Хотите уникальности на PHD? Специальный бонус код для подписчиков

Завтра начинается PHD и будет идти два дня. Это не какой-то там левый CISO-форум. А нормальная такая конференция.

Хотите получить уникальных впечатлений от конференции? Испытать непередаваемый опыт и войти в историю? Тогда слушайте сюда.

Один день, а может быть и оба – на площадке PHD будет размещен специальный человек. Найти его будет непросто. Особые приметы: поношенный вид, борода и стаканчик кофе в руке (большую часть времени).

Найдите этого человека и скажите ему бонус-фразу «Всегда Позитив». За это вы получите:

  • мнение по любому вопросу ИБ;
  • историю;
  • инсайд на выбор человека;
  • кофе (рандомно).

Успеха в сборе информации!

P.S. Если будет совсем никак, организаторами будут выдаваться подсказки.

Информационная безопасность в ж… Часть 1.

Здравствуйте, здравствуйте мои дорогие. Давно для вас не писал. За этот месяц я узнал, что меня читают минимум 3 человека, поэтому совестно долго не писать. Читай «Смотреть глазами» — будь элитным!

Ух, за этот месяц много чего произошло. Но главный вывод неутешительный. Мы, информационные безопасники, в жопе. Не прошло и года, как я поднимал эту тему на Кибербетле, а уже и зубры, вроде Рустэма, об этом заговорили.

Жопа эта многогранна, кто-то сидит только в одном углу, а кто-то соприкасается с множеством граней. Это не столько важно, жопа она и есть жопа. Отрицание сего факта, лишь усугубляет проблему, как  персональную, так и отраслевую.

Как ни больно это говорить, но мы сами все просрали (и я в том числе). И, как в лучших традициях психоанализа, предлагаю вернуться к источнику и последовательно пройти все этапы, что бы определить – где же мы накосячили. По большому счету, это лишь для самоуспокоения, т.к. сделать что-либо уже вряд ли возможно.

Поехали.

0. Эпоха динозавров

Это весь период от момента создания шифра Цезаря (и до него) и до 2001 года. Эпоха легенд и эпичных героев невидимого фронта. Первые хакеры, апостол социнженерии Митник, разнообразные цветные книжечки и т.п. Не будем останавливаться на этом периоде. Мало кто помнит, что неделю назад на встрече говорил, а уже события 15-20-30 летней давности сейчас можно разве что по книжкам изучать.

1. Младенчество

Я взял за точку отсчета 2001 год, как первый год, когда массово появились гражданские специальности по ИБ в институтах. Моя называлась «Комплексная защита объектов информатизации (090104)».

2001 – хороший год. Ощущался некий подъем в стране. Выходили всякие веселые журналы, которые учили школьников ломать домофоны. Интернет стал более-менее доступным, и не надо было ждать ночи, потому что ночью бесплатно. И прочие прелести.

Лично я выбрал ИБ, т.к. она наиболее была близка к компьютерам. О, компьютеры я любил. Моя любовь не была шибко сфокусированной, я любил их собирать, настраивать, играть, сидеть в интернете, писать простенькие вирусы. Все по чуть-чуть. Да и был я объективно туповат для поступления на Прикладную математику, где можно было выучиться на программиста. Не шибко меня программирование привлекало, хотя все обучение с удовольствием этим занимался и даже диплом писал.

Помимо абстрактно связи с компами ничего об информационной безопасности я не знал (установка антивируса не в счет). И все 5 лет обучения, и еще 5 после окончания на вопрос, чем же я занимаюсь, отвечал – компьютеры защищаю. И это был первый ветерок перед ураганом.

Вспомните, как вы объясняли непосвященным, что такое ИБ? Это про компы. Это про безопасность. Что бы компьютеры не украли? Нее. Что бы информацию не украли. Какую? Ну… ценную. А, понятно.

И всякие вариации на эту тему. Вспомнили? За 16 лет ничего не изменилось. Мы – это хмурые мужики, которые пишут смешные бумажки и рассылают злобные письма об анальных карах за несоблюдение каких-то там политик.

Вторая проблема заключалась в очень широкой специализации. Ты можешь и документы писать, и софт с железом настраивать, и безопасным программированием заниматься, пентесты делать,  пресейлить и т.д. и т.п.

Именно поэтому на PHD, все корифеи фебешечки и ибешных конференций забились в тесную комнатку 15 на 25 и обсуждали какие-то странные темы про популярность в интернете. Просто конференция была не про это, и они не смогли из обычной канвы выбраться.

Начиная с 4 курса, к нам на поток приходили всякие люди хантить молодых специалистов. Кто умные дома звал делать (!!!), кто паять прослушку. А что, тоже безопасность.

Кратким следствием из этого стало то, что информационные безопасники не конкретизированы и не могут доступно объяснить чем же они занимаются. Например, работая в Утконосе, я часто привлекался к охране правопорядка на корпоративах, т.к. был приписан к Службе безопасности. А то, что я шары закрываю и за использованием интернета слежу – по барабану. Безопасник? Иди, смотри, что бы пьяные сотрудники не передрались.

