Сетевые технологии *

Email и бухгалтерия: почему заголовки писем всё ещё угрожают деньгам компаний

Недавно я писал в одной из новостей про новый стандарт электронной почты — RFC 9788. Тогда это выглядело как чисто техническое обновление: поправили старый костыль, добавили пару параметров, придумали новые заголовки. Но если посмотреть на это глазами бизнеса, особенно глазами топ-менеджмента и бухгалтерии, картина оказывается совсем другой.

Электронная почта — это не только переписка с коллегами или рассылка клиентам. Это канал, через который каждый день проходят платёжки, инвойсы, запросы на переводы. И именно эта часть коммуникаций десятилетиями оставалась в зоне риска, потому что заголовки писем (From, Subject, To) никак не защищались. Мы могли шифровать тело письма, подписывать вложения, использовать все возможные фильтры, но если злоумышленнику хотелось заменить тему на «Срочный перевод контрагенту», он мог это сделать.

В результате бухгалтер получал письмо, где всё выглядело честно: защищённый текст, привычный формат счёта, даже подпись была на месте. А заголовки — самое видимое и доверенное место письма — могли быть переписаны. Именно на этом десятилетиями держались самые простые и самые успешные схемы email-фишинга.

И вот только в 2025 году IETF принял новый стандарт — RFC 9788. Он наконец-то говорит очевидную вещь: защищать нужно не только тело письма, но и заголовки. Теперь все поля копируются внутрь зашифрованной части, наружу выходит только технический минимум, а тема письма может заменяться на […]. Если кто-то попробует подделать заголовок, клиент сразу покажет рассинхрон.

Для разработчиков это очередная спецификация, набор правил и тестов. А для бизнеса это история про деньги и риски. Потому что каждый случай, когда бухгалтер ошибся и отправил платёж по фейковому письму, — это прямой убыток. Каждый подобный инцидент — это ещё и риск для репутации: в новостях упоминают не мошенников, а именно ту компанию, которая «повелась».

Да, внедрение будет постепенным: сначала open source-клиенты и энтузиасты, потом корпоративные почтовики, потом массовый рынок. Но уже сейчас очевидно, что компании, которые раньше внедрят RFC 9788, снизят риски быстрее. Это история не про «технологическую моду», а про то, сколько денег вы теряете или экономите.

Я уверен, что лет через пять защищённые заголовки будут восприниматься так же естественно, как сегодня HTTPS на сайтах. И точно так же, как сейчас мы удивляемся сайтам без https, пользователи будут удивляться письмам, где можно переписать тему или отправителя. Вопрос только в том, вы хотите оказаться в числе тех, кто внедрил это вовремя, или в числе тех, чью бухгалтерию упомянут в очередной криминальной хронике.

Подборка бесплатных обучающих материалов для тех, кто хочет разобраться в сетях

Привет, Хабр! Я снова с подборкой статей, которые могут пригодиться начинающим специалистам. На этот раз будем разбираться в сетях. Как обычно, все материалы в подборке доступны бесплатно, никакими данными делиться тоже не нужно. Просто читайте и осваивайте новое. Поехали!

Сетевая инфраструктура

Эта подборка — практическое погружение в мир сетей и облачной инфраструктуры. Вы научитесь настраивать базовые сетевые схемы, поднимать выделенные и облачные серверы, разбираться в связанности, публичных IP и облачных маршрутизаторах. Все без лишней теории — только то, что пригодится в реальных задачах.

Компьютерные сети

Пять статей помогут вам изучить основы компьютерных сетей. Они плавно, шаг за шагом, погрузят вас в тему. Сначала вы разберете ключевые понятия, чтобы говорить с сетевиками на одном языке. Затем — узнаете, какие бывают сети и из чего они состоят, что такое MAC- и IP-адреса. Далее — освоите две основные модели: OSI и TCP/IP — на конкретных примерах посмотрите, как работает каждый уровень.

CDN

Мини-курс познакомит с базовыми принципами работы распределенной доставки контента. Вы научитесь подключать и настраивать такую сеть, оптимизировать изображения. Особое внимание — внедрению CDN для повышения безопасности.

Сетевая безопасность

Эта подборка сфокусирована на сетевой ИБ: межсетевые экраны и IDPS, средства шифрования трафика и DDoS-атаки. Теорию вы закрепите практикой, самостоятельно установив и настроив файрвол или проведя сканирование портов по инструкции.

