Ad-social Bot

Smmok Bot

Vkserfing Bot

Vkstorm Bot

Vktarget Bot

Все программы

Запись опубликована: 23.02.2018

Привет, меня зовут Pavel Germanika

Спасибо, что зашли на мой сайт! Хочу рассказать немного о себе и о том, что вы cможете найти для себя полезного на страницах моего блога.


 

Может ли человек, проживая в унылом бесперспективном городе, чего-то добиться, имея под рукой лишь старый ноутбук и интернет? Можно ли без всяких офисов, начальных капиталов построить компанию, приносящую неплохую прибыль? Ответ на этот вопрос вы сможете узнать в моем блоге. Я Pavel Germanika, добро пожаловать!

Всю свою жизнь я прожил в мечтах. Это было какое-то полугипнотическое состояние. Я любил гулять по улицам или лежать на диване, представляя себя успешным человеком. Будь то бизнесменом, известным футболистом, ученым, которому вручают нобелевскую премию и прочими персонажами. Любые дела я всегда откладывал на потом. Все жизненные перспективы я старался не замечать. Думаю, многие люди со мной схожи.

И так проходила вся моя жизнь, пока, однажды, одним субботним утром не произошло чудо. Я до сих пор не могу ответить на вопрос, что же со мной произошло?. Почему меня переклинило? Но я вдруг перевел свою жизнь из пассивного состояния в активное. Я взял себя в руки и стал реализовывать все идеи, которые приходили в мою голову. И это коренным образом перевернуло все мое существование.

Еще совсем недавно я и представить себе не мог то, что мои компьютерные программы будут скачивать тысячи людей, что мне каждый день будут писать десятки людей за какими-то советами. Никогда в жизни я бы не поверил, что на меня кто-то будет равняться, что я для кого-то стану примером для подражания. Но это произошло. И я твердо уверен, что это могут повторить многие из вас.

Мой Блог — это реалити-шоу обычного заурядного парня, который пытается добиться успеха с полного нуля. Никакого начального капитала, никаких знакомств, никаких особых способностей. Только идеи, анализ и компьютер. Я хочу быть максимально открытым и делиться с вами всеми своими мыслями и результатами работы.

Я очень надеюсь на то, что найдутся люди, которым мои записи окажутся полезными. Я таю надежду, что для кого-то мой блог станет мотивацией начать что-то делать или что кто-то почерпнет здесь знания и идеи.

Любой из вас может связаться со мной. Я рад каждому! Пишите на мой Telegram.

Метки: ,





Запись опубликована: 22.02.2019

Разработчик, помни — трафик твоего приложения смотрят

WOG

На данный момент существует так много типов уязвимостей, что разработчики совсем забывают об элементарных из них. На днях мне удалось обойти авторизацию в новом приложении WOG (ТОВ «ВОГ РІТЕЙЛ» — вторая по величине сеть АЗС в Украине). В 2017 году, точно такую же уязвимость я обнаружил в приложении одного из мобильных провайдеров Украины (тоже второго по величине). Идентичные ситуации — новое приложение и отсутствие защиты от брутфорса.

Не так давно мне пришло уведомление – компания выпустила новое приложение и предлагает его установить. Функционал приложения, честно сказать, мне понравился – просмотр бонусов на счету, за которые можно купить топливо. Возможность привязать банковскую карту и оплачивать товары безконтактно или по QR коду. Так же в профиле отображаются мои ФИО и контактные данные, полная история транзакций – список товаров и стоимость их на момент покупки.
Авторизация в приложении стала проще – теперь не нужно вводить номер карты лояльности, достаточно указать номер мобильного. Однако еще при входе я заподозрил, что мои данные может просмотреть кто угодно – я специально, более 5 раз, ввел код отличный от того, что пришел мне в СМС. Зачем? – Потому что ранее, в похожем приложении мобильного оператора, я нашел уязвимость, которая давала полный доступ к управлению счетом абонента.
Вводя некорректный код удалось выяснить, что защиты от брутфорса, вероятнее всего, нет.

Я оказался прав — защити у приложения нет. Можно получить доступ к любому счету, и более того, «угнать» аккаунт — привязать на другой номер, потратить чужие средства.

