего города.

Первую часть было решено реализовывать на языке Swift.

От Unity мы отказались из-за объемности и сложности (эх, если бы мы знали, что будет потом).
Дизайнер нарисовал первый макет города, он был выполнен в минималистичном стиле. Также была придумана концепция заражения. В домах будут заражаться компьютеры и “умные приборы”.

Также будут люди со смартфонами. Крыши домов будут наполняться цветом, показывая прогресс заражения дома, а синие кружки будут показывать инфицированные смартфоны. Процесс заражения устройств должен быть автоматическим.

С какого то момента начинает разрабатываться антивирус, и время его развития зависит от параметров вируса и от некоторых других случайных параметров.

Также мы создали чат города. В случайный момент над домом показывалось сообщение с текстом, передающим эмоции и состояние устройств у людей.

Главная задача в игре — заразить все устройства как можно быстрее. Для подсчета статистики использовался GameCenter от Apple.

Где-то после месяца разработки был первый рабочий прототип. Но нам не хватало какого-то интерактива. Наблюдение за вирусом, который заражает город и приносит деньги, становилось скучным.

Было решено добавить “проблемные” дома. То есть, после начала разработки антивируса в случайный момент времени появляется дом, для которого нужно провести ручное вмешательство. Мы назвали этот процесс “Провести ДДоС атаку”.

Это была отдельная мини-игра, при выигрыше которой дом полностью заражается. В случае проигрыша, антивирус усиливается. Ручное заражение очень разбавило игру и привнесло много интерактива.

Где-то еще месяца два мы потратили на доработку гейм баланса, добавление новых уровней сложности и графических улучшений.

Вот так стал выглядеть экран разработки вируса.

Так основной экран игры

В релизе игры у нас была одна карта и 3 различных уровня сложности.
Уровни можно перепроходить, улучшая свое время.

Игра сделана по типу free to play. То есть в игре есть реклама(которую можно было отключить за деньги) и внутриигровые покупки.

Итог: игра была сделана за 3 месяца(июль — октябрь).

В конце сентября наша игра прошла ревью в AppStore.


За месяц до релиза в AppStore была создана группа ВК, страница на форуме gamedev, страница facebook(для англоязычной аудитории). Как только у нас появились первые скриншоты, мы начали писать в группы инди-игр. Был получен первый фидбек и первые пользователи нашей группы.

После релиза было решено потратить на рекламу 21 000 рублей.

Около 13 000 рублей было потрачено на нативную рекламу в ленте ВК. Остальные деньги были потрачены на посты в группах связанных с apple.

В общей сложности рекламы хватило на 10 дней. Было получено около 15 тысяч установок. Все эти 10 дней мы были в ТОП бесплатных симуляторов.

Лучше место, которое мы достигли в ТОП — 26.

Если говорить, какая реклама лучше, то по моему опыту — рекламные объявления в ленте. Эти объявления можно создать с помощью сервиса MyTarget.

За 1000 показов средняя цена составила 12 рублей, при этом CTR достигал всегда больше 1.2%.
Если у кампании была игровая аудитория(игровые группы ВК), то CTR мог достигать 2%. В среднем, 1 переход человека стоил нам 1 рубль.

Если говорить о постах в группах, то многие большие группы(численностью более 500 тыс. человек) давали нам около 500-1000 переходов. Стоимость поста составлял от 2 до 3 тысяч рублей.

Как только реклама закончилась, установки упали и мы вышли из ТОПа. Потом еще пару недель было по 100-150 установок в день. На текущий момент количество установок в день составляет около 20.

Мы получили большой фидбек, оценку 4,2 звезды на AppStore. Но самое главное, мы увидели, что у игры есть потенциал. Людям понравилась концепция автоматического заражения и ручного вмешательства. Мы начали думать, что делать дальше.


Итак, мы увидели, что игра людям нравится. Были идеи дальнейшего развития игры:


  • Добавление других уровней
  • Добавление других типов ручного заражения
  • Добавление “боссов”

Но та графика, которая была у нас на данный момент, не очень нравилась дизайнеру. Он хотел круче. Прикладываю макет его нового видения.

