dvst

Разработчики Microsoft немного переработали код классического файлового менеджера для Windows, адаптировали его для Windows 10 и опубликовали на GitHub под свободной лицензией MIT.

Исследователи компании Imperva поработали с крупнейшими производителями веб-серверов, чтобы лучше изучить протокол HTTP/2, запущенный год назад на смену HTTP/1.x. На конференции Black Hat эксперты рассказали о проделанной работе и сообщили, что им удалось обнаружить четыре опасных проблемы в HTTP/2, ставящие под угрозу миллионы сайтов.

13 патчей на 48 уязвимостей, три критичных, десять важных. Критичные: кумулятивное обновление IE, очередное удаленное исполнение кода при работе со шрифтами, удаленное исполнение кода в Windows Journal. Важные: удаленное исполнение кода в Office и SharePoint Server; эскалация привилегий в .NET, Silverlight, Service Control Manager, драйверах уровня ядра; обход защиты в ядре, движках JScript и VBScript; DoS на Microsoft Management Console; утечка информации в реализации Schannel, допускающей использование слабых ключей.
обсуждение | Google+ | Facebook | Twitter

В конце прошлого года разработчики облачного офисного Open Source-решения для коллективной работы ONLYOFFICE объявили о доступности их серверного решения для платформы GNU/Linux. Для портирования приложения на Linux авторы использовали свободную реализацию платформы Microsoft .NET — Mono. Результатом стал Linux-релиз продукта ONLYOFFICE Common Server v.8.1, который включает в себя такие возможности, как управление документами, CRM, почтовый агрегатор и проекты. Онлайн-редакторы документов не входят…

[Article] Linux Kernel Patches For Linux Kernel Security

В прошивке v1.13 роутера D-Link DIR-100 обнаружилась забавная проверка, позволяющая получить полный доступ к администрированию без всяких паролей. Достаточно установить в качестве UserAgent своего браузера строку "xmlset_roodkcableoj28840ybtide". Скорее всего, задеты и другие модели, использующие ту же прошивку. Любопытно, что при обратном прочтении "roodkcableoj28840ybtide" превращается во вполне говорящую "editby04882joelbackdoor".
обсуждение | Google+ | Facebook | Twitter

Android уже завоевал мобильный рынок и с каждым днем отъедает очередной кусок у других мобильных систем. Это действительно популярная ОС, ворвавшаяся на рынок и стремительными темпами захватившая его. Однако где есть популярность, а уж тем более монополия, там появляются и создатели вредоносного ПО. И обходить Android стороной они даже не собирались.

Такие занятия, как вардрайвинг или блюджекинг уже давно исчерпали себя и угасли в забвении. Нужно что-то новое, самобытное. Когда я размышлял над этим вопросом, мой взгляд случайно упал на пакет ананасового сока, оставленного на столе еще утром. Бинго! Ведь хакинг, активный отдых и ананасы идеально совместимы! Не веришь? А я докажу!

VMware ESX and ESXi CVE-2013-3658 Directory Traversal Vulnerability

интересное развитие некогда довольно спорной модели

Собственно, этот пост есть коллекция трюков, которая набралась в процессе подготовки двух последних конференций. Проблема в том, что нужно вместить много данных в небольшой график, и делается это порой весьма нетривиальным образом. Как известно, с помощью gnuplot можно сделать всё, что угодно, но мало кто знает как именно. Демонстрация чёрной магии в стиле Gnuplot с полным разоблачением ниже.


В инженерии мало наснимать кучу данных или наделать симуляций - важно все эти данные наглядно и красиво представить. Так и самому проще анализировать полученные результаты, и проще убеждать других в их, результатах, полезности. И потом, красиво построенный информативный график смотрится намного лучше (и куда компактнее) унылой таблицы с вереницей цифр.

Следующая по сложности задача - запихнуть побольше данных в график, так как статья не резиновая и часто имеет жёсткие ограничения по объёму. Вот тут-то и начинается чёрная магия.



В переводе это значит, что мы будем строить два массива данных на одном графике, но подписи на оси Y с двух сторон будут разные. Вот как это выглядит:



Если читатель внимательно присмотрится к вертикальным осям слева и справа, то увидит, что эти оси означают разные, хотя и взаимосвязанные, данные. Смысл в том, что два набора данных влияют друг на друга, и в тексте статьи это довольно подробно излагается со ссылками в тексте на график, подсвеченные тем же цветом, что и данные на графике. Так что автор злоупотребляет цветовой раскраской не только в блоге, но и в консервативных научных журналах - не в ущерб содержанию, по возможности.

Теперь серьёзно - вот код для графика:


Ключевые для понимания строки:

set y2range [60:100] set y2tics 5   set y2label "Output disturbance attenuation, \% percentage" font "NimbusSanL-Regu,18"

Здесь используется довольно редкий финт: изменение поведения второй вертикальной оси y2range  в гнуплоте. Да-да, она не просто так отсвечивает в графике и её тоже можно использовать. В данном случае мы явно указываем диапазон значений для второй оси  set y2range [60:100]  проставляем на ней другие засечки с помощью set y2tics 5
и далее присваиваем оси другую (независимую) подпись set y2label

Обратите внимание на параметры команды на строчках 23-24: мы строим два ряда данных и указываем, какие оси использовать. Сначала это axis x1y1  а потом   axis x1y2  для того, чтобы два массива данных строились относительно двух разных осей.


