Category: сисадминское

Сла­ва богам, не у меня, а у сотруд­ни­ков. Но тут есть один занят­ный момент в кибер­без­опас­но­сти, на кото­рый сто­ит обра­тить вни­ма­ние.

Зар­пла­та в нашей ком­па­нии, разу­ме­ет­ся, пере­чис­ля­ет­ся напря­мую на бан­ков­ский счёт. У сотруд­ни­ков есть доступ к систе­ме, где мож­но посмот­реть начис­ле­ния и дру­гую инфор­ма­цию. Жули­ки про­бра­лись в акка­ун­ты несколь­ких чело­век и под­ме­ни­ли рек­ви­зи­ты бан­ков­ских сче­тов для выплат — на свои соб­ствен­ные. Спас­ло то, что любое изме­не­ние таких дан­ных тре­бу­ет руч­но­го под­твер­жде­ния бух­гал­те­ри­ей. Там вовре­мя запо­до­зри­ли нелад­ное и предот­вра­ти­ли кра­жу.

И вот тут самое инте­рес­ное. Доступ к систе­ме осу­ществ­ля­ет­ся через код, кото­рый каж­дый раз высы­ла­ет­ся на лич­ную почту сотруд­ни­ка при попыт­ке вхо­да. То есть у учёт­ной запи­си нет посто­ян­но­го паро­ля — каж­дый раз новый код из пись­ма. Види­те про­бле­му? Полу­чил доступ к почте — авто­ма­ти­че­ски полу­чил доступ и к зар­плат­но­му акка­ун­ту. Жули­ки лома­ли не сами эти акка­ун­ты, а имен­но лич­ную почту сотруд­ни­ков: навер­ня­ка с паро­ля­ми уров­ня 123456, без 2FA, или же через баналь­ный фишинг.

И тут важ­ный вывод. Абсо­лют­но вне зави­си­мо­сти от лич­ной бди­тель­но­сти сотруд­ни­ков, такой под­ход к без­опас­но­сти, нын­че частень­ко встре­ча­ю­щий­ся, мне кате­го­ри­че­ски не нра­вит­ся. Взлом одно­го сер­ви­са не дол­жен авто­ма­ти­че­ски вести к взло­му дру­го­го. Акка­ун­ты долж­ны быть защи­ще­ны раз­ны­ми паро­ля­ми и фак­то­ра­ми, а не пола­гать­ся на одну-един­ствен­ную уяз­ви­мую точ­ку.

Нако­нец-то при­е­ха­ли нор­маль­ные Ару­бов­ские (в деви­че­стве; нын­че — Хью­летт-Пак­кард Энтер­прайз) яче­и­стые точ­ки досту­па, и я смо­гу выки­нуть этот грё­ба­ный Нет­гир Орби к соот­вет­ству­ю­щей мате­ри.

Так как эти точ­ки досту­па под­дер­жи­ва­ют нор­маль­ный чело­ве­че­ский PoE, мои воз­мож­но­сти по их уста­нов­ке зна­чи­тель­но рас­ши­ря­ют­ся — не надо, что­бы рядом была розет­ка. Так что в под­ва­ле буду при­вин­чи­вать, как поло­же­но — к потол­ку.

PS: Иной раз при­хо­дишь домой — а там всё то же самое, что на рабо­те: стан­ки, стан­ки…

Я вот уже не пом­ню, когда в послед­ний раз при­хо­ди­лось зани­мать­ся этим чле­но­вре­ди­тель­ством. Как, всё же, хоро­шо, что у нас, нако­нец-то, вез­де юни­код — без допол­ни­тель­ных выви­хов моз­га любые язы­ки чита­ют­ся нын­че на любых устрой­ствах.

Ну, плюс теперь есть самые раз­ные и инклю­зив­ные эмод­зи! В Вин­де, кста­ти, вклю­ча­ет­ся по Win + .

😈👍

У капи­та­лиз­ма есть мно­же­ство недо­стат­ков (толь­ко вот всё осталь­ное — ещё хуже). Но вот что нико­гда нель­зя было поста­вить в вину капи­та­лиз­му — так это отсут­ствие инно­ва­ций. Пото­му что инно­ва­ции могут и при­но­сят допол­ни­тель­ную при­быль. И даже самые круп­ные ком­па­нии, когда забу­ре­ва­ют, и пре­кра­ща­ют эти самые инно­ва­ции — быст­ро отъ­ез­жа­ют в мир иной. Похо­же, эта же самая участь ждёт ком­па­нию Интел, в своё вре­мя дав­шую нам про­цес­со­ры x86. Ком­па­ния при­зна­ла, что навсе­гда отста­ла от лиде­ров рын­ка мик­ро­про­цес­со­ров, исполь­зу­е­мых в реше­ни­ях с иску­ствен­ным интел­лек­том, дав­но выпа­ла из десят­ки веду­щих про­из­во­ди­те­лей полу­про­вод­ни­ков, тыся­ча­ми уволь­ня­ет сотруд­ни­ков, и борет­ся за выжи­ва­ние.

