Category: it

Category was added automatically. Read all entries about "it".

окраина

Про РЖД и информационную безопасность

Злое НАТО лезет в сети, точит Powershell....


Обычно я не трогаю в ЖЖ зону профессиональных интересов, но мимо этой новости сложно пройти.

С РЖД накануне произошла совершенно замечательная история, читающаяся, как книги про хакеров из 90-ых годов. Ознакомиться можно и нужно, даже не имея специальных технических знаний, и пропуская "заумные" куски.

Если вкратце - некоторые сегменты внутриРЖДшной корпоративной сети, включая доступ к системам видеонаблюдения, системам контроля и управления доступом, системами управления вокзальными табло, системам управления серверами, системам управления виртуализацией, элементам промышленной автоматики, и прочая, прочая, прочая голой жопой торчат в Интернет или совсем без авторизации, или с логинами/паролями вроже admin/admin1.

Комментарии, в которых упоминается ситуация в прочих Росатомах, достойны отдельного внимания.

P.S.:
От себя замечу, что похожим образом дело обстоит в достаточно большом количестве российских (да и не только) организаций, особенно в части госсектора. Даже не будучи семи пядей во люу и вооружившись Kali Linux/metasplot/CobaltStrike/Powerview/Impacket/ZeroDay exploits относительно несложными техническими средствами, даже любопытный падаван студент может привести критичные технические системы к катастрофе. Что там говорить о United States Cyber Command зарубежном супостате ...

Роскомнадзор самолюстрировался

Великолепно, я считаю !

----

Роскомнадзор заблокировал самого себя и некоторые сайты правительства (Comodo)


(по факту он заблокировал не себя, а своего поставщика SSL-сертификатов)

Как недавно выяснилось, опираясь на решение Октябрьского районного суда г. Ставрополя 2013 года (!), Роскомнадзор внёс в реестр запрещённых сайтов ресурсы Comodo — компании-производителя программного обеспечения, в т.ч. бесплатного антивируса и брандмауэра и одного из крупнейших поставщиков сертификатов SSL в мире:

crl.comodoca.com/COMODORSACertificationAuthority.crl0q (в реестре)
crl.comodoca.com/COMODORSACodeSigningCA.crl0t (в реестре)
crt.comodoca.com/COMODORSAAddTrustCA.crt0 (в реестре)
crt.comodoca.com/COMODORSACodeSigningCA.crt0 (в реестре)
secure.comodo.net/CPS0C (в реестре)

Подробную инфу можно подчерпнуть из статьи Rublacklist.net
Роскомнадзор на основании решения суда 2013 года заблокировал ресурсы крупнейшего поставщика сертификатов SSL




Более того — не работают правительственные сайты, например хотел зайти на сайт — Стройнадзора
Collapse )
Отсюда.

О прогрессе и блокировках "Роскомнадзора"

"
Интересным примером столкновения организованного взаимодействия и «ручного хаоса» является запретительная деятельность Роскомнадзора. Интернет — это грандиозный пример технологии, где ничего устойчивого и значимого не случается от балды, от какого-то случайного решения случайного человека. Всё новое вытекает из старого, строится одно за другим, неисчислимое количество раз проверяется на жизнеспособность и принимает ту форму, которая оптимальна для текущих условий. Так мы дозрели от FIDO до Фейсбука, от складирования DOS-файлов на BBS-ках до облачных сервисов вроде Amazon S3, на которые, в свою очередь, завязаны сервисы NetFlix, Airbnb, Twitter, Dropbox и тысячи других.
....
Катастрофа цивилизационного масштаба заключается в том, что сами блокировщики совершенно не понимают, что именно происходит, а у общества нет никаких рычагов по прекращению этого безобразия. Нужно честно себе признаться, что мы дозрели именно до такого положения дел. Решение о внесении в «черный список» какого-либо сайта/сервиса могут принимать как «анонимные эксперты» Роскомнадзора, так и любые региональные суды, Мосгорсуд, Генпрокуратура, а также неизвестные чиновники ФСКН, Роспотребнадзора и Федеральной налоговой службы. Это именно тысячи людей, которые решают какие-то свои мелкие задачи путем нажатия на какую-то красную кнопку в каком-то сером чемоданчике. Неопределенной массе неопределенных людей выданы такие полномочия. Это и есть наш нынешний уровень способности к организованному взаимодействию.
...
В последнее время постоянно встречаются диалоги примерно такого вида:

— Что-то не открывается твоя ссылка
— А, ну так это РКН блокирует. Поставь плагин для обхода.
— А, ок, ставлю.