Чтобы показать один и тот же сигнал, обработанный двумя разными фильтрами, полезно разместить три графика на одном, график под графиком:



В строительстве подобных графиков нам поможет инструкция set multiplot
 в gnuplot. Вот как выглядит код для этого графика:


До строки 17 всё в общем вполне очевидно - задаём стили для линий разных типов, диапазоны на осях и сетку. Кроме того, строка 2 явно указывает гнуплоту внедрять шрифты, о чём уже была заметка ранее.

Чёрная магия начинается дальше: с помощью инструкци set multiplot на строке 17 мы просим строить gnuplot несколько графиков на одном.

График начинаем строить с конца, то есть с нижнего графика. Для этого мы меняем размер и позицию графика:

set size 1,0.35 
 set origin 0.0,0.0
 set bmargin 3
 set tmargin 0

на строках 17-22. После этих танцев с бубном строим график:

plot "./data.data" index 23 using 3 title " " with linespoints  linestyle 1  lc rgb "red"

из файла данных ./data.data, используя блок с результатами номер 22 (ибо index 22 а нумерация идёт с блока 0), в котором строим 3-ю колонку (using 3) стилем линий linestyle 1 используя красный цвет линии  lc rgb "red"

Вообще полезно продумать структуру данных для строительства графиков заранее. Например, размещать данные для разных случаев блоками (ряды данных, отбитых двумя пустыми строками), чтобы использовать возможности gnuplot и особенно инструкции index.

График, расположенный в середине (строки 32-43 ), строится точно так же, только:

set size 1,0.3 
set origin 0.0,0.39

Ну и наконец верхний график в примере это строки 44-54, после чего выключаем multiplot и скармливаем всё gnuplot для графопостроительства. Всё легко и просто  :-)



Разрывные оси (broken axis) на графиках иногда нужны, чтобы показать данные только в тех значениях, где происходит что-то интересное. При этом масштаб нужен линейный, а применение логарифмических осей нежелательно или невозможно (например, когда показывается probability density function). И если вы думали, что предыдущий пример мозговыносящий - пристегните ремни, товарищи, сейчас начнётся...

Рецепт подсмотрен на блоге одной суровой японской девушки, и далее будет адаптирован для ещё более мозголомного случая. Но всё по порядку.

Собственно, требуется построить простой график, но чтобы оси были разрывные. Выглядит график вот так:


Код для построения графика, взятый с сайта Gnuplot Surprising, приводится далее:



Выглядит, конечно, устрашающе. Тем не менее, это тот же самый set multiplot  только сбоку. В отличие от предыдущего примера, здесь мы строим левую и правую части графиков отдельно, с разными осями и диапазонами, а потом сшиваем вместе.

Новизна тут в засечках на осях, которые строятся с плачем и рыданиями - реально, это самая сложная и занудная часть графика (строки 13-17):

#axes broken line set arrow 1 from screen 0.5,0.08 to screen 0.52,0.12 nohead set arrow 2 from screen 0.52,0.08 to screen 0.54,0.12 nohead set arrow 3 from screen 0.5,0.88 to screen 0.52,0.92 nohead set arrow 4 from screen 0.52,0.88 to screen 0.54,0.92 nohead

Занудность в том, что угадать координаты засечек (в формате [x,y]_начало_засечки, [x,y]_конец_засечки) довольно непросто.

Далее идёт построение левой части (строки 24-29):

#The left part set border 1+2+4 #the right border is not plotted set lmargin at screen 0.1 #the left-part's location set rmargin at screen 0.51 set xtics 0,0.02,0.08 plot [0:0.1] f(x) w l lt 1 lw 2 notitle

Сложность здесь в том, чтобы угадать с полями ( set lmargin и  set rmargin ). У японской девушки всё легко и просто, но если нужно построить что-то посложнее, угадывание может отнять время.

После убираем засечки:

#unset the labels and arrows, otherwise they will be plot 
#for the second time
unset label 1
unset label 2
unset label 3 

unset arrow 1
unset arrow 2
unset arrow 3
unset arrow 4

и строим левую часть:

#the right part
set border 1+4+8    #the left border is not plotted
set lmargin at screen 0.53      #the right-part's location
set rmargin at screen 0.94
#ytics is not plotted, as the second plot will share it with the first one
unset ytics
set xtics 0.9,0.02,1.0
plot [0.9:1] f(x) w l lt 1 lw 2

Всё, выключаем мультиплот  unset multiplot  и вставляем эффектный график в статью.


На всякий случай: это не просто дешёвый выпендрёж автора этих строк и желание эпатировать публику, а реальная нужда запрессовать данные в ограниченный объём страниц конференции. Вот как выглядит график:

Здесь показано время работы алгоритма для трёх случаев. В одном из случаев (верхний) время распределено очень неравномерно, и нужно не просто отобразить три графика, но и сделать это с разрывными осями, которые к тому же имеют разный масштаб.

Оценивая критически, этот график перегружен материалом, и автор это отлично понимает. Но проблема в том, что сделать эти графики по отдельности невозможно ввиду ограничений на число страниц, а разбить статью на две нельзя (автор в абстракте наобещал золотые горы полгода назад, абстракт рецензенты конференции приняли, поезд ушёл, и в максимум 12 страниц текст и так влезает с диким скрипом).  В общем, другого нет у нас пути, в руках у нас винтовка (с).

