Comments 49
Перед морем житейским
Все стою на камне, -Дай-ка брошусь в море…Что пошлет судьба мне,Радость или горе? Может, озадачит…Может, не обидит…Ведь кузнечик скачет,А куда — не видит.
___________* Напоминаем, что это стихотворение написано Козьмою Прутковым в момент отчаяния и смущения его по поводу готовившихся правительственных реформ.
Мне сейчас насуют в панамку, но на рабочей машине, не торчащей голыми портами в Интернет (то есть находящейся за файрволом с NAT) и владелец которой знает, чем отличается полученный по емейлу документ от СПИСОК_НА_УВОЛЬНЕНИЕ.doc.exe, ничто не угрожает даже без обновлений безопасности.
Мне кажется, статья была про другое
Мне кажется, что
Для IT‑инфраструктуры это катастрофа: невозможность обновить ядро системы оставляет дыры в безопасности, а ведь хакеры не дремлют.
написал не я, а вовсе даже аффтар — вот я и говорю, что это пугалка и никаких «дыр» оно в реальности не оставляет (а если хакер как-то попал в защищённый периметр, то вы УЖЕ попали, вне зависимости от дыр).
владелец которой знает, чем отличается полученный по емейлу документ от
СПИСОК_НА_УВОЛЬНЕНИЕ.doc.exe, ничто не угрожает даже без обновлений безопасности.
Да нет, были уязвииости, когда достаточно было открытия заявление_на_увольнение.pdf (без всяких .exe) или даже генерации превьюшки для него, чтобы был выполнен произвольный код, а дальше бросай себе на здоровье реверс шелл и через фаеоволл и через NAT.
Да нет, были уязвииости, когда достаточно было открытия заявление_на_увольнение.pdf (без всяких .exe) или даже генерации превьюшки для него, чтобы был выполнен произвольный код,
Было бы очень интересно посмотреть на такую дырочку для консольного клиента.
Начинается :) Сначала разговор был только о том, чтобы были настроены NAT и FW, а человек который работает за компом не запускал левые . exe, а теперь откуда то взялись какие-то консольные клиенты. Документы тоже в консольные клиентах открывать?
Причем тут консольные клиенты, если подобные атаки имеют массовый характер и направлены на обычных работников, которые в кибератаках мало что понимают?
Я сказал, что при определённых условиях «апдейты безопасности» не являются критичными. И вкратце в самом начале написал, какие это условия. А мне стали талдычить — «а если {условие не выполнено}, то являюцца!!!111»
Так описанные вами условия недостаточны. Вы не писали в вашем списке условий про то, что компьютер должен использоваться только для написания кода в консольном редакторе.
владелец которой знает
Вы пишите
владелец которой знает, чем отличается полученный по емейлу документ от
СПИСОК_НА_УВОЛЬНЕНИЕ.doc.exe
То есть буквально "полученный по е-мэил документ", как из этих слов, я должен сделать вывод, что речь идет о редактировании кода в консоли, когда вы пишите документ да еще и по e-mail, по которому код уже лет 20 почти никто не посылает? Ну и к тому же, с каких пор понимание данного отличия стало исключительно привилегией людей пишущих код в консоли, что вы сейчас так на это "знание" напираете, как на ключ к интерпретации вашей фразы? Неужели так трудно просто признать, что не подумали про такого рода атаки, что вы предпочитаете вырывать из контекста свои же собственные слова?
(Медленно и с расстановкой:) Ну вот смотрите: сидите Вы, крокодите, и вдруг Вам на почту валится письмо From: Директор с аттачментом СПИСОК_НА_УВОЛЬНЕНИЕ.doc.exe . Ваши действия:
1) срочно открыть файл, пытаясь понять, а нет ли Вас в списке на увольнение,
2) пожать плечами, поохать, что мамкины хацкеры совсем уже распустились, удалить письмо и продолжить крокодить
?
Российское IT выживало и не в таких переделках
Нет, таких "переделок" не то что российское IT, даже мировое IT не переживало еще - им до тутошних дятлов с квадратно-гнездовым мышлением как до луны.
"которые позволяли разработчикам из Твери или Краснодара работать в московском офисе"
А если в "офисе Дубая"?
Я третьи сутки пытаюсь обойти антифрод Google для настройки тестового аккаунта ads.google, и, похоже, надо лететь туда, регать и нагуливать аккаунт, чтобы Google его через пару секунд не отправлял в вечную Вальхаллу.
Спасибо, Володя!
Вы уж простите, но VPN между офисами прекрасно стабилизируется путем подачи списков адресов и используемых протоколов в РКН. Проверено.
Меня больше стоимость железа беспокоит, все остальное решаемо
Самое мерзкое во всём этом не блокировки сами по себе, а их рандом
Мне вот до сих пор интересно — а написать свой VPN-протокол, c блек паддингом и отсутствием сигнатур, до кучи закамуфлированный под какой-нибудь RDP-трафик, что не велит: лень или общее падение уровня образования?
За разработку собственных протоколов шифрования к вам придут
За разработку собственных протоколов шифрования к вам придут
И... что?
(А прийти и без этого могут совершнно по любому поводу. Как говорится, был бы человек.)
Во-первых, VPN протокол и шифрование - это разные вещи. Большинство VPN протоколов поддерживают несколько методов шифрования, предоставляя клиенту выбрать шифрование из списка, предлагаемого сервером.