Сетевые протоколы

В мире существует более 7 000 сетевых протоколов. В 12 материалах вы узнаете о самых популярных из них, а также о существующих сетевых моделях передачи данных.

Go + Windows = deadlock. Свет в конце тоннеля.

В прошлой статье я рассказывал о редком, но весьма опасном баге: поток под Windows зависал в вызове CancelIoEx, хотя документация Microsoft утверждает обратное. Суть проблемы — в пересечении синхронного и асинхронного ввода-вывода, где ядро Windows блокирует доставку APC, и поток остаётся навсегда «висящим».

История получила развитие не сама по себе: мы целенаправленно поднимали эту тему через support-кейс в Microsoft. В результате удалось подключить и Escalation Team, и разработчиков Go, ответственных за Windows-порт.

Финальный вывод: стандартная библиотека Go действительно использует неправильный API для отмены синхронных операций. Вместо CancelSynchronousIo, рекомендованного самой Microsoft, в коде до сих пор вызывается CancelIoEx.

👀 Сам проблемный вызов:
https://github.com/golang/go/blob/77f911e31c243a8302c086d64dbef340b0c999b8/src/internal/poll/fd_windows.go#L461

Хорошая новость: у команды уже есть рабочий proof-of-concept фикса:
https://go-review.googlesource.com/c/go/+/691395

Менее радостная часть: из-за сложности изменений и их влияния на рантайм правка запланирована только в Go 1.26 (февраль 2026). Бэкпорт в предыдущие версии практически исключён.

Что это значит для разработчиков

• Если ваш сервис на Go под Windows внезапно «зависает» в CancelIoEx — это следствие бага в стандартной библиотеке, а не ваша ошибка.

• До релиза Go 1.26 остаются обходные варианты:

  • не вызывать CancelIoEx для синхронных дескрипторов,

  • использовать CancelSynchronousIo, если есть возможность управлять потоками,

  • минимизировать использование пайпов в критичных местах.

Итог

Редкий flaky-тест Go (TestPipeIOCloseRace) оказался симптомом реальной и серьёзной проблемы. Благодаря эскалации через Microsoft Support и совместному разбору мы получили подтверждение, понятное объяснение и официальный фикс в планах.

⚡️ Если ваш Go-код на Windows зависает в CancelIoEx, теперь вы знаете: проблема признана и исправление уже в пути.

Какие сайты будут работать без мобильного интернета. Инфографика от РБК. Ранее российские операторы связи стали рассылать своим клиентам уведомления о том, какие именно сервисы продолжают работать в мобильных сетях операторов даже в условиях ограничения интернета.

WhatsApp сканирует сеть?

Совершенно случайно наткнулся на интересное:

У меня дома стриггерился алерт: мой домашний сервачок (он же роутер) помимо всего прочего отслеживает количество уникальных от-forward'енных $src_ip + $dst_ip + $dst_port – и алертит, когда их количество превышает некоторый порог.

И вот за последние сутки с моего телефона + телефона жены 2560 + 4082 уникальных пар $dst_ip + $dst_port (где 602x22 ниже – это соединения на 22 порт на 602 разных IP-адреса):