Никто не воспринимает запрет как осмысленный запрет. Все воспринимаю это как мелкий, досадный сбой. В сущности, запретительная деятельность РКН превращается в ничто иное как искусственно введенное бессмысленное замусоривание коммуникативных сред, расточительное сжигание вещества человеческой жизни, добровольное занижение конкурентных цивилизационных способностей. Аналогия такая: кто-то там решил, что теперь, входя в любую дверь «в этой стране», каждый обязан присесть на корты и сказать вслух «всего лишь абырвалг». Иначе дверь ВОЗМОЖНО не откроется. К сожалению, сейчас нет никакой защиты от введения подобных новаций. 80% пофиг, 10% считают «это мудро», 9% говорят «серьезно? на корты? гы!» 1% всё понимает, но сделать ничего не может. И вот теперь некоторые двери действительно не открываются без приседания, некоторые всё ещё открываются. Некоторым надоело приседать («а чо так?») и они инсталлировали в себя плагин, который позволяет всё время ходить на кортах не вставая. С плагином почти все двери открываются как раньше. ПОЧТИ. Потому что плагин нужно своевременно обновлять, оплачивать, настраивать. Кроме того, владельцев всех дверей уже обязывают проверять приседает ли человек самостоятельно, или подло плагинит…
"

Со статьей полностью рекомендую ознакомиться здесь.

Связисты и импортозамещение

Периодически у "рукспертов" - как в ЖЖ olegmakarenko.ru, так и в sdelano_u_nas-ах - возникает неистребимый зуд сбора доказательств наличия отечественного производства практически в любой области промышленности, от станкостроения до оборудования связи типа всяких там коммутаторов, маршрутизаторов, и прочего сетевого хозяйства. Эту же тему периодически освещает panchul с новостями о процессорах "Байкал" как выдающегося достижения российского микропроцессоростроения, и ряд других патриотично настроенных и технически подкованых граждан (горлопанов "РоссияВстаетСКолен", как и горлопанов "РашкаКатитсяВСр...оеГ" брать не будем).

Так вот. Недавно попалась на глаза очередная инициатива Минпромторга под названием Об установлении запрета на допуск телекоммуникационного оборудования, происходящего из иностранных государств, для целей осуществления закупок товаров, работ, услуг отдельными видами юридических лиц. Если вкратце - российское оборудование связи покупать можно, а зарубежное - нельзя, за исключением некоторых предусмотренных документом случаев (подробнее здесь). Более того, некоторые федеральные организации периодически заявляют об отказе от импортных производителей и поставщиков - например, как Федеральная Таможенная Служба от Cisco.

Перечень российских производителей, скажем, коммутаторов и маршрутизаторов выглядит достаточно внушительно - Zelax, Nateks, Российская Корпорация Средств Связи, Рустелетех, Eltex, Полигон, QTech, и прочая, прочая, прочая. Самая "мякотка" начинается потом:

- сведущие граждание интересуются

"Интересно было бы на платы взглянуть "импотозамещенных" коммутаторов"

- заявляют

"

  1. Zelax: предположительно DCN — Digital China Netwroks (быстрый пруф)

  2. Qtech: сдираем наклейку — видим OEM (сдирал сам)

  3. РКСС: старые наработки Alcatel-Lucent (быстрый пруф)

  4. Русьтельтех: франшиза Marvell, ПО ROS 1.1 (вероятно, концы ведут на Larch Networks)

"

- указывают

"
У РКСС вроде два шильдика сразу: "сделано в России" и "Made in China", причём просто рядом наклеены
"

Неудивительно, что фактически процесс импортозамещения во многом сводится к приобретению зарубежного (прежде всего - изготовленного в Азии) оборудования, и наклеивания на него лайбы "сделано в РФ". Можно ли считать подобное "импортозамещение" явлением позитивным - вопрос спорный, так как российская наклейка на китайском коммутаторе никак развитию производства средств связи в РФ не способствует.

В Сети справедливо замечают, что результат этих манипуляций будет примерно следующий -

"
Тут еще нужно смотреть со стороны самой процедуры госзакупок. А организуются многие такие закупки в тесной кооперации заказчика и продавца\реселлера. И у иностранных производителей уже давно отлажены сети подобного взаимодействия. Неужели зам. по ИТ, которого уже пять лет окучивают манагеры из Cisco, вдруг скажет — парни, мы теперь покупаем только российское? Это при том, что вся инфраструктура построена на Cisco и все инженеры обучены. Будут юлить, так составлять ТЗ, чтобы исключить участие российского оборудования. Либо все сведется к появлению фирм, занимающихся переклейкой логотипов и оформляющих сертификаты на подобные переклейки.
"

P.S.:
Впрочем, есть и такое мнение -

"
"Процесс импортозамещения долог, и он способен растянуться на десяток лет, требуя соответствующего надзора со стороны государства, новых шагов, дотаций и инициатив. Единственное, что можно сказать однозначно: новое положение лишь подтверждает, что выбранное направление не изменится. И все, кто будет игнорировать или идти против вектора его движения, рано или поздно падут жертвами медлительной, но уверенной в себе государственной машины."