Это наглядная иллюстрация еще одной жопы. В эпоху динозавров потолок для шифровальщика (военного) узел связи с чином капитана. Все, дальше расти некуда. Так и мы, вроде и безопасность, но какая-то несерьезная. Сравните объемы бюджетов физбезопасности и ИБ. Да у них выставка, как 10 инфосеков с инфобезом, и все лишь про камеры с вкраплениями турникетов. Я знаю, я там был в этом году (и, кстати, она стала больше чем в 2015).

И все это приправлено любовью к документам. По сути, защита конфиденциалки – это очень упрощенная защита гостайны. А в гостайне все просто, закопал компьютер в землю и обрабатывай. Разумеется, по всей строгости инструкции (интересно, ее номер является гостайной?) с 5 формами учета. Конечно, на такой базе ничего принципиально нового появиться не могло. И теперь, в 99% случаев информационная безопасность приравнялась к противопожарной безопасности или какому-нибудь там ISO 9001. Куча бумажек и сертификат – ляпота.

Все это стало благодатной почвой, в которую были посеяны семена текущего провала. Но об этом в следующий раз.

Versus, который не случился

Идея этого материала была задумана еще в декабре 2015 года. Я как тогда еще блогер, решил заделать сравнение критериев нужности DLP. Идея была следующая, сравнить критерии нужности от фокус-группы и самих вендоров. Ну, а дальше как пойдет.

У меня есть ряд знакомых (владельцы и директора) в сегменте SMB, которые готовы ответить на мои глупые вопросы. И я написал в SearchInform, Infowatch и Solar – для получения их точек зрения. Конечно, я бы мог просто воспользоваться инсайдом, т.к. у меня было все по этим продуктам от прайсов до гайдов «как засрать конкурента на пресейле», но рядовой потребитель всего этого не видит, и поэтому было бы не совсем честно.

А тут еще, и вовремя ежегодной традиции меня спросили за DLP:

Михаил:

Добрый день, Дмитрий. Подскажите пожалуйста: мы сейчас выбираем между DLP Серчинформ и Инфовотч. Не понятно, что лучше. Сделайте пожалуйста сравнение/обзор с блоге.

Мы банк, пользователей 1200. Хотим реально работающую систему!

Дальнейшая судьба этого материала… тлен и безысходность.  И дело не в том, что из 3 вендоров, материалы прислал лишь Солар. Инфовотч обещал, но так руки не дошли, а Сечинформ сразу нахуй послал. Кстати, спасибо всем, кто уделил мне время. За полтора года, я и не сподобился довести начатое. Весь год провел в состоянии – я бегу, а волосики назад.

Поэтому расписываюсь в собственном бессилии довести аналитику до конца. Ну, скучно же писать про умирающий рынок. Поэтому решил поделиться с вами данными по фокус-группе.

Кстати, если, вдруг вам интересно мое мнение – то надо брать Infowatch. Очень уж все в выборе свелось к вкусовщине, а раз так – то Infowatch.

 

Что думает бизнес?

И так, знакомимся с фокус-группой. Я не стал уж брать что-то энтерпрайзное, там ответы понятны. Нужно, но либо уже есть, либо денег нет.

Олег. Владелец и директор сети ресторанов.

Катя. Топ-менеджер крупного дистрибьютора по физбезопасности.

Даша. Финдиректор небольшого технического вендора.

Петр. Владелец консалтинговой фирмы (с уклоном в юридические аспекты).

Роман Т. Учредитель ИТ-вендора.

Антон. Инвестор, владелец компаний в разных сферах.

Лена К. Учредитель небольшого интегратора.

Лена Л. Руководитель отдела закупок крупной строительной фирмы.

Роман З. Начальник отдела закупок в дочке Транснефти.

Максим. Владелец группы компаний в ИТ и ИБ сфере.

5 из 10 респондентов относятся к миру ИБ и ИТ.

 

Из 10 человек:

10 из 10 –знают о риске утечки конфиденциальной информации.

4 из 10 – считают, что надо контролировать сотрудников в части информации, которой они обмениваются (Олег, Катя,  Роман З., Максим).

9 из 10 – готовы поставить какую-нибудь программу для контроля рисков утечки конфиденциальной информации.

3 из 10 — считают, что ущерб от утечки конфиденциальной информации будет серьезным или фатальным для бизнеса (Катя, Даша, Роман З.).

1 из 10 – не хранит конфиденциальную информацию на компьютере.

3 из 10 – слышали о системах класса DLP.

1 из 10 – применял программы для контроля над сотрудниками (Катя).

7 из 10 – хотели бы знать, что о них говорят подчиненные.

1 из 10 – знает о возможной ответственности за вмешательство в личную жизнь и тайну переписки (Петр).

10 из 10 – главным фактором выбора DLP считают цену, вторым – полный сбор со всех каналов утечки.

7 из 10 – достаточно реактивного реагирования на инциденты.

6 из 10 – искали бы инциденты по ключевым словам (4 из 6 – хотели бы, что бы еще слова искались в разных формах и падежах).

10 из 10 – при выборе решения смотрят на референсы инсталляций и благодарственные письма.

