Да я больше чем уверен, что таких "частных" случаев там еще больше чем достаточно... Однажды попадалась интересная задача на CTF, где нужно было ввести число, которое одновременно должно было бы быть и простым и не простым числом. Я решить не смог. Там одна из проверок была "библиотечной" функцией, т.е. гарантированно реализована правильно, а вторая уже самописная реализация одного из алгоритмов сита для проверки простого числа, которая тоже имела некоторые "частные случаи" и в некоторых случаях ошибочно считала простым числом. Естественно речь шла о простых числах достаточной длины.
Хм. А вы действительно правы, спасибо! Интересное поведение) Вот поэтому я и не считаю себя достаточно разбирающимся в криптографии. Значит есть еще вариант решения этого CTF, но с 50% вероятностью.
Я скорее говорил о "типовом" пользовательском десктопе. У меня у самого на балконе стоит мой старый десктоп с i7-4790k, которому в следующем году будет 10 лет. Но он до сих пор прекрасно используется как микрокластер для пентеста, в качестве хостовой системы там стоит Windows 2019 и обычно крутится еще около 5-6 гостевых виртуалок на Hyper-V (Vmware так нормально и не взлетела у меня из-за чипсета, падает в кернел паник). В машинке, правда, 3 старых ssd и 32гига оперативы. А в комнате прекрасно живёт медиацентр на первом Gigabyte Brix, правда msata на 256гб так и не взлетел, пришлось оставить 64... Последний минт на нем отлично работает, аппаратно видео декодируется. Но это не десктопное применение тоже. Тут зависит от процессора и целей применения.
Совершенно не хотел влезать в холивар, но "Windows Suxx, Linux - Rulez" в моей жизни закончился еще лет 20 назад, сейчас просто использую каждый для своих целей)
Если использовать как сервер без GUI, то прекрасно. А если открыть браузер, то наступит глубокая печаль... Как указали ниже, чаще всего всё упрётся в производительность процессора.
Ничему вас жизнь не учит... (это я про прошлую статью). Такое количество эпической дичи в одной статье еще нужно умудриться собрать. Она хорошо бы пошла на Дзен, но никак не для Хабра, где народ технически грамотный.
Обновления в Linux вообще не навязываются. В Windows, как мы знаем, обновления идут независимо от пользователя и чтобы остановить этот конвейер, нужно устанавливать специальные программы.
Если вы не смогли выключить обновления буквально одним переключателем в GUI Windows, не говоря уже о групповой политике, то это совсем не значит, что система плохая. Не хочу вас огорчать, но современные Linux дистрибутивы в плане апдейтов гораздо более агрессивны и требуют хорошего канала. Более того, некоторые десктопные системы уже "из коробки" будут молча ставить вам обновления безопасности в фоне, и это правильное поведение. Про остальное, вроде "Современный Linux прекрасно работает на компьютерах 15 летней давности" даже комментировать не хочу. Вы попробуйте, будете очень удивлены...
P.S. Хаб "Высокая производительность" как нельзя лучше подходит для статей такого рода </sarcasm>
В различных ГБОУ иногда бывает достаточно интересный премиальный фонд. Когда тебе каждый квартал выдают еще по одному окладу, а в конце года 4 оклада годовых премиальных. И по факту оказывается, что не так уж там всё и печально с цифрами... Сужу по ряду друзей подобных компаниях)
Заметьте, как профессионально сделаны фото и скриншоты, на них на всех четко видно название железяки. Статья очень смахивает на рекламу, еще одну такую про сотрудника за границей, которому ну никак без ключей, уже читал на Хабре. С точки зрения ИБ это шаг в бездну...
Это CTF. Там не нужно ломать все сообщения, достаточно сломать только одно.
В теории такое шифрование неуязвимо. На практике могут дважды использовать один блокнот/плохо вынимать шары и т.д. CTF на то и CTF, чтобы иметь неочевидное решение вроде бы нерешаемой задачи
На многих тарифах есть ограничения как минимум на торренты, а часто и на другой трафик. А под VPN можно всё это спрятать.
Мне так однажды MTS прислал "смс счастья", мол мы вам закрутим вентиль, если будете раздавать торренты через телефон, а я всего лишь обновил винду через мобильную связь...
