Чувствую скоро тут будут туториал о том, что копи-пасте можно не только через ПКМ сделать, но ещё и через ctrl+c & ctrl+v. А ctrl+a,z итд войдут в разряд знаний гуру!
Ну так анидеск, тимьевер, рдп тоже экстремисты помогают? Да и вообще, я вон раньше ЗП на сберкнижку получал, без всяких этих TLS и ничего! Доешь запрет tpc\ip - без него ЦБ-СБ-ФСБ Самарских пенсионерок не разведет!
Я уже привык, что мне наяривают, номер еще с 90-х, засвечен где только можно. Но намедни, очередное управление по управлением на ответ сходу начинает: "Здрасте Иванова Марь Ивана, диктуйте код итд". Марь Иванна - четко теща, при этом ее имя с моим номером связывалось единожды - в декабре продавала недвижку через дом-клик, и тупо ее ЭЦП делали на мой номер. Вот и не было утечки из сбера, и банки тут не причем. Банкам эта схема выгодна не меньше аферистов, ибо терпила хапает кредиты под дикий %, и банк таки этот % всегда получает, то есть зарабатывает.
Спасибо КЭП! Это работало до публикации вашей статьи - теперь часть брокеров ужу отвалилась, или начали тротрить трафик, другая часть на подходе! Ждем когда РКН вообще V6 зарежет.
Да, контора действительно не большая в плане it, админ я в ней вообще приходящий, потому и решил начать с нуля, для меня это было проще чем реанемировать, а потом ещё аудировать доставшееся в наследство. Но маштаб личной трагедии от этого не меньше. Меня данный опыт, научил тому, что админ и его учетки тоже не святые. Отчасти мне повезло, тем, что бекапы были на линукс и мой комп тоже, и заходил я на линукс только со своего компа, по ключу, просто лень вводить пароль, проще до компа дойти. Но это везение, что было бы, если бы хакеры были более терпеливы и хакнули бы мой комп с ключами ко всем серверам всех клиентов - страшно представить. В целом и общем - многие из нас бекапят от сбоя и дурака, но в наше время надо ещё и от себя.
В отличии от большинства коментов, не хочу юродствовать на счет квалификации админов. С нетерпением жду технических подробностей от СДЕКа, и надеюсь они будут. Это конечно печальный, но все же неоценимый опыт. Даже если им все же пришлось покупать ключи шифрования, тем не менее, опыт рестора такой машины, а главное вектор атаки - неоценим. Сам в майские праздники, вместо пива поднимал бекапы после шифровальщика. В моем случае бух словил бекдора, с него на сервер 1с, с него уже кейлогером или из реестра ловим пароль админа AD. Спасло, что бекапы были на отдельном smb\ftp\ssh-сервере на который я раз в пятилетку заходил. Как итог, AD с нуля, с десяток компов с нуля, exchange с нуля, сервер 1с с нуля. Благо фирма не большая, и самое долгое - это восстановление лицензий 1С, ибо все покупалось хз когда и каким "юриком" (привет 1С с их пин-кодами).
Теперь серверов бекапов два, к которым в принципе нельзя подключиться, только локальный вход. На них никто ничего не складывает, они сами шарятся где надо, и сами все собирают. GPU затянуты на грани невозможности работы. 1с-ники с RDP стороной - не можете осилить VPN или купить статик-ип, найдем других.
Вот это действительно вечная железка. Не помню модель, но P2\256M\40Gb, но главное это хардварный RS-232. Лежит в гараже, даже АКБ еще минут 5 держит. (Могу ошибаться, но акб по моему NiMh). Раз в пятилетку оказывается актуальным, для работы с каким нибудь авто или станками - иногда нужен полноценный RS-232, и USB-COM не работает.
Я не зря упомянул железо. Да, это не проблема протокола, и как выясняется не проблема вендоров - они считают, что нет проблем. Каждый делает по своему, Android не знает ничего про DHCP6, D-link мне сказал - Multiple inteface no support DHCPv6 mode, hp 521 не умеет статику, итд итп. Зачем надо было сделать такие огромные префиксы и фактически запретить их делить меньше чем на /64, зачем мне в офисе триллион адресов на 10 компов, что бы я бегал по по компам вместо arp -a? Да, может это провайдер жмот, но иной раз у него PTR молебнами клянчишь, про RFC он с тобой говорить не будет. В итоге это становиться проблемой конечных пользователей. Точнее админов на местах, для которых попытка даже попробовать, превращается в танцы с бубном на минном поле.