Код для графика:


Собственно, здесь объёдинены два предыдущих примера. Только вместо точек строятся гистограммы, на что намекает строчка with boxes fs pattern 5 для команды plot.

Строчки 45-52 прямо вытащены из примера про разрывные оси.

Обращаю внимание на то, что в коде наличествуют странные на первый взгляд инструкции вида  set xlabel " " они тут совершенно не случайно: при таком строительстве графиков подписи на осях будут красть ценное место, так что лучше спроектировать график так, чтобы оси были одна под другой.

Выражение

  plot [7:7.5] ".data" using ($2*10**3):1

тоже требует пояснений: это на самом деле один из самых простых примеров пред-обработки данных перед строительством графика. Здесь мы просим умножить данные в столбце 2 в тысячу раз: $2*10**3 . Если приглядеться графику, то ось Х содержит данные в милисекундах, но сняты данные были в долях секунды. Удобнее умножить их в гнуплоте, чем пытаться переделать потом.

Усвоенный урок лично автором этих строк: такие мозговыносящие графики стоит создавать поэтапно - сначала нижний график, потом средний, потом верхний. Так проще отлавливать ошибки в инструкциях гнуплоту.


Заключение
У автора окончательно двинулась крыша на почве гнуплота была реальная необходимость втиснуть много данных в график для опубликования. И про это, собственно, созрел пост. И не один.

На самом деле, такие графики довольно удобны: вместо того, чтобы городить десяток графиков, пугая и сбивая с толку читателя, проще и лучше сделать один напичканный данными график, а потом по ходу текста его со смаком обсуждать. К тому же, такой упиханный данными до зубов график позволяет сэкономить место, сохранив при этом читабельность статьи.

Оставлю тут ссылки на будущее с описаниями ещё более навороченных графиков. Представление о возможностях гнуплота можно получить из галереи на официальном сайте.

Огромное количество разобранных примеров можно найти на замечательном блоге Gnuplot Surprising. Блог на английском, и ведёт его японская девушка, которая с помощью гнуплота умеет делать разрывные оси, отображать статистику на графиках, использовать прозрачность, и вообще удалять гланды автогеном через отверстия, о которых вы даже не подозреваете :-)

Но ещё дальше пошёл суровый Zoltán Vörös aka Gnuplotter. В своём блоге Gnuplot tricks и авторским сборником Impossible gnuplot graphs он творит адский трэш, олдскул и угар приводит примеры самых невероятных графиков. Галерея графиков, которые строит Золтан на последних версиях гнуплота, иначе как heavy woodoo назвать нельзя. Среди прочего, стоит отметить проецирование контуров на плоскости в mesh plots, построение Fence Plots, параметрические 6-ти мерные (!) графики, цветовое отображение статистики на графиках и прочие чудеса на виражах.

Раскраска кода выполнена с помощью веб-сервиса http://hilite.me/ который, оказывается, знает и гнуплот.

Cуть бэкдоров в максимальной скрытности, поэтому их авторы часто прибегают к необычным методам обфускации.

Zimbra Collaboration Suite (ZCS) Session Replay Vulnerability

Вместо обещанных 14 бюллетеней безопасности, компания Microsoft выпустила 13 бюллетеней, устраняющих 47 уязвимостей в компонентах Outlook, Internet Explorer, SharePoint, Office, Windows и FrontPage. Исходя из предварительного анонса, пропущенный бюллетень безопасности имел статус "важного" и устранял возможность "отказа от обслуживания". Всего за 5 дней до выпуска пакета обновлений, Microsoft собиралась представить это обновление. Причины, по которым не вышел этот бюллетень, неизвестны, но отмена выпуска является демонстрацией недостаточного тестирования исправлений, выпускаемых компанией Microsoft. Среди допущенных к выпуску тринадцати бюллетеней, восемь позволяли удаленно выполнить произвольный программный код, три приводили к повышению привилегий пользователя, а еще по одному - могли стать причиной отказа от обслуживания и раскрытия данных. Критический статус имеют 4 обновления, а три из них носят высокий уровень угроз, что позволяет использовать их для автоматизированного распространения вредоносного программного обеспечения без участия пользователя. Описание критических угроз представлено в бюллетенях: MS13-067 (недостаточный контроль входных данных сервисом W3WP в SharePoint Server - CVE-2013-1330, а также другие менее критичные уязвимости), MS13-068 (ошибки Outlook при разборе S/MIME сообщений электронной почты - CVE-2013-3870) и MS13-069 (множественные уязвимости обработки веб-объектов, вызывающие повреждение памяти Internet Explorer). Заключительный критический бюллетень MS13-070 связан с ошибками обработки OLE-объетов средствами ОС Windows - уязвимость CVE-2013-3863. Для выполнения произвольного программного кода через эту уязвимость, пользователю необходимо открыть документ, содержащий специально сформированный OLE-объект. Похожие уязвимости описывается в "важных" бюллетенях MS13-072, MS13-073 и MS13-074, но здесь обработка производится компонентами Microsoft Office (Word, Excel и Access). В этих бюллетенях, стоит отметить универсальную уязвимость CVE-2013-3160, которая проявляется при разборе описательных XML-данных Office-документов. Авторами этой уязвимости являются российские эксперты из Positive Technologies. Последний способ выполнения произвольного кода описывается бюллетенем MS13-071. Причиной уязвимости CVE-2013-0810 стали ошибки при разборе файла тем оформления для ОС Windows версии 7, 8, RT и Server 2012. Уязвимости повышения привилегий были обнаружены при обработке китайских иероглифов средствами Microsoft Office 2010 (CVE-2013-3859) и множественных ошибок в драйвере ядра ОС Windows - "win32k.sys". Службы Lightweight Directory Access Protocol (LDAP) опять стали причиной уязвимости вызывающей "отказ от обслуживания", на этот раз, специально сформированный запрос мог послать любой анонимный пользователь (CVE-2013-3868). Еще одна ошибка (CVE-2013-3137) при разборе XML-заголовка средствами FrontPage обнаружена специалистами Positive Technologies. Благодаря этой уязвимости у злоумышленника появляется возможность просмотреть содержимое любого файла на сервере. Все обновления доступны через систему Автоматического обновления и на веб-сайтах компании Microsoft.
Подробности

