сисадминское - Page 6

Бродком — редкостные козлы

Клянусь, всё, чего не касаются Бродком, незамедлительно превращается… назад в тыкву.

Симантек был хороший — стал говно.

Теперь пришла очередь ВМВари. У нас на серверную бюджет на ВМВарь был запланирован в 380 тысяч долларов (69 хостов, объёдинённых в 23 кластера). Вчерашнее ценовое предложение от Бродкома стало… вы там сядьте, если стоите.

$1,120,000 (один миллион сто двадцать тысяч долларов США)

Ну здравствуй, Hyper‑V. Или Proxmox, ещё не решил… Всё зависит от того, насколько хорошо Proxmox поддерживается решениями типа Veritas.

Подхватила компьютерный вирус от вибратора

Дама приобрела в магазине вибратор и решила зарядить его от USB порта в компьютере. Вибратор оказался флешкой, которая захотела запустить файл. Дама обратилась к специалистам, которые выяснили, что малварь — троян Lumma, скорее всего, русского происхождения (см. скриншот основной вредоносной программы).

Вполне вероятно, что малварь была установлена в вибратор прямо на заводе.

https://www.malwarebytes.com/blog/news/2024/02/vibrator-virus-steals-your-personal-information

В этой новости прекрасно… ну всё в ней прекрасно!!!

Заодно я узнал, что есть такая вещь как USB-презерватив.

Лучший защищённый мессенжер стал ещё лучше

Мессенжер «Сигнал» позволит пользователям использовать ники вместо телефонных номеров. Помнится, кто-то в комментах у меня сокрушался, мол, да, «Сигнал» неплох, но намертво привязан к телефонному номеру, который светится наружу. Ну, теперь это более не будет проблемой.

Давно было пора

Микрософт, наконец-то, СПОДВИГНУЛСЯ, и решил вмантулить команду sudo в командную строку, чтобы можно было сразу оттуда запускать процесс как админ. Без этой вот нудиловки, когда всю работу надо закрыть КЕМ и заново запускать cmd через Run as Admin.

Обещают в Сервере 2025.

Опоздали ровно на 45 лет. А если включать сюда функциональность su, которую в Настоящий Юникс (который AT&T) включил аж сам Деннис Ричи, то на 54 года.

Пну-ка я Линукс в очередной раз

Давно я не пинал эту поделку, пну опять.

Имеем: сервер с установленной Убунтой 22.04 — самым распоследним дистрибутивом LTS. Не ставить же в продакшн бета-версии.

На сервере установлен Апач 2.4.52. На него ругается Нессус — мол, там дырка, хозяин. Причём дырке уже больше года.

Хорошо — apt update && apt upgrade? А вот шЫш — 2.4.52 это самая распоследняя версия в репозитариях Убунты 22.04:

И чего предлагаете делать? Как я в 1998 году делал, из сырцов собирать самому? Чтобы потом получить фиг знает чего, что после апгрейда библиотеки, например, libc, грохнется просто с гарантией? Нафиг такие идеи и предложения, я насобирался из сырцов выше крыши ещё в прошлом веке.

Можно добавить в репозитарии чеха, и поставить оттуда. Но всё это абсолютно без гарантий.

Что имеем в сухом остатке? Очевидную идиотию — по умолчанию самая последняя версия LTS релиза ставит Апача с дырой, и обновить её, если не делать плясок с бубном и заячьей лапкой, не получится.

А потом линуксоиды нам рассказывают, какой Виндоуз дырявый, ну-ну.

В моём любимом FreeBSD, кстати, в портах человеческая версия.

Вот вам и Линукс против BSD.

Вот это дыра

В БИОСе практически всех существуюших современных компьютеров есть дыра по обработке логотипа, изображаемого при включении компьютера. Его можно подменить, причём из ОС, на точно так же выглядящее изображение, но содержащее вредоносный код. Этот вредоносный код обычный антивирус удалить не может — он не умеет писать в БИОС.

https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Вот это круто, блин. Последствия могут быть самые шикарные. Неудаляемый малварь хотите?

Обалдеть, давно такого не было. Теперь прицепить такое к эксплойту-червяку и конец всему живому.

Интересная криптографическая статья

Очень интересная статья для людей, интересующихся криптографией.

Краткий пересказ. Современная тайнопись зиждется на несимметричной и симметричной криптографии. Все данные внутри уже установленной сессии шифруются симметричной криптографией — она быстрее, ибо не так ресурсоёмка. Обычно это AES. Ключ для AES шифруется уже несимметричной криптографией, чаще всего RSA, у которой есть два ключа — один открытый (публичный), другой закрытый (приватный). То, что зашифровано закрытым ключом, может быть расшифровано ключом открытым, и наоборот.

При установке сессии клиент и сервер договариваются о ключе для AES, и эти договоры шифруется RSA (курить Diffie–Hellman). Штука в том, что RSA работает на основе очень больших простых чисел, вся его защищённость состоит в том, что надо подобрать два множителя из простых чисел, у которых более тысячи цифр в каждом. Работа с настолько большими числами на компьютере иногда приводит к математическим ошибкам, и может привести к разглашению закрытого ключа! Затронутыми оказываются реализации RSA с закрытым кодом, в том числе устройства Зиксел (тот самый Зухель, ага) и Циско (гы-гы-гы). Алгоритм RSA в OpenSSH такому разглашению, что интересно, не подвержен — там знают о том, что могут возникнуть ошибки в расчётах, и от них предохранились.

