31-го июля Правительство Российской Федерации утвердило 758-е Постановление “О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей”, которое эксперты и журналисты очень быстро окрестили “законом о wi-fi по паспорту”. Мы сейчас не будем трактовать данный нормативный акт с точки зрения, пытаясь выяснить, распространяется он только на пункты коллективного доступа на “Почте России” или имеет более широкое применение. Этим пусть занимаются юристы. Мне бы хотелось посмотреть на его техническую реализуемость.

Я провел весь вчерашний день, напряженно работая, чтобы закрыть долгую и порядком надоевшую задачу. Было достаточно поздно, когда я закомитил изменения и отправил на пуш. Гит привычно ругнулся что не может, потому что есть свежие правки. Окей, pull, push. Теперь вроде нормально, можно идти спать.

Проверю на тестовом сервере и потом пошлю ссылку коллегами, решил я напоследок. Тестовый показывал версию по состоянию на вчера. Странно, еще раз проверил, что правки ушли, в репозитории свежих изменений нет. По-быстрому проконсультировался с коллегой на предмет глюков тестового и решили отложить поиск проблемы на завтра.

На следующий день я еще раз сделал деплой на тестовый сервер, но он упорно показывал старую версию. Решил свериться с логом Гита… мой коммит… ЕГО ПРОСТО НЕ БЫЛО! Его не было нигде, ни в локальной копии, ни в удаленной. Его не было даже в исходниках на диске. Файлы, оставленные открытыми в редакторе, были пусты. Единственный фактом, связывающим меня в тот момент с реальностью, был скомпилированный js-файл проекта, оставшийся после сборки исходников. Он работал именно так, как я оставил его вчера.

«Другим моим увлечением, также обнаруженным в раннем возрасте, была практическая магия (фокусы). Узнав, как действует та или иная уловка, я отрабатывал её много раз, пока не достигал совершенства. В какой-то степени именно через фокусы я открыл удовольствие от получения секретных знаний.» Кевин Митник

«manage the adversary’s sensory perception» in order to «confuse, delay, inhibit, or misdirect [his] actions» DARPA`s project «Battlefield Illusion».

В рамках подготовки молодых авторов Хабра в категории «Саурон» появился второй номинант. Позвольте представить — Trephs (Леша), он сделал большую часть работы по переводу с английского (так что с вопросами по переводу к нему).
В этот раз мы решили осветить тему, на мой взгляд вполне достойную Хабра, а именно историю первого взлома информационной системы, про которую я уже упоминал вскользь в посте «История хакерских взломов информационных систем (1903-1971)».
Стоит особо отметить, так это то, что взлом имел исключительно «троллинговый» характер.

Маскелины — та еще семейка. Дед-астроном изучал Венеру и увековечил род Мескелинов тем, что в честь него назвали кратер на Луне, папаша героя нижеприведенного текста, Джон Маскелин, изобрел платный туалет-кабинку и прочие фокусы, а его сынуля, Джаспер Маскелин водил Гитлера за нос (а может и Черчилля) и был настоящим боевым магом-иллюзионистом, «спрятал» Александрийскую гавань, наколдовал немецкий крейсер «Адмирал граф Шпее» и кучу «надувных» танков, а так же помогал пленным с побегами.

О том, как же Невил Маскелин хакнул Маркони с его «суперзащищенным» радио читайте под катом.

3 августа в сабреддите /r/Anarchism некто пользователь PhineasFisher создал тред, в котором сообщил о том, что ему удалось украсть 40 гигабайт различных данных компании Gamma International. Возможно, подобная история могла оказаться не столь громкой, если бы не бизнес, которым занимается эта европейская фирма — создание и продажа программных средств для взлома и скрытой слежки (а иными словами — самой настоящей малвари), заказчиками которых обычно выступали государственные структуры. Через несколько дней после первого сообщения взломщик выложил длинный рассказ о том, как ему удалось проникнуть на сервера Gamma International и что удалось там найти.

Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Здравствуйте.

Автоматическое разворачивание рабочего места — задача, можно сказать, типичная. Наверняка очень многие решали ее — отталкиваясь от инфраструктуры сети и указаний начальства личных предпочтений; используя при этом готовые решения, или создавая свои.

В этой статье я хотел бы поделиться с сообществом своим способом построения системы автоматизированной сетевой установки рабочих мест, работающих под Debian GNU/Linux. Никаких флешек, дисков и прочих внешних винчестеров, которые лично у меня почему-то имеют привычку регулярно теряться в развалах рабочего бардака, не читаться или быть очищенными для записи какой-то невероятно нужной фигни.

Если для вас такое состояние дел кажется близким и знакомым — добро пожаловать под кат.

Пропоганда все еще движет рынком систем ханения данных и вендорами создаются многочисленные мифы, которые клиенту нужно уметь не замечать, чтобы не оказаться в ловушке с системой, которая совсем не отвечает требованиям бизнеса.
Есть много вещей, в которые производители систем хранения хотят заставить верить клиентов, но есть и такие, о которых никто не хочет говорить. Вот эти десять заповедей, о которых вас хотят заставить забыть.