AllSoft.Ru: Microsoft Office 2013 - стандарт для работы с электронными документами.

Доступен корректирующий выпуск Java SE 7 Update 40 с устранением 621 ошибки. В представленном выпуске представлены только не связанные с безопасностью исправления, устранения уязвимостей были представлены в версии Java SE 7 Update 25. JDK 7 Update 40 доступен в сборках для Linux (x86, ARM), Solaris (x86, SPARC), Windows и Mac OS X. Из внесённых изменений можно выделить: интеграция Java Mission Control (JMC), нового инструментария для мониторинга, диагностики, профилирования и выявления утечек памяти. Новые инструменты предоставляют доступ к детальной низкоуровневой информации о работе и позволяющие эффективно анализировать текущие данные и произошедшие события без негативного влияния на производительность. Поддержка JMC интегрирована в Hotspot JVM, но сам инструментарий доступен только для платных подписчиков; новая политика безопасности Deployment Rule Set, предоставляющая администратору более полный контроль за Java-приложениями, запускаемыми на десктопе. Администратор получил возможность формирования набора правил, регламентирующих какие апплеты и приложения Java Web Start могут быть запущены пользователем и какую версию JRE следует использовать для них; улучшения версии для архитектуры ARM: Поддержка Hard-Float ABI (ARMHF). Оптимизация производительности Java для серверов на архитектуре ARM. Поддержка SA-агента (Serviceability Agent) в ARM-версии JDK; определено время жизни выпуска JRE, после истечения которого будет выводиться уведомление об использовании устаревшей версии с предложением осуществить обновление. Для Java SE 7 Update 40 время жизни определено до 12 октября 2013 года (выход следующего планового обновления). Предупреждение можно отключить опцией deployment.expiration.check.enabled; новые предупреждения безопасности для неподписанных или самоподписанных приложений; увеличена длина ключа для используемого по умолчанию сертификата x.509 (теперь допускаются только RSA-ключи, размером не менее 1024 бит); добавлена поддержка экранов высокого разрешения Retina; JavaFX обновлён до версии 2.2.40, JAXP (Java API for XML Processing) обновлён до версии 1.5, в которой появилась возможность ограничения набора сетевых протоколов по которым допустимо обращаться к внешним ресурсам.
Источник

Read.Ru: Linux Format - журнал для настоящих пингвинофилов и других специалистов IT-отрасли.

Multiple vulnerabilities on D-Link Dir-505 devices

В конце мая этого года, был обнаружен один из самых многофункциональных Android-троянов под названием Obad.a. Основными жертвами трояна стали пользователи мобильных сетей России и стран СНГ. При инфицирование системы, Obad.a использовал сразу несколько, на тот момент, неизвестных уязвимостей: ошибки в программе dex2jar, а также в ядре ОС Android, позволяющие получить расширенные права DeviceAdministrator. Получив контроль над системой, троян отправлял информацию об устройстве и состояние счета абонента в управляющий центр, вместе с тем организуя бэкдор для выполнения удаленных команд: отправка SMS-сообщений; организация прокси-сервера; DDoS-атака; открытие заданного веб-адреса; загрузка и установка произвольного ПО; получение списка контактов; выполнение удаленных команд в консоли; взаимодействие с Bluetooth-устройствам; и многие другие. Одним из основных способов распространения трояна была спам-рассылка. Но, как показало новое исследование, это был не единственный способ распространения. Самым интересным среди обнаруженных способов стал мобильный ботнет на основе трояна Trojan-SMS.AndroidOS.Opfake.a. С его помощью злоумышленники рассылали SMS-сообщения с приглашением просмотреть MMS, содержащее ссылку для загрузки Backdoor.AndroidOS.Obad.a. Еще одним источником распространения Obad.a стали поддельные магазины приложений, позволяющие установить популярные мобильные приложения и игры. В ходе мониторинга было обнаружено два таких каталога приложений. Кроме того, для распространения трояна использовалась сеть из более чем 120 взломанных веб-сайтов. Эти веб-сайты содержали модифицированный файл ".htaccess" переадресовывающий пользователя на скрипт загрузки и установки бэкдора Obad.a. Процесс заражения скрывался под предложением посетить мобильную версию просматриваемого веб-сайта. Делая выводы, эксперты компьютерной безопасности акцентируют внимание на большом финансирование проводимой атаки, связанным с организацией платной SMS-рассылки, а также покупкой мобильного ботнета и взломанных веб-сайтов. Вместе с тем, возможности трояна Obad.a демонстрируют растущую угрозу информационной безопасности со стороны мобильных устройств. Антивирусные эксперты обращают внимание, что далеко не все мобильные устройства позволяют производить обновление ОС Android до текущих версий из-за жесткой привязки к оборудованию и модификаций, проводимых производителями устройств. Поэтому, для защиты мобильных устройств, уже сейчас, следует применять современные антивирусные средства, которые сокращают возможное время разговоров по телефону, но обеспечивают защиту персональных данных и денежных средств абонентов мобильной связи.
Подробности