Но проблема была в том, что я не знал как внедрить такую графику.

Тут надо сделать небольшое пояснение. Отрисовка зданий и людей была сделана программно с помощью CALayer. То есть у нас был JSON с координатами домов(их крыш, стенок), которая парсилась и обрисовывалась в CALayer. Это был ужасно неудобный, но единственно рабочий на тот момент способ.

Я решил искать способы, как можно внедрить такую графику. И так как дизайнер рисовал просто макеты экранов, а я занимался версткой экранов и прорисовкой карты уровня, то хотелось переложить часть этих обязанностей на него.

Вначале я искал способы в Xcode. Нашел Game Scene(что подобие Unity Scene). Но не очень в ней разобрался. Дизайнер настаивал на Unity. Так бы мы еще смогли сделать игру и под Android.

Мы решили попробовать использовать ее.


Надо сказать, я думал, что очень много времени уйдет на изучение платформы Unity и языка c#(до этого я делал несколько лабораторных в универе). Но оказалось, это не так. Unity был прост, понятен и имел большую активную аудиторию.

А самое главное в Unity дизайнер мог заниматься дизайном игры, отрисовкой карты уровней(по факту в нашем случае это был перенос картинок из макета на сцену), а я мог заниматься разработкой программного функционала, который нужно было переписать с самого начала. Разработка началась в ноябре 2017 года.

Перед нами встал вопрос? Это будет масштабное обновление первой части или уже новая игра? После первых полученных результатов, мы поняли, что по сравнению с предыдущей игрой, новая будет иметь колоссальные отличия в графике. Мы решили, что это будет вторая часть.

Через 2 недели мы сделали первый рабочий прототип уровня.

Результат был на лицо.

Где то еще через 2 недели был сделан экран разработки вируса и реализован процесс заражения.


Нужно сказать, мы изменили принцип заражения. После первой игры, мы поняли, что интерактива в нашей игре мало, и нужно больше участие игрока в заражении. Было решено сделать ручное заражение основным. Разработка вируса автоматизировала процесс заражения. Для ручного заражения здания была сделана мини-игра, где ты ползунком должен собрать все зеленые индикаторы.

Также мы решили, что на карте будет перемещаться человек с вирусом(он — желтого цвета) и он передает вирус на мобильные устройства других людей. Для передачи вируса вам нужно кликнуть на мигающего человека.

Здесь уже было много интерактива и первоначальный результат нам очень понравился. Еще очень понравилось более реальная симуляция заражения. Разработка wifi позволяла заражать окна в доме, ethernet — передавать вирус между домами. Прокачка bluetooth и мобильных сетей позволяет автоматизировать заражение смартфонов.

Изменился процесс заражения здания. Каждый дом имел несколько окон. После выигрыша мини-игры заражается одно окно.

Большое отличие было в антивирусе. В первой части, если разработка антивируса достигает 100%, то проигрыш наступает через несколько секунд.

Во второй части мы решили сделать антивирус полноценным персонажем. То есть если вирус заражает, то антивирус обезвреживает. Чем сильнее антивирус, тем больше устройств он может обезвредить в один момент.

Если вирус и антивирус сильные, то вы можете наблюдать за их явным противостоянием, помогая вирусу заражать устройства. Выглядело это круто.

По аналогии с прошлой игрой мы сохранили чат и сделали также соревновательную часть, кто быстрее пройдет уровень.

Мы решили, что здесь не ограничимся одним уровнем. После скандала, связанного со взломом выборов в США, мы подумали, что круто было бы в игре взломать выборы. Идея была такова — есть город, в котором скоро будут выборы. У власти стоят олигархи и воры в законе, и у честных людей нет шансов что-то изменить. Но в этом городе есть хакер, и его задача — помочь честным людям взять власть на выборах.

Уровень с выборами должен стать финалом кампании, поэтому мы придумали 8 различных уровней, где игроку предстояло взломать банк, антивирусную компанию, полицию, здание безопасности. Первые два — обучающих уровня.