Излишняя приватность грозит беспределом в своей сетке, и не возможностью найти хост в сети. Да, дома это не важно, когда устройств и с 10 не наберется, а в офисе, когда компов ~500? Никто на ff02:1 никто не отвечает. DUID генерируется на машину, и потом прется с ним во все сетевухи.
Нехватку адресов, кажется решили облаками, и внезапно это оказалось даже удобнее конечному пользователю. Теперь не надо утюгу прописывать адрес, настраивать доступ и файервол - проще завести аккаунт сяоми\хиквижен etc...
Кто в вменяемом состоянии будет тратить на это время, деньги, бороться с ветряными мельницами в виде гугла? Я не против V6, но практика показывает что будущего у него нет. Может у V6.1 какого-то, да. Но как я вижу в 2012 году перспектив было больше чем 2023, там еще была надежда. Получилось как с коммунизмом, вроде идея хорошая, но не получилось, не фортануло.
Хорошая статья, для общего обозрения. Особенно отмечу, что рассказали почему NAT не фаервол. Многие начинающие админы свято верят в него, и жутко удивляются почему /me на их принтере "война и мир" печатает после банального route add 192.168.1.0/24 via 172.20.1.16. Я бы только предысторию про нехватку убрал - думаю, что если человек читает про v6 - он уже в курсе, что к чему и почему. Но совсем не рассказали про недостатки - я например никак не приму, самоназначение адресов в моем колхозе, трудности в внедрении от производителей железа - иногда кажется, что каждый хочет свой v6!
Холивар однако, коменты как всегда ценнее топика. Странно что его его пропустили. Как админ - дома и на работе debian - потому-что да, админ может себе такое позволить, потратить вечер, а то и два на установку видюхи и звукавухи, на ноуте kali&win10 - просто потому-что debian не видел SSD. Но и там и там есть vurtualbox, как заметили уже выше - когда начинается Работа - все эти религиозные предпочтения отходят на второй план. Кроме тупления на ютубе нужна и 1С и банк-клиенты, видеонаблюдение разных вендоров. Да и просто нормальный word\exel - libre не предлагать. Даже примитивное зайти на сайт налоговой с рутокеном - в мои 40 я лучше тупо проброшу в виртуалку, чем умру пихая невпихуемое в Linux. Да есть, места где оно не заменимо - шлюз с iproute2, файлопомойка с owncloud, postfix, asterisk итд. Пока еще remmina удобнее mstsc, ssh - так и тот уже в w10 человеческий. На счет стабильности - ну как то спорно очень, на серверах и винда годами работает. Да и десктоп тоже не хуже, если юсер сам ничего не ломает. Когда то начинал с "скорой компьютерной помощью" - могу ответственно заявить, даже во времена 98, больше половины проблем это были кривые руки, еще четверть - железо. Но диагноз как обычно звучал тогда, так и сейчас - ОНО САМО СЛОМАЛОСЬ! У клиента есть вышивальная машина на 98 - последний раз году в 2005 переустанавливал - до сих пор работает. Только сейчас задумался, что даже у детей мультибут, когда косячат остается только Linux, что бы не играли, но по факту получается, что нормально домашку без офиса не сделать. Итог - как и 20 лет назад, если дома есть админ - можно и линукс, но саседу не поставлю, сопьешься или врага наживешь, пока объяснишь по телефону как ему паспорт от сканировать нормально в sane.
Нет, это тот самый сбер, который своим примером учит как можно сделать если тебе вообще на все фиолетово, и безопасность ПД клиентов тебя волнует чуть менее чем никак.
Отсутствие по дефолту способности к запуску, вообще не позволит ничему запускаться без дополнительного действия — поставить галочку. Можно конечно заюзать ALC с наследованием, но это все сильно усложнит, и в случае «надо» не позволит просто по телефону сказать юсеру поставить галочку. Наличие такого атрибута — был бы приятно.
Плюс, вряд ли разработчики учитывают возможность такой настройки,
Разработчики, в частности отечественные зачастую вообще не подразумевают, что усер может быть без прав, банк-клиенты не учитывают что у кого-то домен, да еще со своими политиками, консультант не знает что такое сервер терминалов, сбис вообще ставиться в юсерпрофиль итд, итп. Но думаю к этому придут, это следствие того, что виндовс очень долго по дефолту давал рута, и разрабы просто ленятся\не умеют это учитывать.
Разве фтп из проводника не выпилили? У автора будет большое недоумение если на ролтоне включено client isolation!
Чувствую скоро тут будут туториал о том, что копи-пасте можно не только через ПКМ сделать, но ещё и через ctrl+c & ctrl+v. А ctrl+a,z итд войдут в разряд знаний гуру!