Интел не выдер­жи­ва­ет состя­за­ние даже по нано­мет­рам — их теку­щий про­цесс мас­со­во­го про­из­вод­ства мик­ро­про­цес­со­ров толь­ко недав­но пере­сёк отмет­ку в 5 нано­мет­ров, а чипы АМД уже дав­но про­из­во­дят­ся по 4nm тех­про­цес­су. Это, прав­да, не сколь­ко заслу­га АМД, сколь­ко тай­вань­ской TSMC, так как имен­но их мощ­но­сти они исполь­зу­ют (у Инте­ла — свои фаб­ри­ки). Но всё рав­но.

А как началь­ник отде­ла айти нашей ком­па­нии, добав­лю, что мы всей кон­то­рой пере­шли на ком­пью­те­ры с про­цес­со­ра­ми АМД уже несколь­ко лет назад. Глю­ки ком­пью­те­ров с про­цес­со­ра­ми Intel (свя­зан­ные, по-мое­му, с дис­пет­че­ром задач в ОС из-за гибрид­ной схе­мы про­цес­со­ра с «быст­ры­ми» и «мед­лен­ны­ми» ядра­ми) нас доста­ли до такой сте­пе­ни, что мы плю­ну­ли и нача­ли поку­пать АМД «Рязань» для поль­зо­ва­тель­ских машин и АМД Ерус для сер­ве­ров.

А как дыс­а­ли, как дыс­а­ли? Но когда АМД выка­тил АМД64, а 64-бит­ный «Ита­ни­ум» про­ва­лил­ся как лом в про­рубь, даже не бульк­нув — это был даже не пер­вый зво­но­чек о пре­вос­ход­стве НИОКР АМД, а целый коло­кол. Интел был вынуж­ден лицен­зи­ро­вать архи­тек­ту­ру АМД64 вме­сто сво­ей, что­бы исполь­зо­вать её в сво­их про­цес­со­рах. Да, про­цес­сор Интел деся­то­го поко­ле­ния в ком­пью­те­ре, на кото­ром я сей­час это печа­таю, исполь­зу­ет мик­ро­ар­хи­тек­ту­ру, при­ду­ман­ную в АМД, вот так.

Что до меня лич­но — гля­дя на то, что Мик­ро­софт дела­ет со сво­и­ми ОС, и какие пере­спек­ти­вы они обе­ща­ют в новых вер­си­ях Вин­ды (иди­от­ские совер­шен­но), кля­нусь, я дома вооб­ще забро­шу эту Вин­ду к чор­то­вой бабуш­ке, и перей­ду на Мак. А на Маках нын­че RISC-про­цес­сор M4, а ника­кой не x86 и не x64. Нет, спа­си­бо, Линукс не пред­ла­гать. Я хочу поль­зо­вать­ся нор­маль­ным соф­том вро­де Фото­шо­па и Эйб­л­то­на, а не линуп­сяш­ны­ми недо­ра­зу­ме­ни­я­ми. Игры вот толь­ко будет немно­го жаль, но ниче­го, раз­бе­рём­ся. Рабо­чий ком­пью­тер, как и любой дру­гой инстру­мент, исполь­зу­е­мый посто­ян­но, не дол­жен вызы­вать ника­ких дру­гих эмо­ций, кро­ме поло­жи­тель­ных. А не острое жела­ние расхе­ра­чить его кувал­дой.

Жду не дождусь нор­маль­но­го гига­би­та как вниз, так и вверх. Ура! Но — рас­ска­зать я хотел про дру­гое.

Нака­нуне того, как интер­нет­чи­ки при­гна­ли тяжё­лую тех­ни­ку для уклад­ки кабе­ля, при­ска­ка­ли все город­ские служ­бы и поме­ти­ли свои ком­му­ни­ка­ции. Теле­фон — оран­же­вым, воду — синим, газ — жёл­тым, а искри­че­ство — крас­ным.

