Блог экспериментатора
Микрософт, наконец-то, СПОДВИГНУЛСЯ, и решил вмантулить команду sudo в командную строку, чтобы можно было сразу оттуда запускать процесс как админ. Без этой вот нудиловки, когда всю работу надо закрыть КЕМ и заново запускать cmd через Run as Admin.
Опоздали ровно на 45 лет. А если включать сюда функциональность su, которую в Настоящий Юникс (который AT&T) включил аж сам Деннис Ричи, то на 54 года.
Давно я не пинал эту поделку, пну опять.
Имеем: сервер с установленной Убунтой 22.04 — самым распоследним дистрибутивом LTS. Не ставить же в продакшн бета-версии.
На сервере установлен Апач 2.4.52. На него ругается Нессус — мол, там дырка, хозяин. Причём дырке уже больше года.
Хорошо — apt update && apt upgrade? А вот шЫш — 2.4.52 это самая распоследняя версия в репозитариях Убунты 22.04:
И чего предлагаете делать? Как я в 1998 году делал, из сырцов собирать самому? Чтобы потом получить фиг знает чего, что после апгрейда библиотеки, например, libc, грохнется просто с гарантией? Нафиг такие идеи и предложения, я насобирался из сырцов выше крыши ещё в прошлом веке.
Можно добавить в репозитарии чеха, и поставить оттуда. Но всё это абсолютно без гарантий.
Что имеем в сухом остатке? Очевидную идиотию — по умолчанию самая последняя версия LTS релиза ставит Апача с дырой, и обновить её, если не делать плясок с бубном и заячьей лапкой, не получится.
А потом линуксоиды нам рассказывают, какой Виндоуз дырявый, ну-ну.
В моём любимом FreeBSD, кстати, в портах человеческая версия.
Вот вам и Линукс против BSD.
В БИОСе практически всех существуюших современных компьютеров есть дыра по обработке логотипа, изображаемого при включении компьютера. Его можно подменить, причём из ОС, на точно так же выглядящее изображение, но содержащее вредоносный код. Этот вредоносный код обычный антивирус удалить не может — он не умеет писать в БИОС.
Вот это круто, блин. Последствия могут быть самые шикарные. Неудаляемый малварь хотите?
Обалдеть, давно такого не было. Теперь прицепить такое к эксплойту-червяку и конец всему живому.
Очень интересная статья для людей, интересующихся криптографией.
Краткий пересказ. Современная тайнопись зиждется на несимметричной и симметричной криптографии. Все данные внутри уже установленной сессии шифруются симметричной криптографией — она быстрее, ибо не так ресурсоёмка. Обычно это AES. Ключ для AES шифруется уже несимметричной криптографией, чаще всего RSA, у которой есть два ключа — один открытый (публичный), другой закрытый (приватный). То, что зашифровано закрытым ключом, может быть расшифровано ключом открытым, и наоборот.
При установке сессии клиент и сервер договариваются о ключе для AES, и эти договоры шифруется RSA (курить Diffie–Hellman). Штука в том, что RSA работает на основе очень больших простых чисел, вся его защищённость состоит в том, что надо подобрать два множителя из простых чисел, у которых более тысячи цифр в каждом. Работа с настолько большими числами на компьютере иногда приводит к математическим ошибкам, и может привести к разглашению закрытого ключа! Затронутыми оказываются реализации RSA с закрытым кодом, в том числе устройства Зиксел (тот самый Зухель, ага) и Циско (гы-гы-гы). Алгоритм RSA в OpenSSH такому разглашению, что интересно, не подвержен — там знают о том, что могут возникнуть ошибки в расчётах, и от них предохранились.
Очень, очень любопытно! Покамест практические проблемы малы — даже RSA в тех же Циськах уязвим только в одном устройстве на тысячу, а реализация эксплойта не видится мне простой. Но учитывая, что таких устройств миллионы, и на кону могут стоять большие бабки…
В-общем, запасаемся попкорном. Может быть исключительно интересно.
Статья в ArsTechnica:
Ссылка на Cryptography ePrint:
Безопасность какой-либо платформы не определяется наличием в платформе багов. Баги есть и будут всегда, даже на солидных платформах типа FreeBSD. Безопасность определяется тем, как оперативно выпускаются обновления, закрывающие дыры. И обычно чем хуже дыра — тем быстрее выходят обновления.
ДЫРЕНЬ размером с дупло филина, куда оный залетает, не складывая крыльев, существующая на данный момент на ВСЕХ коммутаторах фирмы Циско с включённым веб-интерфейсом, в наличии с конца сентября. Обновления IOS XE нет до сих пор. Рекомендуют только отключить веб-интерфейс и принять меры.