Несколько дней назад я с большим интересом прочитал тезисы, которые Ben Rossi опубликовал в одном из блогов (оригинал). Часть из них мне показалась предвзятыми, часть справедливыми, а часть я принять вообще не готов. Но все они, безусловно, заслуживают того, чтобы хоть раз задуматься. Ниже — мой вольный перевод.

Сегодня мы анонсируем доступность релиза операционной системы CentOS 7 в облаке InfoboxCloud, основанного на пакетной базе Red Hat Enterprise Linux 7 и полностью совместимого с ним. В конце поста ссылка на бесплатное тестирование в облаке.

CentOS 7 — первый релиз ОС, после перехода команды CentOS в RedHat. Данная ОС стабильна и готова к корпоративному использованию.

Мы начинаем обзор новой ОС, состоящий из серии теоретических и практических статей. В первой главе обзора будет рассказано о поддержке контейнеров Linux в CentOS 7.



В облаке по умолчанию устанавливается минимальная версия CentOS 7 для обеспечения максимальной безопасности через снижение поверхности атаки. Все необходимые компоненты ОС устанавливаются из стандартных репозиториев.

Ключевые изменения CentOS 7

• Поддержка контейнеров Linux (включая поддержку Docker). Контейнеры расширяют возможности по разработке, доставке и изоляции софта для тестовых и производственных задач. Так же контейнеризация увеличивает безопасность ПО, снижая поверхность атаки;
• Интеграция Active Directory / Identity Management (IdM)
• Использование systemd, стандарта управления процессами, сервисами, безопасностью и другими ресурсами;
• Встроенные профили и инструменты для оптимизации производительности и простого масштабирования;
• Унифицированные инструменты управления и фреймворк управления OpenLMI, являющийся фактически стандартом индустрии для администрирования и настройки системы;
• Техническая предварительная версия технологии установки обновлений ядра без перезагрузки kpatch;

Сегодня мы с вами цинично поговорим о старой-доброй задаче – защите сотрудников и их рабочих станций при доступе к Интернет-ресурсам. В статье мы рассмотрим распространённые мифы, современные угрозы и типовые требования организаций по защите веб-трафика.

Если из всей статьи вы запомните всего один факт, то знайте – на сайтах для взрослых шанс подцепить зловреда в десятки раз меньше, чем на обычных Интернет-ресурсах.

В последнее время различные компании все чаще выпускают умные устройства, которые действительно облегчают жизнь. Кроме того, в наших домах появляются новые и новые беспроводные девайсы, контролировать которые (хотя бы доступ такого устройства к Сети) достаточно сложно.

Wi-Fi принтеры, Smart TV, планшеты, игровые консоли, не говоря уже о ПК, планшетах и смартфонах. Как все это контролировать? Недавно появилась интересная разработка, которая, насколько можно судить, вполне способна управлять доступом к Сети для каждого домашнего (ну, или рабочего) устройства. Речь идет об умном роутере Soap. Это не просто роутер, а целая система по управлению умным домом.

Разработчики оснастили систему большинством популярных проводных и беспроводных интерфейсов, так что возможности Soap весьма широки.

Как обеспечить контроль за трафиком между компонентами виртуализированного приложения с минимальными затратами по времени? Существует ли технология, которая позволяет передать трафик по цепочке через несколько сервисных компонент, например, межсетевой экран, пакетный фильтр и систему балансировки трафика, не внося изменений ни в настройку сети, ни в конфигурацию самих приложений? Под катом мы поговорим о технологии Cisco vPath, которая позволяет изящно создавать сервисные цепочки в средах виртуализации и не зависеть при этом от производителя гипервизора.

В последнее время в шумихе по поводу квантовых компьютеров (точек, телепортов), на мой взгляд, теряется одна маленькая, но крайне важная деталь, а именно качественно новый механизм. Мир ожидает от квантовых компьютеров неслыханного быстродействия (чтоб взломать RSA), но это то же самое быстродействие, только быстрее; от квантовых точек — высокого разрешения (чтоб смотреть анимэ), те же пиксели/люминофор, только еще меньше; телепотация — то же самое отоволокно/OWC только быстрее (конечно же, я упрощаю).
Но еще в 1969 году (до Феймана, Рида, Минина, Бениоффа, Дойча, Екимова) один чудак предложил идею, которая может лечь в основу будущей инфраструктуры обмена информацией.

В своей статье «Conjugate coding», которую он написал в 1969, а опубликовали ее только в 1983, Стивен Виснер предложил идею как защитить деньги от подделки.

