INTRO

Недавно столкнулся с обычной для интернета ситуацией — классической просьбой от родственника отдать свой голос за него в каком-то голосовании. Оказалось, человека "взломали" мошенники, а ссылки на голосование вели на фишинговые ресурсы.

Я увлекаюсь безопасностью, поэтому решил из интереса проверить безопасность фишингового ресурса.

"Админку" мошенников удалось успешно взломать, внутри нашлось n-количество украденных учеток. Их логины были переданы в службу безопасности VK, плюс соответствующие "abuse" жалобы были направлены регистраторам, хостерам.

А теперь расскажу как и какие оказываются бывают Phishing-as-Service панели...

В авторском канале и примкнувшем к нему чате, постоянно всплывают пользователи, которые просят подсказать ссылку на инструкцию по самостоятельной сборке обычной трехслойной аптечной маски. Несмотря на то, что уже тысячу раз обсудили вроде везде где только можно, что «аптечная маска — ТОЛЬКО ДЛЯ ЗАБОЛЕВШИХ», все равно появляются люди, которые ведутся на странную пропаганду (в т.ч. из гос сми) и ищут эти несчастные кусочки спанбонда. Подогревает ситуацию и то, что в различных группах/домовых чатах такая простейшая маска (купленная еще пару недель назад даже не за цент, а за доли цента) сегодня в Беларуси стоит от доллара до двух (2-4 BYN). В государственных аптеках цены пока еще отстают, но не на много. Сколько же стоит такая маска на самом деле — можете прикинуть, дочитав статью до конца… Под катом — методика создания самодельной хирургической маски.

Привет, Хабр!

Это снова я, тот, кто отвечает за IT-составляющую РосКомСвободы! Ты, наверное, меня помнишь по посту о самопроизвольной активации камеры при открытии страницы с embedded-youtube-видео.

На этот раз у меня история из личной жизни и, на мой взгляд, расследование немного поинтереснее.

Возможно, оно даже имеет запах теории заговора (между Ростелеком'ом (CC: Rostelecom ROSTELECOM-CENTER) и Mail.Ru Group).

Недавно я нашел странную особенность в Google Drive. Определенная последовательность действий в Google Drive веб интерфейсе приводит к тому, что каждый может загрузить файлы любого объема в свою учетную запись и при этом не потратить ни одного байта на их хранение.

Конечно, я сразу решил сообщить об этом в Google через программу BugHunter. Но, к моему сожалению, потратив неделю на общение со специалистами Google мне так и не удалось убедить их, что это баг. Сотрудник не смог воспроизвести этот баг и я получил ответ, что «это не баг, а фича» и меня отправили в RTFM. В конце концов Google просто закрыл тикет и перестал отвечать на мои письма.

Так как переписка с Google зашла в тупик, я решил публично рассказать о этой «фиче» и, возможно, наконец привлечь внимание сотрудников Google к этой проблеме или хотя-бы понять, что я делаю не так. Ниже под катом история переписки с Google и proof of concept.

Привет! Мы внесли изменения в Пользовательское соглашение и Политику конфиденциальности. Текст документов остался практически прежним, изменилось представляющее сервис юридическое лицо. Если ранее управление сервисом осуществлялось российской компанией ООО «Хабр», то теперь за бразды правления взялась наша головная компания — Habr Blockchain Publishing Ltd, зарегистрированная и действующая в юрисдикции и по законам Республики Кипр и Европейского Союза. 

Disclaimer: Я высказываю свое субъективное мнение на базе доступных данных. Мнение профессиональных вирусологов и эпидемиологов может отличаться от моего. В любой непонятной ситуации обращайтесь к материалам ВОЗ.

Привет, коллеги. Чем больше роюсь в данных по вспышке коронавируса 2019-nCoV, тем меньше мне нравится происходящее, с учетом предыдущих вспышек аналогичных вирусов. Предлагаю пробежаться по истории прошлых эпидемий и попробовать спрогнозировать дальнейшее течение.