1 из 10 – проверяет достоверность информации о референсах.

 

Вот, эти люди должны были с помощью двойного слепого метода оценить критерии наших DLP вендоров. Но сделают это в какой-нибудь параллельной вселенной.

Пока.

Сертифицированная Windows для ЗПД

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать? Если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками, выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, что бы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом, он должен быть на диске. Нет диска, вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика), и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и нихера не понятно, что же надо взять, что бы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупке в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Так же берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, что чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Так же очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают, и можно купить и без них. Да, и сами сотрудники СИС и дистиков не всегда в курсе темы, но судя по всему лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А, если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

 

А, как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

У Камина с Алексеем Лукацким: Как раскрутить свой ИБ-блог?

Как вы знаете, я очень люблю интервью. Особенно люблю интервью живые, а не по переписке. В живых интервью нет этой вычурной и сухой подготовленности. И тут значит, заглянул я к друзьям из Джет Инфо. Да-да, Рустэм, я помню, что маленьких обижать не хорошо. Но какой пиар был. В общем, не удержался.

Как всегда, читаю вместе с вами.

«БИЗНЕС БЕЗ ОПАСНОСТИ», ИЛИ ЗАЧЕМ СПЕЦИАЛИСТУ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СВОЙ БЛОГ?

Первый раз, когда я прочитал заголовок, подумал – «о, сейчас почитаем про каждому эксперту по блогу». Потом почитав содержание, я пришел к выводу, что заголовок – «зачем Алексею Лукацкому (специалисту) свой блог?» Это так же интересная тема. Поехали.

Пришлось сразу же похакать статью, т.к. она не копируется с Джет Инфо. Вернее копируется, и да же ссылка на статью автоматом вставляется, но вся разбивка на абзацы херится. :( Надеюсь это баг, а то как-то даже неудобно.

Алексей ЛукацкийСегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».

– Алексей, ни для кого не секрет, что Ваш блог, посвященный теме информационной безопасности, является одним из самых популярных ресурсов на эту тему в России. Почему Вы решили запустить этот проект?

Как говорил Михаил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. 10 лет назад, когда я начинал вести свой блог, в России это было в новинку и мне хотелось попробовать.

А как связаны слова Жванецкого с последующим повествованием? Мол, 10 лет назад стало невмоготу? Ну, и видимо, речь идет про ИБ-блоги. Так-то блоги уже были обыденностью.

Кроме того, у меня было много разных заметок и зарисовок, которые сложно было уложить в формат статьи, а терять их мне не хотелось. Поэтому блог стал прибежищем таких коротких текстов по ИБ. Кроме того, у меня была идея написать очередную книгу, и блог, как мне казалось, мог стать хорошим способом для хранения и систематизации материала.

Нашел упоминание о 3 книгах, видимо, до новой так и не дошли руки.

Потом я понял, что это не самая лучшая идея – блог очень плохо приспособлен для систематизации материала и последующего поиска в нем. Но к тому моменту бросать начатое было уже поздно.

 

– Почему Вы изначально выбрали именно формат блога?

А других вариантов просто не было. Их и сейчас нет для человека, который хочет чем-то делиться с окружающим миром.

Ну, я не знаю… Можно, например, что-нибудь реальное сделать. Систему там защитить…

Формат традиционных тематических СМИ не подходит для столь динамичной сферы, как наша.

Сферы, где уже 3 года застой? А за 5 лет из новых систем появились SIEM/SOC и второе рождение WAF?

Журналы раньше выходили один раз в месяц, сейчас и того реже. Поэтому я этот формат отбросил сразу. Газет в нашей области нет, а у еженедельников та же проблема, что и у журналов. Да и редакционная политика многих изданий не всегда позволяет публиковать все, что приходит мне в голову.

Надо понимать – именно по ИБ. Т.к. в блоге больше ни о чем не написано.

Подкасты и видеокасты требуют очень большой работы по монтажу, очистке звука и т.п. Я от этого формата отказался почти сразу. Поэтому блог – единственный вариант, который подошел мне для самовыражения.

 

– Кто является Вашей целевой аудиторией? На кого Вы прежде всего ориентируетесь?

Никогда не задавался этим вопросом перед написанием своих материалов.

А на PHD, говорилось об обратном…

Первоначально я писал свои заметки «для себя». Потом коллеги стали комментировать, репостить. Я втянулся в процесс, но по-прежнему пишу то, что так или иначе входит в сферу моих интересов (именно моих, а не моего работодателя). Так получается, что это также интересно многим.

В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя (с) Алексей Лукацкий в другом интервью.

Отчасти потому, что мне удается (как говорят читатели блога) простым языком объяснять сложные вещи, систематизировать информацию, фокусировать внимание на важных моментах, например, в законодательстве.

Так блог же не подходит для систематизации… или имеется ввиду систематизация внутри заметки в 4 тысячи знаков?

Поэтому мои читатели – это широкий круг специалистов по ИБ или айтишников и юристов, которые вовлечены в процессы ИБ.

Да, видел, я юристов, которые апеллировали к блогу Алексея. Было забавно. О, вспомнил личную историю про этот блог, расскажу в следующий раз.

