Category: сисадминское

Это вос­хи­ти­тель­но. Пакет управ­ле­ния паро­ля­ми от Кас­пер­ско­го в каче­стве источ­ни­ка энтро­пии (слу­чай­ных собы­тий) исполь­зо­вал мест­ное вре­мя. В резуль­та­те чего любой сге­не­ри­ро­ван­ный этим гов­ном пароль был неслу­чай­ным, и взла­мы­вал­ся на счёт «три».

Я про­стой ску­бент, и то знаю, что источ­ни­ков энтро­пии надо при­ме­нять несколь­ко, и жела­тель­но исполь­зо­вать чело­ве­ка. Напри­мер, мерять вре­мя меж­ду нажа­ти­я­ми кла­виш. Чело­век, как он ни бей­ся, не может повто­рять собы­тия абсо­лют­но оди­на­ко­во. На веб­сер­ве­ре пре­крас­но мерять вре­мя меж­ду запро­са­ми поль­зо­ва­те­лей. Про­бле­мы воз­ни­ка­ют на нена­гру­жен­ных сер­ве­рах, где внеш­них обра­ще­ний мало. Поэто­му непло­хо иметь в каче­стве источ­ни­ка шума хард­вер­ные источ­ни­ки. Напри­мер, шум полу­про­вод­ни­ков — он кван­то­вый, и даже с самы­ми совре­мен­ны­ми при­бо­ра­ми его невоз­мож­но пред­ска­зать. Крип­то­гра­фи­че­ский сопро­цес­сор (TPM), соб­ствен­но, этим и зани­ма­ет­ся.

Я не думаю, что на Кас­пер­ско­го рабо­та­ют бес­то­ло­чи. Так что это не дурость, это хуже. Это сде­ла­но спе­ци­аль­но, что­бы в ресур­сы, защи­щён­ные паро­ля­ми, сге­не­ри­ро­ван­ны­ми этой про­грам­мой, Кто Надо, мог лег­ко про­ник­нуть.

Источ­ник: https://donjon.ledger.com/kaspersky-password-manager/

Рус­ские в оче­ред­ной раз попы­та­лись нас под­ло­мить. Но наша кон­то­ра вовре­мя увер­ну­лась.

Надо­е­ло уже.

На рабо­те пери­о­ди­че­ски зани­ма­юсь рас­сыл­кой вре­до­нос­ных писем (фишинг). Ну, не насто­я­щих, конеч­но, а тре­ни­ро­воч­ных. Тех­но­ло­гию я раз­ра­бо­тал сам, а идею под­гля­дел на преды­ду­щем месте рабо­ты, где пре­па­ри­ро­вал ком­пью­тер­ные виру­сы.

В прин­ци­пе, ниче­го слож­но­го. Глав­ное — вовре­мя оста­но­вить­ся, и оста­вить поль­зо­ва­те­лям доста­точ­но дета­лей, выгля­дя­щих подо­зри­тель­но, что­бы эти дол­бо­клю­вы всё же хоть чему-то научи­лись. Мно­гие, напри­мер, пола­га­ют­ся на поле From: — хотя в SMTP, кото­рым мы, блин, уже сорок лет поль­зу­ем­ся, хоть и с добав­ле­ни­я­ми, ника­кой про­вер­ки на досто­вер­ность это­го поля нет. Но я всё рав­но пишу там вся­кое hren@nahren.com — так как в 99.99999% слу­ча­ев спа­ма в этом поле имен­но такой подоб­ный мусор.

Рано или позд­но я научу их не пола­гать­ся и на это поле. Когда я толь­ко начал эту про­грам­му, я отлав­ли­вал до 35% поль­зо­ва­те­лей. Со вре­ме­нем я довёл это чис­ло до 15%. И это, без­услов­но, всё рав­но боль­ше, чем надо, но ещё не вечер.

Этот спо­соб — наи­луч­ший спо­соб научить юзве­рей уша­стых не нажи­мать что попа­ло. Кро­ме того, нали­чие подоб­но­го рода тре­ни­ро­воч­ных про­грамм нын­че уже часто не опци­о­наль­но. Кто слы­шал сло­ва NIST-800–171, тот зна­ет.

А вы зна­е­те, кто из поль­зо­ва­те­лей у меня на рабо­те в этом плане самый умный? Вы не пове­ри­те — бухи и рецеп­ци­о­ни­сты. В послед­ний заход, сего­дня, я не отло­вил ни одно­го чело­ве­ка, кото­рых неко­то­рые пре­зри­тель­но назы­ва­ют «офис­ный планк­тон». Зато зна­е­те, кого я отло­вил? Типа умных людей с нехи­лой зар­пла­той — одно­го сисад­ми­на, одно­го погро­ми­ста и аж ДВУХ офи­це­ров по без­опас­но­сти. Ну, и про­да­ва­нов, конеч­но, куда без них.

Вот вам и «офис­ный планк­тон».

Длин­ная, но инте­рес­ная ста­тья (англ) про взлом ком­па­нии RSA, про­из­во­ди­те­ля токе­нов для двух­фак­тор­ной аутен­ти­фи­ка­ции.

