Category: it

Category was added automatically. Read all entries about "it".

Связисты и импортозамещение

Периодически у "рукспертов" - как в ЖЖ olegmakarenko.ru, так и в sdelano_u_nas-ах - возникает неистребимый зуд сбора доказательств наличия отечественного производства практически в любой области промышленности, от станкостроения до оборудования связи типа всяких там коммутаторов, маршрутизаторов, и прочего сетевого хозяйства. Эту же тему периодически освещает panchul с новостями о процессорах "Байкал" как выдающегося достижения российского микропроцессоростроения, и ряд других патриотично настроенных и технически подкованых граждан (горлопанов "РоссияВстаетСКолен", как и горлопанов "РашкаКатитсяВСр...оеГ" брать не будем).

Так вот. Недавно попалась на глаза очередная инициатива Минпромторга под названием Об установлении запрета на допуск телекоммуникационного оборудования, происходящего из иностранных государств, для целей осуществления закупок товаров, работ, услуг отдельными видами юридических лиц. Если вкратце - российское оборудование связи покупать можно, а зарубежное - нельзя, за исключением некоторых предусмотренных документом случаев (подробнее здесь). Более того, некоторые федеральные организации периодически заявляют об отказе от импортных производителей и поставщиков - например, как Федеральная Таможенная Служба от Cisco.

Перечень российских производителей, скажем, коммутаторов и маршрутизаторов выглядит достаточно внушительно - Zelax, Nateks, Российская Корпорация Средств Связи, Рустелетех, Eltex, Полигон, QTech, и прочая, прочая, прочая. Самая "мякотка" начинается потом:

- сведущие граждание интересуются

"Интересно было бы на платы взглянуть "импотозамещенных" коммутаторов"

- заявляют

"

  1. Zelax: предположительно DCN — Digital China Netwroks (быстрый пруф)

  2. Qtech: сдираем наклейку — видим OEM (сдирал сам)

  3. РКСС: старые наработки Alcatel-Lucent (быстрый пруф)

  4. Русьтельтех: франшиза Marvell, ПО ROS 1.1 (вероятно, концы ведут на Larch Networks)

"

- указывают

"
У РКСС вроде два шильдика сразу: "сделано в России" и "Made in China", причём просто рядом наклеены
"

Неудивительно, что фактически процесс импортозамещения во многом сводится к приобретению зарубежного (прежде всего - изготовленного в Азии) оборудования, и наклеивания на него лайбы "сделано в РФ". Можно ли считать подобное "импортозамещение" явлением позитивным - вопрос спорный, так как российская наклейка на китайском коммутаторе никак развитию производства средств связи в РФ не способствует.

В Сети справедливо замечают, что результат этих манипуляций будет примерно следующий -

"
Тут еще нужно смотреть со стороны самой процедуры госзакупок. А организуются многие такие закупки в тесной кооперации заказчика и продавца\реселлера. И у иностранных производителей уже давно отлажены сети подобного взаимодействия. Неужели зам. по ИТ, которого уже пять лет окучивают манагеры из Cisco, вдруг скажет — парни, мы теперь покупаем только российское? Это при том, что вся инфраструктура построена на Cisco и все инженеры обучены. Будут юлить, так составлять ТЗ, чтобы исключить участие российского оборудования. Либо все сведется к появлению фирм, занимающихся переклейкой логотипов и оформляющих сертификаты на подобные переклейки.
"

P.S.:
Впрочем, есть и такое мнение -

"
"Процесс импортозамещения долог, и он способен растянуться на десяток лет, требуя соответствующего надзора со стороны государства, новых шагов, дотаций и инициатив. Единственное, что можно сказать однозначно: новое положение лишь подтверждает, что выбранное направление не изменится. И все, кто будет игнорировать или идти против вектора его движения, рано или поздно падут жертвами медлительной, но уверенной в себе государственной машины."

ИТ: Специалистам на заметку

Вышел новый NetHunter -

"
Разработчики дистрибутива Kali Linux, подготовили релиз специализированного продукта Kali NetHunter 3.0, в рамках которого развивается окружение для смартфонов и планшетов на базе платформы Android, в которое включена подборка инструментов для проведения тестирования систем на предмет наличия уязвимостей. Сборки NetHunter созданы для устройств Nexus 5, 6, 7, 9, 10 и OnePlus One. Исходные тексты развиваемых проектом компонентов можнозагрузить с GitHub.
..
Особенностью NetHunter является возможность осуществления атак, специфичных для мобильных устройств, в том числе основанных на эмуляции работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создания подставных точек доступа (MANA Evil Access Point). В состав входит специализированный фреймворк для осуществления MITM-атак, подборка эксплоитов и инструментов для проведения типовых атак на web-приложения и беспроводные сети, а также различные специализированные инструменты, от считывателей данных с идентификационных RFID чипов до средств для подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit).
...

