Category: сисадминское

…боролись два говна, как говорили в моём детстве.

Что это? Внешний жёсткий диск Самсунг?

А вот опаньки!!

Неделю назад оно, разумеется, сдохло.

Не удивлён ни разу.

PS: Самсунг, ЕМНИП, более не занимается магнитными жёсткими дисками вообще. Поэтому ЛЮБОЙ их магнитный диск с гарантией будет сделан кем-то другим.

Для начала немного теории.

Как хранятся пароли в операционных системах, вебсайтах, и т.д. Не открытым текстом, разумеется. Они хранятся в виде хешей. Хеш — это строка определённой длины, получаемая при обработке ввода (пароля в данном случае) хеш-функцией. До недавнего времени (да и сейчас кое-где) использовался алгоритм MD5. Так, хеш MD5 слова “password” представляет собой строку 5f4dcc3b5aa765d61d8327deb882cf99.

Поэтому когда ты логинишься на вебсайт, пароль обрабатывается алгоритмом MD5, и сравниваются хеши. Если на выходе 5f4dcc3b5aa765d61d8327deb882cf99, то всё нормально. Винда делает немного по-другому: хеш генерируется прямо на клиенте, и пересылается не пароль, а сразу хеш. Это цуцуть безопаснее. Ещё хеш солят, но про это в другой раз.

Чтобы взломать пароль, надо сначала украсть хеш пароля. Взлом паролей перебирает все возможные комбинации, хеширует их и сравнивает хеши. Но это тупой перебор, есть варианты поинтереснее, типа словарей, комбинаций замены букв на цифры, и математическо-статистические методы, типа цепей Маркова. Но подробное разбирание этих методов — это материал для огромного отдельного поста.

Я уже давно люблю программу котохеш (hashcat) для взлома паролей. У неё исключительно высокая производительность, так как она использует видеокарту для расчётов вместо центрального процессора. Нет, она и процессор может использовать, просто на видеокарте быстрее, там этих процессоров тысячи, а хеширование исключительно хорошо распараллеливается.

Сломаем MD5 хеш 5f4dcc3b5aa765d61d8327deb882cf99:

hashcat.exe -m 0 -a 3 hash.txt ?l?l?l?l?l?l?l?l

И меньше, чем за секунду всё сломано.

На моей уже старенькой 1070GTX поиск хешей MD5 происходит со скоростью около 8 миллиардов комбинаций в секунду.

Даже если сменить пароль на более сложный, типа P@$$w0rd, то 8-значный пароль взламывается в обозримые сроки, даже на не очень новом железе — за несколько дней.

НО. Подобные сроки — они для паролей, хешированных MD5. От которого везде отказываются как могут. Он считается криптографически нестойким: во-первых, он подвержен коллизиям (т.е. два совершенно разных пароля могут дать одинаковый хеш), а во-вторых он имеет недостаточную вычислительную сложность. Т.е. тот факт, что даже на моём старом железе я могу перебирать восемь миллиардов паролей в секунду — он из-за этого происходит.

А недавно я попробовал сломать бекап смартфона Apple. Для тёщи, которая раскокала телефон вдребезги, успев, правда, незадолго до сделать ему бекап. Но вот беда — она забыла пароль от бекапа! Она только знала, что пароль восьмизначный.

Хеш пароля для айфонного бекапа берётся в файле Manifest.plist. Этот файл скармливается вот этому сайту, например, и тебе дают хеш.

Так вот хеш там — какой-то проприетарный. И имеет настолько высокую вычислительную сложность, что на моей видеокарте котохеш перебирает комбинации со скоростью… 83 варианта в секунду. Надо отдать должное чувству юмора разработчиков котохеша: во время работы оно показывает, сколько времени осталось до перебора всех вариантов. Так вот в данном случае оно говорит, что работа программы закончится после следующего Большого Взрыва 😀

Вот так вот Плотнег лососнул тунца.

Огромный респектищще Эпплу — я в очередной раз убедился, что уж с чем-чем, а с надёжностью шифрования у них всё всегда было в полном порядке. Огромным плюсом является то, что Эппл контролирует весь цикл производства телефона — от железа до софта. Поэтому что, как и каким способом — всегда было хорошо известно и задокументированно. Ну и традиционно, пнём Ведроид 🙂 На Ведроидах, кто шифрует что и как — а хер его знает! Кто из производителей как захотел, тот так и шифрует. И скажи ещё спасибо, если задокументировано. А могут и тово, на хрен послать.

Делюсь опытом.

