Category: сисадминское

Игрался

На рабо­те пери­о­ди­че­ски зани­ма­юсь рас­сыл­кой вре­до­нос­ных писем (фишинг). Ну, не насто­я­щих, конеч­но, а тре­ни­ро­воч­ных. Тех­но­ло­гию я раз­ра­бо­тал сам, а идею под­гля­дел на преды­ду­щем месте рабо­ты, где пре­па­ри­ро­вал ком­пью­тер­ные виру­сы.

В прин­ци­пе, ниче­го слож­но­го. Глав­ное — вовре­мя оста­но­вить­ся, и оста­вить поль­зо­ва­те­лям доста­точ­но дета­лей, выгля­дя­щих подо­зри­тель­но, что­бы эти дол­бо­клю­вы всё же хоть чему-то научи­лись. Мно­гие, напри­мер, пола­га­ют­ся на поле From: — хотя в SMTP, кото­рым мы, блин, уже сорок лет поль­зу­ем­ся, хоть и с добав­ле­ни­я­ми, ника­кой про­вер­ки на досто­вер­ность это­го поля нет. Но я всё рав­но пишу там вся­кое hren@nahren.com — так как в 99.99999% слу­ча­ев спа­ма в этом поле имен­но такой подоб­ный мусор.

Рано или позд­но я научу их не пола­гать­ся и на это поле. Когда я толь­ко начал эту про­грам­му, я отлав­ли­вал до 35% поль­зо­ва­те­лей. Со вре­ме­нем я довёл это чис­ло до 15%. И это, без­услов­но, всё рав­но боль­ше, чем надо, но ещё не вечер.

Этот спо­соб — наи­луч­ший спо­соб научить юзве­рей уша­стых не нажи­мать что попа­ло. Кро­ме того, нали­чие подоб­но­го рода тре­ни­ро­воч­ных про­грамм нын­че уже часто не опци­о­наль­но. Кто слы­шал сло­ва NIST-800–171, тот зна­ет.

А вы зна­е­те, кто из поль­зо­ва­те­лей у меня на рабо­те в этом плане самый умный? Вы не пове­ри­те — бухи и рецеп­ци­о­ни­сты. В послед­ний заход, сего­дня, я не отло­вил ни одно­го чело­ве­ка, кото­рых неко­то­рые пре­зри­тель­но назы­ва­ют «офис­ный планк­тон». Зато зна­е­те, кого я отло­вил? Типа умных людей с нехи­лой зар­пла­той — одно­го сисад­ми­на, одно­го погро­ми­ста и аж ДВУХ офи­це­ров по без­опас­но­сти. Ну, и про­да­ва­нов, конеч­но, куда без них.

Вот вам и «офис­ный планк­тон».

Лонгрид про инфобез

Длин­ная, но инте­рес­ная ста­тья (англ) про взлом ком­па­нии RSA, про­из­во­ди­те­ля токе­нов для двух­фак­тор­ной аутен­ти­фи­ка­ции.



By Alexander Klink — Own work by uploader, taken using a Sony alpha 700, Minolta 50mm 2.8 Macro, CC BY 3.0, https://commons.wikimedia.org/w/index.php?curid=5046467

Для тех, кто не вполне в кур­се того, как это рабо­та­ет — циф­ры на бре­ло­ке посто­ян­но меня­ют­ся, и исполь­зу­ют­ся как одно­ра­зо­вый пароль (вто­рой фак­тор) при аутен­ти­фи­ка­ции поль­зо­ва­те­ля. Преду­га­дать, какие циф­ры будут на бре­ло­ке в какой-то опре­де­лён­ный момент вре­ме­ни — невоз­мож­но. Что­бы это сде­лать, надо знать изна­чаль­ный век­тор ини­ци­а­ли­за­ции это­го алго­рит­ма (seed value). В 2011 году китай­ские хаке­ры имен­но это и сде­ла­ли — влез­ли на сер­вер, где хра­ни­лись век­то­ры ини­ци­а­ли­за­ции, и бла­го­по­луч­но их укра­ли. Там обра­зом, они зна­чи­тель­но облег­чи­ли рабо­ту по вле­за­нию в ком­пью­те­ры дру­гих ком­па­ний, защи­щён­ных этим алго­рит­мом, устра­нив вто­рой фак­тор аутен­ти­фи­ка­ции. Так, кря­ке­ры попы­та­лись влезть в Лок­хид Мар­тин. Насколь­ко успеш­но, неиз­вест­но.

Что самое, бля­ха-муха, обид­ное, так что хак начал­ся с про­сто­го как лом, при­ё­ма — фишин­га. Был выслан эксе­лев­ский доку­мент со скрип­том, ата­ку­ю­щим уяз­ви­мость в Adobe Flash. И все эти ваши бранд­мау­э­ры, двух­фак­тор­ные аутен­ти­фи­ка­ции, мно­го­слой­ные защи­ты — пошли лесом. Доко­ле, блин.

Что-то поло­са в жиз­ни пошла очень чёр­ная. Не хва­та­ло мне про­блем со стра­хо­вой, так в пят­ни­цу умер мой непо­сред­ствен­ный началь­ник, близ­кий зна­ко­мый, ска­жу даже, друг. Ему было все­го ниче­го — 55 лет. Обшир­ный инфаркт, ско­рая при­е­ха­ла уже слиш­ком позд­но. Похо­ро­ны в сре­ду; буду одним из носиль­щи­ков и про­из­не­су про­щаль­ные сло­ва.