By Alexander Klink — Own work by uploader, taken using a Sony alpha 700, Minolta 50mm 2.8 Macro, CC BY 3.0, https://commons.wikimedia.org/w/index.php?curid=5046467

Для тех, кто не вполне в кур­се того, как это рабо­та­ет — циф­ры на бре­ло­ке посто­ян­но меня­ют­ся, и исполь­зу­ют­ся как одно­ра­зо­вый пароль (вто­рой фак­тор) при аутен­ти­фи­ка­ции поль­зо­ва­те­ля. Преду­га­дать, какие циф­ры будут на бре­ло­ке в какой-то опре­де­лён­ный момент вре­ме­ни — невоз­мож­но. Что­бы это сде­лать, надо знать изна­чаль­ный век­тор ини­ци­а­ли­за­ции это­го алго­рит­ма (seed value). В 2011 году китай­ские хаке­ры имен­но это и сде­ла­ли — влез­ли на сер­вер, где хра­ни­лись век­то­ры ини­ци­а­ли­за­ции, и бла­го­по­луч­но их укра­ли. Там обра­зом, они зна­чи­тель­но облег­чи­ли рабо­ту по вле­за­нию в ком­пью­те­ры дру­гих ком­па­ний, защи­щён­ных этим алго­рит­мом, устра­нив вто­рой фак­тор аутен­ти­фи­ка­ции. Так, кря­ке­ры попы­та­лись влезть в Лок­хид Мар­тин. Насколь­ко успеш­но, неиз­вест­но.

Что самое, бля­ха-муха, обид­ное, так что хак начал­ся с про­сто­го как лом, при­ё­ма — фишин­га. Был выслан эксе­лев­ский доку­мент со скрип­том, ата­ку­ю­щим уяз­ви­мость в Adobe Flash. И все эти ваши бранд­мау­э­ры, двух­фак­тор­ные аутен­ти­фи­ка­ции, мно­го­слой­ные защи­ты — пошли лесом. Доко­ле, блин.

Ну что, бра­тья сисад­ми­ны, вас, слу­чай­но, не заце­пи­ло этой пре­крас­ной дыре­нью в Exchange? Нас таки заце­пи­ло. Но, прав­да, по каса­тель­ной. Суть экп­лой­та в том, что хакер может себя авто­ри­зо­вать как один из систем­ных поч­то­вых ящи­ков, напри­мер, Discovery Mailbox. Затем он полез ломать ящик administrator. Имен­но на этом месте у китай­ских това­ри­щей вышел облом, так как учёт­ная запись Administrator у нас пере­име­но­ва­на, как и поло­же­но по РТО­Бам.
Но очень непри­ят­но думать о том, что спас­ла нас прак­ти­че­ски полу­слу­чай­ность. 5 минут, потра­чен­ные на допол­ни­тель­ный соци­аль­ный инжи­не­ринг, вполне мог­ли бы выявить назва­ния учёт­ных запи­сей с пред­по­ло­жи­тель­но боль­ши­ми при­ви­ле­ги­я­ми.

Как я уже писал, CentOS сдох. И хрен бы с ним.

Но надо отдать долж­ное шапош­ни­кам, поль­зо­ва­те­лей без тру­сов на мороз они не всё же не выго­ня­ют.

В неболь­ших коли­че­ствах лицен­зии на RHEL теперь раз­да­ют­ся бес­плат­но.

Хоро­шо сде­ла­ли.

UPDATE: Я эту запись уже вто­рой день пыта­юсь в ЖЖ опуб­ли­ко­вать. Изви­ня­юсь за спам. Попро­бу­ем ещё разик.

И хер бы с ним. Нико­гда эту грё­ба­ную Шап­ку и про­из­вод­ные не любил. Если бы не YellowDog, пода­рив­ший Шап­ке yum, уста­нов­ка соф­та на Шап­ке до сих пор была бы извра­щён­ным сек­сом с зако­ул­ка­ми, пото­му что rpm не может в авто­ма­ти­че­скую уста­нов­ку необ­хо­ди­мых сопут­ству­ю­щих биб­лио­тек.

Уточ­ню. CentOS не совсем «всё», про­сто рань­ше это был, по сути, слег­ка пере­де­лан­ный RHEL, а теперь это будет назы­ва­ет­ся CentOS Stream, и он будет являть­ся не пере­де­лан­ным RHEL, а его бета-вер­си­ей. Что авто­ма­ти­че­ски озна­ча­ет, что в про­из­вод­ство его ста­вить нель­зя.

Так что с точ­ки зре­ния сисад­ми­нов CentOS — таки «всё»!

Точ­нее, в OpenSSL паке­те.

Бегом обнов­лять­ся до вер­сии 1.1.1i

Вот есть у тебя, напри­мер, маши­на с седь­мым Вин­до­узом. И есть у тебя на ней какой-то уста­нов­лен­ный ком­мер­че­ский софт. Про­ап­грей­дить­ся до десят­ки? Не про­бле­ма. И софт, что харак­тер­но, про­дол­жит рабо­тать.

А вот теперь поме­няй Вин­ду 7 на Убун­ту 16, а деся­тую вин­ду на Убун­ту 18. И полу­чишь кон­скую эту самую на ворот­ник, что­бы шею не нати­ра­ло. Софт будет отва­ли­вать­ся с дики­ми кри­ка­ми по пово­ду нена­хож­де­ния ста­рых вер­сий самых раз­но­об­раз­ных биб­лио­тек (напри­мер, libc или libwebp — это уж смот­ря какой софт).

А на деся­той вин­де софт, рабо­та­ю­щий на XP, до сих пор запу­стит­ся (в боль­шин­стве слу­ча­ев) вполне нор­маль­но.

Линупс бес­пла­тен толь­ко в том слу­чае, если твоё вре­мя ниче­го не сто­ит.

Пост напи­сан по моти­вам «как Плот­ник обнов­лял машин­ку с Apache Guacamole, кото­рую надо из сыр­цов соби­рать, пото­му что в apt-шных репо­зи­та­ри­ях оно древ­нее гов­на мамон­та.»