У меня сложилось впечатление, что разработчики приложений напрочь забывают о том, что сетевой трафик не сложно перехватить, даже https запросы.

Лично я использую программу fiddler – данный инструмент дает возможность проксировать трафик, просматривать его или менять. Что бы получить доступ к содержимому https запросов, помимо настроек прокси, в свойствах подключения смартфона, нужно дополнительно установить доверенный сертификат, который генерирует программа.

В первую очередь меня порадовала самооценка разработчиков приложения – API, которое использует приложение, расположено на домене thebestapp4ever.wog.ua. Просто походив по URLам удалось выяснить, что на сервере живет IIS 7.5 и 1C:Enterprise 8, а так же картинка из заголовка (возможно API писали фанаты Machinarium?).

Схема авторизации проста – запрос с «просьбой» отправить код в СМС летит на один из методов API. И здесь первая уязвимость – отсутствие каких либо лимитов. На один и тот же номер телефона, с одного IP можно «заказать» сколько угодно СМС.

Позже, в тендерах компании, я нашел информацию о том, что они планируют рассылать до 1 000 000 СМС в месяц (за год готовы потратить на это ~98 000$). Выходит, что уязвимость способна принести компании убытки в размере ~8200$ в день, если слать 12 запросов в секунду.

Стоит заметить, что для корректной обработки запросов сервером, необходима базовая авторизация – это один из методов защиты который использовали разработчики. Зачем? Не понятно – толку от неё я не вижу – перехватить логин/пароль или нужный http заголовок совсем не проблема.

После того как пользователь получил СМС и ввел код в приложение, оно шлет запрос с целью проверки достоверности кода и получения токена. Очередная и самая критичная уязвимость была именно здесь – нет защиты от брутфорса. На подбор кода, который состоит из 4 (!) цифр, требуется совсем не много времени.

Получив токен можно использовать другие методы API. Один из которых дает возможность сменить PIN код от карты лояльности. Процедура стандартная – введите старый PIN, введите новый. Хочу акцентировать внимание на данном методе, поскольку здесь разработчик использовал еще один метод бесполезной «защиты». Естественно, защиты от брутфорса так же не было, зато старый пин отправлялся в скрытом виде. Идея хороша – просто перебрать комбинации 0000-9999 не получится. Реализация плохая – вместо кода отправляется md5 хеш. Без подстановок к нему соли или чего либо еще.

Честно сказать я понятия не имею, как получить доступ к коду приложения и возможно ли это – так что даже устаревший md5 остановил бы меня, если бы использовалась соль.
Так же мне удалось не только сбрутфорсить токен для «чужого» аккаунта, но и подсунуть его в приложение – написал небольшой скрипт на node.js, который проксировал трафик и подменял только ответы метода gettoken.

Статья написана после общения с «заместителем директора департамента ИТ» компании. Ребята резво отреагировали — контакты для общения я смог получить в течении суток. Отправил описание уязвимостей и вопрос про наличие bug bounty.
В ответ получил письмо с информацией о том, что меня, якобы, «засекли» — «Мы Вас (380958302—) увидели сразу и сработали блокировки… О всех блокировках рассказывать не буду, но за вчера их появилось достаточно большое множество»
Как по мне больше похоже на мороз – ибо, как я и ответил на данное письмо, «шутка в том, что этот номер мне не знаком. Я тестил на номерах 095866…»
В отличии от компании WOG, начальник отдела ИБ оператора мобильной связи был куда разговорчивее, да и в качестве благодарности подогнали смартфон =)

Теги:

Похожие публикации

Source: habr1

Метки:





Запись опубликована: 22.02.2019

По ту сторону чистоты: что может и чего не может обратноосмотическая мембрана

Обратноосмотическая вода — во всех смыслах иллюстрация дихотомии H2O / Примеси и Полезно/Вредно. Мы в АКВАФОР привыкли, что мир делится на:

  1. тех кто считает, что осмотический фильтр чистит все, кроме кармы и совести
  2. и тех, кто подливает осмотическую воду в чай врагу, считая ее мертвой.

