Точное время

Между компьютерами, общающимися в сети, не должно быть слишком большой разницы во времени. Разные протоколы подразумевают разную чувствительность к этому расхождению. Например, HTTPS почти пофигу, разве что если совсем большая разница (месяцы), то могут быть эффекты с сертификатами, которые могут считаться нерабочими, так как уже протухли (или наоборот, ещё не вступили в действие).

А вот протокол Керберос уже намного строже — пять минут разницы и всё, привет, никто никуда не логинится. Ну, оно понятно, зачем — чтобы нельзя было перехватить старый ответ и притворится клиентом (т.н. replay attack).

Но требования к часам становятся исключительно жёсткими, когда поверх Кербероса ещё ездит 2FA. Теперь у нас 30 секунд разницы являются критическими. Чуть что — и в рыло прилетает Invalid Timestamp, а это значит надо лезть в CMOS и выставлять время там, так как зайти на компьютер уже невозможно.

К сожалению, часы на компьютерах — это просто ЖОПЬ какая-то, мои старые кварцевые Касио за пять долларов ходили намного точнее. Хотя вроде тут тоже кварц стоит, всё как у больших. А вот накось — разойтись на 10 минут за два месяца? Да нам и 11 не предел!

При этом уже давно умные люди придумали NTP (Network Time Protocol). Но на винде оно работает обычно так: жмёшь “синхронизоваться”, Винда радостно рапортует, что она синхронизировалась с time.windows.com, но время на часах нихрена не меняется! Как бороться — непонятно. Я уж и групповые политики менял, и что только не делал — всё равно время постоянно расходится. Что за жопь.

Жизненное наблюдение

Друг детства, живущий в России, нынче жалеет, что ушёл из IT. Перешёл в строительство, стал прорабом. Хорошие деньги зарабатывал, а теперь — хлоп и всё. Де-факто безработный.

Предлагаю поднять бокалы с любимым напитком за информационные технологии. Чтобы не иссякало свободное место на серверах, чтобы не терялись пакеты, чтобы не отказывали диски в массивах, чтобы апдейты не валили систему. Раминь.

Моё ФБР меня бережёт

ФБР опубликовало список “русских” айпи адресов, с которых происходит сканирование важных сетей на предмет уязвимостей.

Поглядел логи своих фейрволлов на предмет соединений с, и тут у меня дыбом встала лысина, потому как весь файрволлы ими блестели. Начал смотреть, и вижу, что какая-то пурга. Это не сканирования, и это не русские айпишники. Тут навалом легитимных айпи адресов, с которыми любая организация ныне общается.

А потом я вспомнил, что в Америке живу, и всё встало на свои места. Это с подачи наших спецслужб мы проспали 9/11. Это с их информацией о химлабораториях мы трясли в ООН пробирками. Впрочем, как показывают последние события, трясти пробирками умеют не только американцы. А голосовать на пеньках — не только россияне. Обмен международным опытом, однако.

Давайте я вам расскажу, как там на самом деле было. Какую-то организацию поломали, и кто-то умный сказал сисадмину вывалить все логи файрволла, без разбору. Пиши их, Михалыч, больше — чо их, басурман, жалеть.

Дебилы, блин. Работать с подобного рода информацией решительно невозможно. Давайте лучше у меня спросите, кто кого сканирует. У меня намного больше полезной инфы будет.

Асусоводам на заметку

Помнится, у френдов было сетевое оборудование этой известной фирмы.

Пишут, что вирус-вымогатель российского происхождения “Сайклопс Блинк” нападает на роутеры Асус.

Модели, уязвимые к вирусу:

GT-AC5300 firmware under 3.0.0.4.386.xxxx
GT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC5300 firmware under 3.0.0.4.386.xxxx
RT-AC88U firmware under 3.0.0.4.386.xxxx
RT-AC3100 firmware under 3.0.0.4.386.xxxx
RT-AC86U firmware under 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
RT-AC3200 firmware under 3.0.0.4.386.xxxx
RT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)

Проверяйте и немедленно обновляйтесь, если нужно.

Как русские воюют против меня

В логах фаерволла — просто ВЗРЫВ активности. Ходют всякие, шшупают всякое. Очень много русских адресов или фирм-прокладок.

Некоторых найти легко. Вот, например, какая-то гнида щупала всякое с 94.232.45.12.

Это часть блока 94.232.40.0 – 94.232.47.255.

Поглядим, что за граждане:

inetnum: 94.232.40.0 – 94.232.47.255
netname: ORG-DP125-RIPE
country: RU
org: ORG-DP125-RIPE
person: Dmitriy Panchenko
address: Shirokaya street 1, bld. 4, apt. 15, 127282, Moscow, Russian Federation
phone: +79312206730

Дмитрий Панченко с улицы Широкой 1 корпус 4, квартира 15, иди нах%й.

