• Оценка уязвимостей CVSS 3.0


      Мы используем систему оценок CVSS с момента возникновения нашей базы уязвимостей и первого нашего продукта — XSpider (надеюсь, кто-то его еще помнит). Для нас очень важно поддерживать базу знаний, которую мы используем в своих продуктах и услугах, в актуальном состоянии. Поскольку рекомендации по работе с CVSS-метриками не покрывают все возможные варианты уязвимостей, иногда приходится задаваться вопросом: «Как лучше проставить метрики, чтобы итоговая оценка отражала реальную опасность уязвимости?».

      Мы постоянно следим за развитием стандарта, поэтому давно ждали окончательной версии CVSSv3. Открывая спецификацию, я прежде всего хотел ответить на вопросы: «Что стало лучше?», «Что именно изменилось?», «Сможем ли мы использовать новый стандарт в наших продуктах?» и — поскольку к ведению базы часто подключаются молодые специалисты — «Как быстро можно овладеть методикой оценки?», «Насколько четкими являются критерии?».

      В ходе изучения стандарта родилась эта статья, надеюсь, она поможет вам в освоении новой методики оценки уязвимостей.
      Читать дальше →
      • +14
      • 25,3k
      • 1
    • Определяем, что у пользователя заблокирована Википедия


        Недавно Роскомнадзор предпринял попытку блокировки доступа с территории РФ к Википедии. Попытка провалилась, и самое время перейти в контрнаступление. В статье под катом я покажу, что, если пользователь Х зашёл на сайт А, то сайт А может определить, заблокирован ли для пользователя другой сайт Б. А дальше, по намечающейся традиции, изложение пойдёт в вопросно-ответной форме.

        Для чего это вообще нужно?


        При обсуждении блокировки Википедии сообщество заметило два обстоятельства, которые весьма выгодны цензуре. Во-первых, Википедия использует HTTPS и, более того, HSTS. Это означает, что заблокирована энциклопедия может быть только целиком (с точностью до домена), но при этом перенаправить на пресловутую страницу с сообщением о блокировке нельзя. Вместо этого высвечивается сообщение об ошибке установления соединения. Это выглядит как внутренняя проблема Википедии и смягчает недовольство пользователя действиями Роскомнадзора; в то же время для развития правового государства необходима обратная связь. Во-вторых, даже если пользователи узнают о блокировке, многие из них просто не будут знать, что делать. Вешать перманентную плашку «Если заблокировали Википедию — качайте Tor Browser!» на неравнодушных сайтах как минимум странно; в то же время, оповещение пользователей о блокировке Википедии и способах её обхода необходимо. Решение поставленной проблемы и пытается дать настоящая статья.
        Читать дальше →
      • Авторизация клиентов в nginx посредством SSL сертификатов

          Введение:


          Потребовалось мне тут как-то написать небольшой API, в котором необходимо было помимо обычных запросов принимать запросы с «высокой степенью секретности».
          Не я первый с этим столкнулся и мир давно уже использует для таких вещей SSL.

          Поскольку на моём сервере используется nginx, то был установлен модуль SSL
          Гугл не выдал ни одного работоспособного howto, но информация в сети есть по частям.

          Итак, пошаговое руководство по настройке nginx на авторизацию клиентов через SSL-сертификаты.
          Читать дальше →
        • Остров необычной формы выставлен на продажу



            Хотите жить посреди океана на острове, где больше ни единой души? Кроме девушек, которые окружают тебя по доброте душевной и собственному желанию? Никаких проблем, достаточно пару лет поработать программистом в Москве — и подходящий остров у тебя в кармане!
            Читать дальше →
          • Загрузочный сервер — как загрузочная флешка, только сервер и по сети

              Загрузочная флешка с набором нужного софта — замечательный инструмент системного администратора. Казалось бы, что может быть лучше? А лучше может быть загрузочный сервер!

              Представьте, вы выбрали в BIOS загрузку по сети и можете установить ОС/вылечить компьютер от вирусов/реанимировать диски/протестировать ОЗУ/etc с PXE Boot сервера, ведь это куда удобнее, нежели бегать с флешкой от машины к машине.
              А в случае большого компьютерного парка, такой инструмент и вовсе незаменим.