Оба предположения являются вопросами личной веры. Мы же ставим задачу рассказать о том, как дела с осмотической водой обстоят в реальном мире и добавить пастельных красок в имеющуюся черно-белую картину.

Поговорим о принципе работы мембраны, об отличии осмотической воды от дистиллята и электролита, а также о том, стоит ли искать в ней поры и варить в кислоте.

Сделано военными учеными для подводных лодок?

Не совсем. Знакомство человека с полупроницаемыми мембранами началось с истории внимательного французского аббата Ноле в середине XVIII века. Он налил вино в свиной мочевой пузырь и оставил на хранение в бочке водой. Вино стало похожим на сок, пузырь увеличился, а явление получило от Ноле название осмос (от греческого “давление”). Аббат описал свойства полупроницаемой мембраны и ее главную способность — пропускать только воду.

Позднее к исследованиям подключились естествоиспытатели, ботаники и физиологи, интересовавшиеся природными проявлениями осмоса, в частности, питанием растений и клеток человеческого организма. Отдельную ветку интересантов составили физики и химики, которых беспокоила задача “повторить процесс в промышленных масштабах” для обессоливания пресной воды и опреснения морской.

Принцип работы бытовой обратноосмотической мембраны

Сегодня обратноосмотическая мембрана — это тонкая полимерная пленка, нанесенная на инертную подложку, полностью проницаемую для воды. Важнейшим свойством мембраны является способность набухать — то есть вступать в реакцию с молекулами и связываться с ними. Этот процесс называется гидратацией. Другие растворенные в воде вещества не могут вступать в реакцию с материалом мембраны и когда к набухшей мембране прикладывается давление воды в водопроводе, молекулы воды начинают просачиваться (выдавливаться) через мембрану.

Когда осмотическое давление сравнивается с внешним, переход воды через мембрану прекращается. В этот момент слив концентрата в дренаж не дает повышаться осмотическому давлению и молекулы воды продолжают свой путь через мембрану в накопительный бак.

Из чего производят современные мембраны?

В течение последних десятилетий материалы мембраны видоизменялись, из наиболее распространенных отметим:

Полиацетатные
Целлюлоза. Старое поколение полупроницаемых мембран, которые пропускали до 50% нитратов. Наличие предфильтрации в данном случае не помогает, ведь также не “видит” нитраты. Целлюлозная основа полиацетатных мембран провоцировала активное размножение бактерий.

Полиамидные
В последнее десятилетие шировое распространение получил этот тип мембран, благодаря устойчивости к биопрорастанию и селективности 92 — 99%. В своих обратноосмотических системах АКВАФОР использует Полиамид 66, который по сути является нейлоном.

Следует различать бытовые тонкопленочные мембраны и мембраны, которые используются для опреснения морской воды. Принцип работы этих мембран один и тот же, однако технически мембрана для опреснения устроена иначе. Чтобы “отжать” H2О из морской воды придется предолеть её более высокое осмотическое давление, тонкопленочная мембрана в таких условиях порвется. Для работы с высокими нагрузками при опреснении, требуется иное техническое исполнение: мембрана делается из других материалов и имеет более плотную подложку (например, керамическую).

Осмос — не сито!

Мнение о том, что мембрана работает за счет наличия в ней “очень маленьких пор” не соответствует действительности. Обратноосмотическая мембрана не имеет пор. Разделение воды на пермеат (очищенную воду) и ретентат (концентрат примесей, уходящий в дренаж) происходит за счет процесса, схожего с передачей электрического тока через металлический полупроводник.

Способность “проводить” воду — свойство определенного класса полимерных материалов, аналогичное способности металлов проводить электрический ток. При этом есть материалы, которые не проводят ни то, ни другое.

Механизм передачи молекул воды через мембрану похож на процесс передачи тока по металлическому проводнику. В нем также, как и в мембране нет отверстий, тем не менее ток в виде электронов следует через материал из места, где их много в направлении меньшей “концентрации”.

Почему селективность мембраны не всегда 100%?