kate-mobile.lan (4082 IP+port pairs): 3117 TCP (1534x443, 602x22, 261x80, 237x554, 220x53, 29x23, 28x983, 21x553, 20x179, 12x1443, 9x5222, 6x5228, 4x4460, 4x21, 2x571, 2x9243, 2x240, 2x383, 2x185, 2x260, 2x299, 2x237, 2x336, 2x131, 2x512, 1x464, 1x734, 1x4416, 1x371, 1x10, 1x863, 1x895, 1x759, 1x815, 1x178, 1x830, 1x271, 1x838, 1x707, 1x629, 1x174, 1x1003, 1x894, 1x3237, 1x887, 1x962, 1x603, 1x855, 1x241, 1x494, 1x540, 1x181, 1x352, 1x454, 1x373, 1x654, 1x56, 1x646, 1x175, 1x876, 1x810, 1x556, 1x395, 1x483, 1x697, 1x212, 1x34, 1x588, 1x348, 1x605, 1x680, 1x460, 1x401, 1x224, 1x143, 1x161, 1x104, 1x655, 1x872, 1x521, 1x459, 1x911, 1x705, 1x317, 1x377, 1x807, 1x323, 1x893, 1x866, 1x142, 1x1001, 1x170, 1x920, 1x843, 1x209, 1x463, 1x156, 1x569, 1x952, 1x701, 1x184, 1x597, 1x389, 1x647, 1x8543, 1x487, 1x624, 1x537, 1x814, 1x259, 1x578, 1x26, 1x904, 1x751, 1x652, 1x795, 1x234, 1x671, 1x45, 1x4477, 1x307, 1x635, 1x651, 1x227, 1x806, 1x752, 1x203, 1x220, 1x582, 1x568, 1x153, 1x844, 1x402), 965 UDP (379x443, 278x53, 116x554, 83x123, 38x22, 22x23, 7x2002, 6x983, 4x179, 2x4123, 2x512, 2x21, 2x553, 1x363, 1x652, 1x654, 1x1003, 1x299, 1x307, 1x377, 1x680, 1x807, 1x804, 1x966, 1x685, 1x240, 1x463, 1x655, 1x806, 1x45, 1x383, 1x336, 1x153, 1x260, 1x28, 1x241, 1x603)
mobile.lan (2560 IP+port pairs): 1899 TCP (814x443, 405x22, 171x554, 168x80, 160x53, 23x983, 18x179, 18x1443, 15x23, 10x553, 9x5222, 6x21, 5x7275, 3x5228, 2x19302, 1x759, 1x37, 1x629, 1x685, 1x581, 1x582, 1x10000, 1x142, 1x250, 1x846, 1x125, 1x872, 1x657, 1x8543, 1x604, 1x90, 1x727, 1x567, 1x911, 1x739, 1x810, 1x4477, 1x866, 1x26, 1x491, 1x10, 1x156, 1x626, 1x178, 1x422, 1x977, 1x155, 1x12, 1x402, 1x683, 1x21007, 1x306, 1x595, 1x184, 1x4416, 1x472, 1x14, 1x904, 1x166, 1x165, 1x753, 1x988, 1x4434, 1x11, 1x28, 1x317, 1x622, 1x535, 1x718, 1x686, 1x637, 1x207, 1x244, 1x153, 1x7000, 1x8443, 1x966, 1x383, 1x5223, 1x985, 1x161, 1x994, 1x395, 1x898, 1x39, 1x592, 1x6447), 661 UDP (307x443, 168x53, 81x554, 36x123, 24x22, 10x23, 6x983, 6x179, 4x19302, 3x553, 3x21, 1x153, 1x685, 1x626, 1x155, 1x592, 1x19000, 1x491, 1x306, 1x472, 1x125, 1x8443, 1x28, 1x966)

Поставил себе PCAPdroid на телефон, и выяснилось, что WhatsApp (я им совсем не пользуюсь – установлен по необходимости):

• За последний месяц съел 23 MB Wi-Fi трафика.

• За сегодняшний день съел 92 MB Wi-Fi трафика.

• Постоянно открывает соединения на разные IP и всякие мутные порты (ssh, ntp, ftp).

Хотелось бы верить, что это какая-то очередная защита от блокировок или вроде того, но, учитывая недавние истории про слежку за пользователями на Android, что-то не очень верится. :)

Как-то более глубоко исследовать эту ситуацию, честно говоря, нет желания (да и наверняка он подобными сканированиями занимается только изредка, чтобы не привлекать к себе лишнего внимания) – поэтому всё выше написанное исключительно JFYI, без каких-либо интересных подробностей.

P.S.: Большая просьба не воспринимать это как очередную рекламу в пользу всем известного мессенджера, который сейчас активно продвигается – все совпадения случайны.

На GitHub вышел открытый проект SeedBox Lite, который позволяет развернуть аналог Netflix у себя дома. Решение предоставляет библиотеку контента с торрентов — в бесплатном доступе все фильмы мира. Мгновенный старт — смотрите сразу, не дожидаясь загрузки. Плеер как у стримингов: субтитры, фуллскрин, жесты. Работает на смартфоне, планшете и ПК и вообще всем, где есть браузер. Можно закрыть паролем. Устанавливается за минуты по простому гайду.

Порт RJ-45 — это проклятье современных тонких ультрабуков. Его (вернее, разъём 8P8C) стандартизировали ещё в 70-х годах прошлого века и так до сих пор с ним и живут. Дело в том, что у разъёма высота обычно достигает 13–14 мм, ширина ещё больше, а просто его выкинуть в пользу Wi-Fi хватает (слава богу) ума и смелости далеко не у всех.

