Что происходит после того, как упавший сервер благополучно подняли? Можно пойти дальше по своим делам (или тушить следующий пожар). Можно устроить охоту на ведьм чтобы наказать невиновных и наградить непричастных. А можно остановиться на минуту и подумать о том, какой урок можно вынести и что можно сделать чтобы второй раз на эти грабли не наступить. Ну или хотя бы обмотать рукоятку поролоном.
У нас этот ритуал называется постмортемом. Вот о нем и будет мой доклад: как мы его проводим, какую информацию собираем, и что делаем с ней потом.
Что происходит после того, как упавший сервер благополучно подняли? Можно пойти дальше по своим делам (или тушить следующий пожар). Можно устроить охоту на ведьм чтобы наказать невиновных и наградить непричастных. А можно остановиться на минуту и подумать о том, какой урок можно вынести и что можно сделать чтобы второй раз на эти грабли не наступить. Ну или хотя бы обмотать рукоятку поролоном.
У нас этот ритуал называется постмортемом.
Что происходит после того, как упавший сервер благополучно подняли? Можно пойти дальше по своим делам (или тушить следующий пожар). Можно устроить охоту на ведьм чтобы наказать невиновных и наградить непричастных. А можно остановиться на минуту и подумать о том, какой урок можно вынести и что можно сделать чтобы второй раз на эти грабли не наступить. Ну или хотя бы обмотать рукоятку поролоном.
У нас этот ритуал называется постмортемом. Вот о нем и будет мой доклад: как мы его проводим, какую информацию собираем, и что делаем с ней потом.
Что происходит после того, как упавший сервер благополучно подняли? Можно пойти дальше по своим делам (или тушить следующий пожар). Можно устроить охоту на ведьм чтобы наказать невиновных и наградить непричастных. А можно остановиться на минуту и подумать о том, какой урок можно вынести и что можно сделать чтобы второй раз на эти грабли не наступить. Ну или хотя бы обмотать рукоятку поролоном.
У нас этот ритуал называется постмортемом.
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)Ontico
Исторически сложилось так, что одни люди разрабатывают приложения (Dev), а другие эксплуатируют их в продакшне (Ops). И у последних есть немало проблем с тем, что невозможно понять, что происходит.
Причем это касается как собственных разработок, так и популярных open source решений.
Я расскажу, как устроена диагностика у некоторых популярных софтин:
- nginx
- postgresql
- mongodb
Мы попробуем разобраться, что там сделано хорошо, и чего не хватает для полного счастья.
Во второй части доклада мы поговорим про то, как нужно инструментировать собственное приложение для прозрачной работы в продакшне:
- что считать и зачем: ошибки, тайминги, разные состояния приложения,
- инструментарий: your_lang-metrics, your_lang-statsd-client, логи,
- как не перемудрить и не убить прод диагностикой.
Может показаться, что этот доклад про DevOps, но нет - про docker не будет ни слова :)
Мобильные устройства прочно вошли в нашу жизнь. Смартфоны и планшеты позволяют выполнять множество различных задач, в том числе и в области информационной безопасности. Но хотя разнообразного ПО для мобильных ОС очень много — необходимые для пенстеста программы на них отсутствуют. В качестве решения автор доклада предлагает самостоятельно собрать планшетный компьютер на базе Raspberry Pi 3 под управлением Linux. В отличие от прочих решений на базе Raspberry предлагаемое устройство не требует никаких дополнительных периферийных устройств — ни клавиатуры, ни мыши. Все взаимодействия с пользователем ведутся только посредством touch screen, что позволяет уменьшить устройство до размеров смартфона. На планшете установлены: Aircrack-ng, Kismet, Nmap, Wireshark, Metasploit (!), а также кастомизированные скрипты на Python. Докладчик продемонстрирует работу устройства и расскажет о том, как самостоятельно его собрать и настроить.
Badoo Desktop: оптимизация приложения на миллион юзеров онлайнSergey Xek
Badoo Desktop: оптимизация приложения на миллион юзеров онлайн. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Badoo Desktop: оптимизация приложения на миллион юзеров онлайнSergey Xek
Badoo Desktop: оптимизация приложения на миллион юзеров онлайн. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.
Сетевые аномалии – рано или поздно с ними сталкиваются все, кто так или иначе связан с созданием и эксплуатацией сетевых сервисов.
Природа сетевых аномалий и их проявления могут значительно варьироваться: потери пакетов, увеличение задержек, разрывы TCP-соединений. Но вне зависимости от своей природы сетевые аномалии требуют корректной и зачастую крайне оперативной диагностики.