Сравним фильтрационные способностей сорбционных и обратноосмотических фильтров по типам загрязнений:

Не все примеси подлежат 100% удалению даже обратноосмотической мембраной. Напомним, изначально мембраны создавались для обессоливания воды (в местностях, где питьевая вода заметно соленая, но еще не морская). Поэтому стандартные испытания на удаление солей мембраной проводились по раствору поваренной соли — натрий хлора. И действительно, осмос может обеспечить удаление соли на 99%. Однако, когда вода очень жесткая, эффективность может снижаться до 93-95%, за счет увеличения “проскока”.

Для бытового осмоса чаще всего используют мембраны с селективностью от 97 до 99%. Их нормируют по натрий хлору, но это не значит, что так же будет и по другим веществам. У разных загрязнителей ”проскок” может отличаться, это зависит от их природы. Например, некоторые соединения бора проходят через мембрану довольно успешно, другие же соединения, например, большие органические молекулы, наоборот, удаляются практически на 100%.

“Проскок” происходит по трем причинам:

  1. “Мимикрия”. Если в воде присутствует что-то, по своему химическому поведению похожее на молекулу воды, оно может образовывать связи с материалом мембраны и “проходить за компанию”.
  2. Диффузия, о ней расскажем подробнее дальше.
  3. Повреждения или плохое качество мембраны.

О мимикрии. Представьте линию рабочих, передающих по цепочке кирпичи. Если несколько кирпичей заменить на что-то очень похожее, то есть “тяжелое и квадратное”, вряд ли кто-то в цепочке заметит подмену.

С любой мембраной может случаться небольшой процент проскока, именно поэтому измерения солесодержания (а на самом деле — электропроводности) с помощью TDS-метра показывают результаты очень низкие, но не нулевые. Эффективности TDS-метра, кстати, посвящен предыдущий пост.

Диффузия — параллельный процесс

Одновременно с процессом передачи модекул воды через мембрану происходит процесс диффузии. Через мембрану могут диффундировать и загрязнители, и ионы. Активнее всего диффундируют ионы, когда по одну сторону их много, а по другую не очень. По разным ионам селективность может быть разная. Органическая молекула — большая, в небольшой концентрации она не будет активно “атаковать” мембрану и диффундировать. А, например, натрий, который в избытке присутствует в жесткой воде, станет причиной более активной диффузии.

По сравнению с основным переносом молекул воды через мембрану, объем диффузии ионов ничтожно мал. Их немного и это очень длительный процесс, тем не менее мы не можем его не упомянуть, когда говорим о происхождении селективности мембраны “99%”.

Диффузия обычно заметна в первой порции воды, которая получается после длительной стагнации — простоя фильтра. За это время концентрация солей по обе стороны мембраны успевает выровняться и фильтр может выдать соленую воду в первом стакане.

Любой материал подвержен диффузии. Думаете полиэтилен герметичен? Газы через него проходят со свистом, хоть и тихим. Гораздо быстрее диффундирует гелий из воздушного шара.

Что не чистит даже обратноосмотический фильтр?

Есть вещества, которые легко обманывают мембрану. Среди них — бор/бораты. При нейтральном рH бор находится в растворе в виде молекулы H3BO3 и по некоторым свойствам очень напоминает мембране воду. Это позволяет бору проходить через мембрану за компанию. Если рН изменить на щелочной, то бор будет находиться в растворе в виде заряженного иона — аниона борной кислоты или тетрабората. В виде аниона, бор уже отлично отсекается мембраной.

Для некоторых легколетучих органических соединений характерна высокая диффузионная активность. Например, хлороформ способен проникать через мембрану, однако легко удаляется угольным предфильтром. Мембрана не предназначена для удаления газов, в частности, сероводорода. Жителям мегаполисов переживать не стоит, воду с сероводородом не поставят в водопроводную сеть, а бор токсичен не во всех формах. Борную кислоту, например, закапывают детям в уши.