Честно говоря давно думал, что эти инвалидные Зувалы и же с ними давно вымерли, а их прах затоптан микротиками\втр-ками и прочими тазиками.
Ну так анидеск, тимьевер, рдп тоже экстремисты помогают? Да и вообще, я вон раньше ЗП на сберкнижку получал, без всяких этих TLS и ничего! Доешь запрет tpc\ip - без него ЦБ-СБ-ФСБ Самарских пенсионерок не разведет!
Больше выполняйте и меньше закусывайте!
Я уже привык, что мне наяривают, номер еще с 90-х, засвечен где только можно. Но намедни, очередное управление по управлением на ответ сходу начинает: "Здрасте Иванова Марь Ивана, диктуйте код итд". Марь Иванна - четко теща, при этом ее имя с моим номером связывалось единожды - в декабре продавала недвижку через дом-клик, и тупо ее ЭЦП делали на мой номер. Вот и не было утечки из сбера, и банки тут не причем. Банкам эта схема выгодна не меньше аферистов, ибо терпила хапает кредиты под дикий %, и банк таки этот % всегда получает, то есть зарабатывает.
Когда-то был красивый адрес в домене pochta.ru - отжали, правда письма на него уходят и куда-то доставляются. На кройняк остался ящик на udaff.com :)
Интересно, когда найдете уязвимость, которая обнаружит наличии root на машинах с линунком?
Давайте сразу Яровой и Мизулиной напишем, не?
Спасибо КЭП! Это работало до публикации вашей статьи - теперь часть брокеров ужу отвалилась, или начали тротрить трафик, другая часть на подходе! Ждем когда РКН вообще V6 зарежет.
Да, контора действительно не большая в плане it, админ я в ней вообще приходящий, потому и решил начать с нуля, для меня это было проще чем реанемировать, а потом ещё аудировать доставшееся в наследство. Но маштаб личной трагедии от этого не меньше. Меня данный опыт, научил тому, что админ и его учетки тоже не святые. Отчасти мне повезло, тем, что бекапы были на линукс и мой комп тоже, и заходил я на линукс только со своего компа, по ключу, просто лень вводить пароль, проще до компа дойти. Но это везение, что было бы, если бы хакеры были более терпеливы и хакнули бы мой комп с ключами ко всем серверам всех клиентов - страшно представить. В целом и общем - многие из нас бекапят от сбоя и дурака, но в наше время надо ещё и от себя.
В отличии от большинства коментов, не хочу юродствовать на счет квалификации админов. С нетерпением жду технических подробностей от СДЕКа, и надеюсь они будут. Это конечно печальный, но все же неоценимый опыт. Даже если им все же пришлось покупать ключи шифрования, тем не менее, опыт рестора такой машины, а главное вектор атаки - неоценим. Сам в майские праздники, вместо пива поднимал бекапы после шифровальщика. В моем случае бух словил бекдора, с него на сервер 1с, с него уже кейлогером или из реестра ловим пароль админа AD. Спасло, что бекапы были на отдельном smb\ftp\ssh-сервере на который я раз в пятилетку заходил. Как итог, AD с нуля, с десяток компов с нуля, exchange с нуля, сервер 1с с нуля. Благо фирма не большая, и самое долгое - это восстановление лицензий 1С, ибо все покупалось хз когда и каким "юриком" (привет 1С с их пин-кодами).
Теперь серверов бекапов два, к которым в принципе нельзя подключиться, только локальный вход. На них никто ничего не складывает, они сами шарятся где надо, и сами все собирают. GPU затянуты на грани невозможности работы. 1с-ники с RDP стороной - не можете осилить VPN или купить статик-ип, найдем других.
В общем грустная, но очень поучительная история!
Вот это действительно вечная железка. Не помню модель, но P2\256M\40Gb, но главное это хардварный RS-232. Лежит в гараже, даже АКБ еще минут 5 держит. (Могу ошибаться, но акб по моему NiMh). Раз в пятилетку оказывается актуальным, для работы с каким нибудь авто или станками - иногда нужен полноценный RS-232, и USB-COM не работает.
