FIPS

Дальше всякое сисадминское.

FIPS это Федеральный Стандарт по Обработке Информации (Federal Information Processing Standard). Когда говорят FIPS, обычно подразумевают публикацию Национального Института Стандартов и Технологий (NIST) за нумером 140-2. В ней описываются всяческие стандарты безопасности, включая алгоритмы шифрования, генерации случайных чисел и т.д. В России тоже есть аналог этого документа, это ГОСТ 54583-2011.

В Винде режим совместимости с FIPS включается довольно просто — либо через групповые политики (если у нас домен) или же через локальные настройки безопасности: Local Policies -> Security Options -> Use FIPS Compliant algorithms for encryption, hashing, and signing. Это заставит все программы, выполняемые на компьютере, использовать только безопасные алгоритмы. Если же программа захочет использовать небезопасный алгоритм (например, алгоритм хеширования MD5), то она вывалится с ошибкой “не шмагла”, а в евентах останутся соответствующие матюги от SCHANNEL.

И вот заодно пнём Линукс. Вернее, не сколько сам Линукс, сколько восторженных линуксофанатов. Скажите мне, дарагие друзиа, как на вашей любимой платформе включается режим совместимости с FIPS? А? Чего молчите? Ну, тогда отвечу я: НИКАК. Чтобы получить FIPS-совместимый Линукс, надо менять ядро на FIPS-совместимое, а оно (кокой сурприз!!) — продаётся и обновляется строго за деньги. Просто вы, дарагие друзиа, ничего сложнее пишмашинки или стандартного LAMP-сервера в жизни не делали, поэтому продолжаете считать, что Линукс — он бесплатный.

Пойдём далее. Самая большая засада с включением FIPS в том, что весь софт, который не умеет в SHA, AES и прочие умные слова, перестаёт работать. И ладно там если перестаёт работать какое-то самописное изделие или ещё какой несерьёзный софт. А вот у меня вчера перестал работать SQL Server. Ага, вот так вот, мля, знай наших! Вернее, перестал работать не сам сервер баз данных, а сервис линкования серверов. Он же шпарит по шифрованому протоколу между сервантами. И вот видимо конкретно эта часть не является FIPS-совместимой, так как от сервера прилетает TCP RST сразу после попытки TLS-рукопожатия.

Будем сегодня разбираться, не то это DBA чего-то не так наконфигурял, либо надо писать телегу в Microsoft, чтобы FIPS-совместимый продукт стал, наконец, FIPS-совместимым.

Новый Edge

Вполне норм, должен сказать. Забавно, конечно, как это Микрософт вдруг сильно полюбил продукт с открытым исходным кодом (ибо новый Edge это перелицованный Chromium). Но хорошо хоть, что теперь на винде будет по умолчанию вменяемый браузер, а не это недоразумение, нужное только для того, чтобы скачать Фаерфокс или Хром, кому уж что милее.

Четвертые сутки пылают станицы

Всё же дал стране угля Микрософт с последним обновлением, закрывающим не просто дыру, а ДЫРУ с большой буквы в crypt32.dll ТАКИХ размеров, что филин залетает туда не складывая крыльев. Начальство потребовало, чтобы оно было установлено везде к концу недели, и у всех наших сисадминов задница в мыле.

Что интересно, кстати, что Микрософту про эту дыру рассказало АНБ США. Интересно, сколько лет они об этой дыре знали и сидели на этой информации, используя дыру в своих целях.

Мкрсфт упрлся

В новом терминале для Винды есть эффект эмуляции ЭЛТ монитора:

Это ж как надо накуриться, чтобы такое понравилось по доброй воле… Ещё несведение лучей в углах добавить, для полной, блин, аутентичности. Вот кому это надо — добровольно жрать уже мёртвое говно? Аудиокассетофильство из той же серии. Интересно, кстати, что на видеокассеты никто нынче не дрочит. Видимо, потому, что говённость качества более очевидна.