AllSoft.Ru: Программа для индивидуальной и массовой рассылки email-сообщений - ePochta Mailer.

Внимание! Крутой конкурс для адептов quot;Хакераquot; с возможность пройти двухдневный курс, прокачав навыки управления сложной инфраструкторой.

Борьба с пиратством набирает новые обороты, правообладатели и госорганы удваивают свои усилия в этом нелегком деле. Полагаю, каждый из нас подумывал о том, чтобы защитить личные файлы от посягательства со стороны "нежданных гостей", да и просто слишком любознательных лиц.

часть 2, программное обеспечение

Каждый разработчик ошибается минимум дважды. Первый раз — когда выбирает себе профессию, надеясь при этом переплюнуть успех Facebook. А второй — когда забивает болт на true методики коллективной разработки и рвет на себе волосы во время очередного краха исходников. Серебряной пули для первой ошибки еще не придумали, а вот вторая проблема решается просто. Главное — созреть и окончательно мигрировать на профессиональные системы управления версиями.

"Программа предназначена только для оценки своего сайта, — сказано в описании на официальном сайте. — Не делайте плохого!"

Mikrotik RouterOS 5.* and 6.* sshd remote preauth heap corruption

После двух месяцев разработки Линус Торвальдс выпустил ядро Linux 3.11. В шутку новому ядру присвоено кодовое имя "Linux for Workgroups", по аналогии с Windows 3.11 for Workgroups. Среди наиболее заметных улучшений: технология сжатого кэширования раздела подкачки Zswap; флаг O_TMPFILE для создания "невидимых" временных файлов; возможность упаковки ядра с использованием сжатия LZ4; экспериментальная поддержка кластерной файловой системы Lustre; спящий режим IRST; динамическое управление питанием GPU Radeon; NFS 4.2; применение SELinux для NFS; порт KVM и Xen для архитектуры ARM64.

«неубиваемый» телефон для рабочих и строителей

Сегодня все больше организаций, когда оборудование физически и морально устаревает, начинают задумываться о преимуществах виртуализации и поддержании двух-трех серверов вместо целого парка. Вот и мне предстояло определить наиболее подходящее решение, позволяющее перенести часть систем в виртуальный мир. В результате поисков и экспериментов выбор пал на проект OpenNebula.

двухдисковая модель для корпоративного рынка

Сегодня весь день у автора этих строк работа никак не клеилась, и он по этому поводу решил страдать ерундой написать пост в бложик. Повод тем более благодатный, ибо автору пришла в голову мысль сделать из всей системы Getting Things Done (басурм.: Приводим дела в порядок) один большой шарж забавы ради и пользы дела для. Собственно...

А что за GTD, собственно?

GTD это аббревиатура от Getting Things Done - название первой книги (ныне классической) от David Allen, где он предлагает систематизированный подход по управлению своими делами. GTD это не просто "ещё один тайм-менеджмент", а именно структурированный подход к упорядочиванию своих дел. Некоторое представление о том, как работает GTD, можно получить из поста по этой ссылке.


Книг на самом деле три:

1. Getting Things Done (The Art of Stress-Free Productivity) вышла в 2001 году и сразу захватила умы страждущих. Содержит основные идеи по упорядочиванию дел на уровне действий (Actions) и проектов (Projects). Надо сказать, что первый блин вышел не то, чтобы комом, но не очень удачным: книга несколько водяниста и любит себя повторять.
2. Ready for Anything (Ready for Anything: 52 Productivity Principles for Work and Life) опубликована в 2003 году в ответ на критику по поводу отсутствия в первой книге идей о том, откуда проекты взять и как ставить цели. На взгляд автора этих строк, книга вышла слишком философской и оторванной от реальности, хотя аудиокнига (сильно сокращённый вариант текста) содержит ряд полезных идей.
3. Making It All Work (Winning at the Game of Work and Business of Life) увидела свет в 2008 году, и вот она-то удалась: хорошо структурированная и продуманная, книга содержит детального описания устройства GTD по достижению контроля и перспективы.

Читать стоит все три книги, но начинать следует всё-таки с первой, Getting Things Done - остальные книги подразумевают, что читатель уже в курсе, что такое GTD и почему держать все свои планы и проекты в голове это плохая идея.

