Category: сисадминское

…боро­лись два гов­на, как гово­ри­ли в моём дет­стве.

Что это? Внеш­ний жёст­кий диск Сам­сунг?

А вот опань­ки!!

Неде­лю назад оно, разу­ме­ет­ся, сдох­ло.

Не удив­лён ни разу.

PS: Сам­сунг, ЕМНИП, более не зани­ма­ет­ся маг­нит­ны­ми жёст­ки­ми дис­ка­ми вооб­ще. Поэто­му ЛЮБОЙ их маг­нит­ный диск с гаран­ти­ей будет сде­лан кем-то дру­гим.

Для нача­ла немно­го тео­рии.

Как хра­нят­ся паро­ли в опе­ра­ци­он­ных систе­мах, веб­сай­тах, и т.д. Не откры­тым тек­стом, разу­ме­ет­ся. Они хра­нят­ся в виде хешей. Хеш — это стро­ка опре­де­лён­ной дли­ны, полу­ча­е­мая при обра­бот­ке вво­да (паро­ля в дан­ном слу­чае) хеш-функ­ци­ей. До недав­не­го вре­ме­ни (да и сей­час кое-где) исполь­зо­вал­ся алго­ритм MD5. Так, хеш MD5 сло­ва «password» пред­став­ля­ет собой стро­ку 5f4dcc3b5aa765d61d8327deb882cf99.

Поэто­му когда ты логи­нишь­ся на веб­сайт, пароль обра­ба­ты­ва­ет­ся алго­рит­мом MD5, и срав­ни­ва­ют­ся хеши. Если на выхо­де 5f4dcc3b5aa765d61d8327deb882cf99, то всё нор­маль­но. Вин­да дела­ет немно­го по-дру­го­му: хеш гене­ри­ру­ет­ся пря­мо на кли­ен­те, и пере­сы­ла­ет­ся не пароль, а сра­зу хеш. Это цуцуть без­опас­нее. Ещё хеш солят, но про это в дру­гой раз.

Что­бы взло­мать пароль, надо сна­ча­ла украсть хеш паро­ля. Взлом паро­лей пере­би­ра­ет все воз­мож­ные ком­би­на­ции, хеши­ру­ет их и срав­ни­ва­ет хеши. Но это тупой пере­бор, есть вари­ан­ты поин­те­рес­нее, типа сло­ва­рей, ком­би­на­ций заме­ны букв на циф­ры, и мате­ма­ти­че­ско-ста­ти­сти­че­ские мето­ды, типа цепей Мар­ко­ва. Но подроб­ное раз­би­ра­ние этих мето­дов — это мате­ри­ал для огром­но­го отдель­но­го поста.

Я уже дав­но люб­лю про­грам­му кото­хеш (hashcat) для взло­ма паро­лей. У неё исклю­чи­тель­но высо­кая про­из­во­ди­тель­ность, так как она исполь­зу­ет видео­кар­ту для рас­чё­тов вме­сто цен­траль­но­го про­цес­со­ра. Нет, она и про­цес­сор может исполь­зо­вать, про­сто на видео­кар­те быст­рее, там этих про­цес­со­ров тыся­чи, а хеши­ро­ва­ние исклю­чи­тель­но хоро­шо рас­па­рал­ле­ли­ва­ет­ся.

Сло­ма­ем MD5 хеш 5f4dcc3b5aa765d61d8327deb882cf99:

hashcat.exe ‑m 0 ‑a 3 hash.txt ?l?l?l?l?l?l?l?l

И мень­ше, чем за секун­ду всё сло­ма­но.

На моей уже ста­рень­кой 1070GTX поиск хешей MD5 про­ис­хо­дит со ско­ро­стью око­ло 8 мил­ли­ар­дов ком­би­на­ций в секун­ду.

Даже если сме­нить пароль на более слож­ный, типа P@$$w0rd, то 8‑значный пароль взла­мы­ва­ет­ся в обо­зри­мые сро­ки, даже на не очень новом желе­зе — за несколь­ко дней.