Другие работают через фирмы-прокладки. Вот, например, меня щупали с айпи адреса 104.156.155.25. Чо за гниды? Целый блок адресов 104.156.155.0/24 зарегистрирован на некую “Академию интернет-исследований” (Academy of Internet Research LLC). А чо, проверенное имя уже, застолблённое. Такое же использовали пригожинские тролли.

У них даже домен есть, academyforinternetresearch.org. Зарегистрирован, правда, только в октябре прошлого года. А адрес регистрации у них: 830 Бульвар Ист Пальмейл, что в Пальмдейле, Калифорния.

Не знаю насчёт Академий по этому адресу, в гугломапсах по этому адресу обитает какая-то подозрительная бодега, предлагающая регистрацию гомосексуальных браков, услуги нотариуса, почты и денежных переводов и прочей ерунды. Вот только обмена валюты не хватает для полного набора. Ну, и массажа со “счастливым концом”.

В-общем, адрес этот, разумеется, липовый.

В RIPE они значатся как граждане, предлагающие услуги в России.

У двадцати семи машин в этом блоке наружу торчит ssh.

Итого имеем толпу линуксовых машин с американскими адресами, управляемых удалённо скорее всего из России, щупающие американские адреса на предмет всякого.

Я с русскими не воюю. А они со мной — да.

Хроники чебурнетостроения

По сравнению с довоенными временами говорить с русскими родственниками становится всё сложнее и сложнее. Обобщений не делаю, но мой опыт именно такой. Скайп уже не работает от слова совсем. В таких случаях я пользуюсь телегой, и походу, с ней тоже надо завязывать. Звук работает уже через пень-колоду, видео не работает вовсе. Возможно, что это из-за резко снизившейся пропускной способности сети. Возможно. А возможно, у товарища майора не хватает мощности перехватывать и обрабатывать видео.

Вообще, телега сама по себе подозрительна. Уязвимостей в ней — ДОХЕРА и больше. А учитывая, что граждане нарисовали свою собственную криптографию, совершенно не исключено, что там оставили дыру для товарища майора. Да и криптография там неочевидная — в одних чатах есть, в других нет, и чтобы узнать, что и где, надо читать документацию. А эта показная беготня от Роскомгестапо — это был рекламный ход, чтобы завлечь туда людей, чью переписку и надо читать товарищу майору. Сейчас в телеграм-каналах про войну с Украиной резвится толпа самых разных граждан. Резвитесь-резвитесь, ч0рный воронок с вашим именем уже заправлен топливом и ждёт.

И фоточками в наше время аккуратнее надо обмениваться. По умолчанию все фотки имеют геотаг. Так что если ты снял у себя дома фотку и отправил её другу, а товарищ майор её перехватил — ну, теперь товарищ майор знает, где ты живёшь. Отключайте это немедленно нахер.

Сумел матушке наконец-то удалённо поставить нормальный месенжер, который ни одна спецслужба мира пока не перехватывает — Signal. Там пока работает и звук и видео. И криптография там везде и всегда, и исчезающие сообщения тоже есть (чтобы было, что показать цепным псам преступного кговагого прижЫма, если чо). Будем пользоваться им. Рекомендую.

Надо будет ещё у себя поднять VPN сервер. В ведроидах вроде как есть встроенный OpenVPN клиент? Настрою у себя сервер, обходить Роскомгестапо, которое наверняка уже начало банить прочих VPN провайдеров.

Ещё круче было бы суметь разобраться с VPN, который заворачивает все пакеты в HTTPS. Тогда даже понять, что это VPN, а не обычный вебсайт, не так-то просто.

В-общем, будем думать.

Днём работает, ночью майнит

Мир окончательно слетел с катушек.

В Нортоновский антивирус вмантулен криптомайнер, включающийся когда компьютер пользователя простаивает без работы.

Оно, конечно, отдаёт намайненное пользователю, создавая для него цифровой кошелёк. Только берёт при этом комиссию в аж пятнадцать процентов. С учётом всего этого пользователю достаётся меньше денег, чем то, что он платит за электричество.

Поэтому давайте назовём это тем, чем это является на самом деле. Будет матерно, но верно.

Компания Нортон пиздит деньги у пользователей своих продуктов.

Так я и знал, что после покупки их Бродкомом в 2019 году они превратятся назад в тыкву.

Сисадминское

Читать будет неинтересно, кроме как маньякнутым компьютерщикам. Сугубо рабочее.

Винда становится всё более удобной для работы. Хорошо, что на ней практически всё то, что мне нужно, работает “искоропки”.