ИТ: Специалистам на заметку

Вышел новый NetHunter -

"
Разработчики дистрибутива Kali Linux, подготовили релиз специализированного продукта Kali NetHunter 3.0, в рамках которого развивается окружение для смартфонов и планшетов на базе платформы Android, в которое включена подборка инструментов для проведения тестирования систем на предмет наличия уязвимостей. Сборки NetHunter созданы для устройств Nexus 5, 6, 7, 9, 10 и OnePlus One. Исходные тексты развиваемых проектом компонентов можнозагрузить с GitHub.
..
Особенностью NetHunter является возможность осуществления атак, специфичных для мобильных устройств, в том числе основанных на эмуляции работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создания подставных точек доступа (MANA Evil Access Point). В состав входит специализированный фреймворк для осуществления MITM-атак, подборка эксплоитов и инструментов для проведения типовых атак на web-приложения и беспроводные сети, а также различные специализированные инструменты, от считывателей данных с идентификационных RFID чипов до средств для подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit).
...

В новом выпуске:


  • Переписано и расширено Android-приложение для управления NetHunter. Добавлены новые интерфейсы для проведения атак. Добавлен конфигуратор chroot-окружения с поддержкой перестроения и удаления содержимого, а также с возможностью установки в chroot-окружение дополнительных пакетов;

  • Реализована поддержка платформ Android 5.x (Lollipop) и 6.x (Marshmallow);

  • Новые сборочные скрипты, переписанные на языке Python и оптимизированные для сокращения времени сборки;

  • Упрощение адаптации дистрибутива для новых устройств. Для установки теперь предлагается универсальное приложение, которое осуществляет загрузку специфичного для разных устройств chroot-образа;

  • Новый стационарный инсталлятор NetHunter Linux Root Toolkit, предназначенный для автоматизации получения root-доступа к Android-устройству и установки chroot-окружения NetHunter с ПК на базе Linux и OS X.

"

Отсюда.

Переработали практически всё.
Очень удобная штука, на Nexus 5 - вполне достойно работает.

ИТ: Про Васю и гидроакустическое устройство подводной охраны

"
Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.
...
Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все стандартно, надо достать инфу, всю до чего можно дотянуться. Адреса, сайты, места жительства персонала, страницы в соцсетях и т.д. получены заранее, и чем больше соберет покупатель сведений заранее, тем быстрее и качественнее будет результат. Подопытная фирма оказалась из северной столицы, без сайта (таких еще полно в России-матушке) и занимается поставками некоторого (какого будет разобрано ниже) оборудования, контора вроде как развалилась, но еще агонизирует, и некто мистер Х хочет получить остатки разработок данных. В командировку уехал самый молодой, ибо квалификации, чтобы поснифать wifi-трафик на предмет паролей, явок, ссылок и другой инфы, много не нужно.

В результате этих исследований были добыты секретные слова к почте, далее из переписки выянилось, что для хранения арендован дедик, который стоял на территории подопытного. Сервер иногда удаленно админился извне, на нем крутится старая убунта 12.04 LTS версии (это к вопросу об экономии на оборудовании и персонале). Просканировали на наличие уязвимостей, доступ по ssh настроен только на конкретные ip (достаточно грамотно), открыты с десяток портов, в том числе 21(FTP), 39, 41 и 95, нашлось несколько дырок, сервер сдался на уязвимости CVE-2014-0196, через нее подняли рута с третьей попытки, два раза сервак падал, но никто даже не шевельнулся, чтобы узнать в чем дело. Искали все, что было похоже на исходники, документацию и т.д. Зашли, осмотрелись, собрали урожай, почистили, проверили, еще раз почистили, ушли.



Немного покопавшись в репозиториях, удалось выяснить следующие места обитания этого шедевра программисткой мысли.

1. Валдай (предположительно дом отдыха в Рощино), рядом правительственный объект;
2. Калининская АЭС;
3. Ленинградская АЭС;



4. Сочи (предположително дом отдыха «Бочаров Ручей», рядом правительственный объект, предположительно правительственная дача);
5. Москва (предположительно Дом Правительства Московской области);
6. Волгодонская АЭС.
"

Полностью читать здесь.