НО. Подоб­ные сро­ки — они для паро­лей, хеши­ро­ван­ных MD5. От кото­ро­го вез­де отка­зы­ва­ют­ся как могут. Он счи­та­ет­ся крип­то­гра­фи­че­ски нестой­ким: во-пер­вых, он под­вер­жен кол­ли­зи­ям (т.е. два совер­шен­но раз­ных паро­ля могут дать оди­на­ко­вый хеш), а во-вто­рых он име­ет недо­ста­точ­ную вычис­ли­тель­ную слож­ность. Т.е. тот факт, что даже на моём ста­ром желе­зе я могу пере­би­рать восемь мил­ли­ар­дов паро­лей в секун­ду — он из-за это­го про­ис­хо­дит.

А недав­но я попро­бо­вал сло­мать бекап смарт­фо­на Apple. Для тёщи, кото­рая рас­ко­ка­ла теле­фон вдре­без­ги, успев, прав­да, неза­дол­го до сде­лать ему бекап. Но вот беда — она забы­ла пароль от бека­па! Она толь­ко зна­ла, что пароль вось­ми­знач­ный.

Хеш паро­ля для айфон­но­го бека­па берёт­ся в фай­ле Manifest.plist. Этот файл скарм­ли­ва­ет­ся вот это­му сай­ту, напри­мер, и тебе дают хеш.

Так вот хеш там — какой-то про­при­е­тар­ный. И име­ет настоль­ко высо­кую вычис­ли­тель­ную слож­ность, что на моей видео­кар­те кото­хеш пере­би­ра­ет ком­би­на­ции со ско­ро­стью… 83 вари­ан­та в секун­ду. Надо отдать долж­ное чув­ству юмо­ра раз­ра­бот­чи­ков кото­хе­ша: во вре­мя рабо­ты оно пока­зы­ва­ет, сколь­ко вре­ме­ни оста­лось до пере­бо­ра всех вари­ан­тов. Так вот в дан­ном слу­чае оно гово­рит, что рабо­та про­грам­мы закон­чит­ся после сле­ду­ю­ще­го Боль­шо­го Взры­ва 😀

Вот так вот Плот­нег лосос­нул тун­ца.

Огром­ный респек­ти­щ­ще Эпплу — я в оче­ред­ной раз убе­дил­ся, что уж с чем-чем, а с надёж­но­стью шиф­ро­ва­ния у них всё все­гда было в пол­ном поряд­ке. Огром­ным плю­сом явля­ет­ся то, что Эппл кон­тро­ли­ру­ет весь цикл про­из­вод­ства теле­фо­на — от желе­за до соф­та. Поэто­му что, как и каким спо­со­бом — все­гда было хоро­шо извест­но и задо­ку­мен­ти­ро­ван­но. Ну и тра­ди­ци­он­но, пнём Вед­ро­ид 🙂 На Вед­ро­и­дах, кто шиф­ру­ет что и как — а хер его зна­ет! Кто из про­из­во­ди­те­лей как захо­тел, тот так и шиф­ру­ет. И ска­жи ещё спа­си­бо, если задо­ку­мен­ти­ро­ва­но. А могут и тово, на хрен послать.

Делюсь опы­том.

Сна­ча­ла как обыч­но, зачи­ща­ем. Экран в виде фоль­ги и цел­ло­фа­но­вую обёрт­ку пар надо акку­рат­но, по воз­мож­но­сти, обре­зать, не тро­гая голый про­во­док (выде­лен крас­нень­ким):

Этот про­во­док надо загнуть назад вдоль кабе­ля, и обмо­тать его конец лип­кой мед­ной фоль­гой в один-два слоя. Важ­но, что­бы у мед­ной фоль­ги клей был токо­про­во­дя­щим.

Рас­пле­та­ем пары, стро­им в нуж­ном поряд­ке. Я обыч­но жму 568B, так как мне не нуж­на обрат­ная сов­ме­сти­мость с теле­фо­ном. Наде­ва­ем разъ­ём RJ45. Вот тут хоро­шо вид­но загну­тый про­во­док, и как металл экра­на разъ­ёма при­жи­ма­ет­ся к мед­ной фоль­ге. Кро­ме того, в этом разъ­ёме пары про­тал­ки­ва­ют­ся сквозь него, и обре­за­ют­ся ножом на кле­щах одно­вре­мен­но с обжим­кой. Кле­щи нуж­ны спе­ци­аль­ные, но они незна­чи­тель­но доро­же, а вре­ме­ни эко­но­мит­ся мно­го. Не надо стро­го ров­но обре­зать пары, чёт­ко нуж­ной дли­ны, и т.д. Сунул, обжал-обре­зал, да пошёл.