Вторую книгу можно пропустить без ущерба для понимания, а вот Making It All Work как раз стоит внимательно прочитать. Здесь Дэвид Аллен как раз и раскрывает всю идею GTD в понятной схеме:



Эта схема как раз и взята из книги Making It All Work где она подробно и доступно объясняется.

Она показывает, что для того, чтобы быть Капитаном и Командиром, следует иметь не только контроль над ситуацией, но и перспективу. О том, как достичь и того, и другого, GTD и рассказывает в трёх книгах - каждый раз несколько иначе, добавляя недостающих деталей и предлагая информацию к размышлению.

Достигаем контроля (Control) над своими делами с помощью GTD

Достижение контроля означает освоение пяти шагов:

• Capture (Запись всего) - ничего не держать в голове, а записывать на бумаге, печатать в текстовом редакторе и фиксировать другими способами. Главное - вытащить всё из головы и положить перед собой, чтобы было легче разбираться.
• Clarify (Прояснение) - каждый клочок бумаги, обрывочный текст или нацарапанный на столе телефонный номер требует прояснения. Что это? Можно ли по этому поводу что-то предприять? Может, это проект? Справочные материалы? Событие в календарь? Или просто мусор?
• Organise (Организация) - когда мы выяснили, что делать (и делать ли вообще) с кусочком информации, его надо соответственным образом организовать. Свои идеи стоит разбить на проекты, каждый из которых имеет цель, идеальный результат, нагенерированные идеи (Brainstorm) и список активных шагов по достижению желаемого результата.
• Review (Обзор) - любая, даже самая навороченная GTD-система, мертва, если она не обновляется регулярно. Мир движется слишком быстро, и список дел к концу рабочей недели успеет устареть: часть шагов выполнена, часть следует запланировать, а некоторые проекты, возможно, уже стали не актуальны. Обзор следует делать раз в неделю - потому он и называется Weekly Review.
• Engage (Выполнение) - теперь, когда у вас всё организовано, следует сделать список проектов и активных шагов: либо распечатать, либо загрузить в смартфон\планшет. При этом и себе, и другим, время от времени стоит задавать вопрос "Каков следующий шаг?" (What is the next action?). Это позволяет превратить мутные и манящие проекты в реально осуществимые шаги.

Схема, содержащая шаги Capture, Clarify и Organize, выглядит примерно так:


Идея в том, чтобы всё сложить в одну корзину "Входящие" - бумажные данные оцифровать, цифровые - переместить в один файл для обработки. Далее принимается решение о том, что представляет собой данный клочок бумаги \ данных - можно ли предпринять какие-то действия по этому поводу или нет.

Actionable stuff

Если клочок бумаги в ваших руках требует каких-то действий, то это может быть:

• Next action (активное действие) - купить молоко, оплатить счёт, добавить рисунок в пост;
• Project (проект) - это цель, которая достижима менее чем за год и требующая больше одного физического действия. Пример: написать пост в блог, исследовать оптимизационный алгоритм, купить новый смартфон.
• Waiting for (ожидание) - иногда действия требуются не от вас, а от других, и работу можно перепоручить. Это, безусловно, приятно, но всё равно требует контроля и учёта - что именно поручено и когда требуется.
• Calendar (событие) - это действие, которое имеет смысл в определённый день. Для этого в нашей GTD-системе должен быть календарь, куда стоит заносить все события и регулярно их обновлять.

То, как вы всё это организуете - на бумаге, на смартфоне, в веб-сервисе, или даже в виде сложного LaTeX-файла - не имеет значения. Важно регулярно обновлять и улучшать систему, чтобы вы могли ей доверять.

На самом деле, создание GTD-системы "под себя" - не такая сложная задача, как кажется. Можно использовать LaTeX, как это сделал я, или Markdown, если web-просмотр вам ближе - важно, чтобы язык или программа позволяла легко создавать и менять списки. Список - ядро GTD, поскольку многое  в GTD это просто список:

• список проектов
• список активных шагов
• календарь это по сути список событий
• список зон ответственности (areas of focus)

 Использование готовых программ, хотя и полезно на первых порах, в дальнейшем может привести к трудностям - рано или поздно вы захотите подстроить GTD под себя, и это в сторонней программе может быть нетривиально.

Non-actionable stuff

По многим вопросам не нужно делать активных действий, но тем не менее они важны и нужно их хранить:

• Someday\Maybe (Когда-нибудь\может быть) - это список разного рода безумных затей и оголтелых проектов, которые пока либо не дозрели, либо вообще не понятно, понадобятся ли. Тем не менее, такие затеи лучше хранить списком и время от времени навещать.
• Reference materials (справочные материалы) - ссылки, руководства, гарантийные талоны, умные мысли и цитаты. Файловая система компьютера сама подсказывает способ упорядочивать подобные данные, а для справочных материалов в бумажном виде придётся купить папки, чтобы весь этот скарб хранить.

Или не хранить: многое имеет свойство устаревать и терять значение, поэтому бумажный шредер и кнопка DEL ваши самые лучшие друзья.

Зачем делать еженедельный обзор (Weekly Review)?

Любая система устаревает - как сама по себе (вашу реализацию GTD придётся время от времени допиливать под обстоятельства), так и данные, которые в ней содержатся (проекты, активные шаги и цели). Поэтому как бы вам не было лениво, Еженедельный обзор есть самая важная привычка в деле GTD.