В новом выпуске:


  • Переписано и расширено Android-приложение для управления NetHunter. Добавлены новые интерфейсы для проведения атак. Добавлен конфигуратор chroot-окружения с поддержкой перестроения и удаления содержимого, а также с возможностью установки в chroot-окружение дополнительных пакетов;

  • Реализована поддержка платформ Android 5.x (Lollipop) и 6.x (Marshmallow);

  • Новые сборочные скрипты, переписанные на языке Python и оптимизированные для сокращения времени сборки;

  • Упрощение адаптации дистрибутива для новых устройств. Для установки теперь предлагается универсальное приложение, которое осуществляет загрузку специфичного для разных устройств chroot-образа;

  • Новый стационарный инсталлятор NetHunter Linux Root Toolkit, предназначенный для автоматизации получения root-доступа к Android-устройству и установки chroot-окружения NetHunter с ПК на базе Linux и OS X.

"

Отсюда.

Переработали практически всё.
Очень удобная штука, на Nexus 5 - вполне достойно работает.

ИТ: Про Васю и гидроакустическое устройство подводной охраны

"
Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.
...
Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все стандартно, надо достать инфу, всю до чего можно дотянуться. Адреса, сайты, места жительства персонала, страницы в соцсетях и т.д. получены заранее, и чем больше соберет покупатель сведений заранее, тем быстрее и качественнее будет результат. Подопытная фирма оказалась из северной столицы, без сайта (таких еще полно в России-матушке) и занимается поставками некоторого (какого будет разобрано ниже) оборудования, контора вроде как развалилась, но еще агонизирует, и некто мистер Х хочет получить остатки разработок данных. В командировку уехал самый молодой, ибо квалификации, чтобы поснифать wifi-трафик на предмет паролей, явок, ссылок и другой инфы, много не нужно.

В результате этих исследований были добыты секретные слова к почте, далее из переписки выянилось, что для хранения арендован дедик, который стоял на территории подопытного. Сервер иногда удаленно админился извне, на нем крутится старая убунта 12.04 LTS версии (это к вопросу об экономии на оборудовании и персонале). Просканировали на наличие уязвимостей, доступ по ssh настроен только на конкретные ip (достаточно грамотно), открыты с десяток портов, в том числе 21(FTP), 39, 41 и 95, нашлось несколько дырок, сервер сдался на уязвимости CVE-2014-0196, через нее подняли рута с третьей попытки, два раза сервак падал, но никто даже не шевельнулся, чтобы узнать в чем дело. Искали все, что было похоже на исходники, документацию и т.д. Зашли, осмотрелись, собрали урожай, почистили, проверили, еще раз почистили, ушли.



Немного покопавшись в репозиториях, удалось выяснить следующие места обитания этого шедевра программисткой мысли.

1. Валдай (предположительно дом отдыха в Рощино), рядом правительственный объект;
2. Калининская АЭС;
3. Ленинградская АЭС;



4. Сочи (предположително дом отдыха «Бочаров Ручей», рядом правительственный объект, предположительно правительственная дача);
5. Москва (предположительно Дом Правительства Московской области);
6. Волгодонская АЭС.
"

Полностью читать здесь.

ИТ: "Отрубай на..р wi-fi"

Источник - https://bo0om.ru/the-zeronights-is-for-porn
Статистика по перехваченному трафику - https://bo0om.ru/zn2015/

---
Привет %username%!

Что же делать на крутых хакерских конференциях, типа ZeroNights? Конечно же ломать хакеров! Естественно, в целях исследования и забавы ради.

Поэтому я раздавал фейковую Wi-Fi точку, да не простую, а с ARP, DNS, NB, -spoofing’ом, подменой сертификатов, обходом HSTS и прочими модными штучками.

Это позволяло пропускать весь трафик подключенных пользователей через себя, подламывая по пути крылья (переводя с зашифрованного соединения на незашифрованный). В самом идеальном случае (для меня) пользователь просто ничего не заметит, если у приложения на мобилке нет проверки сертификата или ssl pinning’а, на крайняк, пользователь увидит всплывающее сообщение, мол, сертификат не тот. Ну или вообще программка скажет, мол, не могу соединиться.