Обжи­ма­ем, акку­рат­но обре­за­ем про­во­док экра­на, наде­ва­ем защит­ный кол­па­чок. Получаем…Слава Україні!

Меж­ду ком­пью­те­ра­ми, обща­ю­щи­ми­ся в сети, не долж­но быть слиш­ком боль­шой раз­ни­цы во вре­ме­ни. Раз­ные про­то­ко­лы под­ра­зу­ме­ва­ют раз­ную чув­стви­тель­ность к это­му рас­хож­де­нию. Напри­мер, HTTPS почти пофи­гу, раз­ве что если совсем боль­шая раз­ни­ца (меся­цы), то могут быть эффек­ты с сер­ти­фи­ка­та­ми, кото­рые могут счи­тать­ся нера­бо­чи­ми, так как уже про­тух­ли (или наобо­рот, ещё не всту­пи­ли в дей­ствие).

А вот про­то­кол Кер­бе­рос уже намно­го стро­же — пять минут раз­ни­цы и всё, при­вет, никто нику­да не логи­нит­ся. Ну, оно понят­но, зачем — что­бы нель­зя было пере­хва­тить ста­рый ответ и при­тво­рит­ся кли­ен­том (т.н. replay attack).

Но тре­бо­ва­ния к часам ста­но­вят­ся исклю­чи­тель­но жёст­ки­ми, когда поверх Кер­бе­ро­са ещё ездит 2FA. Теперь у нас 30 секунд раз­ни­цы явля­ют­ся кри­ти­че­ски­ми. Чуть что — и в рыло при­ле­та­ет Invalid Timestamp, а это зна­чит надо лезть в CMOS и выстав­лять вре­мя там, так как зай­ти на ком­пью­тер уже невоз­мож­но.

К сожа­ле­нию, часы на ком­пью­те­рах — это про­сто ЖОПЬ какая-то, мои ста­рые квар­це­вые Касио за пять дол­ла­ров ходи­ли намно­го точ­нее. Хотя вро­де тут тоже кварц сто­ит, всё как у боль­ших. А вот накось — разой­тись на 10 минут за два меся­ца? Да нам и 11 не пре­дел!

При этом уже дав­но умные люди при­ду­ма­ли NTP (Network Time Protocol). Но на вин­де оно рабо­та­ет обыч­но так: жмёшь «син­хро­ни­зо­вать­ся», Вин­да радост­но рапор­ту­ет, что она син­хро­ни­зи­ро­ва­лась с time.windows.com, но вре­мя на часах них­ре­на не меня­ет­ся! Как бороть­ся — непо­нят­но. Я уж и груп­по­вые поли­ти­ки менял, и что толь­ко не делал — всё рав­но вре­мя посто­ян­но рас­хо­дит­ся. Что за жопь.

Друг дет­ства, живу­щий в Рос­сии, нын­че жале­ет, что ушёл из IT. Пере­шёл в стро­и­тель­ство, стал про­ра­бом. Хоро­шие день­ги зара­ба­ты­вал, а теперь — хлоп и всё. Де-факто без­ра­бот­ный.

Пред­ла­гаю под­нять бока­лы с люби­мым напит­ком за инфор­ма­ци­он­ные тех­но­ло­гии. Что­бы не исся­ка­ло сво­бод­ное место на сер­ве­рах, что­бы не теря­лись паке­ты, что­бы не отка­зы­ва­ли дис­ки в мас­си­вах, что­бы апдей­ты не вали­ли систе­му. Раминь.

ФБР опуб­ли­ко­ва­ло спи­сок «рус­ских» айпи адре­сов, с кото­рых про­ис­хо­дит ска­ни­ро­ва­ние важ­ных сетей на пред­мет уяз­ви­мо­стей.

Погля­дел логи сво­их фей­р­вол­лов на пред­мет соеди­не­ний с, и тут у меня дыбом вста­ла лыси­на, пото­му как весь фай­р­вол­лы ими бле­сте­ли. Начал смот­реть, и вижу, что какая-то пур­га. Это не ска­ни­ро­ва­ния, и это не рус­ские айпиш­ни­ки. Тут нава­лом леги­тим­ных айпи адре­сов, с кото­ры­ми любая орга­ни­за­ция ныне обща­ет­ся.