Сначала как обычно, зачищаем. Экран в виде фольги и целлофановую обёртку пар надо аккуратно, по возможности, обрезать, не трогая голый проводок (выделен красненьким):

Этот проводок надо загнуть назад вдоль кабеля, и обмотать его конец липкой медной фольгой в один-два слоя. Важно, чтобы у медной фольги клей был токопроводящим.

Расплетаем пары, строим в нужном порядке. Я обычно жму 568B, так как мне не нужна обратная совместимость с телефоном. Надеваем разъём RJ45. Вот тут хорошо видно загнутый проводок, и как металл экрана разъёма прижимается к медной фольге. Кроме того, в этом разъёме пары проталкиваются сквозь него, и обрезаются ножом на клещах одновременно с обжимкой. Клещи нужны специальные, но они незначительно дороже, а времени экономится много. Не надо строго ровно обрезать пары, чётко нужной длины, и т.д. Сунул, обжал-обрезал, да пошёл.

Обжимаем, аккуратно обрезаем проводок экрана, надеваем защитный колпачок. Получаем…Слава Україні!

Между компьютерами, общающимися в сети, не должно быть слишком большой разницы во времени. Разные протоколы подразумевают разную чувствительность к этому расхождению. Например, HTTPS почти пофигу, разве что если совсем большая разница (месяцы), то могут быть эффекты с сертификатами, которые могут считаться нерабочими, так как уже протухли (или наоборот, ещё не вступили в действие).

А вот протокол Керберос уже намного строже — пять минут разницы и всё, привет, никто никуда не логинится. Ну, оно понятно, зачем — чтобы нельзя было перехватить старый ответ и притворится клиентом (т.н. replay attack).

Но требования к часам становятся исключительно жёсткими, когда поверх Кербероса ещё ездит 2FA. Теперь у нас 30 секунд разницы являются критическими. Чуть что — и в рыло прилетает Invalid Timestamp, а это значит надо лезть в CMOS и выставлять время там, так как зайти на компьютер уже невозможно.

К сожалению, часы на компьютерах — это просто ЖОПЬ какая-то, мои старые кварцевые Касио за пять долларов ходили намного точнее. Хотя вроде тут тоже кварц стоит, всё как у больших. А вот накось — разойтись на 10 минут за два месяца? Да нам и 11 не предел!

При этом уже давно умные люди придумали NTP (Network Time Protocol). Но на винде оно работает обычно так: жмёшь “синхронизоваться”, Винда радостно рапортует, что она синхронизировалась с time.windows.com, но время на часах нихрена не меняется! Как бороться — непонятно. Я уж и групповые политики менял, и что только не делал — всё равно время постоянно расходится. Что за жопь.

Друг детства, живущий в России, нынче жалеет, что ушёл из IT. Перешёл в строительство, стал прорабом. Хорошие деньги зарабатывал, а теперь — хлоп и всё. Де-факто безработный.

Предлагаю поднять бокалы с любимым напитком за информационные технологии. Чтобы не иссякало свободное место на серверах, чтобы не терялись пакеты, чтобы не отказывали диски в массивах, чтобы апдейты не валили систему. Раминь.

ФБР опубликовало список “русских” айпи адресов, с которых происходит сканирование важных сетей на предмет уязвимостей.

Поглядел логи своих фейрволлов на предмет соединений с, и тут у меня дыбом встала лысина, потому как весь файрволлы ими блестели. Начал смотреть, и вижу, что какая-то пурга. Это не сканирования, и это не русские айпишники. Тут навалом легитимных айпи адресов, с которыми любая организация ныне общается.

А потом я вспомнил, что в Америке живу, и всё встало на свои места. Это с подачи наших спецслужб мы проспали 9/11. Это с их информацией о химлабораториях мы трясли в ООН пробирками. Впрочем, как показывают последние события, трясти пробирками умеют не только американцы. А голосовать на пеньках — не только россияне. Обмен международным опытом, однако.

Давайте я вам расскажу, как там на самом деле было. Какую-то организацию поломали, и кто-то умный сказал сисадмину вывалить все логи файрволла, без разбору. Пиши их, Михалыч, больше — чо их, басурман, жалеть.

Дебилы, блин. Работать с подобного рода информацией решительно невозможно. Давайте лучше у меня спросите, кто кого сканирует. У меня намного больше полезной инфы будет.

Помнится, у френдов было сетевое оборудование этой известной фирмы.

Пишут, что вирус-вымогатель российского происхождения “Сайклопс Блинк” нападает на роутеры Асус.

