Category: компьютерное

Про безопасность месенжера Телеграм

Теле­грам рас­кры­ва­ет физи­че­ское место­по­ло­же­ние поль­зо­ва­те­лей.

Вку­пе с не вполне про­ду­ман­ной схе­мой шиф­ро­ва­ния сооб­ще­ний (напри­мер, вме­сто HMAC там исполь­зу­ет­ся про­сто хеш-функ­ция SHA, то-есть, целост­ность сооб­ще­ния, в прин­ци­пе, соблю­да­ет­ся, а вот неопро­вер­жи­мость автор­ства — уже никак не гаран­ти­ру­ет­ся) это в оче­ред­ной раз наво­дит на мыс­ли о том, что это нароч­но так сде­ла­но. Что в Теле­грам спе­ци­аль­но встро­е­ны дыры с пода­чи Кон­то­ры. Про­бле­ма с наме­рен­ным вне­се­ни­ем дыр, конеч­но, одна и та же, неиз­мен­но мно­го лет — то, что дыры вно­си­лись для кого-то, не даёт ника­кой гаран­тии того, что ими не вос­поль­зу­ет­ся кто-то дру­гой. Поэто­му все эти гни­лые захо­ды со сто­ро­ны зако­но­да­те­лей, что непло­хо бы дать спец­служ­бам спец­до­ступ к пере­пис­ке надо гнать пога­ной мет­лой. Даём им — даём и зло­умыш­лен­ни­кам.

Кароч, все, кому по-насто­я­ще­му надо — исполь­зу­ют Сиг­нал. Но обме­ни­вать­ся коти­ка­ми, конеч­но, мож­но и через Теле­грам.

Смело выступили

Лабо­ра­то­рия Кас­пер­ско­го заяви­ла, что за хак «Солар­Вин­дз» ответ­ствен­на хакер-груп­пи­ров­ка Тур­ла (кста­ти, реаль­но очень, очень кру­тые ребя­та). Нью­анс в том, что Тур­ла спон­си­ру­ет­ся рус­ским пра­ви­тель­ством. Так что Кас­пе­рыч напря­мую ука­зал на Рос­сию как источ­ник хака.

Впро­чем, ниче­го, конеч­но, ново­го. Аме­ри­кан­ские экс­пер­ты в сфе­ре без­опас­но­сти быст­ро опре­де­ли­ли, что за Стак­с­нет ответ­ствен­но аме­ри­кан­ское пра­ви­тель­ство, и не шиб­ко постес­ня­лись об этом заявить.

Взлом замка компьютерными технологиями

Какая инте­рес­ная штуч­ка. Сде­ла­ли кро­шеч­ную веб-каме­ру, кото­рую мож­но вста­вить внутрь замоч­ной сква­жи­ны, посмот­реть там кон­фи­гу­ра­цию штиф­тов, после чего по полу­чен­ной ком­би­на­ции (ком­би­на­ций, кста­ти, в этом кон­крет­ном зам­ке ока­за­лось немно­го — 65) выре­зать ключ и нор­маль­но этот замок открыть.

Всё же элек­трон­ные зам­ки надёж­нее. У них, прав­да, есть уяз­ви­мость в том плане, что мож­но под­смот­реть ком­би­на­цию. Уста­но­вив, напри­мер, неза­мет­но каме­ру. Поэто­му кру­че будут зам­ки двух­фак­тор­ные, напри­мер, отпе­ча­ток паль­ца плюс циф­ро­вая ком­би­на­ция. Такие, кста­ти, есть, но сто­ят недё­ше­во — око­ло 200 монет.

Или при­ло­же­ние на теле­фоне, соеди­ня­ю­ще­е­ся по блю­ту­су. Или отпе­ча­ток паль­ца плюс RFID бре­лок. Послед­ний, прав­да, тоже мож­но сты­б­зить баналь­ным RTL-SDR. Но это как в любой без­опас­но­сти — залёт­но­го оста­но­вит, а про­фес­си­о­на­ла фигуш­ки.

CentOS — всё

UPDATE: Я эту запись уже вто­рой день пыта­юсь в ЖЖ опуб­ли­ко­вать. Изви­ня­юсь за спам. Попро­бу­ем ещё разик.

И хер бы с ним. Нико­гда эту грё­ба­ную Шап­ку и про­из­вод­ные не любил. Если бы не YellowDog, пода­рив­ший Шап­ке yum, уста­нов­ка соф­та на Шап­ке до сих пор была бы извра­щён­ным сек­сом с зако­ул­ка­ми, пото­му что rpm не может в авто­ма­ти­че­скую уста­нов­ку необ­хо­ди­мых сопут­ству­ю­щих биб­лио­тек.

Уточ­ню. CentOS не совсем «всё», про­сто рань­ше это был, по сути, слег­ка пере­де­лан­ный RHEL, а теперь это будет назы­ва­ет­ся CentOS Stream, и он будет являть­ся не пере­де­лан­ным RHEL, а его бета-вер­си­ей. Что авто­ма­ти­че­ски озна­ча­ет, что в про­из­вод­ство его ста­вить нель­зя.

Так что с точ­ки зре­ния сисад­ми­нов CentOS — таки «всё»!

Винда и установленные программы

Вот вы как дума­ли, что всё, что уста­нов­ле­но — вид­но в пане­ли управ­ле­нии на Windows? Ага, щас. На самом деле уста­нов­ле­но там намно­го боль­ше, толь­ко неко­то­рые вещи в пане­ли управ­ле­ния не отоб­ра­жа­ют­ся. Прин­ци­пи­аль­но.