На рабо­те про­сто пол­ный абзац. Началь­ник заод­но зани­мал­ся сете­вы­ми реше­ни­я­ми Цис­ко. А в вос­кре­се­нье в офи­се подох цис­ко­вый ком­му­та­тор аж на 48 пор­тов — мол­нией шиба­ну­ло. При­чём, кон­фиг там был доволь­но замуд­рё­ный, с VLANа­ми и про­чи­ми умны­ми сло­ва­ми. Сети не явля­ют­ся моей спе­ци­а­ли­за­ци­ей, но дру­гие сотруд­ни­ки про Цис­ку зна­ют ещё мень­ше меня. Так что вос­ста­нав­ли­вать рабо­то­спо­соб­ность при­шлось всё же мне. Вро­де всё настро­ил и вман­ту­лил новый ком­му­та­тор в стой­ку, но SVI пока так и не настро­ил. Зав­тра буду сра­жать­ся.

Буду наде­ять­ся на луч­шее.

Зацепило кого?

Ну что, бра­тья сисад­ми­ны, вас, слу­чай­но, не заце­пи­ло этой пре­крас­ной дыре­нью в Exchange? Нас таки заце­пи­ло. Но, прав­да, по каса­тель­ной. Суть экп­лой­та в том, что хакер может себя авто­ри­зо­вать как один из систем­ных поч­то­вых ящи­ков, напри­мер, Discovery Mailbox. Затем он полез ломать ящик administrator. Имен­но на этом месте у китай­ских това­ри­щей вышел облом, так как учёт­ная запись Administrator у нас пере­име­но­ва­на, как и поло­же­но по РТО­Бам.
Но очень непри­ят­но думать о том, что спас­ла нас прак­ти­че­ски полу­слу­чай­ность. 5 минут, потра­чен­ные на допол­ни­тель­ный соци­аль­ный инжи­не­ринг, вполне мог­ли бы выявить назва­ния учёт­ных запи­сей с пред­по­ло­жи­тель­но боль­ши­ми при­ви­ле­ги­я­ми.

Про CentOS

Как я уже писал, CentOS сдох. И хрен бы с ним.

Но надо отдать долж­ное шапош­ни­кам, поль­зо­ва­те­лей без тру­сов на мороз они не всё же не выго­ня­ют.

В неболь­ших коли­че­ствах лицен­зии на RHEL теперь раз­да­ют­ся бес­плат­но.

Хоро­шо сде­ла­ли.

CentOS — всё

UPDATE: Я эту запись уже вто­рой день пыта­юсь в ЖЖ опуб­ли­ко­вать. Изви­ня­юсь за спам. Попро­бу­ем ещё разик.

И хер бы с ним. Нико­гда эту грё­ба­ную Шап­ку и про­из­вод­ные не любил. Если бы не YellowDog, пода­рив­ший Шап­ке yum, уста­нов­ка соф­та на Шап­ке до сих пор была бы извра­щён­ным сек­сом с зако­ул­ка­ми, пото­му что rpm не может в авто­ма­ти­че­скую уста­нов­ку необ­хо­ди­мых сопут­ству­ю­щих биб­лио­тек.

Уточ­ню. CentOS не совсем «всё», про­сто рань­ше это был, по сути, слег­ка пере­де­лан­ный RHEL, а теперь это будет назы­ва­ет­ся CentOS Stream, и он будет являть­ся не пере­де­лан­ным RHEL, а его бета-вер­си­ей. Что авто­ма­ти­че­ски озна­ча­ет, что в про­из­вод­ство его ста­вить нель­зя.

Так что с точ­ки зре­ния сисад­ми­нов CentOS — таки «всё»!

Пну-ка я снова Линукс

Вот есть у тебя, напри­мер, маши­на с седь­мым Вин­до­узом. И есть у тебя на ней какой-то уста­нов­лен­ный ком­мер­че­ский софт. Про­ап­грей­дить­ся до десят­ки? Не про­бле­ма. И софт, что харак­тер­но, про­дол­жит рабо­тать.

А вот теперь поме­няй Вин­ду 7 на Убун­ту 16, а деся­тую вин­ду на Убун­ту 18. И полу­чишь кон­скую эту самую на ворот­ник, что­бы шею не нати­ра­ло. Софт будет отва­ли­вать­ся с дики­ми кри­ка­ми по пово­ду нена­хож­де­ния ста­рых вер­сий самых раз­но­об­раз­ных биб­лио­тек (напри­мер, libc или libwebp — это уж смот­ря какой софт).

А на деся­той вин­де софт, рабо­та­ю­щий на XP, до сих пор запу­стит­ся (в боль­шин­стве слу­ча­ев) вполне нор­маль­но.

Линупс бес­пла­тен толь­ко в том слу­чае, если твоё вре­мя ниче­го не сто­ит.

Пост напи­сан по моти­вам «как Плот­ник обнов­лял машин­ку с Apache Guacamole, кото­рую надо из сыр­цов соби­рать, пото­му что в apt-шных репо­зи­та­ри­ях оно древ­нее гов­на мамон­та.»

BlueHost — замумил

Основ­ное зер­ка­ло бло­га я дер­жу на bluehost.com. Задол­ба­ли, иро­ды. PHP 7.0 — един­ствен­ная вер­сия PHP, в кото­рой есть mysqli. Соот­вет­ствен­но, шаг впра­во, шаг вле­во — и Ворд­пресс про­ле­та­ет как фане­ра над горо­дом Пари­жем. Толь­ко вот 7.0 у нас нын­че «deprecated», так что грё­ба­ный хостер каж­дый день пере­клю­ча­ет меня на PHP 7.3, и всё бла­го­по­луч­но рушит­ся. В под­держ­ке все как один, инду­сы, и гово­рят «мы ниче­го не можем сде­лать отсю­да». Нах-нах, сва­ли­ваю при пер­вой же воз­мож­но­сти.