ИТ: "Отрубай на..р wi-fi"

Источник - https://bo0om.ru/the-zeronights-is-for-porn
Статистика по перехваченному трафику - https://bo0om.ru/zn2015/

---
Привет %username%!

Что же делать на крутых хакерских конференциях, типа ZeroNights? Конечно же ломать хакеров! Естественно, в целях исследования и забавы ради.

Поэтому я раздавал фейковую Wi-Fi точку, да не простую, а с ARP, DNS, NB, -spoofing’ом, подменой сертификатов, обходом HSTS и прочими модными штучками.

Это позволяло пропускать весь трафик подключенных пользователей через себя, подламывая по пути крылья (переводя с зашифрованного соединения на незашифрованный). В самом идеальном случае (для меня) пользователь просто ничего не заметит, если у приложения на мобилке нет проверки сертификата или ssl pinning’а, на крайняк, пользователь увидит всплывающее сообщение, мол, сертификат не тот. Ну или вообще программка скажет, мол, не могу соединиться.

Ну все это вы и так знаете, да еще и делали так не раз.
Назвал я эту точку MosMetro_Free — к моему мнению, самая популярная точка в Москве, ибо именно она раздается в вагонах метро. Поэтому телефончик увидев знакомую точку сам подрубается к ней и не спрашивает об этом хозяина.

Таким образом мне удалось подключить 108 устройств. В большинстве случаев — мобильники, меньшинство — ноутбуки.

Оказывается

стандартный клиент почты для iphone отлично допускает MiTM (видимо по этой причине удалось перехватить 6 паролей от gmail аккаунтов)

icloud передает логин и пароль в заголовке с каждым запросом (Basic Auth)

Помимо полученных логинов и паролей (в том числе корпоративные учётки), кучи access_token’ов от vk, собирались активные сессии на залогиненных сайтах. Ой, чего я только не видел. Как минимум 3 банка, aviasales, внезапно, одному человеку срочно захотелось заплатить за интернет. На конфе. Хакерской конфе!

Но больше всего меня удивило, что одним из самых посещаемых ресурсов был pornhub.com и на него заходили как минимум 8 устройств! Да не каких-то там анонимных, а еще и с учётными записями!

Собрал я все логи в кучу, поискал интересности и выложил небольшую статистику. Так же, можно посмотреть, cookie с каких сайтов ты оставил.

ТЫЦ

На поломанные почты я отправлю письмо, да и ты на всякий случай смени пароли. Даже если твоего mac-адреса нет в списке. Даже если тебя небыло на ZeroNights)

Совет напоследок: отрубай нахер wi-fi.

---

Про дальнобойщиков и информационные технологии

Для того, чтобы получить представление о качестве работы системы "Платон", призванной учитывать пробег и прочие технические характеристики транспортных средств - попробуйте, для начала, зарегистрироваться там в личнном кабинете.

Если терпения хватит.

ИТ: Microsoft и жадность

У Microsoft есть такой тип лицензирования программного обеспечения - соглашение провайдера серверных услуг (SPLA - Service Provider License Agreement), предназначенное для различного рода хостинг-провайдеров, дата-центров, и прочих ИТ-компаний, перепродающих разного рода программное обеспечение, виртуальные рабочие столы, сервисы и прочие аналогичные сущности.

Такие услуги занимают на рынке определенное место, в том числе у крупных игроков - например, у Selectel, Оверсан, Агава, ActiveCloud, и многих других, и позволяют как перевести из капитальных затрат в операционные, так и сэкономить на оплате только фактически используемых лицензий, развертывании серверной инфраструктуры и прочих непрофильных для обычного бизнеса занятиях.

И вот на эти услуги фактически со стороны Microsoft приходит "письмо счастья", уведомляющее о подорожании почти на 30% - а маржа перепродажников ох какая небольшая. Догадайтесь, кто в итоге платить будет ?

"
Уважаемые партнёры!

С 1 июля 2015г. компания Microsoft повышает рублевые цены по программе SPLA. Ориентировочные изменения следующие:

Продукты Изменение цены с 01.07.2015
Продукты семейства Microsoft Dynamics (CRM, NAV, AX и др) + 15%
Продукты Academic (для академических организаций) + 15%
Все остальные продукты + 29%
"

При этом функционал лицензионого ПО, понятно, не меняется никак - а вот прибыль, получаемая зарубежным софтверным гигантом и исчисляемая в долларах существенно просела.