Поэтому очень забавно наблюдать за различными ухищрениями. Обычно ограничиваются раскладным портом – «челюстью». В торце располагается откидная губа, которая увеличивает высоту выреза до нужных 14 мм. Из неоспоримых плюсов — отсутствие необходимости носить с собой переходник для кабеля, из минусов — хрупкость и неизбежный люфт.

RJ-45 изредка ставят в утолщении у шарнира сгиба. Порт прячут в подбородке возле петель. Но это влияет на размеры и компоновку, получается такое сделать далеко не всегда.

Все остальные случаи требуют донглы. Пропускать Ethernet через обычный интерфейс USB третьей или четвёртой версии — норма. Если в командировочной сумке уже лежит короткий патч-корд, то и компактному USB-C → 2.5 GbE место найдётся, разве нет? Ну а на работе будет док-станция с уже воткнутым корпоративным Ethernet.

В особо извращённых случаях обходятся даже без донглов, полностью пассивным переходником. Искомый порт заменяют на физическом уровне другим интерфейсом. Переходник всё равно нужен, просто активных компонентов внутри него не будет.

К таким случаям относится практика некоторых Asus ExpertBook. В Сети как раз обратили внимание на один из таких.

На картинке то ли ExpertBook B5 OLED от 2023 года с кодом модели B5602 с 13-м, то ли куда более ранний (осень 2022 года) ноутбук с 12-м, то ли вообще B5302С с 11-м поколением процессоров Intel. Не в процессоре суть. Главное — здесь интересная ситуация, когда контакты RJ45 пропущены через разъём microHDMI. Это именно не Ethernet over HDMI, это передача электрических сигналов через другой разъём.

Понятно, что в комплекте поставки идёт переходник. И что делать, если оригинал потерялся? Беглый поиск в на крупных торговых площадках подходящего не находит, видны только дорогущие ($39) замены магазинов запчастей продукции Asus.

Тестируем Evolution SDN с помощью ovn-heater — доклад на IT-конференции GoCloud Tech 2025 ☁️

Не секрет, что тестирование производительности SDN — критически важный аспект в оценке эффективности и надежности работы сетевой инфраструктуры. В докладе поделимся подходом к тестированию производительности SDN c помощью открытого инструмента ovn-heater. Расскажем про наши доработки, математический подход к сбору и анализу данных, а также поделимся результатами, на сколько удалось ускорить управление и обмен данными.

Трек: Cloud Infrastructure — про построение устойчивой, масштабируемой и безопасной облачной инфраструктуры.

📅 Когда: 3 сентября в 15:20 мск

👉 Зарегистрироваться

Что еще интересного будет на GoCloud Tech, смотрите в программе конференции.

Мой обход блокировок Telegram и WhatsApp (колхозный?)

Живу в за пределами России и часто общаюсь с родственниками и друзьями из России.
Основное общение всегда было через Скайп, Telegram и WhatsApp.

Скайп помер в Мае, а когда звонки начали глючить в Telegram и WhatsApp, сначала подумал, что у мамы Wi-Fi тупит.
Просил перезагрузить роутер, попробовать выйти на улицу. Затем спросил знакомых, почитал новости и прозрел - звонки глючат у всех.
MAX.

Что попробовал:

• VPN на телефоне → тяжело для пожилых родственников, NordVPN - два года подписки в топку.

• Viber → работает, но нестабильно.

• Zoom → громоздкий для простых звонков.

Нужен более простой и независимый способ.

Решение

После поиска остановился на Jitsi Meet — системе для видеозвонков с открытым кодом. Её можно развернуть на своём сервере и не зависеть от блокировок.

Настройка

1. Поднял виртуалку на Ubuntu.

2. Настроил pfSense с NAT и SSL.

3. Установил Jitsi Meet в Docker.

Мои проблемы по пути:

• DNS не резолвился → сделал Split DNS на pfSense.

• SSL лучше сразу через Let’s Encrypt, без self-signed.

• Компоненты Jitsi не стыковались → поправил конфиги.

• Медиа не шло → открыл UDP 10000.

• Пользователи за NAT всё равно не могли подключиться → добавил TURN-сервер.

Результат

Теперь у каждого есть ссылка вида https://calls.ДОМЕН/room1. Родственники открывают её в браузере или приложении, подключаются по линку, разговор без ограничений.