Обновленное свое же руководство по полнодисковому шифрованию в Рунете V0.2

Ковбойская стратегия:

[A] блочное системное шифрование Windows 7 установленной системы;
[B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot);
[C] настройка GRUB2, защита загрузчика цифровой подписью/аутентификацией/хэшированием;
[D] зачистка — уничтожение нешифрованных данных;
[E] универсальное резервное копирование зашифрованных ОС;
[F] атака <на п.[C6]> цель — загрузчик GRUB2;
[G] полезная документация.

╭───Схема #комнаты 40# <BIOS/MBR/1HDD без lvm>:
├──╼ Windows 7 установленная — шифрование полное системное, не скрытое;
├──╼ GNU/Linux установленная (Debian и производные дистрибутивы) — шифрование полное системное не скрытое(/, включая /boot; swap);
├──╼ независимые загрузчики: загрузчик VeraCrypt установлен в MBR, загрузчик GRUB2 установлен в расширенный раздел;
├──╼ установка/переустановка ОС не требуется;
└──╼ используемое криптографическое ПО: VeraCrypt; Cryptsetup; GnuPG; Seahorse; Hashdeep; GRUB2 – свободное/бесплатное.

Всем привет! Сегодня я хочу рассказать историю о РКН, чужом сайте с фильмами и моем сайте, который не имеет к нему никакого отношения.

У меня есть сайт для поиска виртуальных серверов со стабильной посещаемостью. Иногда бывают всплески количества посетителей из-за того, что кто-нибудь выкладывает ссылку на сайт на каком-либо популярном ресурсе, но такое бывает довольно редко, и почти всегда видно, откуда приходят посетители. Незадолго до нового года случилась именно такая ситуация: дневная аудитория сайта выросла почти в 2 раза, и я стал смотреть, откуда приходят посетители. Чаще всего источником таких всплесков служат технические или околотехнические ресурсы, но в этом случае все было по-другому: посетители попадали на сайт с разных страниц пиратского сайта с фильмами и оказывались на 404 странице моего сайта.

В одной из предыдущих статей я привел результаты тестирования дешевых виртуальных серверов от различных хостеров рунета. Спасибо всем комментаторам и людям, писавшим в личные сообщения, за обратную связь.

В этот раз я хочу представить результаты тестирования виртуальных серверов от известных и крупных компаний: DigitalOcean, Vultr, Linode и Hetzner. Сделано 38 тестов для всех доступных локаций.



Хотя характеристики виртуальных серверов на этот раз очень близки, но все же стоит напомнить, что формат тестирования не слишком объективен, и результаты стоит рассматривать с определенной долей иронии, так как измеренные величины весьма относительны.

Чехарда! Новые законы то принимаются, то отменяются, постоянно идут десятки предложений из самых разных углов, от руководства таможни до Минэкономразвития. Условия перевозки посылок меняются с незавидной регулярностью. Вот краткое содержание этого кордебалета, если интересно.

Теперь окончательно оформились условия на 2020 год. Нас ждёт новое урезание беспошлинного лимита и в целом более жесткие правила. Но в попытках ограничить иностранные интернет-покупки правительство и АКИТ на этот раз могут получить обратный эффект.

Выборы, выборы, кандидаты — хостинги.

«Нам нужен новый хостинг», — осенило нашего шефа в начале весны. Это не было весенним обострением, это было объективной необходимостью, потому что старая кобра пережила свой яд предыдущий почему-то решил, что раз клиенты из-за 152-ФЗ идут сами, то можно предоставлять услуги кое-как и забить на SLA. И тут я узнал новое: хостингов очень много, а вот хостингов с приемлемыми характеристиками — поискать. И это я ещё не читал отзывы клиентов — вот где портал в ад!