Под специалистами по ИБ я понимаю не весь спектр людей, вовлеченных в процессы информационной безопасности, а тех, кто больше сталкивается с процессами, нормативной базой, процедурами.

Да, у нас тут сегрегацией попахивает…

То есть это ближе к CISO и ведущим специалистам по ИБ. Технари не являются моей целевой аудиторией; для них я «пиджак» или «бумажный безопасник». Также меня читают регуляторы – поэтому часть моих заметок (пусть и не явно) адресована им.

 

– На рынке ИБ существует шутка про молодых специалистов по информационной безопасности, которые учились профессии, читая Ваш блог. Вы чувствуете какую-то ответственность перед своей большой аудиторией? Влияет ли она на контент?

Ну, не такая уж и шутка. При желании их даже почитать можно :)

На мой контент влияю только я и мои интересы. Я никогда не пишу в угоду аудитории или для удовлетворения ее потребностей.

А еще в угоду работодателям, и ключевым (для работодателя) регуляторам…

Но ответственность за «тех, кого я приручил» я безусловно (здесь должны были быть запятые?) чувствую. Особенно когда хочу перестать писать с такой же периодичностью, как и раньше. Но я понимаю, что многие специалисты уже привыкли получать актуальные материалы, особенно по законодательству, из блога, и поэтому я продолжаю писать.

Еще бы нести ответственность за свои за «свое» прочтение нормативки…

Но это окупается тем, что я часто на мероприятиях слышу слова благодарности от людей, которые говорят, что мой блог им сильно помог в свое время и продолжает помогать в текущей работе. Значит, пишу я не зря.

– В профессиональной жизни блог помог Вам? Если «да», как именно?

Во-первых, блог учит выражать свои мысли «на бумаге», позволяет оттачивать язык, что полезно само по себе, а также помогает при выступлениях и написании тех или иных материалов. Во-вторых, публикации в блоге дают определенную известность; сначала в среде специалистов, потом тебя индексирует Google, и тебя узнает большее количество людей. Тебя начинают приглашать на различные мероприятия для выступлений, что нередко позволяет экономить маркетинговые бюджеты Cisco J.

Мне, кажется, или тут прямым текстом сказано – что цель блога, сделать экспертом для участия в мероприятиях, где можно делать продукт плейсмент работодателя?

В-третьих, именно блог стал моим «трамплином» при общении с регуляторами, при включении меня в различные рабочие группы и экспертные советы.

Видимо, не кажется…

Видимо, их организаторы посчитали, что я достаточно квалифицирован, чтобы заниматься не только графоманством и публичной критикой,

Хинт от гуру: хочешь раскрутить блог – критикуй.

но и приносить пользу, участвовать в разработке и экспертизе нормативной базы. Некоторые из моих коллег, насколько я знаю, используют блог как бесплатный пропуск на мероприятия по ИБ – этакое удостоверение журналиста. Есть и ряд других «бенефитов», которые дает мне блог, но пусть они останутся моим секретом.

Наливают? Алексею не наливают. Помогают продавать? Алексей не продает… Мб лоббировать интересы работодателя?

– Зачем вообще специалистам по безопасности вести блог?

Зачем крупные компании занимаются благотворительностью?

Что бы проиариться. Делают они это максимально публично и открыто, что бы на фоне выгодоприобретателей большое такое лого благотворителя было. Бескорыстно делают – тихо.

Им хочется делиться с менее обеспеченными организациями и людьми своим «богатством».

Ох, Ричард Докинз, наверно, бы сделал facepalm.

Попутно они получают и некую PR-составляющую, но это не всегда. Так и специалисту по ИБ, который достиг определенного уровня квалификации и опыта, иногда хочется делиться своим положительным, а иногда и отрицательным опытом с другими людьми.

21 октября 2016 года, у Алексея было другое мнение… см. ссылку на интервью выше.

Начинается все с кулуаров на мероприятиях, потом следуют выступления на конференциях, потом аудитория расширяется на сотни, а то и тысячи человек. Это одна из причин. Есть и другие – я их описал, отвечая на вопрос о том, чем помогает блог в профессиональной жизни.

Еще блог, помогает выбить себе место потеплее и зарплату побольше. На рынке есть примеры, когда основным достижением людей, были блоги-выступления.

– Если у Вас дальнейшие планы по развитию блога? Может быть, Вам интересно было бы попробовать какие-то новые форматы?

Я много лет порываюсь создать собственный сайт, чтобы вести на нем ряд проектов, которые у меня законсервированы и просто ждут своего часа. Но меня останавливает одно – безопасность сайта.

С одной стороны – дельные слова для безопасника.

Сейчас, на площадке Google, я могу быть уверен в том, что вероятность взлома блога близка к минимальной – все работы берет на себя Google. В случае со своим сайтом я получаю больше гибкости, но и больше головной боли.

С другой – какое-то зарывание головы в песок от злых хакеров…

Мне придется думать о непрерывном улучшении сайта, его стабильности, пропускной способности, безопасности. А у меня времени не хватает, чтобы вести просто блог. Если бы я зарабатывал на этом проекте, то может я и сделал бы этот шаг «в пропасть». Пока же меня устраивает текущий вариант. Планы по его развитию я не форсирую, хотя идей полно…

Ждем-с.