Решение получилось достаточно простым в использовании и устойчивым к блокировкам.

Скрипты и инструкции:
http://softcreator.com/static/temp/jitsi_deployment.tar.gz

Notes:
1. В инструкциях я выделил переменные, которые нужно заменить на свое окружение (экономит время).
2. Уверен, вокруг масса инструкций по установке Jitsi, но я ориентировался на простоту установки и селф-хостинг на домашнем бесполезном ноуте.
Такие инструкции не нашел, поэтому наколхозил для себя сам.
3. Первый пост на Хабре за 10+ лет чтения. Сильно не пинайте.

Как изменить SSH-пароль для Amnezia VPN

Amnezia - достаточно удобное приложение, которое позволяет в пару кликов (или тапов смартфона) развернуть VPN-сервер на вашем VPS.

Работает это следующим образом: при старте приложения на смартфоне/ПК вы вводите адрес сервера и данные SSH-подключения: user + password/privatekey (лично у меня подключение по ключу не взлетело). После этого приложение подключается к серверу по SSH и скачивает/настраивает VPN.

Приложение запоминает данные SSH-подключения и в дальнейшем они используются для упрощенного администрирования: добавления/удаления VPN-пользователей, установки/удаления дополнительных компонентов и прочего.

Проблемы начинаются тогда, когда вам по какой-то причине нужно поменять реквизиты SSH-подключения: изменить юзера, заменить пароль/ключ, изменить порт. Приложение Amnezia не предосталяет такой возможности (есть даже открытый feature request). Если вы попробуйте поискать информацию по данной теме, то единственным найденным вариантом будет что-то вроде "удалите сервер и разверните заново", что естественно приведет к тому, что ключи всех VPN-пользователей придется генерировать заново.

Итак, как же изменить пароль (или другой атрибут) без редеплоя VPN-сервера?

Инструкция:

1. В приложении заходим ⚙️ -> Backup -> Make a backup. Получаем JSON-файл.

2. JSON-файл содержит все параметры в открытом виде, в т.ч. пароль. Меняем пароль на новый и сохраняем файл.

3. Заходим ⚙️ -> Backup -> Restore from backup, это действие затирает текущую конфигурацию и устанавливает конфигурацию из файла.

4. Меняем пароль на самом сервере.

ТестНаСпид.РФ — и нет, мы не про болезни

С чего все началось?

Недавняя блокировка Speedtest.net в России застала многих любителей помериться… скоростями врасплох и заставила искать альтернативы, которые могут помочь им утвердиться.

Not anymore, ladies and gentlemen — представляем вашему вниманию инновационный отечественный сайт для замера скорости интернета — ТестНаСпид.РФ

Преимущества:

Данное решение является полностью отечественным и не имеет аналогов на рынке. Замер скорости можно осуществить к любому серверу из сотен различных стран на выбор пользователю.

UI поражает своим новшеством в мире дизайна сайтов. Начиная с мелочей и до overall experience все сделано для максимального удобства пользователя.

AD-Free — мы ценим и уважаем наших пользователей, которые в столь тяжёлые времена остались без своих любимых замеров. Именно поэтому мы не добавляем никакой монетизации сервиса в виде навязчивой рекламы.

Наша команда всерьез взялась за проблему замещения данного сервиса и в самые кратчайшие сроки подготовила этот сервис, чтобы вы могли и дальше радовать своих жен — скоростью своего интернета.

На данный момент сервис находится в открытом Beta-тестировании и в планах реализовать ещё много дополнительного функционала по нашему (закрытому) Roadmap-у.

Как устроено тестирование телеком-продуктов

Есть множество видов тестирования, их классифицируют по различным признакам: уровню, целям, степени автоматизации, знаниям о системе, а также типу проверяемых сценариев (функциональные и нефункциональные). Расскажем подробнее о реализации разных видов тестов, которые проводятся в лабораторных условиях: 

• Модульные (unit) и компонентные (component) тесты реализуют сами разработчики. Они позволяют проверить корректность работы отдельных модулей и компонентов на ранней стадии.

• Бокс-тестирование предполагает интеграцию нескольких компонентов базовой станции в рамках единой среды. В этом режиме используются симуляторы пользовательских устройств и ядра сети. 