Полу­чить весь спи­сок мож­но, прой­дя рука­ми в реестр:

HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall (для 64-бит­но­го соф­та)
HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall (для 32-бит­но­го соф­та, ага, надо по-дру­го­му)

Мож­но, напри­мер, в шел­ле сде­лать так:

$programs = Get-ChildItem ‑Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall; foreach ($program in $programs) { $program }

Узна­е­те мно­го ново­го, я гаран­ти­рую.

Надо ска­зать, что rpm ‑qa или apt list –installed зна­чи­тель­но про­ще в при­ме­не­нии (лич­но мне). Мик­ро­софт, прав­да, не закон­чен­ные при­дур­ки, поэто­му быст­рень­ко под­су­е­ти­лись и выка­ти­ли winget, с кото­рым мож­но делать очень похо­жие фоку­сы. Я его, прав­да, тол­ком пока не щупал, неиз­вест­но, как оно пока­зы­ва­ет уста­нов­лен­ный софт — даёт пол­ный спи­сок или кастри­ро­ван­ный, как в пане­ли управ­ле­ния.

А вооб­ще забав­но, конеч­но, наблю­дать как Windows семи­миль­ны­ми шага­ми идёт к копи­ро­ва­нию линук­со­по­доб­ных вещей. Ещё бы уста­нов­ку обнов­ле­ний при­ве­ли бы к про­сто­те apt update && apt upgrade и ста­ло бы совсем хоро­шо. Новое — хоро­шо забы­тое ста­рое!

Я не хочу трахаться в гамаке на коньках

Я хочу пол­но­цен­но тра­хать­ся в гама­ке на гор­ных лыжах!

Как гру­зят­ся про­грам­мы с маг­ни­то­фо­на в «Спек­трум» или «Бекаш­ку» все, конеч­но, пом­нят.

А вот загруз­ку ДОСа с вини­ла я пока не видел. Теперь — видел 🙂

Прак­ти­че­ская цен­ность, конеч­но, нуле­вая, это чисто по при­ко­лу, см. эпи­граф. У чела был резак для запи­си на вини­ло­вые пла­стин­ки, запи­сы­вать ему, навер­ное, было нече­го, решил запи­сать ДОС 🙂 Кста­ти, реаль­но не могу понять, на кой хер такое обо­ру­до­ва­ние вооб­ще выпус­ка­ет­ся — писать надо С ЧЕГО-ТО, а это ЧТО-ТО заве­до­мо будет выше каче­ством, чем наре­зан­ная в домаш­них усло­ви­ях грам­пла­стин­ка. К тому же сто­ит овер­до­фи­га.

Чинил ноутбук

Мой рабо­чий ноут­бук поче­му-то недав­но пере­ко­сил­ся — посре­ди кла­ви­а­ту­ры вырос холм. Разо­брал. Внут­ри ноут­бу­ка ока­за­лась бом­ба. Почти не шучу.

Спа­си­бо пла­сти­ко­вой обо­лоч­ке бата­рей­ки — она таки уло­ви­ла всю дрянь, кото­рая реши­ла отту­да вылить­ся. Вот радо­сти бы было, если бы оно про­тек­ло мне на руки или колен­ки. И заго­ре­лось бы, до кучи.

Netgear

У меня есть некий внут­рен­ний гов­но­спи­сок ком­па­ний, чьи про­дук­ты я не поку­паю из-за преды­ду­ще­го отри­ца­тель­но­го опы­та. В первую оче­редь это, конеч­но, мой люби­мый «Сам­сунг». Пёс его зна­ет, поче­му так — у тол­пы наро­ду всё рабо­та­ет, у меня нет. Но фиг с ним, пого­во­рить я хотел не про «Сам­сунг». Ещё одним эле­мен­том спис­ка была про­дук­ция «Нет­гир». Пото­му что у меня сло­ма­лось два марш­ру­ти­за­то­ра этой фир­мы. При­чём доволь­но оди­на­ко­во сло­ма­лось — при боль­шом коли­че­стве траф­фи­ка оно, похо­ду, тупо пере­гре­ва­лось и вис­ло.

А тут купил я домой где-то око­ло двух лет назад яче­и­стую сеть Netgear Orbi. Сотруд­ни­ка послу­шал, блин. А вот не надо было нико­го слу­шать — своя баш­ка на пле­чах есть. И пона­ча­лу не было у меня к ней ника­ких наре­ка­ний. А за этот месяц, похо­же, репу­та­ция этой ком­па­нии в моём гов­но­спис­ке нако­нец оправ­да­лась. Вис­нет, пида­рас. Дети же дома, и оба мы из дома рабо­та­ем. Как под­на­ля­жем на сеть — и всё накры­ва­ет­ся мед­ным тазом, чинить мож­но толь­ко пере­за­гру­жа­ни­ем марш­ру­ти­за­то­ра.

К тому же были тут недав­но нехо­ро­шие ново­сти про их про­дук­цию:

https://www.tomsguide.com/news/netgear-router-admin-hack
https://www.pcmag.com/news/79-netgear-routers-vulnerable-to-serious-security-flaw

Это, прав­да, не про мою модель, но про­сто пока­зы­ва­ет, как ком­па­ния отно­сит­ся к без­опас­но­сти. И дело даже не в том, что в про­дук­ции есть дыры — они в любой про­дук­ции есть — а в опе­ра­тив­но­сти их устра­не­ния. У той же Цис­ки к тому вре­ме­ни, как опуб­ли­ко­ва­на инфа о дыр­ках, уже обыч­но гото­во исправ­ле­ние.

Чего буду поку­пать на заме­ну — пока не знаю. На Цис­ку у меня бюд­же­та нет — там самая дешё­вая точ­ка досту­па две­сти дол­ла­ров сто­ит. Изу­чаю вопрос. Если не Цис­ку, то, навер­ное, Линк­сис (Цис­ка им вла­де­ет). Ну или Юби­ку­и­ти.