– Алексей, какой бы Вы дали совет молодому специалисты, который бы хотел начать вести свой блог и развиваться в этом направлении? С чего ему начать?

Советов я могу дать два и оба они касаются абсолютно любого дела. Первый совет – начать. Второй совет – не бросать. Все остальное вторично. Разумеется, за кадром остается еще много разных вопросов, от которых зависит успех блога. Например, целеполагание, наличие практического опыта или умения систематизировать информацию. Неплохо русским языком владеть на хорошем уровне, чтобы читать заметки было интересно не только с точки зрения содержания. И еще один совет – блог не должен быть самоцелью и вестись ради собственного PR, как это иногда бывает.

… вестись ради собственного PR, как это делаю я.

 

Как вам? Я лично прочитал с удовольствием. Учитесь у мастера. А в следующий раз поговорим про раскрутку блога.

Всех целую.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.

Игроки рынка ИБ и таксисты

Надо сказать, я очень люблю наблюдать в динамике различные отрасли. Так, что бы лет 15-20 смотришь, а потом вспоминаешь – эка раньше было. В основном это что-нибудь совсем бытовое, например, таксисты. Думаю, каждый с ними сталкивался.

О, эти разбойники пассажирских перевозок. Раньше можно было просто поднять руку, и мог проехать хоть на мерседесе, хоть на скорой без пробок. Таксисты всегда были обманщиками, во всяком случае, те, кто занимался перевозками на периодической основе. На моей улице 3 остановки, на двух из них стоят частники и чего-то ждут. Лет пятнадцать назад, у них было море работы, до метро можно было доехать и за 50 рублей и за 300. Сейчас их бизнес подзахерел, но они все равно стоят, мб еще кого-то возят.

Но таксисты совсем не заменимы, когда ты в чужом городе. Во-первых, ты в командировке и богатый парень, можешь форсануть. Во-вторых, ты просто не знаешь маршрутов быстрой передислокации. В-третьих, хотелось бы еще и что-нибудь о городе узнать, и таксист не самый плохой вариант. Плюс к этому, там такси сильно дешевле.

Собственно, я этого бы не писал – если бы не столкнулся с совершенно новым для меня явлением в такси. Случилось это в Петрозаводске, где я решил встретить Новый год. Заказали трансфер, нас встретили и довезли. Смотрю, парень вроде нормальный – говорю, дай телефон, мы будем много ездить, нам хорошо и тебе легче.

Надо сказать, что это стандартная практика – выбираешь 1 водилу, и мотаешься с ним. Помню я как-то из Мурманска в Полярные Зори 400 км ехал на такси, ехали часов 5 или 6, зимой в ночь. Так, этот же парень нас и забрал оттуда через два дня. Покатались хорошо.

И тут значит, разложили вещи, хотим покататься. Звоню. Говорит, я на вызове в другой части города. Ну, ладно. Через некоторое время еще раз попробовал. Опять тоже самое. Оказалось, в Петрозаводске все таксисты сидят на зарплате. Диспетчер принимает звонки и распределяет их водителю, а у него в свою очередь план, который он должен в смену выполнить. Я-то с таким не сталкивался, для меня таксист – свободный волк на охоте. Например, в Камышине – диспетчера сидят на небольшой зарплате на телефоне и просто сообщают «своим», где клиент – а водилы уже сами разбираются.

А тут значит – план. Но все цивильно, да ж карточкой платить можно.

И этой бы истории не было, если она не была обрамлена еще двумя фактами. Когда мы собирались уезжать из дома до вокзала, захотел вызвать такси к определенному времени. Яндекс-такси в этом не помог, т.к. у него можно максимум за 15 минут время поставить. Поставил Убер и заказал машину к назначенному времени. И, началось. Во-первых, он опоздал на 20 минут. Ехал откуда-то с Лосиноостровской. Во-вторых, врал, что едет к нам, хотя вез другого клиента. В-третьих, включил счетчик на подъезде к нам, и стартанули мы со 20 рублей. Я был уже мыслями в отпуске, не стал мандиться и просто поставил ему 3 звезды.

Второй случай произошел уже по приезде. Посмотрел, сколько стоит в Яндексе – выходило 500-600 рублей. Неспешно выхожу, вытаскивая чемоданы. Стоят два бомбилы, предлагая подвезти. Спрашиваю – сколько? О, это любимый вопрос бомбил в аэропортах и вокзалах. Есть целый спектр кидалова о невнятно сказанных суммах. Получил классический вопрос – сколько дашь? Говорю, 500 рублей. И получил волну ненависти, с общим посылом, что только заехать на площадь перед вокзалом стоит 300 рублей. И за каким хером ты тогда спрашивал, сколько я дам? Что бы поторговаться? Или что? Так и остались они стоять на пустой платформе, а я доехал за 550 рублей.