• Системное тестирование охватывает проверку сквозных (end-to-end) сценариев на реальной аппаратной платформе. В отличие от бокс-тестов, здесь задействуются реальные пользовательские терминалы и максимально приближенная к коммерческой опорная сеть.

• Нагрузочное тестирование и тестирование стабильности позволяют оценить работу системы под высокой нагрузкой в течение длительного времени. Это важно для подтверждения отказоустойчивости и стабильной производительности.

Выделим полевое тестирование. Оно позволяет в реальных радиоусловиях с реальными абонентскими терминалами протестировать описанные выше процедуры. Для такого тестирования используется специальный автомобиль, в котором установлено оборудование для проведения drive-тестов.

Во время drive-тестов используются разные модели пользовательских устройств. Это важно для нормализации результатов и получения объективной оценки поведения системы при работе с многообразием смартфонов.

В статье Ивана Политова и Антон Васина, инженеров из департамента разработки и проектирования опорной 5G-сети в YADRO, читайте подробнее, как в компании тестируют телеком-продукты.

Мы зарелизили виртуальные роутеры

Они позволяют создавать маршрутизируемые сети — когда один или несколько компонентов вашей инфраструктуры ходит в интернет. Пример 👇

У вас 4 виртуалки и 1 база под корп портал, объединенные в приватную сеть. Одна из виртуалок должна раз в месяц скачивать обновления для Битрикса. Вот тут-то и пригодится роутер, который пропустит ее в сеть за обновлением. Безопасно и без переплаты за внешние IP.

В наличии: роутеры с резервированием (High Availability, aka HA) и без. Если вы проектируете полностью отказоустойчивую инфру, то HA — это мастхев, и за него стоит переплатить. Если отказоустойчивость роутера не важна, рекомендуем выбрать самый доступный по цене тариф.

🦐 Минималка без HA: 1 нода, 1 CPU, 1 RAM + IP — 300 руб/мес
🦑 Максималка с HA: 2 ноды, 6 CPU, 8 RAM + IP — 3 150 руб/мес

Ищите в панели → «Сети» → «Роутеры» и выбирайте нужный регион и конфиги.

Потестить роутер на своей сети →

Измеряйте качество интернет-соединения с помощью сервиса Selectel Speedtest ⚡

Selectel уже более семи лет поддерживает собственный инструмент для измерения качества интернет-соединения — Selectel Speedtest. 

С помощью сервиса вы можете отслеживать скорость скачивания и загрузки, а также пинг и задержки при передаче данных (джиттер). Ежемесячно Selectel Speedtest помогает более 20 000 пользователей. 

На странице Selectel Speedtest представлены тестовые файлы разного объема, с помощью которых можно легко проверить качество интернет-соединения. При этом сервис не сохраняет данные о результатах.

Измерить качество интернет-соединения →

В процессе подготовки статьи "Как я зарегистрировал CVE и разозлил вендора" я искал статьи с практическими результатами по подмене локального времени жертвы (при синхронизации через NTP). Это оказалось нелегко: чаще всего статьи были теоретическими. Но, я нашёл и довольно интересную статью от 07.11.2024: Quantitative Risk Analysis of Network Time Protocol (NTP) Spoofing Attacks. Часть вопросов, которые изучаются в статье:

• рассмотрены атаки на ntpd, NTPSec, chrony, и OpenNTPD;

• оценивается возможность максимального смещения времени атакой (в условиях защитных механизмов атакуемых утилит);

• рассматриваются сложности атак.

Указывается, что остаются вопросы для дальнейшего изучения. Например, в части встроенных в различные ОС механизмов синхронизации времени.

Помимо этих вопросов - вот вопросы, которые у меня остались.

• Когда именно происходит синхронизация времени через утилиты или в ОС в обычной жизни? И как часто? Т.е. сколько времени нужно ждать атакующему для возможности совершить атаку? Принудительный перезапуск утилиты не рассматриваем.

• DHCP предусматривает периодическое обновление данных - не только IP-адрес, шлюз по-умолчанию и DNS. А и NTP (пример настройки NTP для DHCP в маршрутизаторе MikroTik). И тут 2 варианта атаки: либо получен доступ к DHCP серверу, либо подмена DHCP-пакетов (при атаке "человек посередине"). Как эти варианты атаки скажутся на системное время различных ОС, сконфигурированных по-разному (в т.ч. если даже в ОС используется более безопасный вариант вроде NTPSec и др.)? Тем более, что подмена NTP-сервера через DHCP во многом лишена тех сложностей, что описываются в статье.