Где-то в середине декабря у нас были готовы первые 4 уровня. На их основе мы сделали бета-версию для Android и iOS. Собрали фидбек и начали работать над следующими уровнями.
В конце января были доделаны все уровни.

Особые здания на уровнях(Боссы) были разные, и для каждого из них пользователю нужно выстроить свою стратегию заражения.

Также в игре использовались 2 валюты.
Доллар — на уровне для покупки модификаций.
Биткоин(затем была изменен на Коин) — глобальная валюта, которую можно обменивать на доллары и открывать закрытые уровни.


В конце января игра была готова, но нам явно чего-то не хватало. И вроде игралось хорошо, но с другой стороны, было суховато, не хватало начинки, живости. Неделю мы были в думах и уже почти отчаялись, но дизайнеру приходит в голову идея. Сделать различные типы заражения. То есть по аналогии с боевиками это были различные типы оружия. Они должны отличаться и иметь свои плюсы и минусы. Итак, мы оставили первую мини-игру со взломом пароля. В случае выигрыша оно заражало одно окно в доме, в случае проигрыша мини-игры ничего не происходит.
Второй тип — логическая мини-игра. Вам дана логическая схема, нужно пустить луч в HACK, зажигая индикаторы. Что-то подобие логическо-электрической головоломки.

В случае победы в доме заражаются 3 окна, в случае поражения антивирус усиливается на 1.
Было сделано несколько таких схем, причем в каждой схеме случайным образом генерируются логические элементы. То есть набор схем был огромный.

Третий тип заключался в управлении шариком, собирая все зеленые индикаторы. При этом нельзя врезаться в красные стенки, иначе шарик останавливается на время.

В случае победы в доме заражаются 5 окон, в случае поражения антивирус усиливается на 2.
Было сделано множество таких мини-игр.

Это обновление удалось внедрить с минимальными потерями в готовую игру. После этого игра действительно была готова.

Теперь игроку приходилось бы выбирать каким ручным заражением пользоваться, что прокачивать в окне разработки вируса. На каждом уровне нужно найти свою удачную стратегию заражения.

В конце февраля вы выпустили игру под Android и iOS.


Мы решили, что не будем больше вкладывать столько средств на рекламу.

На первой части на текущий день мы заработали не больше 170$(потрачено около 350$).
Было решено потратить около 14000 рублей на рекламу для обеих платформ.

В Android игра появилась почти сразу же, а вот с Apple на этот раз были огромные задержки. Сначала им не понравилось, что мы используем bitcoin как внутреннюю валюту. Мы исправили ее на коин. Затем мы ожидали ревью 2 недели, пока я не подал апелляцию. А затем 2 недели мы проходили ревью.

За это время на рекламу в Play Market мы потратили около 2000 рублей. Первые несколько дней в день было по 100-200 установок(реклама ненамного увеличивала это количество). А после этого что-то произошло, и мы начали набирать по 1500-2000 установок в день. Ниже 1500 установок в день мы не опускались.

Это было очень странно. Мы не находились в ТОП игр и не вкладывали денег на рекламу. Я думаю, что мы попали в рекомендации к нашей аудитории благодаря Play Market(подобная штука есть и на YouTube). Поэтому игру начали скачивать большое количество человек, а мы получали огромное количество фидбека.

Добавляя улучшения и устраняя ошибки, мы обновляли игру под Android и ожидали проверки от Apple. Через месяц, в конце марта, Apple наконец-то выпустил нашу игру и мы сразу выложили огромное обновление, чтобы версии в Play Market и App Store были одинаковые.

Около 10000 рублей мы потратили на нативную рекламу ВК, ее хватило на несколько дней. Мы опять вошли в ТОП симуляторов под iOS, но вышли из него, как только реклама закончилась.

На текущий момент на PlayMarket мы имеет больше 70 тыс. установок, под iOS около 3 тысяч установок.


Сейчас версию под iOS продвигаем бесплатными способами, такими как посты на Facebook, ВК, reddit.