А потом я вспом­нил, что в Аме­ри­ке живу, и всё вста­ло на свои места. Это с пода­чи наших спец­служб мы про­спа­ли ⁹⁄₁₁. Это с их инфор­ма­ци­ей о хим­ла­бо­ра­то­ри­ях мы тряс­ли в ООН про­бир­ка­ми. Впро­чем, как пока­зы­ва­ют послед­ние собы­тия, тря­сти про­бир­ка­ми уме­ют не толь­ко аме­ри­кан­цы. А голо­со­вать на пень­ках — не толь­ко рос­си­яне. Обмен меж­ду­на­род­ным опы­том, одна­ко.

Давай­те я вам рас­ска­жу, как там на самом деле было. Какую-то орга­ни­за­цию поло­ма­ли, и кто-то умный ска­зал сисад­ми­ну выва­лить все логи фай­р­вол­ла, без раз­бо­ру. Пиши их, Миха­лыч, боль­ше — чо их, басур­ман, жалеть.

Деби­лы, блин. Рабо­тать с подоб­но­го рода инфор­ма­ци­ей реши­тель­но невоз­мож­но. Давай­те луч­ше у меня спро­си­те, кто кого ска­ни­ру­ет. У меня намно­го боль­ше полез­ной инфы будет.

Пом­нит­ся, у френ­дов было сете­вое обо­ру­до­ва­ние этой извест­ной фир­мы.

Пишут, что вирус-вымо­га­тель рос­сий­ско­го про­ис­хож­де­ния «Сай­к­лопс Блинк» напа­да­ет на роу­те­ры Асус.

Моде­ли, уяз­ви­мые к виру­су:

GT-AC5300 firmware under 3.0.0.4.386.xxxx
GT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC5300 firmware under 3.0.0.4.386.xxxx
RT-AC88U firmware under 3.0.0.4.386.xxxx
RT-AC3100 firmware under 3.0.0.4.386.xxxx
RT-AC86U firmware under 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
RT-AC3200 firmware under 3.0.0.4.386.xxxx
RT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)

Про­ве­ряй­те и немед­лен­но обнов­ляй­тесь, если нуж­но.

В логах фаер­вол­ла — про­сто ВЗРЫВ актив­но­сти. Ходют вся­кие, шшу­па­ют вся­кое. Очень мно­го рус­ских адре­сов или фирм-про­кла­док.

Неко­то­рых най­ти лег­ко. Вот, напри­мер, какая-то гни­да щупа­ла вся­кое с 94.232.45.12.

Это часть бло­ка 94.232.40.0 — 94.232.47.255.

Погля­дим, что за граж­дане:

inetnum: 94.232.40.0 — 94.232.47.255
netname: ORG-DP125-RIPE
country: RU
org: ORG-DP125-RIPE
person: Dmitriy Panchenko
address: Shirokaya street 1, bld. 4, apt. 15, 127282, Moscow, Russian Federation
phone: +79312206730

Дмит­рий Пан­чен­ко с ули­цы Широ­кой 1 кор­пус 4, квар­ти­ра 15, иди нах%й.

Дру­гие рабо­та­ют через фир­мы-про­клад­ки. Вот, напри­мер, меня щупа­ли с айпи адре­са 104.156.155.25. Чо за гни­ды? Целый блок адре­сов 104.156.155.0/24 заре­ги­стри­ро­ван на некую «Ака­де­мию интер­нет-иссле­до­ва­ний» (Academy of Internet Research LLC). А чо, про­ве­рен­ное имя уже, застолб­лён­ное. Такое же исполь­зо­ва­ли при­го­жин­ские трол­ли.

У них даже домен есть, academyforinternetresearch.org. Заре­ги­стри­ро­ван, прав­да, толь­ко в октяб­ре про­шло­го года. А адрес реги­стра­ции у них: 830 Буль­вар Ист Паль­мейл, что в Пальм­дей­ле, Кали­фор­ния.

Не знаю насчёт Ака­де­мий по это­му адре­су, в гуг­ло­мап­сах по это­му адре­су оби­та­ет какая-то подо­зри­тель­ная боде­га, пред­ла­га­ю­щая реги­стра­цию гомо­сек­су­аль­ных бра­ков, услу­ги нота­ри­уса, почты и денеж­ных пере­во­дов и про­чей ерун­ды. Вот толь­ко обме­на валю­ты не хва­та­ет для пол­но­го набо­ра. Ну, и мас­са­жа со «счаст­ли­вым кон­цом».