• UPD: другой вариант - отравить кэш локального DNS-сервера (если в качестве сервера времени прописано доменное имя). Допустим, клиенты получают время от 0.ru.pool.ntp.org. И в качестве DNS сервера у них прописан роутер MikroTik, подверженный CVE-2019-3978.

Было бы любопытно ознакомиться с существующими best practices синхронизации времени, учитывающими все вышеуказанные риски (либо хотя бы пытающиеся их учитывать).

Другие статьи на эту же тему:

• Securing NTP against MITM attacks (от 09.12.2022);

• Как синхронизация времени стала безопасной (от 09.06.2020).

Команда ContestI2PTeam объявила о проведении соревнования по олимпиадному программированию в I2P для начинающих. Цель мероприятия: познакомить как можно больше талантливых программистов с сетью I2P.

По результатам соревнования, в соответствии с распределением по Гауссу (даже самые начинающие в обиде не останутся), будет выплачиваться криптовалюта Monero (XMR) из тех средств, что были пожертвованы на развитие ContestI2P.

С 24 по 31 июля 2025 года будет проходить пробный тур, чтобы попасть на основной тур, нужно решить хотя бы одну задачу пробного тура (вы не робот?)

1 августа будет проходить основной тур, только он будет влиять на итоговые результаты.

Более подробно смотрите http://contest.i2p/ (для перехода по ссылке требуется настроенная сеть i2p).

Как создать мультиаккаунт-ферму для любых целей: от TikTok до Amazon

Мультиаккаунтинг — основа множества задач: от продвижения в соцсетях и тестирования антифрод-систем до арбитража трафика, отзывов, заказов и автоматизации серых схем. Эта статья — техническое руководство по созданию собственной мультиаккаунт-фермы.

1. Зачем нужна мультиаккаунт-ферма

Массовое создание и управление аккаунтами востребовано в:

• TikTok / Instagram / YouTube (SMM, продвижение, фарм, масслайкинг)

• Amazon / eBay / Etsy (отзывы, возвраты, seller support)

• Tinder / Badoo / Facebook (фарм профилей, трафик, лидогенерация)

• Финансовые сервисы (регистрация, чекапы, симуляция пользовательской активности)

2. Инфраструктура: из чего состоит ферма

Управляющий скрипт / панель

• Язык: Python + SQLite / Redis

• Задачи: управление профилями, логами, заданиями

Эмуляторы / браузеры

• Android: MEmu, LDPlayer, Anbox (Linux)

• Браузерные: Puppeteer, Playwright, Selenium, антидетект-браузеры (Dolphin{anty}, AdsPower, Incogniton)

Прокси-серверы

• Mobile / Residential — лучшее для trust-оценки

• Автоматическая ротация, логика GEO под задачу

Серверная часть

• VPS / VDS с Linux или Windows

• Docker-контейнеры под каждое окружение

• Балансировка нагрузки

3. Создание аккаунтов: подходы

Ручной полуавтомат (через Android-эмулятор)

• Эмуляция касаний (ADB, Auto.js)

• Работа через антидетект-образы

Полностью автоматический (браузер + API)

• Использование Playwright + обфускация fingerprint

• Капча-решатели: 2Captcha, CapMonster, hCaptcha API

4. Управление и автоматизация

• Отслеживание статуса аккаунта: валидация, блок, SMS

• Система задания задач (task scheduler)

• Импорт/экспорт сессий и cookies

• Telegram-бот для уведомлений

5. Масштабирование

• Запуск десятков сессий в docker-контейнерах

• Использование headless-режима с обходом защиты

• Съём логов и дебаг-интерфейсы

6. Безопасность и устойчивость

• Разделение трафика по подпроектам

• Автоматическое обновление fingerprint’ов

• Логирование и автоотключение забаненных узлов

• Мониторинг прокси и доступов

Пример архитектуры

[ Telegram Bot ] <- уведомления / команды
       |
[ Flask API ] <-> [ SQLite / Redis ]
       |
[ Управляющий скрипт ] -> [ Docker / Android VM ]
                                |
                         [ Браузер / Эмулятор ]
                                |
                            [ Прокси-сервер ]

Что мы знаем о защите АСУ ТП?