Но новый микрософтовский терминал штука неплохая, наконец-то в нём можно будет сделать несколько закладок, даже с разными интерпретаторами. К слову, этой фиче уже сто лет в обед на никсах. Осталось доделать закладки в файловом менеджере, наконец-то получится на уровне Убунту %)

Прикольный баг

Забавный баг обнаружили в прошивках некоторых моделей хепешных твёрдотельников. После того, как диск отработает свыше 32768 часов, он навечно отключается, теряя все данные. Насколько понимаю, связано это с неверной интерпретацией 16-битного числа, представлющего собой атрибут S.M.A.R.T. Power-on Hours. Оно должно было интерпретироваться как беззнаковое, а интерпретируется как знаковое. Так что когда старший бит из нуля станет единичкой — прошивка будет считать, что диск был включён ОТРИЦАТЕЛЬНОЕ количество часов и от таких новостей выпадет в осадок.

Те же, поди, программисты писали, что расколотили спускаемый аппарат об Марс из-за того, что кто-то забыл перевести футы в метры.

Ну чо, попатчимся?

Криптографические сопроцессоры (TPM) производства STM и Intel имеют уязвимость, используя которую можно вытащить из сопроцессора ключи шифрования. В том числе — и удалённо, по сети, т.к. криптографический сопроцессор используется в том числе при установлении TLS сессии. Потребуется, правда, быстрая сеть, т.к. возможность атаки сильно зависит от разницы во времени между посылками команд.

У меня сопроцессор производства Infineon, так что нужды патчиться у меня нет. Владельцы чипов Nuvoton тоже могут выдохнуть.

Просмотреть информацию о производителе cопроцессора на Винде можно при помощи утилиты tpm.msc. IFX — это Infineon. Про других не знаю.

https://www.zdnet.com/article/tpm-fail-vulnerabilities-impact-tpm-chips-in-desktops-laptops-servers/

Ну, а владельцы облачных серверов сегодня споют и спляшут — нас-то это не касается. За это мы и любим облачные технологии.

Прелесть

AMD снова на высоте.

Вкратце — в микрокоде процессоров АМД есть ошибка, из-за которой встроенный хардверный генератор случайных чисел раз за разом выдаёт 0xFFFFFFFF. Это, разумеется, приводит к серьёзнейшим дырам в безопасности для пакетов, которые используют машкод RDRAND. Чтобы починить, надо сгружать обновление для БИОСА (!) материнской платы (!!), которое обновит микрокод процессора (!!!). Нет, просто пойти на сайт АМД и скачать обновление низзя, что вы, это бы было слишком просто.

Помнится, ещё где-то в начале-середине 2000х я это уже видел — компьютеры на процессорах Интел нормально себе собирались и работали, в то время когда владельцы компьютеров на процессорах АМД пребывали в перманентном поиске нужной длины заячьей лапки и правильного размера бубна, чтобы ЭТО, наконец, нормально заработало.

Надо, правда, сказать, что часто это была вина самих владельцев, которые покупали АМД не потому, что он был лучше, а потому, что эти процессоры были дешевле. Ну, и заодно экономили ещё на всём остальном — на материнской плате, на памяти, и даже на блоке питания (не надо ржать, неустойчивая работа компьютера как правило на хреновость питания и указывает). Получалось в результате говно из серии “на грош пятаков”. И работало точно так же.

Но это также была и вина АМД, которые, например, не продавали вместе в процессором кулер. Интел продавали, а АМД нет. Поэтому форумы фанатов АМД были заполнены сообщениями типа: а площадь радиатора в 130 квадратных миллиметров это достаточно? А 40 кубов в минуту хватит? Нет, не хватит, надо минимум 45!

А владельцы Интелов не парились и ставили кулер, который шёл в комплекте. И всё нормально работало искоропки.