В рамках доклада будут рассмотрены стандартные утилиты, такие как ping, traceroute, mtr, hping, а также области их применения. Самым значительным ограничением при использовании данных утилит является невозможность определения обратного пути пакета, что может значительно усложнить диагностику.
Также в докладе будут рассмотрены активные методы диагностики сетевых аномалий (Looking glass, RIPE Atlas, NLNOG RING, PlanetLab) и разработанный командой Qrator механизм определения обратного маршрута от любой заданной сети с использованием математического моделирования.
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...Ontico
Сетевые аномалии – рано или поздно с ними сталкиваются все, кто так или иначе связан с созданием и эксплуатацией сетевых сервисов.
Природа сетевых аномалий и их проявления могут значительно варьироваться: потери пакетов, увеличение задержек, разрывы TCP-соединений. Но вне зависимости от своей природы сетевые аномалии требуют корректной и зачастую крайне оперативной диагностики.
В рамках доклада будут рассмотрены стандартные утилиты, такие как ping, traceroute, mtr, hping, а также области их применения. Самым значительным ограничением при использовании данных утилит является невозможность определения обратного пути пакета, что может значительно усложнить диагностику.
Также в докладе будут рассмотрены активные методы диагностики сетевых аномалий (Looking glass, RIPE Atlas, NLNOG RING, PlanetLab) и разработанный командой Qrator механизм определения обратного маршрута от любой заданной сети с использованием математического моделирования.
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...Sergey Xek
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного server-side API десктопного приложения. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)Ontico
Исторически сложилось так, что одни люди разрабатывают приложения (Dev), а другие эксплуатируют их в продакшне (Ops). И у последних есть немало проблем с тем, что невозможно понять, что происходит.
Причем это касается как собственных разработок, так и популярных open source решений.
Я расскажу, как устроена диагностика у некоторых популярных софтин:
- nginx
- postgresql
- mongodb
Мы попробуем разобраться, что там сделано хорошо, и чего не хватает для полного счастья.
Во второй части доклада мы поговорим про то, как нужно инструментировать собственное приложение для прозрачной работы в продакшне:
- что считать и зачем: ошибки, тайминги, разные состояния приложения,
- инструментарий: your_lang-metrics, your_lang-statsd-client, логи,
- как не перемудрить и не убить прод диагностикой.
Может показаться, что этот доклад про DevOps, но нет - про docker не будет ни слова :)
Мобильные устройства прочно вошли в нашу жизнь. Смартфоны и планшеты позволяют выполнять множество различных задач, в том числе и в области информационной безопасности. Но хотя разнообразного ПО для мобильных ОС очень много — необходимые для пенстеста программы на них отсутствуют. В качестве решения автор доклада предлагает самостоятельно собрать планшетный компьютер на базе Raspberry Pi 3 под управлением Linux. В отличие от прочих решений на базе Raspberry предлагаемое устройство не требует никаких дополнительных периферийных устройств — ни клавиатуры, ни мыши. Все взаимодействия с пользователем ведутся только посредством touch screen, что позволяет уменьшить устройство до размеров смартфона. На планшете установлены: Aircrack-ng, Kismet, Nmap, Wireshark, Metasploit (!), а также кастомизированные скрипты на Python. Докладчик продемонстрирует работу устройства и расскажет о том, как самостоятельно его собрать и настроить.
Badoo Desktop: оптимизация приложения на миллион юзеров онлайнSergey Xek
Badoo Desktop: оптимизация приложения на миллион юзеров онлайн. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Badoo Desktop: оптимизация приложения на миллион юзеров онлайнSergey Xek
Badoo Desktop: оптимизация приложения на миллион юзеров онлайн. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.
Сетевые аномалии – рано или поздно с ними сталкиваются все, кто так или иначе связан с созданием и эксплуатацией сетевых сервисов.
Природа сетевых аномалий и их проявления могут значительно варьироваться: потери пакетов, увеличение задержек, разрывы TCP-соединений. Но вне зависимости от своей природы сетевые аномалии требуют корректной и зачастую крайне оперативной диагностики.
В рамках доклада будут рассмотрены стандартные утилиты, такие как ping, traceroute, mtr, hping, а также области их применения. Самым значительным ограничением при использовании данных утилит является невозможность определения обратного пути пакета, что может значительно усложнить диагностику.
Также в докладе будут рассмотрены активные методы диагностики сетевых аномалий (Looking glass, RIPE Atlas, NLNOG RING, PlanetLab) и разработанный командой Qrator механизм определения обратного маршрута от любой заданной сети с использованием математического моделирования.