Факторы “здоровья” мембраны

Причины по которой мембрана выходит из строя:

  1. Физическое повреждение
  2. Потеря способности к гидратации из-за воздействия хлорированной воды или других окислителей (озонирование) либо из-за высыхания мембраны. Высыхание может стать необратимым, поэтому нельзя допускать высушивание уже запущенной мембраны. А чтобы предотвратить порчу мембраны из-за хлора, обратноосмотический фильтр обязательно включает угольные блоки предвирительной очистки.
  3. Осаждение на поверхности нерастворимых солей и механических примесей, присутствующих в воде (плохая/недостаточная предфильтрация)
  4. Недостаточный поток воды в дренаж или “экономия” дренажной воды.

Лучшее — враг хорошего?

Парадоксально, но способность практически полностью очищать воду от примесей может рассматриваться как недостаток. В минусы записывается и сам принцип фильтрации с использованием дренажной воды под эгидой подсаживания на “иглу эксплуатационных расходов”.

“Мертвая” вода (наше любимое)

Что имеют в виду любители термина “мертвая” вода относительно обратноосмотических фильтров, нам до конца не ясно. С точки зрения официальной науки нет ни живой, ни мертвой воды. Каждая молекула Н2О на планете когда-то была переработана организмом и выделена как продуктам жизнедеятельности. Новых молекул не образуется, зато есть их круговорот и отличный вариант хорошенько почистить мембраной водный раствор от всего наносного. Для поддержания процессов организму требуется именно H2O, остальное делится на две группы:

  1. опционально, поскольку поступает с пищей;
  2. вредно для здоровья в краткосрочной или долгосрочной перспективе.

Отсутствие примесей, а с ними и так называемых “полезных минералов”, не выдерживает диетологической критики. Кальций практически не усваивается нашим организмом из воды, поскольку находится там в форме неорганических солей. Даже если бы этот кальций усваивался, было бы сложно выпить 17 литров воды московской средней жесткости, чтобы удовлетворить суточную потребность в этом элементе — около 1000 мг. Хорошо усваиваться из воды может только магний, но об этом мы говорили отдельно.

Дорого покупать и дорого содержать

Типичный пример

Пришлось провести серьезный расчет и выяснить, что 300 рублей за кубометр чистой воды — это примерно 30 копеек за литр. Предлагаем сопоставить со стоимостью литра питьевой воды в магазине, ведь её качество в пластике аналогично, если не хуже. В зависимости от пафосности торговой точки, цена литра той же осмотической воды составит от 15 рублей за литр.

Почему вода обратного осмоса — не “дистиллят”

Вода для нас это не способ получения энергии, не пища, не способ получения “кирпичей” для строительства организма. Это среда, в которой проходят химические и физические процессы организма. Причем сама она достаточно инертна и в этих процессах почти никогда не участвует. Мы ее не расщепляем на водород и кислород, в теле не проходит процесс электролиза.

Понимая эту роль воды, пить можно и дистиллированную воду, в которой нет “полезных минералов”. Имея сбалансированное питание, вы не получите никаких проблем.

Опасность дистиллированной воды в том, что она как раз может быть “грязной”. Выпаривание не избавляет воду от примесей органических веществ, температура кипения которых ниже 100С.

Между водой после обратноосмотической мембраны и дистиллированной водой огромная разница. Осмос не полностью отсекает растворенные соли, а при дистилляции именно соли полностью остаются в перегонном кубе. Летучие вещества, то есть почти вся органика, перемещаются с паром в дистиллят. Кроме того, раньше дистилляторы имели резиновые трубки, что добавляло “невкусности” полученной воде.

Почему вода обратного осмоса — не электролит

Делимся находкой:

Электролит — это любая жидкость проводящая электрический ток. Например, суп или компот. То есть все жидкое, что проводит электрический ток за счет передвижения ионов.

Электролиты — это вкусный обед.

Нужна ли мембране промывка

Промывку мембраны действительно делают. Однако, это относится к промышленным мембранам и для этого применяются специальные составы — щелочные или кислотные детергенты, целый арсенал ПАВ в зависимости от того, какие именно частицы “налипли” на мембрану. В случае с промышленными мембранами, об этих частицах известно все.

Смотреть ролики в youtube о том, как мембраны варят в лимонной кислоте нам немного грустно, ведь на наших глазах люди тратят время зря — мембрана теряет свои свойства от высокой температуры.