Что самое привлекательное в идее квантовой проверки подлинности, что она строится не на сложности (технической, вычислительной, инженерной, математической и т.д.), а на физической невозможности. На Хабре был замечательный обзор «Техника для проверки подлинности денег», где, помимо оптических, электрических, механических и тд способов защиты, вскользь упоминались квантовые деньги. (со слабыми измерениями пока мало что ясно, поэтому они не угроза квантовым деньгам)


«Я не получил никакой поддержки от своего научного руководителя — он вообще не проявил к ней никакого интереса, я показал ее еще нескольким людям — у них делались странные лица, и они возвращались к своим занятиям.»
Стивен Виснер, автор идеи квантовых денег

На картинке: Квантовая банкнота, предложенная Стивеном Виcнером в 1969 году. Содержит пирамиду с глазом, серийный номер и 20 ловушек для фотонов, чье содержимое является загадкой. В каждой ловушке находится 1 фотон с неизвестной поляризацией.

На данный момент идея квантовых денег нереализуема, тк пока еще не построили ловушки для отдельных фотонов. Но специалисты по безопасности уже во всю предлагают протоколы и атаки на них.

Статья написана для Хабра редакцией сайта о платежных системах с мониторингом обменников Web-payment.ru

Решение принято: начиная с чипсета 9-й серии жесткие диски подключаются напрямую к шине PCI Express, минуя SATA-контроллер.

Наверняка большинство из нас любит гаджеты не только за их функционал, но и за то, что их стандартные возможности можно в той или иной степени расширить. Когда есть возможность заточить устройство именно под свои актуальные нужды — ты покупаешь его, и с предвкушением засучить рукава прикидываешь спектр дальнейших доработок.

К этому разряду и относится железка, о которой тут ранее уже было написано, но без некоторых нюансов использования и потребностей пользователя. Теперь, имея субъективный опыт — хочется с ним поделиться с хабрасообществом, восполнив этот небольшой пробел. Данный пост стоит рассматривать лишь как дополнение к уже существующим обзорам и, возможно, как некоторое руководство к опциональной модернизации:

При миграции сервера в облако возникла необходимость разместить несколько веб-сайтов, работающих по HTTPS на одном физическом IP-адресе.
При этом нужно было остаться на той же операционной системе CentOS 5.6 и штатном apache-2.2.19.
Готового решения для CentOS не нашел, поэтому предлагаю свой вариант решения.

Теория

Согласно RFC 4366, раздел 3.1. Server Name Indication это возможно.
Для полноценной работы это расширение должен поддерживать и сервер и клиент (браузер).

Практика

Поддержка расширения SNI согласно Wikipedia появилась в Apache HTTP Server начиная с версии 2.2.12.
Подробности есть в Apache Wiki.
Для работы расширения нужна библиотека OpenSSL версии 0.9.8f или выше.
Проблема в том, что в CentOS 5.6 встроен OpenSSL версии 0.9.8e, и «поднять» ему версию не так то просто, т.к. именно на эту версию завязано много других компонент.
Собирать отдельный OpenSSL и Apache вне дерева пакетов — неспортивно.
В процессе поиска решения наткнулся на альтернативу: библиотеку gnutls и модуль mod_gnutls.
Библиотека gnutls в системе тоже присутствует и тоже очень старая, правда достаточно безболезненно удаляется вместе с зависимостями.

В результате были собраны и установлены «свежие» пакеты gnutls и mod_gnutls, которые дали нужный функционал с минимальным влиянием на остальную систему. Под катом подробности по процессу сборки и примеры файлов конфигурации.

У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

На просторах хабра мне попалась пара статей «Mikrotik Router OS, скрипт для динамического деления скорости». А поскольку этой проблемой я занимаюсь уже не первый год, я решил поделиться своими знаниями.

Прежде всего, эта статья пригодится тем, кто имеет желание «справедливо делить интернет» между несколькими клиентами сети. Однако решение подойдет и для разделения канала связи нескольких офисов или доступа к отдельным ресурсам, и для шейпинга.

Mikrotik-Qos Приоритезация по типу трафика и деление скорости

Доброго времени суток, сегодня речь пойдет о наболевшем, а именно о том, как грамотно разделить интернет канал, чтобы все ваши пользователи были максимально довольны.

Когда объявляется крупный онлайн тендер, иногда случается так, что одна заявка приходит довольно быстро, а затем площадка с тендером ложится под крепкой DDoS атакой. Атака странным образом заканчивается в момент окончания тендера. Поскольку одна заявка поступила, именно она и выигрывает. С такой проблемой (как и с обычными DDoS атаками от недоброжелателей и шантажистов) сталкиваются многие наши корпоративные клиенты.

Теперь мы обеспечиваем защиту как сервис. Делается это на двух уровнях: установкой железа Radware DefensePro у клиента и при необходимости переключением трафика на наш центр очистки.



Максимальная мощность атаки — 80 Гб/с (на уровень приложений, более мощные тоже фильтруются, но уже без гарантий по отсутствию потерь легитимного трафика), планируем по мере необходимости расширять до 160. Время от начала до отражения атаки на стороне клиента — 18 секунд максимум, на стороне центра очистки данных — до 40 секунд с учётом времени переключения трафика. При переключении потерь трафика не происходит.