Вот статья о методиках взлома контейнера от Google. Сам гугл не признает это уязвимостью и исправлять это не будет...
В двух словах, через openssl внутри контейнера можно подгружать любые пользовательские либы, которые будут выполнять код, недоступный вам изначально. В том числе и чтение нужных секретов из контейнера.
Шифрование передаваемого пароля каким-нибудь легким шифром (однако, это может увеличить нагрузку на сам контроллер и БД, так как в БД придется хранить уже шифрованный пароль, а это потребует большего объема оперативной памяти, так как хеш-сумма обычно длиннее, чем сам пароль).
Так всё же шифрование или хеширование? Это разные вещи. У зашифрованного пароля нет хеш-суммы...
Я бы рекомендовал хеширование. Вычисление хеш-суммы быстрая операция, хранить в памяти хеши тоже проще, т.к. они все фиксированной длины. Поиск по ним даже в БД будет быстрее, чем по произвольным текстовым строкам разной длины. Ну и пароль у вас однозначно нигде не идет в открытом виде, более того, даже разработчики не смогут сказать какой именно "плохой" пароль был использован пользователем. Из минусов, вставка в конце "123" полностью меняет хеш, но и в текущей реализации это тоже позволяет обойти базу паролей, если там нет дополнительных регулярок или иных правил.
Кстати хранение "плохих" хешей в БД и их сравнение с хешем пароля (который приходит из DLL), полностью решает проблему утечки БД.
Не увидел в статье главного предупреждения. Т.к. у вас будет неверифицированный аккаунт, больше 1250 лир на счет класть категорически нельзя! Иначе у вас заблокируют аккаунт и вам потребуется турецкий паспорт.
У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Почитайте серию Silo, по ней сейчас сериал хороший идет, там как раз про бункер и людей в нём)
Спасибо) Серьёзная математика не самая сильная моя сторона, потому я обычно ломаюсь уже на задачах про элиптические кривые.
Да я больше чем уверен, что таких "частных" случаев там еще больше чем достаточно...
Однажды попадалась интересная задача на CTF, где нужно было ввести число, которое одновременно должно было бы быть и простым и не простым числом. Я решить не смог. Там одна из проверок была "библиотечной" функцией, т.е. гарантированно реализована правильно, а вторая уже самописная реализация одного из алгоритмов сита для проверки простого числа, которая тоже имела некоторые "частные случаи" и в некоторых случаях ошибочно считала простым числом. Естественно речь шла о простых числах достаточной длины.
Хм. А вы действительно правы, спасибо! Интересное поведение) Вот поэтому я и не считаю себя достаточно разбирающимся в криптографии. Значит есть еще вариант решения этого CTF, но с 50% вероятностью.
Я скорее говорил о "типовом" пользовательском десктопе. У меня у самого на балконе стоит мой старый десктоп с i7-4790k, которому в следующем году будет 10 лет. Но он до сих пор прекрасно используется как микрокластер для пентеста, в качестве хостовой системы там стоит Windows 2019 и обычно крутится еще около 5-6 гостевых виртуалок на Hyper-V (Vmware так нормально и не взлетела у меня из-за чипсета, падает в кернел паник). В машинке, правда, 3 старых ssd и 32гига оперативы. А в комнате прекрасно живёт медиацентр на первом Gigabyte Brix, правда msata на 256гб так и не взлетел, пришлось оставить 64... Последний минт на нем отлично работает, аппаратно видео декодируется. Но это не десктопное применение тоже. Тут зависит от процессора и целей применения.
Совершенно не хотел влезать в холивар, но "Windows Suxx, Linux - Rulez" в моей жизни закончился еще лет 20 назад, сейчас просто использую каждый для своих целей)
"Вы процессоров разгонять даёте?
Нет, просто показываем..."
Если использовать как сервер без GUI, то прекрасно. А если открыть браузер, то наступит глубокая печаль... Как указали ниже, чаще всего всё упрётся в производительность процессора.