Но нель­зя недо­оце­ни­вать уме­ния экс­ка­ва­тор­щи­ков! Даже в хоро­шо раз­ме­чен­ном месте они всё рав­но что-нибудь возь­мут и рас­ко­па­ют. И таки да — смот­ри, рас­ко­па­ли!

Сидим без воды.

В Англии вве­ли закон, соглас­но кото­ро­му сай­ты, даю­щие доступ к мате­ри­а­лам толь­ко для взрос­лых, долж­ны про­ве­рять воз­раст поль­зо­ва­те­лей. Иди­о­тия тупая, как обыч­но. И дело даже не в том, что про­вер­ка воз­рас­та про­ис­хо­дит, напри­мер, по ска­ну госу­дар­ствен­но­го доку­мен­та, кото­рый может потом «утечь» — и пре­це­ден­ты уже были. И даже не в том, что таким обра­зом про­ис­хо­дит втор­же­ние в част­ную жизнь поль­зо­ва­те­ля. Про­бле­му я вижу в том, что с боль­ной голо­вы посто­ян­но валят на здо­ро­вую — на тех­ком­па­нии.

Идея ведь в чём? Офи­ци­аль­но — «что­бы дети не смот­ре­ли пор­ну­ху». Это уже набив­шее вот такую оско­ми­ну поли­ти­че­ское кли­ше — под видом «защи­ты детей» на деле вво­дит­ся любая дра­кон­щи­на.

Разу­ме­ет­ся, оно уже было в Симп­со­нах.

Дети — это ответ­ствен­ность роди­те­лей. Точ­ка.

Если у тебя дети дома бес­кон­троль­но могут смот­реть вся­кое — это ты мудак, а не тех­ком­па­нии. К тому же, как пока­зы­ва­ет опыт, все эти «огра­ни­че­ния» доста­точ­но лег­ко обхо­дят­ся. В Англии коли­че­ство VPN акка­ун­тов вырос­ло на 1400%!! А если дети могут бес­пре­пят­ствен­но менять настрой­ки и уста­нав­ли­вать на устрой­ства про­грам­мы, вклю­чая VPN — это тебя надо штра­фо­вать, а не тех­ком­па­нии. Твои дети — это твоя ответ­ствен­ность, а не тех­ком­па­ний. Функ­ции роди­тель­ско­го кон­тро­ля есть на всех опе­ра­ци­он­ных систе­мах — от Вин­ды до Мака и iOS. Я не знаю, как на Вед­ро­и­дах, но уве­рен, что там тоже оно есть. Если ты не можешь потра­тить пять минут на их настрой­ку — либо не имей детей, либо не поку­пай устрой­ства. А уж с нали­чи­ем вез­де­су­ще­го ИИ, кото­рый может дать поша­го­вые инструк­ции, по-мое­му, уже даже кот может эти настрой­ки сде­лать. Надо­е­ло уже вот это спи­хи­ва­ние ответ­ствен­но­сти с роди­те­лей за детей на кого попа­ло — толь­ко не на самих роди­те­лей.

Осо­бен­но горь­ко осо­зна­вать, что Англия, увы, это не исклю­че­ние. Задол­го до Англии при­мер­но те же педе­ра­сы в пло­хом смыс­ле сло­ва сде­ла­ли то же самое в нашем шта­те в 2024 году, при­няв билль 164. И, увы, не один наш штат такой дол­ба­ну­тый.

Пор­но­сай­ты, кста­ти, по-мое­му, не вво­ди­ли ника­ких про­ве­рок. Про­сто при захо­де с ала­бам­ско­го или дру­гих айпиш­ни­ков, где есть соот­вет­ству­ю­щие дол­бо­за­ко­ны, неко­то­рые сай­ты не дают ниче­го про­смат­ри­вать, про­сто высве­чи­ва­ет­ся над­пись «в каче­стве про­те­ста мы не обслу­жи­ва­ем запро­сы из ваше­го шта­та. ваше воз­му­ще­ние може­те пере­дать вашим зако­но­да­те­лям.». И при­вет, котят­ки.

Если у вас on-prem вер­сия 2019 — бегом про­ве­рять­ся и пат­чить­ся.

Если у вас SharePoint 2016 — поздрав­ляю тебя, Шарик, ты бал­бес, отклю­чай­те от интер­не­та нахер и к соот­вет­ству­ю­щей мате­ри. 0‑day с оцен­кой в 9.8 из 10 — это вам не шут­ки.

Репо­зи­та­рий для уста­рев­ших вер­сий Пито­на для Линукс Убун­ту назы­ва­ет­ся deadsnakes 😆🤪

sudo add-apt-repository ppa:deadsnakes/ppa