Итак, я вооружился мозгом, Google, нашими требованиями и стал выбирать лучший VPS хостинг, с которым мы, вероятно, продолжим свою жизнь. В процессе выбора получилась неплохая аналитика, и я решил её частично выложить на Хабр — вдруг поможет такому же админу-страдальцу? Enjoy my work, как говорится.

^{Около самолёта трап, жёлтая штука — багажный самоходный механизм, красная — пожарная машина, видно ещё автобусы для пассажиров и «головастики» для автопоездов, которые заодно могут быть тягачами.}

Фиг вы где увидите, что происходит внутри аэропорта. Всё потому, что это место, где встречается сразу куча юрисдикций: полиция и кинологи — федеральные, таможня и пограничники предпочитают вообще минимизировать любые рассказы о себе, досмотр багажа — не место для гражданских, в орнитологической службе может оказаться на балансе волк, а чтобы снимать в бизнес-зале международных вылетов, надо покинуть Россию.

Но ведь интересно же! Когда-то давно Вадим рассказывал про Внуково, и вы просили описать те службы, которые не видит пассажир. В общем, сейчас мы пройдёмся по части из них и вообще посмотрим на то, как устроен аэропорт Казани. Он стал «Лучшим региональным аэропортом России и СНГ» пять раз подряд в рейтинге Skytrax.

Судя по последним новостям о бесславной войне Роскомнадзора с «Телеграмом», мессенджер решили взять в клещи: вдобавок к попыткам РКН применить против мессенджера технологии «глубокой блокировки» DPI второй фронт открыли юристы, занимающиеся копирайтным правом.

Первый фронт: «глубокая блокировка»

В конце сентября в СМИ и на Хабре писали об объявленном Роскомнадзором начале тестирования новых технологий блокировок в рамках реализации инициативы властей о «суверенизации» Рунета.

Что интересно, в рамках того же анонса роскомначальник Роскомнадзора Александр Жаров заявил, что завершатся тесты оборудования к середине октября.

С тех пор стало известно, что первым подопытным стала Тюмень: «Операторы связи в Екатеринбурге и Тюмени установили оборудование для изоляции Рунета и запустили его в тестовом режиме» — написал РБК. Впрочем, в самой Тюмени это никто не заметил:

в Тюменском государственном университете блокировку Telegram — главной мишени блокировок Роскомнадзора — не заметили ни студенты, ни преподаватели.

Что интересно — это единственная информация о результатах тестирования, которую мне удалось найти. Сам Роскомнадзор, несмотря на анонсированное завершение испытаний в середине октября, выводами по их итогам, похоже, с общественностью решил не делиться.

Был я как-то на ZeroNights, это очередная конференция по информационной безопасности, которая в этом году была совсем шлаком.

Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.

Что происходило там — особой смысловой нагрузки не несёт, а вот что началось потом — это что-то.

Как закончилась конференция, все её участники взяли билеты на сапсан, последний сапсан Санкт-Петербург — Москва выезжает в 21:00, и я на него успевал…

Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.

Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании. Теоретически, такое может произойти и в России.

Как приятно, когда все необходимые мелочи под рукой: хорошо пишущая ручка и блокнот, заточенный карандаш, удобная мышка, пара лишних проводов и т.д. Эти незаметные штуки не обращают на себя внимания, но добавляют жизни комфорта. Такая же история с различными мобильными и десктопными приложениями: для длинных скриншотов, для уменьшения размера картинки, для подсчёта личных финансов, словари, переводчики, конверторы и т.д. А есть ли у вас такой VPS — который стоит недорого, всегда под рукой и приносит много пользы? Нет, не тот который у вас в компании, а свой, «карманный». Мы подумали, что без небольшого VPS в 2019 году как-то грустно, прямо как без привычной авторучки на лекции. А чего грустить? Лето же. Ну как лето. Лето айтишника: сидеть дома, пилить любимые проекты безо всякого сожаления. В общем, подумали и сделали.