Ничему вас жизнь не учит... (это я про прошлую статью). Такое количество эпической дичи в одной статье еще нужно умудриться собрать. Она хорошо бы пошла на Дзен, но никак не для Хабра, где народ технически грамотный.
Если вы не смогли выключить обновления буквально одним переключателем в GUI Windows, не говоря уже о групповой политике, то это совсем не значит, что система плохая. Не хочу вас огорчать, но современные Linux дистрибутивы в плане апдейтов гораздо более агрессивны и требуют хорошего канала. Более того, некоторые десктопные системы уже "из коробки" будут молча ставить вам обновления безопасности в фоне, и это правильное поведение. Про остальное, вроде "Современный Linux прекрасно работает на компьютерах 15 летней давности" даже комментировать не хочу. Вы попробуйте, будете очень удивлены...
P.S. Хаб "Высокая производительность" как нельзя лучше подходит для статей такого рода </sarcasm>
В различных ГБОУ иногда бывает достаточно интересный премиальный фонд. Когда тебе каждый квартал выдают еще по одному окладу, а в конце года 4 оклада годовых премиальных. И по факту оказывается, что не так уж там всё и печально с цифрами... Сужу по ряду друзей подобных компаниях)
Заметьте, как профессионально сделаны фото и скриншоты, на них на всех четко видно название железяки. Статья очень смахивает на рекламу, еще одну такую про сотрудника за границей, которому ну никак без ключей, уже читал на Хабре. С точки зрения ИБ это шаг в бездну...
Это CTF. Там не нужно ломать все сообщения, достаточно сломать только одно.
В теории такое шифрование неуязвимо. На практике могут дважды использовать один блокнот/плохо вынимать шары и т.д. CTF на то и CTF, чтобы иметь неочевидное решение вроде бы нерешаемой задачи
Было бы красиво) Но банальная атака по известному открытому тексту, а дальше использование этого знания.
На одном из CTF была именно такая задача. Всё никак не доберусь статью про неё написать) Но в конкретных случаях задача очень даже решаема...
На многих тарифах есть ограничения как минимум на торренты, а часто и на другой трафик. А под VPN можно всё это спрятать.
Мне так однажды MTS прислал "смс счастья", мол мы вам закрутим вентиль, если будете раздавать торренты через телефон, а я всего лишь обновил винду через мобильную связь...
Тем не менее, Distroless контейнеры далеко не всегда так безопасны, как кажутся. https://www.form3.tech/engineering/content/exploiting-distroless-images
Вот статья о методиках взлома контейнера от Google. Сам гугл не признает это уязвимостью и исправлять это не будет...
В двух словах, через openssl внутри контейнера можно подгружать любые пользовательские либы, которые будут выполнять код, недоступный вам изначально. В том числе и чтение нужных секретов из контейнера.
Шифрование передаваемого пароля каким-нибудь легким шифром (однако, это может увеличить нагрузку на сам контроллер и БД, так как в БД придется хранить уже шифрованный пароль, а это потребует большего объема оперативной памяти, так как хеш-сумма обычно длиннее, чем сам пароль).
Так всё же шифрование или хеширование? Это разные вещи. У зашифрованного пароля нет хеш-суммы...
Я бы рекомендовал хеширование. Вычисление хеш-суммы быстрая операция, хранить в памяти хеши тоже проще, т.к. они все фиксированной длины. Поиск по ним даже в БД будет быстрее, чем по произвольным текстовым строкам разной длины. Ну и пароль у вас однозначно нигде не идет в открытом виде, более того, даже разработчики не смогут сказать какой именно "плохой" пароль был использован пользователем. Из минусов, вставка в конце "123" полностью меняет хеш, но и в текущей реализации это тоже позволяет обойти базу паролей, если там нет дополнительных регулярок или иных правил.
Кстати хранение "плохих" хешей в БД и их сравнение с хешем пароля (который приходит из DLL), полностью решает проблему утечки БД.
Не увидел в статье главного предупреждения. Т.к. у вас будет неверифицированный аккаунт, больше 1250 лир на счет класть категорически нельзя! Иначе у вас заблокируют аккаунт и вам потребуется турецкий паспорт.
Начинает напоминать "Papers, Please"...
У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Есть негласное правило "Не работать по RU".