Что мы хотели сказать?

  1. Исторически обратноосмотические мембраны хороши тем, что умеют отлично обессоливать воду, для этого они и создавались. Это свойство снимает страдания с тех, у кого питьевая вода либо очень жесткая, либо просто соленая.
  2. Бытовые мембраны могут отфильтровать максимум вредных примесей, которыми обогащает воду современный мир. Эта способность мембран превышает возможности собрционных фильтров. С ионооменными картриджами сорбционные фильтры также могут снижать жесткость. Однако, есть ряд досадных ограничений по эффективности и ресурсу.
  3. Вред воды после осмотического фильтра не доказан. Чем чище вода, тем легче проходят процессы обмена в организме.
  4. Стоимость литра чистой воды с использованием мембраны будет незначительно выше, чем у сорбционного водоочистителя. Но сравнивать степень очистки нужно с бутылками из магазина, поскольку вода в пластике очищена по той же технологии.

Использовать или нет мембрану обратного осмоса — вопрос мотивации и желания минимизировать воздействие негативных факторов окружающей среды. Не бывает полезной воды, как и полезного воздуха. Полезный воздух — это ингаляция, но это уже и не воздух. А формула чистой воды от нашей лаборатории звучит так:

Вода должна быть незаметна в чае.

Теги:

Похожие публикации

Source: habr1

Метки:





Запись опубликована: 22.02.2019

Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут

В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания ветвлений в CPU и позволяет проводить чтение данных через сторонний канал в виде общей иерархии кэш-памяти. Другими словами, любое приложение на компьютере может получить доступ на чтение к произвольным местам памяти, что нарушает изоляцию программ, провоцирует утечку данных, отказ в обслуживании и прочие неприятности.

Хуже всего, что уязвимости подвержены практически все современные процессоры (кроме RISC и российского «Эльбруса»), потому что предсказание ветвлений стало фундаментальной частью архитектуры современных CPU, от которой невозможно отказаться без значительной потери производительности.

На самом деле исследователи нашли уязвимость ещё в середине 2017 года, просто о ней не сообщали широкой публике, чтобы у производителей процессоров и систем была возможность подготовить обновления микрокода и программного обеспечения.

Поэтому сразу после официального анонса в первых числах января Intel выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux. Правда, первые версии Линус Торвальдс назвал «абсолютнейшим мусором», а Intel попросила прекратить их установку, а потом перевыпустила.

Обновления выпустили другие производители для своих продуктов, соответствующие патчи вышли для большинства операционных систем. Не избежал приключений патч для Windows 10: компания Microsoft выпустила его, отозвала, потом выпустила снова.

Но после всех этих приключений история вроде закончилась: вышли стабильные версии патчей и все, кто хотел, их установил. Казалось бы, на этом можно поставить точку. Но нет. Спустя год, 14 февраля 2019 года, группа исследователей из Google опубликовала отчёт с говорящим названием «Spectre останется с нами. Анализ атак по сторонним каналам и спекулятивного исполнения». Исследователи пришли к выводу, что только программными патчами полностью закрыть уязвимость невозможно. Для этого потребуется «значительная переработка процессоров».

Из отчёта можно сделать вывод, что уязвимость действительно фундаментальная. Авторы пишут, что все процессоры со спекулятивным выполнением всегда будут подвержены различным атакам боковых каналов, несмотря на методы частичной защиты, которое могут быть реализованы в будущем.

В отчёте сказано: «Мы считаем, что на современном оборудовании спекулятивные уязвимости подрывают конфиденциальность, реализованную на программном уровне. При этом не существует комплексной программной защиты, поскольку мы обнаружили, что зловредный код может создать универсальный механизм чтения всей памяти в том же адресном пространстве через сторонние каналы».

Intel говорила, что намерена осуществить некоторые аппаратные изменения в процессорах для защиты от Spectre. Но проблема в том, что Spectre — это не просто баг. Исследователи считают, что это широкий класс уязвимостей, которые эксплуатируют механизм предсказания ветвлений. Поэтому простыми патчами тут не обойтись.