Схематично еженедельный обзор можно представить в виде:



В Интернете вы найдёте массу рекомендаций о том, как делать Еженедельный обзор за рулём, под водой и в коленно-локтевом положении, но горькая правда всегда одна: либо вы его делаете регулярно (и это входит в привычку), либо вся эта изящная GTD-система перестаёт на вас работать.

Ключ на старт!

Всё запланировано, разложено по полочкам, загружено и распечатано - время, собственно, делать дело! Вся эта GTD-система от товарища Аллена на то и создана, чтобы позволять делать дела быстрее и эффективнее. При этом решения принимаете вы, руководствуясь четырьмя критериями:

1. Context (контекст) - есть дела, которые можно сделать только за компьютером (что-то посмотреть в Интернете), или только с помощью телефона (сделать несколько звонков), и такие дела лучше всего объединять в серии.
2. Time (время) - вряд ли стоит затевать писать эпических размеров пост длинной в "Войну и Мир", если у вас есть 10 минут перед ответственной встречей. Стоит перегруппировать свои дела, чтобы выделить длинный кусок времени для масштабных дел.
3. Energy (запас сил) - если вы не выспались или пребываете в состоянии insect mind-state, стоит пройтись по списку активных шагов и проектов в поиске чего-нибудь несложно-мухобойного, что всё равно придётся делать. Наоборот, если у вас из всех щелей брызжит креатив, вот как у автора этих строк сейчас, стоит отложить другую работу и дать креативу волю.
4. Priority (приоритеты) - есть проекты, которые не горят, но очень важны, а есть рутинная мелочь, которая не сильно способствует продвижению вперёд. Важно не скатываться в простое выполнение проектов, а выполнять важные именно для вас задачи.

Выглядит в виде схемы это как-то так:




Всякий раз, когда ваши мысли мутны, неясны или бесцельны, стоит подняться над ситуацией и подумать на другом горизонте:

• Если вы заняты (активные действия), и у вас нет ясности - остановитесь и пересмотрите свои планы.
• Если вы планируете (организация),  и у вас нет ясности - возьмите чистый лист бумаги, чтобы сделать мозговой штурм. Может быть, вам нужно больше информации или идей.
• Если вы пытаетесь делать мозговой штурм, и у вас нет ясности - вернитесь к желаемому результату и тому, как выглядит успех.
• Если вы пытаетесь представить идеальную картину (видение), и у вас нет ясности - вернитесь к вашей цели: зачем вы это вообще делаете?

Ясность - одно из проявлений полного тумана. Чтобы видеть ясно, заберитесь повыше.

Достигаем перспективы (Perspective) с помощью GTD

Нужно мыслить перспективно для того, чтобы ставить себе цели и формулировать проекты для достижения этих целей. Здесь нам снова пригодится GTD: будучи структурированным подходом для самоорганизации, GTD поможет разложить проекты, зоны ответственности, цели, видение и назначение. Аллен предлагает аэрокосмическую аналогию по высотам - чем больше высота, тем более абстрактные и перспективные идеи там лежат:

• 50.000 футов - Назначение и Принципы - вопрос "Зачем это делать?"
• 40.000 футов - Видение и Стиль жизни - вопрос "Как выглядит успех и желаемый стиль жизни в далёкой перспективе?"
• 30.000 футов - Цели и Средства - вопрос "Чего я хочу достичь в течение года или двух?"
• 20.000 футов - Зоны ответственности - вопрос "Что я хочу поддерживать?"
• 10.000 футов - Проекты - вопрос "Что я хочу завершить?"
• 0 футов, Взлётная полоса - Следующие шаги - вопрос "Что мне нужно сделать?"

Каждый уровень содержит списки или проекты, которые должны отражать содержимое нижних уровней и согласоваться с более высокими. Чем выше горизонт, тем проще его структура, но сложнее формулировать содержимое. Чем ниже горизонт, тем сложнее им управлять.
Поэтому самая сложная часть GTD - взлётная полоса: создание структуры, которая содержит все ваши действия - сложное занятие. Наоборот, описание назначения ваших проектов (и жизни) и принципов - просто (это просто список), но формулировать их, по понятным причинам, нелегко.



Начнём с самого приземлённого уровня, как советует Дэвид Аллен - со взлётной полосы.

0 футов, Взлётная полоса: Следующие шаги

Горизонт Следующих шагов - это список всех активных действий, упорядоченных по проектам, контекстам или приоритетам. Каждый выполненный шаг, по идее, приближает вас к реализации проекта, который с этим шагом связан.

Вопрос, который здесь следует задать себе на этом уровне: "Что мне нужно сделать?"



Любой самый навороченный проект можно разбить на последовательность шагов. Иногда проще всего продвинуть проект, задав себе (и окружающим) вопрос: "Так каков следующий шаг?"

10.000 футов: Проекты

Горизонт Проектов, который содержит все ваши проекты, достижимые в течение года. Такой срок объясняется тем, что эти проекты нужно мониторить и обновлять каждую неделю.

Вопрос, который здесь следует задать себе на этом уровне: "Что я хочу завершить?"