Коммунизм наступил, товарищи

У многих хостеров есть в продаже дешевые виртуальные серверы, к тому же в последнее время стали в большом количестве появляться рекламные тарифы с различными ограничениями (например, возможностью заказа одного такого виртуального сервера для одного аккаунта), цена на которые иногда даже меньше себестоимости IP-адресов. Стало интересно провести небольшое тестирование и поделиться результатами с широкими народными массами. Часть виртуальных серверов была предоставлена хостерами ранее для одного из моих проектов, на котором я выкладываю тесты, дополнительно было закуплено некоторое количество VPS не дороже 100 рублей за штуку.



Сразу стоит заметить, что характеристики виртуальных серверов отличаются друг от друга, а производительность, измеренная в определенный момент времени, является весьма относительной величиной, зависящей от нагрузки на ноду или канал, количества клиентов на ноде, времени суток, средней температуры на Марсе в сезон дождей и так далее, так что материал является скорее развлекательным.

Запущенный в 2013 году на рынке, вроде бы и так не испытывающем дефицита в мессенджерах, «Телеграм» моментально начал менять правила игры, первым распознав, что рядовому юзеру хочется защиты приватности его коммуникаций — и открыв, тем самым, тогда ещё никем не занятую нишу для захвата, в которую, уже вслед за ним, после устремились и другие мессенджеры. А Telegram, тем временем, уже отбивал аудиторию у пабликов в соцсетях, и даже начал превращаться в медийную платформу, уводя землю из-под ног у других площадок — от блогов до традиционных медиа.

В феврале 2016 года Дуров заявил о 100 миллионах пользователей «Телеграма», а 22 марта 2018 года мессенджер достиг «обитаемости» в 200 миллионов человек.

И пусть это мизер на фоне миллиардных аудиторий других проектов, среди которых «Телеграм» лишь девятый по количеству активных юзеров — это не помешало ему стать трендесеттером среди других приложений.

Продолжение: «По разные стороны государства: как Facebook прожаривали в Конгрессе США, пока «Телеграм» воевал с ФСБ»

В код клиентов Telegram добавили возможность маскировки под HTTPS (TLS + HTTP/2.0).



Для использования этой возможности добавили новый префикс секрета — «ee». Кроме того, добавили возможность кодировать секрет в адресе прокси сервера как base64, в дополнение к hex.

Перед тем, как углубиться в детали, попробуем разобраться как развивалась поддержка прокси-серверов в Telegram.

Telegram тестирует новый вариант обхода блокировок — маскировка трафика под обычный TLS (https).

Предистория: Попытки заблокировать Telegram происходят в разных странах, первый вариант блокировки был простым — блокировка IP адресов серверов Telegram.

Telegram достаточно успешно отбивается от этой атаки, переодически меняя IP с которых он доступен, однако это вызывает долгий первичный Connecting…

Чуть позднее стали доступны Socks прокси, однако протокол не подразумевает шифрования и это позволяло достаточно просто смотреть «внутрь» socks туннеля определяя, что внутри него — Telegram, блокируя прокси.

Следующим раундом стал — выпуск MTProto Proxy — прокси сервера от Telegram, который использует свой протокол MTProto, однако и он обладал некоторыми проблемами — размер пакетов достаточно характерный и специфичный, и многие DPI начали определять Telegram уже после первого пакета — блокируя доступ.

Ответом на такое поведение стало введение новой версии протокола MTProto — с случайной длиной, теперь определить что перед нами Telegram туннель — сложнее, часть DPI начали классифицировать трафик как «другое» часть все же научились выявлять характерный паттерн и с некоторой вероятностью (не 100%) определять, что трафик относится к Telegram

Сейчас мы переходим на следующий этап (похоже финальный или пред-финальный) — стеганография.

Стеганогра́фия (от греч. στεγανός «скрытый» + γράφω «пишу»; букв. «тайнопись») — способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи (хранения).

Другими словами — теперь Telegram будет притворяться обычным TLS (https) трафиком.