Версия Android очень хорошо продвигает себя сама.

В течение этого времени в игру мы добавили:


  • Уровни выживания
  • Мастерскую. В ней вы можете улучшать характеристики, влияющие на мини-игры, а также покупать различные скины шарика для последнего типа мини-игр.

На второй игре мы заработали на текущий момент около 420$, что считаю неплохим стартом.

Мои выводы насчет сравнения Play Market и Apple:


  • у Apple очень легко попасть в ТОП, просто заказывая установки или рекламу. Но как только реклама закончится, не удивляйтесь насколько быстро вы уйдете из него
  • это был мой первый опыт на Play Market, но могу сказать Рекомендации — очень крутая штука. Это касается Play Market и YouTube. По мне, на Play Market, если вы попадете в Рекомендованные — это гораздо круче, чем попасть в ТОП, потому что из рекомендованных вашу игру поставят люди, близкие к вашей целевой аудитории

И напоследок, напутствие всем разработчикам игр:


  • Не откладывайте первый релиз. То есть не нужно постоянно что-то добавлять и улучшать. Поставьте план, что должно попасть в релиз.
  • Кайфуйте от промежуточных результатов. Сделали небольшую составляющую, она работает и игра стала лучше? Похвалите себя. Нельзя постоянно говорить себе, что чего-то не хватает.
  • Если вы работаете за энтузиазм, а не за деньги, не стройте больших по времени проектов. Многие проекты, которые разрабатываются по времени год или больше года, умирают на стадии разработки из-за отсутствия физических и эмоциональных сил у разработчика.
  • Если у вас небольшой проект, то запомните: “Релиз близко”. Бывают моменты, когда ты устаешь, тебя начинает все бесить, раздражать и делать вообще ничего не хочется. Вот тут нужно не сломаться, а через силу доделать проект и нажать эту волшебную кнопку: “Опубликовать”. После публикации с вас спадет этот накопившийся стресс, а положительные отзывы и фидбек вообще заставят забыть о том, что с вами было неделю назад :)

Спасибо за внимание.

Let's block ads! (Why?)

Imagine Cup 2018: прямая трансляция

Всем привет! В 10:30 мы начинаем прямую трансляцию крупнейшего технологического конкурса для студентов — Imagine Cup. 16 лучших команд представят свои проекты на суд жюри и зрителей, среди которых вы увидите самодельный HoloLens, сделанный студентами из Нижнего Новгорода, виртуальная физическая лаборатория из МГУ, музыка в VR и многое другое. Приглашаем под кат! В этом году вы сможете проголосовать в online за понравившуюся команду.

image

Прямая трансляция конкурса Imagine Cup 2018


Live-трансляция первого зала международного конкурса Imagine Cup, который сейчас проходит в Москве.

Голосуйте за понравившуюся команду: @ImCupVote_bot!

Программа мероприятия здесь.

Немного полезных ссылок:
1. Прямая трансляция будет проходить и во ВК.
2. Официальный хэштег мероприятия #imcup: выкладывайте посты!
3. Чат для участников мероприятия в Telegram.

Let's block ads! (Why?)

Доступ root через TeamCity

GitHub оказался под крупнейшей DDoS атакой, немного обсудили в общем рабочем чате вечерком. Оказалось, что мало кто знает о замечательных поисковиках shodan.io и censys.io.

Ну и я интересу ради, прям для вау эффекта поискал TeamCity (далее тс), т.к. помню прикольный баг с регой в старых версиях.