Таким образом можно выделить следующие виды таксистов:

  • Обычные таксисты. Чаще всего работают с диспетчером, но сами себе волки. Если ничего не остается, работают с Яндексом или Убером, которые их тираняткак хотят, но деваться некуда.
  • Зарплатники. Водители, на зарплате. Не прочь подзаработать, но диспетчер главнее.
  • Бомбилы. Грабящие людей на вокзалах и в аэропортах. Готовы целый день простоять, но меньше чем за 3 000 не поедут. Поджидающие людей неопытных, туристов и с временной потерей концентрации.

Вы спросите, а при чем тут информационная безопасность? Так, ведь наш рынок – просто калька с таксистов.

У нас есть свои бомбилы. В основном это крупные интеграторы, которые «не хотят связываться с маленькими проектами». У них же большой штат дармоедов, и им непременно нужны проекты на десятки миллионов рублей. Вот, и сидят они в ожидании, когда что-нибудь такое свалиться. Сюда же относятся всякие крупные вендора с непомерным ценником за сомнительные функции, например, SAP. Но этот путь хиреет, т.к. ничего нового не появляется. Да, некоторым вендорам везет отхватить денег, но если копнуть ближе – 80% суммы там закупка иностранного железа с софтом.

Есть у нас и свои зарплатники. Среди интеграторов – это карманные интеграторы каких-то структур, отечественных или западных. Они могут быть сколько угодно разными в размерах от огромных до микроскопических. У них в принципе все хорошо, заказы идут, они работают. Правда, неожиданно могут какую-нибудь реструктуризацию устроить, или продать нафиг. Среди вендоров это выражается в явной нацеленности на конкретного заказчика. Допустим, вы продали Газпрому свои шлюзы с VPN – и будете продавать их вечность. И уже пофиг на качество и все такое. Грузите апельсины бочками (с).

Ну, а с обычными – все понятно. Это среднестатистические вендора и интеграторы. Как все. Где-то конкурс отожмут, где-то бочком пройдут. Работа кипит. Красота.

 

На этом все. До новых встреч.

Про одежду и стиль

За месяц совершил несколько ключевых деяний касаемых одежды. Самое главное — разобрал шкаф. Отсеял то, что носить не буду, из чего вырос, что не нравится. Замечено, что больше всего скапливается — свитеров, маек, курток, обуви. Началось все как раз с того, что обнаружил у себя 4 пустые коробки, и несколько пар, которые уже года три не надевал. Все благополучно свезли в детдом.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Второе, наконец, выбрался в магазин — был рад настолько, что хватал всего по два. Две куртки, двое джинс, и две пары обуви (демисезонной и летней). Почему по два? Во-первых, сложно подобрать, что-то стоящее. Тех же курток я пересмотрел штук 100. Считаю нормальным иметь несколько вещей, на сезон, для разных целей. Раньше у меня, как и у многих, было — две куртки. Зимнюю куртку носил чуть ли не до мая, делая вид, что мне холодно, а летнюю — до ноября, делая вид, что мне жарко. С обувью было напряженней, ходил я тогда много и как солдат, пары хватало месяца на два-три, потом либо подошва лопалась, либо они кушать хотели. Ну, и с джинсами иногда получалось — что носились по паре месяцев, т.к. другие стали малы или истерлись.

Кстати, джинсы — это лучшее достижение человека в одежде. Более практичной и ноской вещи — не придумали (мб за исключением камуфляжа — но каждый день его носить не станешь).

Второе, что сподвигло на посещение магазина — расширение выбора. Кто помнит, в школе по экономике проходили такой показатель, как полезность. Чем меньше вещей, тем они полезней — чаще используешь. Чем чаще используешь, тем быстрее вещь изнашивается. А используешь чаще всего любимые вещи (эх, у меня до сих пор на даче лежит любимая майка кислотно-желтого цвета, с надписью «Кошаркашки кемп в Дивчибаре» — это баскетбольный сбор в оном Дивчебаре, если кто худое подумал), терять оные бывает грустно, особо, когда они протираются.

Да и уже, как-то неприлично бегать, как парнишка со двора, на всякие переговоры. Если идешь в косухе туда, где одевают, лишь костюмы — будешь не правильно понят. Это в тусовках можно заделать старый индейский прием «белая ворона», когда приходишь весь в белом, скажем, в тусовку к готам. Со временем все перестанут обращать на это внимание, и ты вроде как выделился. В плюс тридцать парится в джинсах, то же самое, что прийти в косухе на переговоры. Или вот я, приходя домой, разу переодеваюсь в треники или халат (летом так вообще в трусах или шортах бегаю), потому как ходить в повседневной одежде — мне неудобно, да и грязная она.

Поэтому я теперь внимательно слежу за прогнозом погоды и смотрю в окно с утра. Попасть на другом конце Москвы в летней рубашке под плюс 10 градусов, мне уже мало улыбается. Равно, как и в зимней куртке. Одежда должна обеспечивать комфорт, почему не потратить немного времени на ее выбор.