Ну все это вы и так знаете, да еще и делали так не раз.
Назвал я эту точку MosMetro_Free — к моему мнению, самая популярная точка в Москве, ибо именно она раздается в вагонах метро. Поэтому телефончик увидев знакомую точку сам подрубается к ней и не спрашивает об этом хозяина.

Таким образом мне удалось подключить 108 устройств. В большинстве случаев — мобильники, меньшинство — ноутбуки.

Оказывается

стандартный клиент почты для iphone отлично допускает MiTM (видимо по этой причине удалось перехватить 6 паролей от gmail аккаунтов)

icloud передает логин и пароль в заголовке с каждым запросом (Basic Auth)

Помимо полученных логинов и паролей (в том числе корпоративные учётки), кучи access_token’ов от vk, собирались активные сессии на залогиненных сайтах. Ой, чего я только не видел. Как минимум 3 банка, aviasales, внезапно, одному человеку срочно захотелось заплатить за интернет. На конфе. Хакерской конфе!

Но больше всего меня удивило, что одним из самых посещаемых ресурсов был pornhub.com и на него заходили как минимум 8 устройств! Да не каких-то там анонимных, а еще и с учётными записями!

Собрал я все логи в кучу, поискал интересности и выложил небольшую статистику. Так же, можно посмотреть, cookie с каких сайтов ты оставил.

ТЫЦ

На поломанные почты я отправлю письмо, да и ты на всякий случай смени пароли. Даже если твоего mac-адреса нет в списке. Даже если тебя небыло на ZeroNights)

Совет напоследок: отрубай нахер wi-fi.

---

ИТ: Microsoft и жадность

У Microsoft есть такой тип лицензирования программного обеспечения - соглашение провайдера серверных услуг (SPLA - Service Provider License Agreement), предназначенное для различного рода хостинг-провайдеров, дата-центров, и прочих ИТ-компаний, перепродающих разного рода программное обеспечение, виртуальные рабочие столы, сервисы и прочие аналогичные сущности.

Такие услуги занимают на рынке определенное место, в том числе у крупных игроков - например, у Selectel, Оверсан, Агава, ActiveCloud, и многих других, и позволяют как перевести из капитальных затрат в операционные, так и сэкономить на оплате только фактически используемых лицензий, развертывании серверной инфраструктуры и прочих непрофильных для обычного бизнеса занятиях.

И вот на эти услуги фактически со стороны Microsoft приходит "письмо счастья", уведомляющее о подорожании почти на 30% - а маржа перепродажников ох какая небольшая. Догадайтесь, кто в итоге платить будет ?

"
Уважаемые партнёры!

С 1 июля 2015г. компания Microsoft повышает рублевые цены по программе SPLA. Ориентировочные изменения следующие:

Продукты Изменение цены с 01.07.2015
Продукты семейства Microsoft Dynamics (CRM, NAV, AX и др) + 15%
Продукты Academic (для академических организаций) + 15%
Все остальные продукты + 29%
"

При этом функционал лицензионого ПО, понятно, не меняется никак - а вот прибыль, получаемая зарубежным софтверным гигантом и исчисляемая в долларах существенно просела.

ИТ: Уязвимости в SIP-телефонах Grandstream

В далеком-далеком офисе на мягком-премягком кресле сидит толстый-толстый топ-менеджер, крепко-крепко сжимая в руках трубку шифрованного-перешифрованного SIP-телефона Grandstream, и невдомек ему, что Web-интерфейс телефона "торчит" напрямую в Интернет, прошивку для него писали криворукие-косорукие программисты, а из внешних сетей уже льют к себе топ-менеджерские конфигурационные файлы любопытные-прелюбопытные хакеры, чтобы слушать его разговоры, звонить за его счет, и спамить в его контакт-лист.

Топ-менеджер ! Будь бдителен ! Береги свой Granstream !

Collapse )

ИТ: Про desktop-ные диски и отказоустойчивые RAID-массивы

Толковая статья для бестолковых снабженцев.

"

Надежность жестких дисков: MTBF, AFR, UER. Почему не стоит использовать десктопные диски в аппаратных RAID'ах?