              Вот такое меню встречает нашу команду инженеров при загрузке с PXE



              Под катом вас ждет описание всех настроек, а так же небольшой сюрприз.
              Поехали!
            • Анализ сетевого трафика на сервере с помощью tshark

              • Tutorial
              tshark

              В практике системного администрирования довольно часто приходится cталкиваться со сложными ситуациями, в которых не помогают ни инструменты сбора статистики (например, netstat), ни стандартные утилиты на основе протокола ICMP (ping, traceroute и другие). В таких случаях часто используются специализированные диагностические утилиты, дающие возможность «слушать» сетевой трафик и анализировать его на уровне единиц передачи отдельных протоколов. Они называются анализаторами трафика, а на профессиональном жаргоне — снифферами. С их помощью можно, во-первых, локализовывать сетевые проблемы и более точно их диагностировать, а во-вторых — обнаруживать паразитный трафик и выявлять в сети зловредное ПО.

              Особенно полезными оказываются анализаторы трафика в случаях, когда сетевое ПО плохо документировано или использует собственные закрытые протоколы.
              Читать дальше →
            • Меняем CoffeeScript на ES6

              Спешу предположить, что вы наслышаны о ES6 и, возможно, успели попробовать её. Тогда вам наверняка покажется интересной заметка о некоторых фичах спецификации, опубликованная Блейком Уильямсом в блоге Thoughtbots. Я же, с позволения автора, публикую перевод.

              Последнее время я смотрел в сторону спецификации ES6, это следующая версия JavaScript, и наконец мне представилась возможность использовать её в проекте. За недолгое время использования я понял, что она решает множество проблем, которые пытается решить CoffeeScript, но без радикальных изменений синтаксиса.

              ES6 сегодня


              Вы можете начать писать на ES6 прямо сейчас, используя транслятор в ES5 6to5. 6to5 поддерживает достаточно много инструментов сборки, в их числе: Broccoli, Grunt, Gulp и Sprockets. У меня всё прекрасно работало со sprockets-es6, а 4.x Sprockets будут поддерживать 6to5 из коробки. Также вы можете попробовать ES6 прямо в браузере в 6to5 REPL.
              Читать дальше →
            • Судья признал использование сервиса шифрованной почты признаком терроризма



                Испанский судья Хавьер Гомес Бермудес признал использование группой испанских активистов сервиса шифрованной почты Riseup и наличие у них книги «Против демократии» (Contra la democràcia) признаком того, что эта группа занимается террористической деятельностью. В результате, в ходе операции «Пандора» в конце декабря 2014 более 400 полицейских совершили рейд на 14 частных домов и общественных центров в Испании, по результатам которых было арестовано 11 человек. Из них четверо было отпущено, а семерых заключили в тюрьму по обвинению в «террористической деятельности неустановленного характера». Это привело к многотысячным маршам протеста. Ситуацию освещает издание NetworkWorld.
                Читать дальше →
              • Памятка пользователям ssh

                  abstract: В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые не боятся шелла. В отличие от большинства руководств, которые кроме ключей и -L/D/R опций ничего не описывают, я попытался собрать все интересные фичи и удобства, которые с собой несёт ssh.

                  Предупреждение: пост очень объёмный, но для удобства использования я решил не резать его на части.

                  Оглавление:
                  • управление ключами
                  • копирование файлов через ssh
                  • Проброс потоков ввода/вывода
                  • Монтирование удалённой FS через ssh
                  • Удалённое исполнение кода
                  • Алиасы и опции для подключений в .ssh/config
                  • Опции по-умолчанию
                  • Проброс X-сервера
                  • ssh в качестве socks-proxy
                  • Проброс портов — прямой и обратный
                  • Реверс-сокс-прокси
                  • туннелирование L2/L3 трафика
                  • Проброс агента авторизации
                  • Туннелирование ssh через ssh сквозь недоверенный сервер (с большой вероятностью вы этого не знаете)
                  Читать дальше →
                • DMARC: защитите вашу рассылку от подделок

                    Сталкивались ли вы с проблемой, что письма от вашего сервиса подделываются с целью вымогательства пароля или других конфиденциальных данных? Ежедневно к пользователям пытаются пробиться тысячи спамерских, фишинговых и мошеннических писем, которые злоумышленники маскируют под сообщения от известных сервисов.

                    Такие письма причиняют ущерб адресатам, что, в конечном счете, сказывается на репутации как самих добропорядочных сервисов, так и почтовых провайдеров.

                    Теперь мы даем сервисам, которые ведут свои рассылки, возможность защититься от такого рода подделок с помощью технологии DMARC (dmarc.org), которую мы поддержали первыми среди крупных почтовых сервисов в рунете.