Как оказалось, его даже не нужно было применять, т.к. во многих тс админы не закрывали регистрацию, а на некоторых доступен был вход под гостем.
*картинки можно открывать в соседней вкладке, для лучшего качества
image

Взял самый первый попавшийся IP и двинул на их тс.

image

Ура, есть рега обыкновенная, и как правило, у неё прав больше, чем у гостя, см. сравнение ниже
image
                                                                                                                   Гость
image
                                                                                         А вот так под новым зареганым аккаунтом

В параметрах явно были прописаны некоторые доступы
image

Но логины пароли также и в другом месте есть — в конфигах артефактов:
image
image

Судя по названиям БД ничего интересного быть там не может, но всё же решил попробовать
Легковесный и быстрый клиент для монги под винду — robomongo.org
image

Сильно шариться по БД не стал, т.к. слово analytics навевает скуку.
В TFS сходить не удалось, определённо логин не вебовский, курить апи тоже скучно, ибо не самый интересный проект, но для демонстрации достаточно )
Почта разрабов добыта там же — отписался, ответа нет
Если артефакты не были доступны — всегда можно посмотреть change log
image
image

Удивляют проекты, где пароли — простые слова, тут хоть префикс есть
Помню однажды попался пасс — осмотрись, прям забавно
Также, определённая категория людей, предпочитает хранить прямо в коде всякие настройки
image

Перехожу к самому интересному — есть проект triplay.com
Их продукты: emusic.com, estories.com, mydigipack.com, mymusiccloud.com и ещё какие-то. Установок приложения андроид 1000000+, эпловое — не понял где там количество скачиваний смотреть

Ну и конечно же — их тимсити был открыт снаружи, + открыта рега
image

120 сборок, но артефакты были далеко не везде, вероятно для экономии места. Зато имеется Common проект, где все артифакты собираются вместе, но серверные вполне себе велись и этого было достаточно:
image

Отлично, качаем файл и… я прям не удивлён
image
image

Пришлось поставить яву и проверить коннект к ораклу (оракл для простого сайтика в проде, ааа, блин, ну почему не postgres)
image

Конечно же, несмотря на то, что в конфигах был указан везде префикс prod — без явной проверки этого нельзя было сказать наверняка)
image
Ну и конечно, я сам зарегал почту, с которой им отписал о проблеме (только я показал скрины, а не сценарий, т.к. не хотел, чтобы чел из саппорта получил доступ к бд, где 691к аккаунтов, выкачал всё это дома и… я хз, что мог бы сделать. Сценарий немного надуман, но лучше попросить контакт админа/разраба).
В теории, полный доступ к бд и можно смело заменять чей-нибудь хеш/соль пасса своими и входить под ним.

Но я лишь почитал данные и успокоился на этом, отписавшись в офф. сапорт, на что мне ответили, что всё рассмотрят, переведут на специалиста, который ответит в порядке очереди и… молчание

Спустя несколько дней они закрыли доступ к БД, но не к тс, проверил почту — ни вопросов, ни благодарностей.

Ну ок, полез проверять дальше и… в артефактах нашёл проект, который содержит деплой скрипты, словно он в тс попадает откуда-то из вне и после сам запускает билд.
image
image

Так и было, + ещё логин/пасс от тс
Сложно было поверить в это, ну ок, телнет 22 пашет, пробую ссш, но погоди, какой же логин…
image

wu la
ssh -p 22 -i triplay-deployer-priv root@build.triplay-inc.com

Немного удивился наличию доступа, ок. Осмотрелся в консоли, посмотрел хосты (35 машин прописано) и какие-то ключики (я с никсами не оч, доступ рут и без того ясно, что даст сделать всё, что хочешь, было бы желание).
Нашёл тестовый доменчик + конкретную машину (и… кажется ssl серт).
image
Выше скрин, кстати, когда я с одного сервера хожу на другой, ибо тот из вне по ssh не был доступен. И таких машин там было, конечно же, дофига, сами представьте, какая там инфраструктура
И положил файлик с особым приветом (с ошибками, уж сорри, уже спать хотелось).
image

После очередного письма они прикрыли лавочку.