Смарткарты — пожалуйста
Отсюда же сразу, не вставая с дивана, имеем 2FA
Проброс оных в сессию RDP — да легко
ГПУ и прочая КУДА с драйверами — какие хошь, ибо никто не будет разрабатывать железо, не работающее под Виндой.
Фотошоп — отож.
Даже Фаерфокс взялся за ум, и стал поддерживать смарткарты с нуля. Раньше с ним надо было долго совокупляться, минимум в трёх позициях.

А сегодня я обнаружил отличную вишенку на тортике — при установленных WSL и терминале, можно поставить WSL как среду терминала по умолчанию. И что мы имеем с гуся? Теперь можно на любой папке (ну, за исключением сетевых, если они не смонтированы) нажать “открыть в терминале” — и у тебя сразу открывается WSL ровно там, где надо. Без того, чтобы долго крючиться, переходя в нужную директорию. Можно сразу делать всяческий foreach, grep, и прочий sed. Исключительно удобно.

Часто моя работа заключается в быстром поиске проблем. Всё это надо искать в логах, поэтому без полноценной командной оболочки мне никуда. Раньше я спасался cygwin-ом, но если кто-то хоть раз пробовал его обновлять или ставить дополнительный софт, знает, какая это морока. А в WSL это намного проще.

Мои попытки перейти на Линукс окончились ничем. Я впустую убил неделю, так и сумев нормально запустить… много чего, но главное, что не взлетело — это Nvidia Quadro с двумя внешними мониторами, подцепленными через размножитель портов с USBC-PD. Хотя я очень не новичок. А на винде… А на винде они у меня заработали ещё на этапе установки (учитесь, блин, как надо делать нормальную поддержку железа!) Переходить на 11 винду мне окончательно расхотелось, так что остановился на десятке + WSL.

Ещё бы WSL научился поддерживать полноценный нормальный FreeBSD вместо всякого красноглазового… но это уже так, мечты 😉

Страховка — дрыгатель прогресса

Весь ИТ-отдел гудит как улей. Сегодня наша страховая компания спустила нам указивку, что если к концу Ноября ВСЕ ИТ-сервисы не будут защищены многофакторной аутентификацией, то они не будут продлевать страховой полис.

Это как раз такой случай, когда “не было бы счастья, да несчастье помогло”. Двухфакторную аутентификацию я планировал ввести в строй уже почти год, но во-первых, не доходили руки, а во-вторых, мне не давали денег. А в-третьих, я не хотел объяснять тупым юзверям, почему вдруг доступ к ресурсам стал сложнее.

А теперь — и денег дали, и другие проекты отодвинули. И самое главное — теперь мне не надо никому объяснять, почему это, и зачем. Страховка — и всё тут.

Не всё, правда, гладко на деле. Вот сканер сетевой, что документы юзверю ушастому в его каталог забрасывает — никаких смарткарт оно, конечно, не поддерживает. Придётся репу чесать, что с ним делать дальше. Скорее всего придётся подцеплять сканеры напрямую к машинам через USB.

Почти всё

Так как одиннадцатая винда фичами пока не радует, попробовал заменить на рабочем компе всё на Убунту 20.04

И оно, знаете, практически взлетело.

Получилось:

1. Прицепить к AD
2. Сделать членов группы Domain Admins частью группы sudoers
3. Запустить авторизацию со смарткартами (вот тут уже пришлось бороду почесать)
4. Включить авторизацию по смарткарте в VDI клиенте VMWare Horizons
5. Аутлук теперь работает как PWA
6. Запустить Teams (благо теперь на Линупсах оно работает нативно)

И всё бы хорошо, но вот драйверы НВидевские отказались ставиться наотруб. Проблема хорошо известна, и не у одного меня она случилась.

Что-то там не взлетело — пробовал разные версии, чего только не делал, даже интеловский драйвер отправлял в бан — нифига. Не работает и всё тут. Лучше всего получилось на драйвере версии 418. Входим в сессию, всё работает примерно минуту, после чего всё наглухо виснет (при этом комп остаётся доступным через ssh). На более поздних версиях не получалось даже этого, всё висло ещё до авторизации.

Железо вполне себе стандартное — ноутбук HP Zbook FireFly G7. Там две видеокарты, по сути, встроенная интеловская, и Квадра Р520. Так и не получилось запустить, хотя победа была очень близко. Но без Нвидии мне ноутбук был не нужен.

Так и бросил. Прошу заметить, что на этот проект я убил часов шесть. А не винде абсолютно, блин, всё из этого списка сразу работает “искоропки”.

Линукс бесплатен только для тех, чьё время ничего не стоит.