Проект, как и цель - не то, что вы делаете: вы можете только выполнить шаги, достаточные для того, чтобы проект считать завершённым. Каждый проект должен содержать цель, видение, активные шаги и материалы для проекта.

20.000 футов: Зоны ответственности

Горизонт Зон ответственности (фокуса) содержит список областей или категорий, которым вы отдаёте предпочтение или уделяете особое внимание.

Вопрос, который здесь следует задать себе на этом уровне: "Что я хочу поддерживать?"


Зоны ответственности это такой высокоуровневый проверочный список (checklist), который определяет микс ваших проектов. Если вы слишком много работали, есть смысл больше уделить времени отдыху, например.

30.000 футов: Цели и Средства

Горизонт Целей и Средств содержит список целей, которые вам хотелось бы достичь в течение года или двух.

Вопрос, который здесь следует задать себе на этом уровне: "Чего я хочу достичь?"
С каждой целью следует ассоциировать проект(ы), которые помогут достижению целей. Скажем, проект по переезду в другой город - дело хлопотное, и одним проектом здесь не обойтись.

Цели придают вашей лодке устойчивость в океане событий: оценивая, сколько времени и средств отнимет большой проект, вы приобретаете возможность точнее прогнозировать свои действия.

40.000 футов: Видение и Стиль жизни

Горизонт Видения и Стиля жизни содержит список интересных, увлекательных, заманчивых долгосрочных целей, мечтаний и желаемого стиля жизни, которые вам хотелось бы достичь. Это не "как добраться отсюда вон туда", а скорее "а что там-то?".


Вопрос, который здесь следует задать себе на этом уровне: "Как выглядит долгосрочный успех?"


Если у вас хорошо развито воображение, то можно сделать небольшой коллаж из картинок и текста, который отражает ваши мечты на будущее. Хорошо сделать нечто вроде карты сокровищ: 


На этом уровне не обязательно прилинковывать проекты для достижения своих мечтаний - это скорее мотивирующий плакат, видение, перспектива, которая определяет направление ваших повседневных действий.

50.000 футов: Назначение и Принципы

Горизонт Назначения и Принципов - самый философский из всех. Это короткое, но энергичное (а главное правдивое) описание того, зачем вы всё это делаете. В конечном итоге это должен быть ответ на вопрос "в чём назначение вашей компании\жизни?"
  Вопросы, который здесь следует задать себе на этом уровне: "Зачем я всё это делаю?" и "Я в своей лучшей форме, когда...?"


Самый верхний горизонт часто представляет собой одно предложение с ответом на вопрос для себя "Зачем я это всё делаю?" и списком Принципов (это некие стандарты и ценности, ниже которых вы не позволите себе жить и работать).  К этому ещё можно прибавить список цитат, которые вам дороги.

Контроль и Перспектива = Капитан и Командир

Этот пост призван подвести итог более чем шестилетнему опыту использования мной системы GTD. За это время несколько раз сменился формат бумаги (А6 -> A5 -> A4 -> A5), формат электронной версии (текстовые файлы -> чистый LaTeX -> LaTeX + Kile + Markdown + Zim) и прибавилась техника тайм-менеджмента Pomodoro.

Сначала живётся в режиме выживания (Survivalist), имея мало контроля и мало перспективного видения.

С приобщением к GTD, появилось больше контроля над обстоятельствами. Но способность (и смелость) перспективного видения - не то, что приобретается за неделю, и автор постепенно скатился в микроменеджмент (много контроля, мало перспективы).

Обладая контролем над проектами, действиями и идеями, автор начал слишком много фантазировать и редко обновлять GTD-систему, на некоторое время превратившись в Мечтателя (Crazymaker).

Прочтение Making it all work имело тонизирующий и оздоравливающий эффект: набранный контроль и упорядоченное мечтательство позволило приблизиться к состоянию "Капитана и Командира", и уверенно выдерживать курс к своим целям, не смотря ни на что.



Не стоит думать, что GTD есть попытка свести всю жизнь к механистическому вычёркиванию заранее запланированных шагов: GTD просто помогает держать картину своих планов и проектов под контролем. Этот пост, например, вообще не был запланирован и никогда не присутствовал в моей системе - просто этим утром какой-то винтик повернулся в голове, и я решил, что это именно то, что стоит сегодня сделать.

Как и было обещано, полная картина GTD в виде одного коллажа:

Вся схема Getting Things Done. Кликабельна, 700кб JPEG

Так или почти так выглядит вся идея Getting Things Done, сформулированная и практикуемая Дэвидом Алленом и миллионами людей по всему миру.

Вся схема доступна для загрузки:

• в векторном формате SVG (5.6 Mb)
• в формате PDF (3.2 Mb)
• в растровом формате JPEG (620 Kb)
• в растровом формате PNG (1.7 Mb)

Исходник для схемы принятия решений в SVG можно скачать по этой ссылке. Шрифт, использованный в схеме, называется Jikharev.

Благодарности

Автор в неоплатном долгу перед сервисом shutterstock и другими сайтами, откуда были надёрганы векторные картинки для GTD-схемы. Ну и перед David Allen, разумеется, который помог (и делает это по сей день) многим GTDшникам делать дела быстрее, мыслить ширее и поступать смелее.

тестирование экранов, камер и беспроводных коммуникаций

генеральным директором корпорации Intel по исследованиям и разработкам в России