Но не тут то было, у ребят оставался тестовый аккаунт
Я вошёл под ним.
Оказалось можно получить трек бесплатно… ну я на всякий F12 и… что я вижу в пейлоаде:

{
 "trackId": 1559229346,
 "quality": "SD",
 "dailyDownloadPurchase": false,
 "freeTrackPurchase": true
}


Нет, это не первоапрельская шутка — получить трек бесплатно или купить — решается на фронтенде флагом freeTrackPurchase
Демо покупки

А вот теперь нюанс — работает, видимо, не для всех аккаунтов, а для конкретно тестового)), но имея доступ к нему, можно «купить» все треки. Да и один фиг, они все доступны без авторизации (есть спец урла, инфо из БД, проверено)

Какие ошибки парни совершили:

  1. Весьма внутренние ресурсы были открыты всему свету (БД, TeamCity, SSH)
  2. Даже если есть такая необходимость — не сделали вайтлиста для подключений
  3. Коннект под рутом извне… чет так себе идея
  4. Тем более, в проект добавлять сертификат для этого от рута!
  5. Все доступы и ключики хранят в… файлах и размножают по проектам (aws, paypal, и т.п., шаблон положил сюда), вместо того, чтобы хранить одно подключение к сервису конфигураций
  6. А самое главное — была разрешена рега в TeamCity, собственно с чего всё началось
  7. Ну и до кучи — там же собирались приложения для google/apple сторов и соответствующие серты и исходники были на месте

Потому — если у вас имеются какие-либо продукты, которые доступны из вне — подумайте, как их можно использовать не по назначению сторонними людьми и предотвратите это.
А основное приложение должно быть спроектировано, да и собрано так, что «кодовая база приложения может быть в любой момент открыта в свободный доступ без компрометации каких-либо приватных данных»

И знайте продукты, с которыми работаете, как то:

  • rabbit — дефолтный логин пасс guest/guest
  • redis — вообще без авторизации по дефолту и позволяет делать такое
  • teamcity — по дефолту разрешена рега
  • и… список можно продолжать, включая тот самый мемкеш, который доступен из вне и завалил гитхаб )

                                                             Что для тебя "счастье"?
                                                             Когда как:
                                                             0. Тишина, книга, сок
                                                             1. Жена, настолка, кот,
                                                             2. Кафе, сидр, друг
                                                             3. Код, работа, доступ root

Let's block ads! (Why?)

Drupalgeddon2: началась эксплуатация SA-CORE-2018-002

Drupalgeddon2 все-таки пришел к нам.

image

Что случилось? После безумного анонса «одной из самых страшных уязвимостей Drupal» все замерли в ожидании рабочего эксплойта и через 4 дня даже начали немного грустить, считая, что вся паника была зря, так как никто не мог придумать ничего стоящего. Но стоило только CheckPoint'у сегодня опубликовать рабочий PoC на SA-CORE-2018-002, как армия ботов начала атаковать сайты на Drupal, что называется, «in the wild».

По логам выглядит следующим образом:
3 запроса, первый GET проверяет сам факт возможности проведения атаки, второй POST — атака с пейлоадом, а третий — проверяет успешность загруженного бэкдора.

image

На пейлоады у хакеров не хватило то ли времени, то ли фантазии, поэтому выглядят они весьма однотипно:

image

В целом, ахтунг достаточно серьезный, процесс пошел и беда в том, что все случилось перед выходными. Тем не менее, хостеры или сервисы, проксирующие трафик, могли бы защитить клиентов, заблокировав запросы с фрагментами на уровне сервера:

account/mail/%23value (account/mail/#value)
timezone/timezone/%23value (timezone/timezonel/#value)

Пока по логам видно, что все атаки идут на базе одного и того же питоновского скрипта (хакеры, к счастью, ленивы), и эксплуатируется только запрос к объекту account/mail, но есть как минимум еще одна атака через timezone объект.

Пока текущие атаки можно закрыть даже на уровне ModRewrite правила, но, вероятно, появятся всякие более сложные варианты.

RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]

Если кому интересно, в пейлоаде грузят .php бэкдор через wget или curl, например такой: pastebin.com/raw/b8eiGQRV (урл взят прямо из запроса). Что хакеры будут делать с ними дальше — зависит от их фантазии. Учитывая популярность майнеров, вероятнее всего бэкдоры будут использовать для размещения js-майнеров на страницах (или запуска процессов майнинга на сервере), загрузки фишинговых страниц или спам-рассыльщиков.

Let's block ads! (Why?)