В‑общем, адрес этот, разу­ме­ет­ся, липо­вый.

В RIPE они зна­чат­ся как граж­дане, пред­ла­га­ю­щие услу­ги в Рос­сии.

У два­дца­ти семи машин в этом бло­ке нару­жу тор­чит ssh.

Ито­го име­ем тол­пу линук­со­вых машин с аме­ри­кан­ски­ми адре­са­ми, управ­ля­е­мых уда­лён­но ско­рее все­го из Рос­сии, щупа­ю­щие аме­ри­кан­ские адре­са на пред­мет вся­ко­го.

Я с рус­ски­ми не воюю. А они со мной — да.

По срав­не­нию с дово­ен­ны­ми вре­ме­на­ми гово­рить с рус­ски­ми род­ствен­ни­ка­ми ста­но­вит­ся всё слож­нее и слож­нее. Обоб­ще­ний не делаю, но мой опыт имен­но такой. Скайп уже не рабо­та­ет от сло­ва совсем. В таких слу­ча­ях я поль­зу­юсь теле­гой, и похо­ду, с ней тоже надо завя­зы­вать. Звук рабо­та­ет уже через пень-коло­ду, видео не рабо­та­ет вовсе. Воз­мож­но, что это из-за рез­ко сни­зив­шей­ся про­пуск­ной спо­соб­но­сти сети. Воз­мож­но. А воз­мож­но, у това­ри­ща май­о­ра не хва­та­ет мощ­но­сти пере­хва­ты­вать и обра­ба­ты­вать видео.

Вооб­ще, теле­га сама по себе подо­зри­тель­на. Уяз­ви­мо­стей в ней — ДОХЕРА и боль­ше. А учи­ты­вая, что граж­дане нари­со­ва­ли свою соб­ствен­ную крип­то­гра­фию, совер­шен­но не исклю­че­но, что там оста­ви­ли дыру для това­ри­ща май­о­ра. Да и крип­то­гра­фия там неоче­вид­ная — в одних чатах есть, в дру­гих нет, и что­бы узнать, что и где, надо читать доку­мен­та­цию. А эта показ­ная бегот­ня от Рос­ком­ге­ста­по — это был реклам­ный ход, что­бы завлечь туда людей, чью пере­пис­ку и надо читать това­ри­щу май­о­ру. Сей­час в теле­грам-кана­лах про вой­ну с Укра­и­ной рез­вит­ся тол­па самых раз­ных граж­дан. Рез­ви­тесь-рез­ви­тесь, ч0рный воро­нок с вашим име­нем уже заправ­лен топ­ли­вом и ждёт.

И фоточ­ка­ми в наше вре­мя акку­рат­нее надо обме­ни­вать­ся. По умол­ча­нию все фот­ки име­ют гео­таг. Так что если ты снял у себя дома фот­ку и отпра­вил её дру­гу, а това­рищ май­ор её пере­хва­тил — ну, теперь това­рищ май­ор зна­ет, где ты живёшь. Отклю­чай­те это немед­лен­но нахер.

Сумел матуш­ке нако­нец-то уда­лён­но поста­вить нор­маль­ный месен­жер, кото­рый ни одна спец­служ­ба мира пока не пере­хва­ты­ва­ет — Signal. Там пока рабо­та­ет и звук и видео. И крип­то­гра­фия там вез­де и все­гда, и исче­за­ю­щие сооб­ще­ния тоже есть (что­бы было, что пока­зать цеп­ным псам пре­ступ­но­го кго­ва­го­го при­жЫ­ма, если чо). Будем поль­зо­вать­ся им. Реко­мен­дую.

Надо будет ещё у себя под­нять VPN сер­вер. В вед­ро­и­дах вро­де как есть встро­ен­ный OpenVPN кли­ент? Настрою у себя сер­вер, обхо­дить Рос­ком­ге­ста­по, кото­рое навер­ня­ка уже нача­ло банить про­чих VPN про­вай­де­ров.

Ещё кру­че было бы суметь разо­брать­ся с VPN, кото­рый заво­ра­чи­ва­ет все паке­ты в HTTPS. Тогда даже понять, что это VPN, а не обыч­ный веб­сайт, не так-то про­сто.

В‑общем, будем думать.