Я не зря упомянул железо. Да, это не проблема протокола, и как выясняется не проблема вендоров - они считают, что нет проблем. Каждый делает по своему, Android не знает ничего про DHCP6, D-link мне сказал - Multiple inteface no support DHCPv6 mode, hp 521 не умеет статику, итд итп. Зачем надо было сделать такие огромные префиксы и фактически запретить их делить меньше чем на /64, зачем мне в офисе триллион адресов на 10 компов, что бы я бегал по по компам вместо arp -a? Да, может это провайдер жмот, но иной раз у него PTR молебнами клянчишь, про RFC он с тобой говорить не будет. В итоге это становиться проблемой конечных пользователей. Точнее админов на местах, для которых попытка даже попробовать, превращается в танцы с бубном на минном поле.
Излишняя приватность грозит беспределом в своей сетке, и не возможностью найти хост в сети. Да, дома это не важно, когда устройств и с 10 не наберется, а в офисе, когда компов ~500? Никто на ff02:1 никто не отвечает. DUID генерируется на машину, и потом прется с ним во все сетевухи.
Нехватку адресов, кажется решили облаками, и внезапно это оказалось даже удобнее конечному пользователю. Теперь не надо утюгу прописывать адрес, настраивать доступ и файервол - проще завести аккаунт сяоми\хиквижен etc...
Кто в вменяемом состоянии будет тратить на это время, деньги, бороться с ветряными мельницами в виде гугла? Я не против V6, но практика показывает что будущего у него нет. Может у V6.1 какого-то, да. Но как я вижу в 2012 году перспектив было больше чем 2023, там еще была надежда. Получилось как с коммунизмом, вроде идея хорошая, но не получилось, не фортануло.
Хорошая статья, для общего обозрения. Особенно отмечу, что рассказали почему NAT не фаервол. Многие начинающие админы свято верят в него, и жутко удивляются почему /me на их принтере "война и мир" печатает после банального route add 192.168.1.0/24 via 172.20.1.16. Я бы только предысторию про нехватку убрал - думаю, что если человек читает про v6 - он уже в курсе, что к чему и почему. Но совсем не рассказали про недостатки - я например никак не приму, самоназначение адресов в моем колхозе, трудности в внедрении от производителей железа - иногда кажется, что каждый хочет свой v6!
Будет ли UDP - пакет от них, считаться доставленным через 7 дней?
Холивар однако, коменты как всегда ценнее топика. Странно что его его пропустили. Как админ - дома и на работе debian - потому-что да, админ может себе такое позволить, потратить вечер, а то и два на установку видюхи и звукавухи, на ноуте kali&win10 - просто потому-что debian не видел SSD. Но и там и там есть vurtualbox, как заметили уже выше - когда начинается Работа - все эти религиозные предпочтения отходят на второй план. Кроме тупления на ютубе нужна и 1С и банк-клиенты, видеонаблюдение разных вендоров. Да и просто нормальный word\exel - libre не предлагать. Даже примитивное зайти на сайт налоговой с рутокеном - в мои 40 я лучше тупо проброшу в виртуалку, чем умру пихая невпихуемое в Linux. Да есть, места где оно не заменимо - шлюз с iproute2, файлопомойка с owncloud, postfix, asterisk итд. Пока еще remmina удобнее mstsc, ssh - так и тот уже в w10 человеческий. На счет стабильности - ну как то спорно очень, на серверах и винда годами работает. Да и десктоп тоже не хуже, если юсер сам ничего не ломает. Когда то начинал с "скорой компьютерной помощью" - могу ответственно заявить, даже во времена 98, больше половины проблем это были кривые руки, еще четверть - железо. Но диагноз как обычно звучал тогда, так и сейчас - ОНО САМО СЛОМАЛОСЬ! У клиента есть вышивальная машина на 98 - последний раз году в 2005 переустанавливал - до сих пор работает. Только сейчас задумался, что даже у детей мультибут, когда косячат остается только Linux, что бы не играли, но по факту получается, что нормально домашку без офиса не сделать. Итог - как и 20 лет назад, если дома есть админ - можно и линукс, но саседу не поставлю, сопьешься или врага наживешь, пока объяснишь по телефону как ему паспорт от сканировать нормально в sane.
Нет, это тот самый сбер, который своим примером учит как можно сделать если тебе вообще на все фиолетово, и безопасность ПД клиентов тебя волнует чуть менее чем никак.
Бывают ТИПЫ записей DMARC, DKIM, SPF? Смешались в кучу, кони, люди.
Разработчики, в частности отечественные зачастую вообще не подразумевают, что усер может быть без прав, банк-клиенты не учитывают что у кого-то домен, да еще со своими политиками, консультант не знает что такое сервер терминалов, сбис вообще ставиться в юсерпрофиль итд, итп. Но думаю к этому придут, это следствие того, что виндовс очень долго по дефолту давал рута, и разрабы просто ленятся\не умеют это учитывать.