На многих тарифах есть ограничения как минимум на торренты, а часто и на другой трафик. А под VPN можно всё это спрятать.
Мне так однажды MTS прислал "смс счастья", мол мы вам закрутим вентиль, если будете раздавать торренты через телефон, а я всего лишь обновил винду через мобильную связь...
Вот статья о методиках взлома контейнера от Google. Сам гугл не признает это уязвимостью и исправлять это не будет...
В двух словах, через openssl внутри контейнера можно подгружать любые пользовательские либы, которые будут выполнять код, недоступный вам изначально. В том числе и чтение нужных секретов из контейнера.
Шифрование передаваемого пароля каким-нибудь легким шифром (однако, это может увеличить нагрузку на сам контроллер и БД, так как в БД придется хранить уже шифрованный пароль, а это потребует большего объема оперативной памяти, так как хеш-сумма обычно длиннее, чем сам пароль).
Так всё же шифрование или хеширование? Это разные вещи. У зашифрованного пароля нет хеш-суммы...
Я бы рекомендовал хеширование. Вычисление хеш-суммы быстрая операция, хранить в памяти хеши тоже проще, т.к. они все фиксированной длины. Поиск по ним даже в БД будет быстрее, чем по произвольным текстовым строкам разной длины. Ну и пароль у вас однозначно нигде не идет в открытом виде, более того, даже разработчики не смогут сказать какой именно "плохой" пароль был использован пользователем. Из минусов, вставка в конце "123" полностью меняет хеш, но и в текущей реализации это тоже позволяет обойти базу паролей, если там нет дополнительных регулярок или иных правил.
Кстати хранение "плохих" хешей в БД и их сравнение с хешем пароля (который приходит из DLL), полностью решает проблему утечки БД.
Не увидел в статье главного предупреждения. Т.к. у вас будет неверифицированный аккаунт, больше 1250 лир на счет класть категорически нельзя! Иначе у вас заблокируют аккаунт и вам потребуется турецкий паспорт.
У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Запретить прямой доступ в интернет это отличный вариант. Главное помнить про наличие хорошо работающих техник DNS/ICMP туннелирования. Видел варианты, когда доступа в интернет как бы нет, но он есть...
Прокси может и не спасти, поскольку есть варианты минимальный дроппер притащить в теле документа, после чего он выгружается на диск, запускается и остальное уже докачивает оттуда, вычитывая из системных настроек настройки прокси. Да, это сильно триггерит антивирусы/EDR. Но всё это при желании обходится.
Знаю такие места, увы... Просто в ситуации с вирусами на VBA решений по сути всего 2. 1. Отключить возможность использования VBA. 2. Надеяться, что разработчики разных защитных решений чуть впереди людей, зарабатывающих этим деньги, и для которых обход защитных решений одна из основных целей для стабильного получения дохода.
Ну есть еще третий пункт, перейти на что-то, для чего пока нет такого количества атак. Раньше это был Linux и MacOS, но теперь ситуация с ними заметно изменилась, поскольку спрос рождает предложение.
Всё остальное, это попытка обогнать опытных злоумышленников в гонке "Снаряд-броня".
Было бы красиво) Но банальная атака по известному открытому тексту, а дальше использование этого знания.
На одном из CTF была именно такая задача. Всё никак не доберусь статью про неё написать) Но в конкретных случаях задача очень даже решаема...
На многих тарифах есть ограничения как минимум на торренты, а часто и на другой трафик. А под VPN можно всё это спрятать.
Мне так однажды MTS прислал "смс счастья", мол мы вам закрутим вентиль, если будете раздавать торренты через телефон, а я всего лишь обновил винду через мобильную связь...
Тем не менее, Distroless контейнеры далеко не всегда так безопасны, как кажутся. https://www.form3.tech/engineering/content/exploiting-distroless-images
Вот статья о методиках взлома контейнера от Google. Сам гугл не признает это уязвимостью и исправлять это не будет...
В двух словах, через openssl внутри контейнера можно подгружать любые пользовательские либы, которые будут выполнять код, недоступный вам изначально. В том числе и чтение нужных секретов из контейнера.
Шифрование передаваемого пароля каким-нибудь легким шифром (однако, это может увеличить нагрузку на сам контроллер и БД, так как в БД придется хранить уже шифрованный пароль, а это потребует большего объема оперативной памяти, так как хеш-сумма обычно длиннее, чем сам пароль).
Так всё же шифрование или хеширование? Это разные вещи. У зашифрованного пароля нет хеш-суммы...
Я бы рекомендовал хеширование. Вычисление хеш-суммы быстрая операция, хранить в памяти хеши тоже проще, т.к. они все фиксированной длины. Поиск по ним даже в БД будет быстрее, чем по произвольным текстовым строкам разной длины. Ну и пароль у вас однозначно нигде не идет в открытом виде, более того, даже разработчики не смогут сказать какой именно "плохой" пароль был использован пользователем. Из минусов, вставка в конце "123" полностью меняет хеш, но и в текущей реализации это тоже позволяет обойти базу паролей, если там нет дополнительных регулярок или иных правил.
Кстати хранение "плохих" хешей в БД и их сравнение с хешем пароля (который приходит из DLL), полностью решает проблему утечки БД.
Не увидел в статье главного предупреждения. Т.к. у вас будет неверифицированный аккаунт, больше 1250 лир на счет класть категорически нельзя! Иначе у вас заблокируют аккаунт и вам потребуется турецкий паспорт.
Начинает напоминать "Papers, Please"...
У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Есть негласное правило "Не работать по RU".
А в чем опасения? Файлы более чем достаточно устойчивы ко взлому, если вы храните в секрете парольную фразу и она сложная.
Passbolt. Отличное self-hosted решение, даже в бесплатном варианте.
Кстати всё хотел добавить, что в сообщении не только опечатка в слове "this". Word, как имя собственное продукта, тоже всегда пишется с большой буквы!
Ну и само построение фразы достаточно костыльное)
Многие мои предыдущие телефоны сразу же выключались при открытии лотка SIM.
Запретить прямой доступ в интернет это отличный вариант. Главное помнить про наличие хорошо работающих техник DNS/ICMP туннелирования. Видел варианты, когда доступа в интернет как бы нет, но он есть...
Прокси может и не спасти, поскольку есть варианты минимальный дроппер притащить в теле документа, после чего он выгружается на диск, запускается и остальное уже докачивает оттуда, вычитывая из системных настроек настройки прокси. Да, это сильно триггерит антивирусы/EDR. Но всё это при желании обходится.
Знаю такие места, увы...
Просто в ситуации с вирусами на VBA решений по сути всего 2.
1. Отключить возможность использования VBA.
2. Надеяться, что разработчики разных защитных решений чуть впереди людей, зарабатывающих этим деньги, и для которых обход защитных решений одна из основных целей для стабильного получения дохода.
Ну есть еще третий пункт, перейти на что-то, для чего пока нет такого количества атак. Раньше это был Linux и MacOS, но теперь ситуация с ними заметно изменилась, поскольку спрос рождает предложение.
Всё остальное, это попытка обогнать опытных злоумышленников в гонке "Снаряд-броня".
Если отбросить сарказм, когда вам в последний раз требовались VBA макросы при офисной работе?
Запретить групповой политикой макросы в документах.
«оказание медЕцинских услуг».
Хотя кого это нынче удивляет…
Похоже на опечатку. В запросе на аутентификацию действительно сессионного ключа нет.