Мы живем в эпоху расцвета HDD: объемы достигли 4ТБ на диск (и это не предел), цены на большие (1-4ТБ, 7200 тыс. оборотов/мин) и быстрые (10/15 тыс. оборотов/мин) HDD снижаются, повсеместно используются SSD, растет производительность и наращивается функционал аппаратных RAID контроллеров, давно "повзрослели" решения на базе ZFS. Появилась проблема: массивы на несколько десятков терабайт стали доступны сравнительно небольшим организациям, но уровень знаний правил и рекомендаций по хранению данных остался невысоким. Ведет это к весьма плачевным последствиям - прямым начальным денежным потерям (результат самодеятельности в выборе оборудования) и дальнейшему ущербу от потери данных.
В данной статье мы рассмотрим несколько проблем и мифов, связанных с хранением данных. Мифов накопилось предостаточно и они продолжают жить, несмотря на огромное количество трагичных историй:
Collapse )

Источник

Об информационной безопасности "Почты России"

Лучше тысячи слов. Кому интересно - вот обсуждение на "Хабре".

Оригинал взят у sovtehbez в Глобальная утечка информации на серверах Почты России

Санкт-Петербургская команда «Sokol-Security» обнаружила многочисленные дыры в системе безопасности серверов Почты России.

Найденные проблемы в безопасности, позволяют получить полный доступ ко всей базе данных Почты России, где хранятся миллионы записей с паспортными данными жителей РФ, а также информация о всех денежных переводах.
Ярким примером утечки информации является критическая уязвимость веб-сайта Почты России www.russianpost.ru - атака рода SQL инъекция кода, которая позволяет получить доступ к базе данных и ко всей её информации.
Основываясь только на выводах из последних отчетов лидеров  в области информационной безопасности, мошенниками будут применены следующие схемы: воровство денежных переводов граждан, использование паспортных данных в махинациях с кредитами. В целом применение такого рода информации ограничивается только фантазией злоумышленников. В таком объёме утечка частных данных может обернуться угрозой даже в геополитической игре.

Манипулируя уязвимостями, можно получить доступ во внутреннюю сеть обмена информацией и полный контроль над сетевой инфраструктурой.
Все почтовые отделения связаны единой сетью, доступ к которой осуществляется через уникальный сертификат, являющийся ключом авторизации отделений в глобальной почтовой системе. Центром управления информационной системы является подсистема управления,  в основе которой лежит «мастер-ключ» (корневой сертификат, которым и подписываются сертификаты отделений). Данная подсистема занимается контролем доступа к необходимым данным, для функционирования каждого из отделений почты.
Простыми словами, завладев «мастер-ключом»,  злоумышленники получают контроль внутренней сети Почты России. Управляя внутренней сетью обмена информацией, становится возможным:  подписывать транзакции (на выдачу наличных в отделениях), проводить банковские операции и даже совершение диверсии государственного уровня. Например, имея этот ключ возможно парализовать всю систему отделений Почты России.
 И уже угроза утечки нескольких десятков миллионов паспортных данных граждан РФ кажется незначительной…

Данная угроза не является теоретической!!!

Ниже представлено расположение того самого «мастер-ключа».

files_struct

       - в левой части снимка отображены часть дерева файлов подсистемы управления

                 [Снимки экрана, сделанные на локальном FTP сервере "Почты России"]


acces_granted_on_ftp2.russianpost.ru-4

  acces_granted_on_ftp2.russianpost.ru-5




      [Техническая информация. Примеры критических уязвимостей.]


Всего на ресурсе www.russianpost.ru нашими специалистами было обнаружено 29 критических уязвимостей.

Пример 1:
Хост административной части по управлению веб-ресурсами Почты России www.fcl.russianpost.ru
Реализация данной уязвимости происходит путем манипуляции POST запрос ом к серверу.
POST /media/workplacelist.aspx?sid=12345';%20{SQL INJECT}%20--%20 HTTP/1.1
Результат исполнения стандартных запросов к базе данных MSSQL:
SELECT system_user                   Ответ сервера: sa
SELECT user_name()                   Ответ сервера: dbo
SELECT HOST_NAME()               Ответ сервера: sunset
SELECT DB_NAME()                     Ответ сервера: mediasystem

Пример 2:
Основной сайт Почты России www.russianpost.ru
Реализация данной уязвимости происходит путем манипуляции GET запрос ом к серверу.
GET /?action=getimage&n=m&ufpsid=YI05M7Sq';%20{SQL INJECT}%20--%20 HTTP/1.1

пример SQL запроса:
http://www.russianpost.ru/?action=getimage&n=m&ufpsid=YI05M7Sq%27;%20waitfor%20delay%20%270:0:10%27%20--%20
SQL команда: waitfor delay '0:0:10'
Результатом выполения данной команды будет задержка при открытии ссылки ровно в 10 секунд.