Да и манера одеваться со временем стала меняться. Совсем уж мелким я любил джинсовые куртки и кожанки. Как все кожанки кончились, настало время пуховиков — ходил зимой много, и как будто это хренова роза ветров всегда надо мной была, продувало насквозь. Как-то был всплеск — и приобрел себе длинное пальто. Это не под всякую куртку и тем более пуховик — костюм наденешь, а вот джинсы и берцы под пальто — запросто. Но с костюмами тогда не сложилось, а от пуховиков перешел к курткам военного типа.

И дело не в том, что бы было, что одеть. А в правильном сочетании того, что ты собой представляешь, куда идешь и погоды. Ходить постоянно в одном и том же, везде куда пускают (не в плане конкретной шмотки, а стиля вообще) — не комильфо. Одежда должна быть — домашняя, повседневная и парадная. Классификация условная, и много там пересекается (скажем, на работу можно ходить как в повседневном, так и в парадном). Тут главное не смешивать.

Да и вообще прусь с себя, когда чистенький и опрятный иду. Сразу внимательный становишься, что бы в говнище какое не вляпаться. А как чутка «обновишь», так и понеслась, до следующей стирки ;).

В общем, наслаждаюсь полупустыми, разобранными шкафами, и отсутствием дум — положить эту шнягу в стрику, или одеть (т.к. одеть больше по случаю нечего). Не запускайте себя ;)

2008

Итоги 2011: фильмы

Вот и подходит к концу 2011 год. И как мы всегда делаем в конце года, представляю вам список фильмов отсмотренных в этом году. Недавно я посмотрел top-250 фильмов, оказалось что я смотрел из них 245 (оставшиеся вообще какая-то фигня). Так что в следующем году будет интересно. В этот раз я решил не разделять фильмы, аниме, сериалы и мультики. Поэтому все в кучу.

Неудержимые. Фильм с кучей старичков «когда-то звезды боевиков». Смотрится боевито, только хули там делает Стейтем и почему нет Вандама?

Соблаз. Фильм про какого-то богатого лоха, который по уши влюбился. Особой глубины в фильме не увидел, но снято нормально.

Гарри Поттер — Дары Смерти 1 и 2. Чад и угар. Эту часть я так и не прочитал (не дослушал), так что смотрел не зная сюжета. В принципе бодренько так, правда нифига не понятно, что там с Дамболдором произошло.

Мне бы в небо. Тру кино, про то как мужика просаживает свою жизнь в командировках и перелетах (если часто бываете в командировках — обязательно посмотрите). А вообще фильм про человеческое отношение к людям в противовес бездушному бюрократизму.

Ульрамарины. Шо сказать? Вархаммер мой личный фаворит этого года (об этом как-нибудь после). Я просто не могу не посмотреть ультрамаринов, хотя на мой вкус движухи можно было бы и побольше сделать.

Чарли и шоколадная фабрика. Тут снимается Джонни Депп — надо ли говорить, что фильм мега-охуен? Да, сказка совсем не детская.

 

Воображариум доктора Парнаса. Ожидал от фильма большего. Столько шумихи из-за последней роли Леджера… В принципе сама идея противоборства Парнаса и Дьявола интересна, но слишком уж много непонятного. Видимо, «книга лучше», если она есть.

Большая Рыба. Очень хороший фильм.
Трасса 60. Фильм повествованием чем-то похож на Большую рыбу. Очень захватывающая история, люблю такие, прямо классический сюжет.

10 королевство. Рвотный порошек, нас хватило на половину первой серии.

Я люблю тебя Филли Морис. Я посмотрел фильм про геев… Шо сказать? Мне понравился персонаж Джима Керри. Очень забавное кино, чем-то напоминает «Воздействие».

Хроники Нарнии: Покоритель зари. Смотреть строго фанатам. Я фанат.

Ватерлоо. Фильм про последнюю битву Наполеона. Фильм какой-то совсем несуразный. Видать Бондарчук-старший осваивал бюджет. На один раз посмотреть.

Ванильное небо. Фильм с хорошей интригой, но можно до конца не досмотреть.

Я — Сэм. Еще хороший фильм. Фильм понравился силой ГГ, хоть он и неполноценный.

Пипец. На один раз посмотрелки. В очередной раз убедился, что 9 из 10 фильмов рекламируемых Гоблином — отстой.

Игра престолов. Отличный сериал.

Сыны анархии. Еще один хороший сериал.

Пираты карибского моря 4. Опять Депп, и опять хороший фильм. Хотя Черной бороды слишком много.

Красная шапочка. Просто угарная экранизация детской сказки. Вот, как надо делать триллеры на ровном месте. Главного гада, я угадал.

Кошмар перед рождеством. Милый мульт в импонирующей мне манере.

Время ведьм. Средненький боевичок про дьявола и людей, что его забарывают.

Линкольн для адвоката. Доставляющий фильм про ушлого адвоката, ждем сериал.

Турист. Опять Депп, опять интрига, снова отличное кино.

Сдается недорого. Прекрасные диалоги и игра актёров, головокружительные спецэффекты, лихо закрученный сюжет и неожиданная развязка. Вот чего нет в этом убогом фильме.

Запрещенный прием. Просто мега-фильм про второстепенного персонажа. Операторская работа просто супер, и санудтрек к месту.

Пастырь. Кино про каких-то не-классических вампиров.