Отдельная ржака по охлаждению была когда на процессорах АМД не ставили защиту по перегреву, из-за чего процессор при полной загрузке, если с него снять кулер, за несколько секунд уходил вразнос и выпускал волшебный белый дым, на котором, как известно, всё и работает. Ну, а когда дым заканчивался — то и работать всё переставало. А Интеловские процессоры, увидев зашкал по температуре, тупо тормозили тапкой в пол и вставали раком.

АМД ещё тогда же начал сваливать с больной головы на здоровую — мол, изготовители материнских плат виноваты, они не ставят на платы термисторы и защиту (вот ТОЧНОСТИ как в данном примере — нехай БИОС апгрейдят, а мы белые и пушистые и вообще не при чём). А Интел без излишней зауми ставил защиту в сам процессор. Ибо нехрен.

Потом АМД взялись, наконец, за ум, и стали продавать вместе с процессорами кулеры. А теперь, вишь, опять перестали:

Нет, прелесть же. 32-х ядерная “Рязань” за почти две тыщи баксов, но кулер нихера в поставку не входит. 20 долларов сэкономили, молодцы!

Касперский — прелесть

Помимо того, что данный… кгм… продукт у меня регулярно подвешивал компьютер, он, как теперь выясняется, ещё давал прекрасную возможность отслеживать пользователей в интернете. Под соусом якобы определения злонамеренности посещаемого вебсайта, с 2015 года Касперский добавлял на все посещаемые страницы небольшой кусочек джаваскриптовского кода. Не знаю, как он по результатам этого собирался определять злонамеренность, но скрипт, который он добавлял, имел уникальный индивидуальный идентификатор. А так как при таких раскладах этот скрипт тоже становится частью DOM, его содержимое становится доступным ВСЕМ скриптам на этой странице. То-есть, любой дурак мог взять и заполучить уникальный идентификатор пользователя, и именно что злонамеренно использовать его в целях, например, подсовывания рекламы или ещё чего похуже.

С какой целью на самом деле всё делалось именно вот так — затрудняюсь сказать. Но *многозначительно шевеля усами* учитывая, что Евгений Валентинович закончил Высшую Школу КГБ…

В-общем, я как свалил с него, так с тех пор ни разу не пожалел.

Худший браузер

Это, конечно, Edge.

Удивительно несовместимая с ни чем штука. Не, в фейсбучек потупить, конечно, сгодится, а вот запулить нормальное веб-приложение — уже хренушки.

Сегодня попал в поразительную ситуацию — Микрософтовский браузер не смог запустить Микрософтовское же приложение — MS Teams Web App.

А в Хроме — с пол-пинка всё завелось. Вот такой вот нынче Микрософт — сам с собой невосместимый.

Отбивательство

Блин, последнюю неделю практически все мои разговоры на работе происходят так:

Тестеры: Вы добавили на фаерволл ексепшены?
Я: А вы мне прислали список ексепшенов как я потребовал две недели назад?
Тестеры: Вот прямо щас поглядим и пришлём!

Программисты: вы установили наш новый код на веб-приложение?
Я: А вы его скомпилировали и мне его дали, как я просил три недели назад?
Программисты: Дайте пять минут, пришлём!

Отдел документации: что-то мы до сих пор не видим новую базу данных, которую мы просили добавить
Я: А вы прислали мне схему БД которую я уже вторую неделю ежедневно прошу, чтобы я её добавил?
Отдел документации: Ну добавьте хоть чего!
Я: Чего добавлять-то? Тонну таблиц и толпу варчаров? А какой длины? Сколько? А индексы где будем делать? А проверки на уникальность? А первичный ключ надо? А кто к этому должен иметь доступ, и какой?
Отдел документации: Мы щас подумаем.

Начальник: Чего-то у нас нихера не работает!
Я: У меня все ходы записаны.
Начальник: Понятно. Щас я их смотивирую.

А завтра будет, японский бог, ровно то же самое.