Да, можно долго говорить о том, что админ, оставивший веб-интерфейс, торчащий наружу — долбаный дятел. И он да, таки долбаный дятел. Но иногда по-другому не получается, особенно если ставишь оборудование в чьей-то чужой песочнице, а канала для OOBM в этой песочнице тебе не оставили. Ничуть не извиняя долбодятела-админа, на совести Циски на данный момент — свыше 10,000 (десяти тысяч) устройств, взломанных хакерами.
Мы в конторе переключились на Арубу, если чо. Циска буквально лет десять-пятнадцать назад была — уууу, а сейчас — говно. Примерно когда они вместо того, чтобы продолжать разрабатывать свои продукты, стали скупать чужие конторы (Мераки и Файрпауэр, например), тогда она в говно и стала скатываться.
Хорошо, всё же, что у нас капитализм. Даже такие слоны как Циська не могут спокойно почивать на лаврах. Надо соревноваться. Надо инновации. И не надо сидеть, засунув палец в задницу, надо в темпе вальса разрабатывать обновления. Если не совать свободному рынку палки в колёса Обама-стайл, too big to fail, делая из капитализма корпоратизм, от дурных продуктов и забронзовевших компаний этот свободный рынок избавляется сам собой. См. Novell.
Когда же, наконец-то, эту кривую поделку на десктопе доведут до ума? Невозможно же пользоваться.
Вот у меня есть лаптоп для скачивания торрентов всяких интернет-вещей, там браузер, ВПН, прочее. Воткнул я на него Убунту 22.04. Работало через жуткую задницу, жуткую. Скорость работы беспроводной сети аккуратно раз в день падала до 10 мегабит, периодически всё зависало и грохалось. Иногда лечилось отключением вайфая и включением его заново. Иногда приходилось принудительно перезагружать. На экране — постоянно какие-то подглюкивания.
А поставил винду-десятку — и всё сразу заработало с пол-пинка. Вот уже месяц ничего не перегружал, а скорость работы вайфая не падает ниже 300 мегабит. И всё железо работает прекрасно.
На Линуксе мы имеем заколдованный круг — в основном все эти проблемы сводятся к косоруким драйверам. Драйверы нормальные для “бесплатного” линукса никто не пишет, потому что нет спроса. А спроса нет — потому что нет нормальных драйверов. Я, например, на своём рабочем лаптопе с гибридной видеокартой Intel/NVidia Quadro линукс заставить функционировать вообще не смог. Драйвер ставится, но не фурыкает.
Линукс бесплатен только если твоё время ничего не стоит.
На серверах Линукс работает более-менее нормально (хотя если есть возможность, я всё же поставлю правоверный FreeBSD). Кроме того, Линукс замечательно летает в WSL, которым я постоянно пользуюсь. Но на десктопе — жуть с ружьём.
И так как нормального десктопного линукса ждут уже лет минимум двадцать, я думаю, нормальный десктопный линукс… не выйдет никогда. Только если какая-то контора, типа ХеПе, не усыновит эту финскую поделку, и не начнёт делать свой дистрибутив, который будет нормально работать хотя бы на хепешном железе.
Пятиминутка ненависти к Линуксу и прочему Ведроиду окончена 🙂
У меня недорогой (по американским меркам) сервис для сотового телефона, Visible+ за 35 монет в месяц, но у него есть ограничения. В поездке дети не смогли оба подцепиться к моему вайфаю, только один. Покурил документацию на сервис — “мы ограничиваем количество устройств, на которые можно раздать вайфай; вы можете подключить только одно”. “Да ну?? Правда, что ли??” — ласково сказали бородатые алабамские сисадмины, взяли китайскую коробочку за сорок рублей и раздали интернет на всех.
Тоже мне, ограничители нашлись…
Не, в принципе NAT на большое количество рыл ловится. Но это надо писать траффик, и анализировать его на количество одновременно открытых портов с номерами >1024 на клиенте. Никто такой ерундой в телефонной компании заниматься не будет.
Как интересно. У компьютеров с системной платой “Гигабайт” есть автоматическое обновление прошивки, которое запускается при каждой загрузке компьютера и обращается к одному из следующих ресурсов:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
При обнаружении обновлений оно их сгружает и выполняет с системными привилегиями.
Фишка в том, что первый ресурс, например, не использует https, следовательно, если у злоумышленников есть доступ к сети организации, они могут подменить этот ресурс на что-то, содержащее всяческую вирусятину. Фишка вторая, что хоть другие ресурсы и защищены https, сгружатель обновлений никак не верифицирует их сертификаты, соответственно, подмена ресурса не менее тривиальна, чем обычный http.