Во-вторых, сигнатура шифрованного потока зависит не только от метода шифрования. Например, даже если предположить, что внутри РФ начнут блокировать по сигнатуре "Магму" или "Кузнечик", что само по себе за гранью фантастики, кастомная таблица замен или кастомный генератор псевдослучайной последовательности для гаммирования, кардинально изменяют сигнатуру.
Так что, можно не изобретать велосипед, а просто поднять OpenVPN с "Магма" или "Кузнечик". И если РКН в приступе безумия начнёт блокировать VPN каналы РЖД, РосСетей, РосАтома, Сбера и т.п., то достаточно будет только сменить сигнатуру, не меняя алгоритм шифрования.
Ну вот за кастомный и придут
И какие могут быть претензии, если ГОСТ 34.12-2018 только рекомендует таблицу замен, а применение гаммирования вообще оставляет на выбор пользователя?
Я еще про имитовставку забыл, которую позволяет применять ГОСТ 34.13-2015, и которая тоже непосредственно влияет на сигнатуру.
Хохма вот в чём: большинство современных протоколов ориентированы на статическую сигнатуру («если первый байт — 0×50, а второй — 0×4B, то делай то‑то, а иначе не делай»). В то же время ничто не запрещает использовать динамическую сигнатуру (утрированный пример: «если взять первый байт пакета, к нему приплюсовать 15-й байт пакета, и сделать XOR с 118-м байтом пакета, вычесть байт секретного ключа сервера — и в результате получился байт, у которого первая цифа равна текущему часу, а вторая — текущему дню недели, то это попытка установления VPN‑соединения по нашему секретному протоколу, и на неё надо ответить, а иначе не надо»). Желаю ТПСУ удачи понять, что это сигнатура.
Пример слишком утрирован. Статической сигнатуры в шифрованном потоке нет. А вот статистическая (вероятностная) - вполне может быть, так как передаётся не белый шум. Упрощённо говоря, только у идеального метода шифрования гистограмма распределения представляет собой горизонтальную линию. Но так как идеал не достижим, то любой метод шифрования имеет свою характерную гистограмму, по которой, с достаточно высокой вероятностью можно понять, какой метод шифрования используется.
Что касается TLS, то там выбранный метод шифрования в ClientHello вообще передаётся открытым текстом. А вот в случае QUIC и ECH всё шифруется публичным ключом сервера, что ограничивает возможности DPI известными CID и статистическими сигнатурами. То есть, за рубеж пробиться может не получиться, если IP и CID не легализованы в РКН и Минцифры, а вот внутри РФ - уже без проблем.
Хуже всего, если клиенты вынужденны использовать мобильный интернет. Тут уже остаётся только официально добиваться включения в белый список Минцифры. Это реально для внутрироссийских VPN, но муторно.
Белым шумом (идеальным) тоже можно передавать информацию. А это тоже легко детектируется. То есть нужно передавать детектируемую информацию - безобидные видео про котиков(стеганография) , и в младших битах цветности передавать наш шум. Разумеется с учетом кодеков, они вполне себе детерминированно будут работать, хоть и портят исходник, если на обеих сторонах одинаковые. Либо встраивать избыточность. Тут подумать нужно. И не писать об этом везде.
Белым шумом (идеальным) тоже можно передавать информацию.
Теоретически можно, но мы же говорим о результате шифрования. И, как я писал выше, только у идеального метода шифрования гистограмма распределения представляет собой горизонтальную линию. Вы знаете такой метод шифрования?
Вы сейчас обсуждаете сферическое шифрование в вакууме — а нам «не надо бежать быстрее медведя — надо бежать быстрее самого медленного». Вы реально думаете, что у ТСПУ бесконечный объём памяти и тактов процессора, чтобы в динамике для каждого из 100 500 идущих сквозь него потоков пигистограммы вычислять?
у ТСПУ бесконечный объём памяти и тактов процессора
Нет, конечно. Поэтому IP VPN сервера может оказаться заблокирован по сигнатуре как через секунду, так и через месяц. Смотря когда до сигнатур его входящих потоков РКН доберется, управляя ТСПУ.
пигистограммы вычислять
Я не знаю такого термина.
может оказаться заблокирован по сигнатуре
А ничо, что весь комментарий — про то, как сделать так, чтобы постоянных сигнатур не было?
не знаю такого термина.
У Вас никогда не бывало, что Вы редактировали слово в сообщении, Вас отвлекли, и Вы старое до конца не стёрли?
А ничо, что весь комментарий — про то, как сделать так, чтобы постоянных сигнатур не было?
Где?
И что такое "постоянная сигнатура"?
У Вас никогда не бывало, что Вы редактировали слово в сообщении, Вас отвлекли, и Вы старое до конца не стёрли?
Я умею читать и пользоваться редактированием сообщений. А если мне указывают на ошибку, то я её исправляю. И если я ошибся, то я считаю, что это я виноват, а не тот, кто не понял, где же я ошибся.
Бедные работодатели не смогли ничего побороть. А Наташка из соседнего подъезда с девятью классами образования качнула бесплатную лабуду и продолжает в инсте фотки свои публиковать как и публиковала.
При всем желании ни у кого ничего не получиться. Полностью отрубить можно только электропитание. А на всё остальное найдется 100500 дырок.
РКН конечно же не виноват, что так получается! там работают только настоящие патриоты с золотыми руками и добрым сердцем:)
А так нужно просто еще потерпеть и как можно больше приспособиться, лол
назад в будущее, в Бристоль Фидонет друзья! :) вспомним золотое время конца 90х или рано еще? (сарказм)
Между молотом и наковальней: как выживает IT-специалист в эпоху «регулируемого» интернета