Трон: Наследие. Сиквел какого-то фильма, посмотреть можно, но в большинстве компьютерных спецэффекты.

Гадкий Я. Нормальный мульт.

Инопланетное вторжение: Битва за Лос-Анжелис. Вообще непонятный фильм. Инопланетян так и не показали толком.

Черный Лебедь. смотреть разве что из-за красоты картинки и танцев. Но так на четверочку тянет.

Туманы Авалона. Взгляд на легенду о рыцарях круглого стола со стороны Морганы. Детектед секс втроем Генервы, Артура и Ланцелота.

Мадагаскар. Веселый мульт.

Мадагаскар 2. Продолжение.

Евротур. Угарная комедия, видимо с нее пошли всякие «Очень страшные кино».

Пол, секретный матеряльчик. Жгущий напалмом инопланетянин, который хочет улететь домой.

Джей и молчаливый Боб наносят ответный удар. Чего-то мура какая-то, не досмотрел. Догма была круче.

Люди Х: Первый класс. Фильм — достойное пополнение франшизы.

Отступники. Отличный психологический триллер с ДиКаприо.

Хеллсинг 8. Разрушение Лондона, ня ^_^

Ученик чародея. Закос под Гарри Поттера, в принципе ничего так.

Легенды ночных стражей. Мультик про сов, не самый плохой мульт.

Темное королевство. Мега-отстой по какой-то английской классике, вроде той что пичкают в школе.

Несносные боссы. Комедия на троечку, про то как офисных работников, у которых проблемы с их начальством.

Тор. Еще одно продолжение франшизы от Марвел. Ждем 2012, когда они все объединятся.

Волшебная страна. Опять фильм с Деппом. Крутая история про создание Питера Пэна.

Орел девятого легиона. Фильм с крутым началом, и отстойным концом. Если в начале это был фильм Гладиатор, то в конце Сдается недорого.

О чем говорят мужчины. Не самая плохая отечественная комедия. Шутка про Жанну Фриске понравилась.

Сумерки 1-3. Я промолчу… Даже не знаю, почему мы его решили посмотреть. Видимо, just for lulz.

Донни Дарко. Очередной фильм с запутанным сюжетом и мутками со временем. Мне понравился, хотя пришлось почитать потом вики, что бы до конца понять что к чему.

Зеленый фонарь. Еще один фильм франшизы Марвел, нормальный. Правда, тут ГГ белый, а в комиксах черный.

Изобретение лжи. Хороший фильм. Всем правдорубам смотреть в обязательном порядке, мил без лжи уныл.

Быть человеком. Крутой сериал про вампиров, оборотней и призраков.

Руки ноги за любовь. Неплохая черная комедия. Юмор английский, в главной роли Голум.

Семьянин. Семейный фильм про выбор между карьерой и семьей.

Семьянин (русский). Отечественная комедия, про многоженца. Улыбает.

Первый мститель. Еще марвеловская франшиза.

Подозреваемый. Средненький сериал, про тотальный контроль над обществом. Бросили смотреть на 6 серии, т.к. очень слабая общая сюжетная линия.

Неудовлетворенное сексуальное напряжение. Какой-то фильм про недотрах у женщин. Недосмотрел, говорят хороший.

Идеальный хозяин. Ничего так фильм про маньяка.

Король говорит. Очень красиво снятый фильм, даром что основан на реальных событиях.

Железная хватка. Средненький фильм про то, как девочка наняла охотников за головами, что бы найти убийцу ее отца. Типа вестерн.

Время. Интересная задумка, когда время заменяет деньги. Правда Тимберлейк там ни в пизду.

Гаттака. Хороший фильм про общество, где царствует евгеника. Главный герой доказывает, что правильный генотип это еще не обязательная составляющая успеха.

Дневной дозор. посмотрел, т.к. в свое время пропустил. Ну так, на четверку с минусом.

Мой кузен Винни. Рульная комедия про адвокатов. Правда сейчас уже не так смешно.

Неизвестный. Снято красиво, но сюжет по себе фуфловый, хотя смотреть интересно.

Остров проклятых. Ди Каприо и больница для сумасшедших. Вроде ужасы.

Здравозахоронение. Документальный фильм про американское здравоохранение, лучше не переезжать в Америку — сгниешь заживо)

Высоцкий. Уныло говно, на весь фильм 5 нормальных сцен.

Однажды в Америке. Эту классику мы посмотрели ровно 20 минут, и не захотели продолжать.

Жизнь Девида Гейла. Ничего так социальный фильм.

Красная шапка против зла. Еще один взгляд на Красную шапочку, только тут от этого осталось одно название.

Дитя Человеческое. Офигенски снятая антиутопия о том, как человечество стало бесплодным. А как танк у упор расстреливает дом — чума. Правда, остается много вопросов, которые так и не раскрыли. Например, с хуяли все стали буянить?

Мегамозг. вроде и норм, но недосмотрел.

Соблазнитель. Немецкий фильм, этим все сказано.

Гениальные младенцы. Описание фильма, явно лучше содержания.

Кунг Фу Панда 2. Угар, как и первая часть.

На этом усе ^_^