Модели, уязвимые к вирусу:

GT-AC5300 firmware under 3.0.0.4.386.xxxx
GT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC5300 firmware under 3.0.0.4.386.xxxx
RT-AC88U firmware under 3.0.0.4.386.xxxx
RT-AC3100 firmware under 3.0.0.4.386.xxxx
RT-AC86U firmware under 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
RT-AC3200 firmware under 3.0.0.4.386.xxxx
RT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)

Проверяйте и немедленно обновляйтесь, если нужно.

В логах фаерволла — просто ВЗРЫВ активности. Ходют всякие, шшупают всякое. Очень много русских адресов или фирм-прокладок.

Некоторых найти легко. Вот, например, какая-то гнида щупала всякое с 94.232.45.12.

Это часть блока 94.232.40.0 – 94.232.47.255.

Поглядим, что за граждане:

inetnum: 94.232.40.0 – 94.232.47.255
netname: ORG-DP125-RIPE
country: RU
org: ORG-DP125-RIPE
person: Dmitriy Panchenko
address: Shirokaya street 1, bld. 4, apt. 15, 127282, Moscow, Russian Federation
phone: +79312206730

Дмитрий Панченко с улицы Широкой 1 корпус 4, квартира 15, иди нах%й.

Другие работают через фирмы-прокладки. Вот, например, меня щупали с айпи адреса 104.156.155.25. Чо за гниды? Целый блок адресов 104.156.155.0/24 зарегистрирован на некую “Академию интернет-исследований” (Academy of Internet Research LLC). А чо, проверенное имя уже, застолблённое. Такое же использовали пригожинские тролли.

У них даже домен есть, academyforinternetresearch.org. Зарегистрирован, правда, только в октябре прошлого года. А адрес регистрации у них: 830 Бульвар Ист Пальмейл, что в Пальмдейле, Калифорния.

Не знаю насчёт Академий по этому адресу, в гугломапсах по этому адресу обитает какая-то подозрительная бодега, предлагающая регистрацию гомосексуальных браков, услуги нотариуса, почты и денежных переводов и прочей ерунды. Вот только обмена валюты не хватает для полного набора. Ну, и массажа со “счастливым концом”.

В-общем, адрес этот, разумеется, липовый.

В RIPE они значатся как граждане, предлагающие услуги в России.

У двадцати семи машин в этом блоке наружу торчит ssh.

Итого имеем толпу линуксовых машин с американскими адресами, управляемых удалённо скорее всего из России, щупающие американские адреса на предмет всякого.

Я с русскими не воюю. А они со мной — да.

По сравнению с довоенными временами говорить с русскими родственниками становится всё сложнее и сложнее. Обобщений не делаю, но мой опыт именно такой. Скайп уже не работает от слова совсем. В таких случаях я пользуюсь телегой, и походу, с ней тоже надо завязывать. Звук работает уже через пень-колоду, видео не работает вовсе. Возможно, что это из-за резко снизившейся пропускной способности сети. Возможно. А возможно, у товарища майора не хватает мощности перехватывать и обрабатывать видео.

Вообще, телега сама по себе подозрительна. Уязвимостей в ней — ДОХЕРА и больше. А учитывая, что граждане нарисовали свою собственную криптографию, совершенно не исключено, что там оставили дыру для товарища майора. Да и криптография там неочевидная — в одних чатах есть, в других нет, и чтобы узнать, что и где, надо читать документацию. А эта показная беготня от Роскомгестапо — это был рекламный ход, чтобы завлечь туда людей, чью переписку и надо читать товарищу майору. Сейчас в телеграм-каналах про войну с Украиной резвится толпа самых разных граждан. Резвитесь-резвитесь, ч0рный воронок с вашим именем уже заправлен топливом и ждёт.

И фоточками в наше время аккуратнее надо обмениваться. По умолчанию все фотки имеют геотаг. Так что если ты снял у себя дома фотку и отправил её другу, а товарищ майор её перехватил — ну, теперь товарищ майор знает, где ты живёшь. Отключайте это немедленно нахер.

Сумел матушке наконец-то удалённо поставить нормальный месенжер, который ни одна спецслужба мира пока не перехватывает — Signal. Там пока работает и звук и видео. И криптография там везде и всегда, и исчезающие сообщения тоже есть (чтобы было, что показать цепным псам преступного кговагого прижЫма, если чо). Будем пользоваться им. Рекомендую.

Надо будет ещё у себя поднять VPN сервер. В ведроидах вроде как есть встроенный OpenVPN клиент? Настрою у себя сервер, обходить Роскомгестапо, которое наверняка уже начало банить прочих VPN провайдеров.

Ещё круче было бы суметь разобраться с VPN, который заворачивает все пакеты в HTTPS. Тогда даже понять, что это VPN, а не обычный вебсайт, не так-то просто.

В-общем, будем думать.