В новой статье говорим о том, как складывается ситуация с кибератаками на реальный сектор в России и в мире, кто и как атакует предприятия, какие сегменты промышленных сетей самые уязвимые и что за средства используются злоумышленниками для атак.

Продолжаем принимать доклады на IT Elements 2025

Тук-тук! Это снова IT Elements — главное место встречи тех, кто делает ИТ в России.

10–11 сентября вот уже в третий раз мы соберем ИТ-сообщество в Москве. Готовьтесь к новым трекам, спикерам и грандиозной площадке! Кстати, регистрация уже открыта.

А вообще мы с хорошими новостями: до 15 августа продлили Call For Papers! Приглашаем экспертов, которые могут рассказать про сильный кейс, нестандартный опыт или нешаблонное решение поделиться своим опытом с комьюнити в рамках доклада. Главные требования — экспертность и актуальность темы. А еще важно, чтобы доклад не был представлен на других мероприятиях.

Рассматриваются заявки по основным направлениям конфы:

• ИТ-инфраструктура

• Сетевые технологии

• Кибербезопасность

• Данные и ИИ

Подать доклад

IT Elements в прошлом году это:

— 2500+ участников офлайн и 6000+ зрителей онлайн.

— 80+ докладов, дискуссий и мастер-классов.

— 125 спикеров из ведущих российских компаний: ВТБ, «Газпромнефть-Гео», «АльфаСтрахование», «Лаборатория Касперского», АЛРОСА, S7, Почта Банк, «ВымпелКом», НСИС и др.

— выставка 30+ вендоров и дистрибьюторов, а также большая лабораторная зона с воркшопами.

Станьте главным элементом IT Elements 2025 💙

Генеральный партнер конференции IT Elements — ИТ-компания «Инфосистемы Джет».

Как Stripe использует r.stripe.com/b: поведенческий анализ

Когда речь заходит об антифроде в Stripe, чаще всего вспоминают Radar, 3DS и JavaScript SDK. Но в самом центре поведенческой аналитики Stripe работает менее известный, но ключевой endpoint — r.stripe.com/b.

В этой статье разберём:

• зачем Stripe использует r.stripe.com/b;

• какие сигналы отправляются через него;

• как он помогает выявлять headless-браузеры;

• и как эти механизмы исследуются техническими сообществами, включая bfd.

📡 Что такое r.stripe.com/b

Это внутренний endpoint Stripe Radar. Он используется для сбора поведенческих сигналов клиента и браузера. Его вызов можно отследить в Chrome DevTools при использовании платёжной формы Stripe — чаще всего после генерации payment method или до confirm-запроса.

Что Stripe передаёт в r.stripe.com/b

Формат — POST, содержимое — application/x-www-form-urlencoded. Поля:

• radar_options[hcaptcha_token]

• radar_options[event]

• p, v, d, m — закодированные поля с JS-данными

• Фингерпринт сессии (__stripe_mid, __stripe_sid)

Эти данные собираются JavaScript'ом SDK через скрипты вроде m.stripe.com/6.

Что реально проверяет Stripe

• Был ли пользователь ботом (анализ input, delay, blur)

• Используется ли headless-браузер

• Совпадают ли JS-объекты: navigator, window, chrome

• Есть ли permissions.query()

• Используется ли эмуляция Canvas / WebGL / Audio

👁 Пример поведения

Конфигурация Статус Комментарий Headless Chrome Declined Payload пустой Undetected + Spoof 3DS Stripe заподозрил spoof Ручной ввод + Mobile IP Success Поведение натуральное

Где это изучают

На техническом форуме bfd cash обсуждают не только карту и merchant, но и логики поведения SDK Stripe. Многие участники выкладывают HAR-файлы, конфиги undetected Chrome, расшифровки r.stripe.com/b payload. Оттуда же мы взяли идею тестировать JS spoof через Canvas API в реальном браузере.

💡 Вывод

Stripe анализирует не только карту, но и то, как вы её вводите. И r.stripe.com/b — важнейший компонент этой системы. Если вы хотите контролировать конверсию, особенно при микроплатежах — понимание этого механизма даст вам весомое преимущество.

✉️ В следующем посте — анализ ответа /confirm и как по status, code и type понять, что произошло.

Если нужен шаблон HAR, конфиг spoof или список JS-объектов, которые вызывает Stripe — напишите. Или загляните на bfd, где эти вопросы разбираются регулярно.