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...Ontico
Сетевые аномалии – рано или поздно с ними сталкиваются все, кто так или иначе связан с созданием и эксплуатацией сетевых сервисов.
Природа сетевых аномалий и их проявления могут значительно варьироваться: потери пакетов, увеличение задержек, разрывы TCP-соединений. Но вне зависимости от своей природы сетевые аномалии требуют корректной и зачастую крайне оперативной диагностики.
В рамках доклада будут рассмотрены стандартные утилиты, такие как ping, traceroute, mtr, hping, а также области их применения. Самым значительным ограничением при использовании данных утилит является невозможность определения обратного пути пакета, что может значительно усложнить диагностику.
Также в докладе будут рассмотрены активные методы диагностики сетевых аномалий (Looking glass, RIPE Atlas, NLNOG RING, PlanetLab) и разработанный командой Qrator механизм определения обратного маршрута от любой заданной сети с использованием математического моделирования.
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...Sergey Xek
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного server-side API десктопного приложения. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Upwork provides custom order management systems and other IT services. The company founder has 9 years of B2B sales experience and 6 years of management experience. They typically work with decision makers on projects ranging from $100 to $100,000 that need to be completed within 1-30 days. Payments are held in escrow and released weekly. The company aims to start contracts within 5-7 days and has not experienced payment delays.
Automated Vulnerability Assessment and Management ITEM
My talk will be about an automated way of Vulnerability Assessment and Management that includes a real-time demo of the Archery tool, how to use it for Vulnerability Assessment Automation and Management. We'll discuss how we can utilize open-source tools to perform vulnerability assessment in a robust way and manage them using Archery tool. Archery is an open-source vulnerability assessment and management tool that helps developers and pentesters to perform scans and manage vulnerabilities. It uses popular open-source tools and also supports commercial tools to perform comprehensive scanning for web application and network. It also performs web application dynamic authenticated scanning and covers the whole applications by using selenium. The developers can also utilize the tool for implementation of their DevOps CI/CD environment.
Если у вас есть существующие продуктовые команды или вы только хотите начать с ними работать, на мастер классе вы узнаете как оценить их работу и решить, в кого вкладывать деньги и ресурсы, а в кого больше не стоит. Научитесь объективно оценивать команду и продукт и избегать “влюбленности в идеи и людей”.
Разберем внедрение основных этапов оценки проектов: Первичный отбор, Диагностика 6 недель, Трекинг. Определим основные результаты каждого этапа оценки, узнаем какие есть сложности бывают и обсудим как можно внедрить это в компанию. Определим при каком бюджете на что можно рассчитывать.
First steps in digitalization and modernization of (huge) non-IT companyITEM
Have you ever felt you are travelling back in time when you come to the office every day?
I know from talking to many projects managers, business leads, especially those new in the role, that it can be difficult to talk to people higher up the hierarchy to keep up to digital world and tools they can use to speed up the business processes.
Exec managers are just normal people, subject to the stresses of the workplace like everyone else and they definitely want their business to grow.
There is no single way to guarantee engagement from senior executives and while they might be supportive of your project today the situation could quickly change if the business environment changes.
We will tackle the topic of bringing digital tools into the business processes and systematize the operations.
Поговорим о ключевых компонентах организации, которыми необходимо управлять. Посмотрим какие существуют индикаторы, указывающие на необходимость, изменений.
А также, рассмотрим редизайн управления, как инструмента выхода на пиковую эффективность.
Through Trial and Error: How to Prepare a Trainee to the Wild World of Custom...ITEM
AMC Bridge Campus as a training system that is based on 10+ years of a unique experience. Useful tips, poor advices and lessons learned – we’ll openly share our failures and successes.
• How to obtain useful experience and necessary skills? We have developed an effective system that covers full training cycle from internship to team leadership – figures can prove it.
• Cutting-edge technologies and real projects published on app stores with thousands of downloads as the advanced and fruitful educational method
Agile, Teal, self-managed companies are now widely discussed. Every business owner wants to build a teal company, and every Millennial dream to work in such an organization.
But building Teal company only because of hype is like trying to swim across the English Channel only because your best friend posted their vibes from the race on Facebook. Do you really need it? Is it really worth it, and what will be the cost?
So we'd like to talk about what real self-managed company looks like if you should consider building your business like this, and what are the things that might boost or hamper you on your way to Teal.
We all want to work with a co-located team in order to increase communication and trust within the team. The reality is more and more common for big companies to have distributed teams around the world or allowing their employees to work from home several days a week.