[атака производится аналогично с примером 1]


Пример 3:
Вывод логина\паролья\домена серве в открытом виде для подключения к базе данных:

test2
error=" Строка соединения : data source=sunlight.russianpost.ru;initial catalog=RussianPost;user id=russianpost_admin;password=russianpost_pwd;Connect Timeout=60<br/> DB_GetList (CheckAuthorization):Line 1: Incorrect syntax near ' PASSWORD='.<br/>"

Обращение к Генеральному директору «Почты России»
Уважаемый Дмитрий Евгеньевич!
Мы готовы осуществить поддержку в устранении проблем, связанных с безопасностью информационной системы «Почты Росии».
Преодолеть Ваш секретариат, чтобы донести информацию о ситуации ответственным лицам, мы не в силах.

Предоставленная нами информация не несет угрозы для ресурсов "Почты России"


Связаться с нами можно по электронной почте support@sokol-online.com.
С Уважением команда проекта Sokol-Online.com

ИТ: О незаметном JavaScript

Визуально непривлекательный JavaScript, так скажем )) Для поклонников JSfuck.

"

«Исчезатор» кода


Задача написать код, которого… как бы нет. Еще он должен уметь что-то делать. Очевидно, что какие-либо манипуляции нужно сопроводить некоей функцией, которая бы могла интерпретировать эти манипуляции, а поэтому скрыть код вообще, увы, не выйдет, но сократить последний до пары-тройки строчек — запросто.

Многие знают или слышали, что в компьютерной типографике существуют непечатные символы, т.е. фактически невидимые. Причем это не какой-то баг или фишка, а вполне нормальное поведение — быть невидимыми. В настоящий момент одной из общепринятых и стандартизированных кодировок текста является UTF-8, она используется практически на любом современном сайте. В ней ценно и то, что там присутствует целая куча невидимых символов! Например, один из них — Zero Width Space (U+200B). Вот он: "​". Видите? Нет? А он есть.

Метод Дэвида Блейна


Для желающих потрогать руками привожу ссылку на пример годичной давности: рабочее демо смотреть бесплатно онлайн. Уже потом, спустя несколько месяцев после заметки в песочнице Хабра, я случайно набрел на пост, где просматривалась эта идея (способ номер три), но без изюминки.

В моей версии кодирование производилось наипримитивнейшим образом. Минус — сильно возрастает объем файла, плюс — нужно всего два символа для кодирования. Выглядело примерно так:
var code = '1101101111110111111111111111110101101101111101111';




Спустя довольно длительное время, я вернулся к этой теме в рамках одного проекта, которым занимаюсь. Была предпринята попытка пойти дальше и начал с того, что теперь каждый символ кодируется не единицами и нулями, а четырьмя символами:
"f".charCodeAt(0).toString(16);
// "66"

//Таким образом код символа "f" - 0x0066
String.fromCharCode("0x0066");
// "f"




В итоге, имея набор из 16 символов, можно сократить избыток лишнего кода:
var Symbols = ["й","ц","у","к","е","н","г","ш","щ","з","х","ъ","ф","ы","в","а"];

//Теперь можно закодировать символ "f":
var bar = invisibleJS("f");
// bar = "ййгг";




Увеличение объема, занимаемого кодом в данном примере снизилось до (4 символа, чтобы закодировать один), но по идее, если не нужен русский язык и/или какие-то другие не латинские символы, то можно добиться и .
Collapse )

Источник

ИТ: Тайминг-атаки на сеть Tor

Толковая статья.

"
Поскольку вопрос возможности деанонимизации пользователей Tor в очередной раз активно обсуждается в рунете, я публикую «печатную» версию фрагмента своей презентации с PHDays 2014. Приведенная ниже атака не специфична для Tor и может быть использована против любых low latency средств сокрытия источника трафика – VPN, цепочки прокси и даже их комбинации.

Мы рассмотрим сценарий, для реализации которого в Tor требуется соблюдение двух условий:


  1. Иметь возможность вмешиваться в трафик между exit node и узлом назначения. Это можно сделать, имея доступ к конечному серверу, exit node или любой точке прохождения трафика между ними. То есть фактически это условие может выполнить любой желающий, организовав собственные exit node в достаточном количестве.

  2. Иметь пассивный доступ к трафику между клиентом сети и entry node.

"

Собственно, "граждане, включайте операторское оборудование СОРМ за перед NAT-устройством, а не за ним".