Очень, очень любопытно! Покамест практические проблемы малы — даже RSA в тех же Циськах уязвим только в одном устройстве на тысячу, а реализация эксплойта не видится мне простой. Но учитывая, что таких устройств миллионы, и на кону могут стоять большие бабки…

В‑общем, запасаемся попкорном. Может быть исключительно интересно.

Статья в ArsTechnica:

https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/

Ссылка на Cryptography ePrint:

https://eprint.iacr.org/2023/1711.pdf

Сраная Циска скатилась в сраное говно

Безопасность какой-либо платформы не определяется наличием в платформе багов. Баги есть и будут всегда, даже на солидных платформах типа FreeBSD. Безопасность определяется тем, как оперативно выпускаются обновления, закрывающие дыры. И обычно чем хуже дыра — тем быстрее выходят обновления.

ДЫРЕНЬ размером с дупло филина, куда оный залетает, не складывая крыльев, существующая на данный момент на ВСЕХ коммутаторах фирмы Циско с включённым веб-интерфейсом, в наличии с конца сентября. Обновления IOS XE нет до сих пор. Рекомендуют только отключить веб-интерфейс и принять меры.

Да, можно долго говорить о том, что админ, оставивший веб-интерфейс, торчащий наружу — долбаный дятел. И он да, таки долбаный дятел. Но иногда по-другому не получается, особенно если ставишь оборудование в чьей-то чужой песочнице, а канала для OOBM в этой песочнице тебе не оставили. Ничуть не извиняя долбодятела-админа, на совести Циски на данный момент — свыше 10,000 (десяти тысяч) устройств, взломанных хакерами.

Мы в конторе переключились на Арубу, если чо. Циска буквально лет десять-пятнадцать назад была — уууу, а сейчас — говно. Примерно когда они вместо того, чтобы продолжать разрабатывать свои продукты, стали скупать чужие конторы (Мераки и Файрпауэр, например), тогда она в говно и стала скатываться.

Хорошо, всё же, что у нас капитализм. Даже такие слоны как Циська не могут спокойно почивать на лаврах. Надо соревноваться. Надо инновации. И не надо сидеть, засунув палец в задницу, надо в темпе вальса разрабатывать обновления. Если не совать свободному рынку палки в колёса Обама-стайл, too big to fail, делая из капитализма корпоратизм, от дурных продуктов и забронзовевших компаний этот свободный рынок избавляется сам собой. См. Novell.

Про ентот ваш Линукс

Когда же, наконец-то, эту кривую поделку на десктопе доведут до ума? Невозможно же пользоваться.

Вот у меня есть лаптоп для ~~скачивания торрентов~~ всяких интернет-вещей, там браузер, ВПН, прочее. Воткнул я на него Убунту 22.04. Работало через жуткую задницу, жуткую. Скорость работы беспроводной сети аккуратно раз в день падала до 10 мегабит, периодически всё зависало и грохалось. Иногда лечилось отключением вайфая и включением его заново. Иногда приходилось принудительно перезагружать. На экране — постоянно какие-то подглюкивания.

А поставил винду-десятку — и всё сразу заработало с пол-пинка. Вот уже месяц ничего не перегружал, а скорость работы вайфая не падает ниже 300 мегабит. И всё железо работает прекрасно.

На Линуксе мы имеем заколдованный круг — в основном все эти проблемы сводятся к косоруким драйверам. Драйверы нормальные для «бесплатного» линукса никто не пишет, потому что нет спроса. А спроса нет — потому что нет нормальных драйверов. Я, например, на своём рабочем лаптопе с гибридной видеокартой Intel/NVidia Quadro линукс заставить функционировать вообще не смог. Драйвер ставится, но не фурыкает.

Линукс бесплатен только если твоё время ничего не стоит.

На серверах Линукс работает более-менее нормально (хотя если есть возможность, я всё же поставлю правоверный FreeBSD). Кроме того, Линукс замечательно летает в WSL, которым я постоянно пользуюсь. Но на десктопе — жуть с ружьём.

И так как нормального десктопного линукса ждут уже лет минимум двадцать, я думаю, нормальный десктопный линукс… не выйдет никогда. Только если какая-то контора, типа ХеПе, не усыновит эту финскую поделку, и не начнёт делать свой дистрибутив, который будет нормально работать хотя бы на хепешном железе.

Пятиминутка ненависти к Линуксу и прочему Ведроиду окончена 🙂

Вай-фай Хаб

У меня недорогой (по американским меркам) сервис для сотового телефона, Visible+ за 35 монет в месяц, но у него есть ограничения. В поездке дети не смогли оба подцепиться к моему вайфаю, только один. Покурил документацию на сервис — «мы ограничиваем количество устройств, на которые можно раздать вайфай; вы можете подключить только одно». «Да ну?? Правда, что ли??» — ласково сказали бородатые алабамские сисадмины, взяли китайскую коробочку за сорок рублей и раздали интернет на всех.

Тоже мне, ограничители нашлись…

Не, в принципе NAT на большое количество рыл ловится. Но это надо писать траффик, и анализировать его на количество одновременно открытых портов с номерами >1024 на клиенте. Никто такой ерундой в телефонной компании заниматься не будет.