                    Читать дальше →
                  • Тёмные паттерны: интерфейсы, предназначенные для обмана


                      Гарри Бринул (Harry Brignull) — независимый дизайнер пользовательских интерфейсов из Лондона с кандидатской по когнитивной науке. Он также известен как создатель сайта Тёмных паттернов, предназначенного, по его словам, «перечислению и осмеянию веб-сайтов, использующих обманчивые интерфейсы пользователя». Данная статья основана на презентации, которую он показывал в Мюнхене в апреле на Search Marketing Expo.

                      Статья переведена и опубликована с согласия автора.

                      Когда Apple выпустила iOS 6, одной из новых фич была не слишком анонсируемая компанией система рекламного отслеживания Identifier for Advertisers (IDFA). Она присваивает каждому устройству уникальный идентификатор, использующийся для слежения за активностью браузера и создания таргетированной рекламы. IDFA анонимен, но неприемлем для людей, заботящихся о приватности.

                      К счастью, Apple реализовала возможность отключения фичи.
                      Читать дальше →
                    • Авиакомпания подала в суд на владельца сайта, предлагающего билеты с неожиданной скидкой



                        Знаете ли вы, что авиакомпании, играя с ценами на билет, занижают стоимость билетов на менее популярные направления, и завышают стоимость более популярных? Выглядит логично. Но иногда оказывается, что лететь из пункта A в пункт C с пересадкой в B получается дешевле, чем просто лететь из A в B! Это уже странно, но бывает и такое. Получается, что можно сэкономить, купив билет с пересадкой, и сойдя с рейса в пересадочном пункте.
                        Продолжай, я весь внимание
                      • Как студенту иметь актуальное расписание, как старостам и преподавателям отправлять сообщения сразу всей группе

                          Disclaimer: Мы работаем в компании «Расписание вузов», делаем мобильные приложения (iOS, Android, Windows Phone), в которых публикуется учебное расписание студентов и преподавателей.

                          Как менять расписание в мобильном приложении




                          Основной функцией нашего приложения мы считаем показ расписания. Но во многих вузах считается, что без возможности изменения этого расписания, показ расписания бесполезен. Редактировать расписание можно через веб-интерфейс (это сделать проще), но надо бы дать возможность через мобильные приложения.
                          Читать дальше →
                        • Регистрация оффшорной компании в Белизе

                            Я горжусь тем, что плачу налоги в Соединенных Штатах. Правда, я бы гордился не меньше за половину суммы. (с) Артур Годфри

                            Пару месяцев назад я писал на Хабре о регистрации компании в Эстонии.

                            Сегодня хочу поделиться опытом регистрации компании в Белизе, рассказать пару юридических тонкостей и сказать несколько слов о применении такой компании.

                            Краткая характеристика


                            Белиз является оффшорной юрисдикцией и находится в списке оффшорных зон Украины, России, Белоруссии и Казахстана.

                            Налогообложение оффшорных компаний в Белизе нулевое.

                            АПДЕЙТ:

                            Отсутствует требования по подаче финансовой отчетности и проведению аудита компании.

                            Формально, требование по ведению финансовой документации имеет место быть в Белизе. Это требование навязанное OECD.
                            Как и в большинстве других оффшоров.
                            При регистрации агент попросит Вас заполнить вот такой документ, где Вы сможете указать адрес, по которому храните документы:

                            Resolution of Directors/ Beneficial Owner/ Members in writing

                            The undersigned being all the directors of the abovenamed company declare as
                            follows:

                            REQUIREMENT TO KEEP ACCOUNTING RECORDS

                            1. It was hereby RESOLVED that the Company shall keep or cause to be kept proper accounting records (as prescribed under Section 3 (1) and (2) of the Accounting Records (Maintenance) Act, No. 18 of 2013 of the Laws of Belize:

                            (a) That are sufficient to show and correctly explain the Company’s transactions;

                            (b) To enable the financial position of the Company to be determined with reasonable accuracy at any time; and

                            © To enable for accounts of the Company to be prepared.

                            2. It was hereby resolved that the accounting records of the company shall be
                            kept at the following address:

                            ………………………………………..……………………………
                            ………………………………………………………………………

                            Dated this day of 2014.

                            ………………………………………
                            DIRECTOR
                            COMPANY

                            Что делают предприниматели, чтоб не хранить документацию:
                            1) не открывают банковский счет в Белизе (чтоб уменьшить влияние на деятельность компании «местных»)
                            2) готовы вывести деньги со счета при первой просьбе предоставить документацию (чтоб избежать штрафа за несоблюдение требований)
                            3) указывают адрес хранения не в Белизе (чтоб не могли проверить)

                            В целом, прецедентов не было касательно штраф, и требование остается лишь формальным, так как процедура «деоффшоризации», которую проводит OECD, по моему скромному мнению является «еще большей формальностью».