Да, воспользоваться этой уязвимостью не сказать, чтобы было сильно просто — потребуется доступ к сети организации. Но сам факт того, что сгружатель может скачивать всякую фигню, никак не проверяя то, что он скачивает, довольно позорный. Я был лучшего мнения о программистах “Гигабайт”.
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
PS: Обновления для Windows, кстати, тоже скачиваются по простому http — это сделано для того, чтобы создавать меньшую нагрузку на серверы компании. Но Винда проверяет хеш каждого скачанного обновления — а уж сами хеши передаются по защищённому каналу.
PPS: У меня MSI 🙂
Банда тупых в очередной раз сошлась с шайкой злобных и они сделали что-то тупое и злобное одновременно: это называется “двухпартийность”.
“Группа сенаторов США обнародовала двухпартийный законопроект, который потребует от платформ социальных сетей проверять возраст пользователей, запрещать регистрацию лицам младше 13 лет и устанавливать специальные правила для несовершеннолетних старше 13 лет. Это также потребовало бы от правительства опробовать добровольную общенациональную систему проверки, которая будет использовать официальные записи и удостоверения личности для онлайн-проверки возраста людей.
Законопроект, “Закон о защите детей в социальных сетях”, был внесен сенаторами Томом Коттоном (R-AR), Брайаном Шатцем (D-HI), Крисом Мерфи (D-CT) и Кэти Бритт (R-AL) в среду. Он предназначен для защиты молодых пользователей от таких вещей, как зависимость от социальных сетей, но также потребует радикальной переоценки того, как взрослые и дети работают онлайн.”
И наша-то, наша Бритт отметилась вступлением в это говно. А у меня надежды были, что она умная. Как сказал Абрам Фомич ЛинкОльн, “лучше промолчать и прослыть дураком, чем заговорить и развеять все сомнения.”
Когда государство начинает совать свой и без того длинный нос в личную жизнь граждан, эти гниды всегда прикрываются заботой о детях.
И в очередной раз тупорылые государственные деятели лезут в семью и предлагают отобрать у родителей права и обязанности смотреть за своими засранцами и переложить всё это на государство.
Попробуйте на компьютерах, которые я выдал детям, зайти в ентот ваш богомерзкий фейсбук. Не выйдет нихрена, как бы вы ни старались.
Ну, а тот, кто не смотрит за своими детьми, полюбасу получит оболтуса вместо ребёнка, и безо всяких фейсбуков.
Я очень долго использовал ФаерФокс в качестве основного браузера, но больше так не могу. И дело не в том, что он меня не удовлетворяет — он мне нравится.
Но всё большее количество сайтов с ним не работают или имеют кривую функциональность. Страницы не перелистываются или ещё что подобное. Все нынче пишут под две платформы: Хромообразное или Сафари. При всей моей неприязни к разработчикам веб-сайтов мне сложно их винить — при количестве пользователей под Фаерфоксом менее 5% сложно от них требовать писать только так, чтобы и под ним тоже работало.
Фаерфокс также исключительно криво работает под Линуксом. Вот он ничего не делая, просто будучи запущенным, отжирает серьёзный ресурс у процессора. Чего он там делает — загадка, остальные-то браузеры работают нормально! Даже Эдж работает просто замечательно. Ага, Эдж есть под Линуксом! Прикиньте, компания Микрософт выпускает версию своего браузера под Линукс. Расскажи мне это в каком-нибудь 1999 году, я бы только пальцем у виска покрутил. Однако у Микрософта нынче с Линуксом любовь — что мне нравится, так как я, наверное, процентов 25 своей работы делаю под WSL. WSL в сто раз круче, чем тот же Цыгвин, потому что пакеты ставятся по-человечески, через apt. Чтобы добавить пакет в Цыгвин, надо каждый раз setup.exe запускать. И обновляться так же. Нафиг-нафиг.
В-общем, Фаерфокс меня замумил окончательно, так что я от него избавился. Нет, я перешёл не на Хром. Хром я не люблю, как и многие другие продукты компании Гугл (например, ВЕДРОИД этот ваш богомерзский).
Я перешёл на Брейв — сиречь, форк опенсорсного Хромиума. Эдж, к слову, тоже форк Хромиума. И Эдж мне в принципе, вполне нравится — я пользуюсь им для работы, так как я уж точно знаю, что с микрософтовскими сайтами он будет работать нормально. Это был мой запасной вериант, если бы Брейв мне не понравился.
Брейв пока неплох. Без проблем втащил все мои закладки и даже историю из Фаерфокса. Сайты все работают, пока всё хорошо. Буду наблюдать.