My last three years I worked for big multinational companies (a challenge itself) scrum mastering distributed teams around the world. I will share with you my findings regarding common pitfalls and how we managed to improve as a team.
Success of foreign investment attraction by outsource/service companies.ITEM
This document provides information about Zazmic, a software development company, and their team productivity tool called Z-Stream that was built on Google Cloud Platform (GCP). It discusses Zazmic's motivation for building their own product, some of their clients and projects, their core engineering competencies including cloud, AI and mobile, and their Google Cloud skills and partnership. It also briefly touches on incubators within large service companies and foreign investment in Ukraine.
Current problems of a classic IT outsourcing model: why a short-sighted business does not generate high profit.
Successful principles of building a highly marginal product business, and what challenges you should be ready for.
Jeff will share his take on the specifics of working with foreign customers. Conference attendees will learn 10 rules of effective communication that will help them to build a long-term partnership with clients.
Jeff is actively involved with the business development processes of Dev-Pro. The rules are based on his 20+ years' experience working with Ukrainian outsourcing companies, and currently being president of one of them.
Jeff will speak about the communication culture established at Dev-Pro. Attendees will learn how to save client's time by providing them with visibility and proper email communication. Topics include problem-solving practices and "the best and the worst" examples from everyday work.
For the end of the speech, participants will know how to communicate with clients to demonstrate their team's professionalism and build a trustworthy relationship with the customers.
Harnessing the creative genius within your organizationITEM
"I haven't failed, I just found 10,000 ways that won't work"
A methodology that is at the heart of General Electrics' strategy of improvement and innovation is Lean Six Sigma, a framework that builds success and growth by eliminating waste and reducing errors in a business process.
For an inventor in the last century, or for today's businesses success is never an accident. Can one methodology really create an organisation of incredible people? Being a creative genius doesn't stem from knowing all the answers, but from asking the right questions. Lean Six Sigma encourages us to question absolutely everything we know about our business. At the conference Kiran will explore this framework and concept in greater depth.
Kiran will also look at the commonalities between some of the great feats of creative genius in history and modern-day society and at how their philosophies aligned with the Lean Six Sigma principles. She presents ways in which businesses can create an organisation that promotes targeted innovation and embraces change using Lean Six Sigma principles and demonstrates some simple and effective tools that can be applied and understood by anybody in an organisation.
3. GPS
Плюсы Минусы
•Включен у каждого
пользователя
•Не требует доп.
оборудования
•Очень низкая точность (до 1км)
•Очень медленный отклик (до 15
минут при пассивном
сканировании)
•Очень быстро садит батарею
при активном сканировании
4. Wi-Fi: с подключением к сети
Плюсы Минусы
•Включен у большинства
пользователей
•Не требует доп.
оборудования т.к. часто
является частью
существующей
инфраструктуры
•Требует присоединения к точке
доступа
•Требует авторизации
пользователя через Captive
Portal
5. Wi-Fi: рандомизация mac-адрессов
1. Получение мак-адреса из
кода всегда будет
возвращать:
02:00:00:00:00:00
2. Соединение в каждой
сети имеет свой
случайный мак-адрес
3. В не подключенной
сети мак-адрес
устройства
периодически
рандомизируется
7. Bluetooth Low Energy
Плюсы Минусы
• Достаточно точное и быстрое
срабатывание
• Не подвержен проблемам
рандомизации
• Не требует предварительного
подключения и авторизации (как
у wi-fi)
• Требует разрешения в
приложении (permissions)
• Требует, чтобы Bluetooth был
включен (не всегда!)
11. BLE ограничения
Измерение расстояния к
бикону, когда приложение
свернуто, не может превышать
более 2 минут. После
истечения срока система
«усыпит» приложение
12. BLE ограничения
• Очень глючный и не
стандартизированный Bluetooth стэк
• Каждая модель телефона имеет
свою уникальную чувствительность
антенны - фактически невозможно
достигнуть высокой точности <1м
• Измерения расстояния к бикону,
требует запуска foreground сервиса
13. Внедрение BLE на практике -
не взлетает!
•Текущие внедрения на основе биконов на практике
показывают покрытие в ~2% от общей
пользовательской базы
•В целом такие решения увеличивают средний чек на
50-100% и из-за своей дешевизны все равно окупаются
14. Проблема не в Technology,
а в UX!
•В рекламных push-сообщениях слишком мало пользы
для покупателя
•Пользовательский опыт на кассе ужасен! Нужно
заходить в приложение, давать телефон кассиру и т.д.
•Что если попробовать улучшить UX?