                            Хранить или не хранить — решение каждого предпринимателя. В любом случае, это не так уж и сложно.

                            Акционером или директором компании может быть как юридическое, так и физическое лицо, независимо от места регистрации или гражданства.
                            Требований к количеству акционеров или директоров в Белизском законодательстве нет.

                            В Белизе закрытый (не публичный) регистр акционеров компании.

                            Ежегодные пошлины


                            $100 — если уставной капитал не превышает $50,000 и все акции компании имеют номинальную стоимость. (т.е. если капитал заявлен и не внесен);
                            $1,000 — если уставной капитал превышает $50,000;
                            $350 — если уставной капитал не превышает $50,000 и некоторые или все акции компании не имеют номинальной стоимости; и если уставного капитал нет и все акции не имеют номинальной стоимости;
                            $4,000 — если компания имеет статус «public investment company».

                            Пошлины платятся в следующем году, после года в котором была зарегистрирована компания, до 31 Июля.
                            Если вы просрочили оплату ежегодной пошлины, ее размер увеличивается на 10% и дается новый срок — до 31 Октября.
                            Если же вы не оплатили пошлину до 31 октября, ее размер увеличивается на 50%.
                            Читать дальше →
                          • Регистрация безналоговой компании в Эстонии

                            «Платить налоги – обязанность, платить мало налогов – искусство! » (с)

                            Хочу поделиться опытом успешной регистрации компании в Эстонии. Я приведу короткую характеристику юрисдикции, расскажу про подводные камни, которые существуют, и поделюсь полученным опытом.

                            Задача стояла следующая — найти юрисдикцию, в которой не нужно платить налог на прибыль, при этом клиентам из США, Канады и ЕС удобно было с ней работать. Реальный офис открывать в этой стране задачи не стояло.

                            Основная деятельность компании — разработка ПО (классическая аутсорс компания со штатом ~20 девелоперов).
                            Читать дальше →
                          • Внедрение через URL: www.site.ru/?jn=xxxxxxxx

                            Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».

                            Описание

                            На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
                            www.site.ru/?jn=xxxxxxxx

                            Поиск и устранение

                            Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.

                            Вариант А: Код не обфусцирован

                            1. Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
                            2. Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\)

                            Вариант Б: Код обфусцирован

                            1. Ищем каталог с файлами, названия которых идут после "?jn="
                            2. Ищем подозрительные исполняемые файлы типа images/c0nfv.php
                            3. Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
                            4. Проверить дату изменения конфигов CMS
                            5. Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
                            6. Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.

                            Встречается

                            • CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
                            • Plugins: ImageZoomer, SWFupload, BlockCategories
                            • Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.

                            Полный код (необфусцированного) зловредного кода под катом.
                            Читать дальше →
                          • GTA 5 запретили в Австралии из-за убийства проституток



                              Kmart стала второй крупной розничной сетью, которая изъяла из продажи игру Grand Theft Auto 5 на территории Австралии.

                              «Kmart приносит извинения за то, что не изучила подробно содержание этой игры», — сказала представитель компании в официальном заявлении.

                              Раньше аналогичное решение приняла сеть магазинов Target. Это стало возможным после появления онлайновой петиции, под которой подписались более 40 000 пользователей.
                              Читать дальше →
                            • Своё Certificate Authority — в 5 OpenSSL команд

                              Зачем это нужно?


                              Представим, у нас есть два сервера, работают они себе, и переодически они хотят, что-то друг у друга спросить по протоколу HTTP/HTTPS.

                              Протокол HTTP не безопасен и логично использовать протокол HTTPS для общения меду серверами.

                              Для организации такого общения нам нужно 2 SSL сертификата.

                              Если сервера пренадлежат одной организации, то может быть проще и безопасней подписывать сертификаты самостоятельно, а не покупать.
                              Читать дальше →
                            • DD-WRT и сертификаты SSL

                              Всем привет!

                              В этой публикации я расскажу о некоторых неочевидных моментах при использовании DD-WRT на вашем роутере. Наверное, завсегдатаям DD-WRT тут будет все очевидно, но тем, кто ставит в первый раз будет много полезного.

                              Для того, чтобы осуществить всё описанное, нам понадобиться роутер, который поддерживается DD-WRT, компьютер с ОС Linux с любым более или менее современным дистрибутивом (у меня Debian Wheezy) и жажда новых знаний.
                              Читать дальше →
                              • +3
                              • 15,4k
                              • 8