Исследователи предложили несколько потенциальных решений, а именно:

  • полное отключение спекулятивного исполнения;
  • снижение точности таймера;
  • маскирование ветвлений (поскольку любую проверку безопасности, внедрённую в код в виде ветвления, можно обойти по самой природе предсказания ветвлений, то авторы предлагают вообще не рассматривать ветвления в проектировании механизмов безопасности).

Исследователи делают неутешительный вывод: «Наши модели, наши ментальные модели ошибочны; мы пожертвовали безопасностью ради производительности и сложности, и не знали об этом. Сейчас горькая ирония заключается в том, что для защиты требуется внедрение ещё большей сложности с помощью программных средства, большинство из которых, как мы знаем, являются неполными… Похоже, Spectre получил слишком удачное название, потому что ему суждено ещё долго нас преследовать».

Теги:

Похожие публикации

Source: habr1

Метки:





Запись опубликована: 22.02.2019

Как выглядит невидимая ранее луна Нептуна

По мере того, как зонды Voyager пересекали Солнечную систему, они собрали массу открытий. Среди недавно обнаруженных объектов и явлений была большая коллекция маленьких лун, вращающихся вокруг Юпитера, Сатурна, Урана и Нептуна. Большинство из них были за пределами возможностей наземного оборудования для их съёмки, поэтому нам действительно нужно было как то приблизиться к ним.

Улучшения оптических технологий и выведение на орбиту космического телескопа Хаббла позволили обнаружить несколько небольших тел, которые были пропущены Вояджерами, а также маленькие объекты в других частях солнечной системы, такие как пояс Койпера. Благодаря достижениям в области вычислений стало возможным увидеть крошечное новолуние в Нептуне и впервые обнаружить еще одну луну.

В поисках луны Нептуна

Учитывая, что Нептун уже снимался с космического корабля Voyager 2, всё ещё остаются спутники, которые мы пока не обнаружили из-за их малых размеров. Самый простой способ увидеть их — увеличить время экспозиции, что увеличивает возможности выделения слабых сигналов из космического шума.

Проблема в том, что ранее обнаруженные спутники планет вращаются достаточно близко к самим планетам. И в какой-то момент это движение создает «контур», который надежно удерживает сигнал в шуме.

Небольшая команда исследователей из SETI, NASA и Беркли придумали способ компенсации этого контура. Если вы знаете орбиту тела, вы можете предсказать, насколько оно будет перемещаться от одного изображения к другому. Затем вы можете настроить несколько последовательных изображений, чтобы разместить объекты на одной и той же орбите в одном месте, позволяя выделять любые сигналы. Преобразование может быть сложным, потому что орбита может быть наклонена под углом от устройства формирования изображения. Но это релизуемо в наших современных вычислительных возможностях.

Проблема в том, что если мы не знаем, что луна существует, то мы, очевидно, не знаем ее орбиту. Но команда, стоящая за этим новым исследованием, придумала функции, которые работают для любой луны, движущейся по прямой круговой орбите вокруг экватора планеты.

Алгоритм состоит в следующем: можно использовать эти функции для преобразования изображения, снятого в момент времени t0, чтобы соответствовать внешнему виду другого изображения, полученного в момент времени t1, путем перемещения каждого пикселя в исходном изображении в новое место. После этого преобразования любая луна на круглой, экваториальной орбите появится с фиксированными пиксельными координатами.

Исследователи применили этот метод к Нептуну, где Voyager 2 обнаружил множество маленьких лун, используя набор изображений, взятых со всей орбиты Хаббла.

Открытие луны Нептуна

Когда анализ был сделан, появилась маленькая луна шириной около 35 км, вращающаяся вокруг внешнего края скопления других спутников Плутона. Тот же самый анализ обнаружил лунную наяду, которую заметил Вояджер-2. Но наяда оказалась не там, где мы ожидали; на самом деле это было на азимуте 180 °. Но орбита, которая помещает ее в правильное местоположение, возможна с небольшой корректировкой по орбите, предсказанной по данным Voyager. К сожалению, это означает, что пара утверждений о том, что он обнаружил его с помощью наземных приборов в последние годы, почти наверняка очевидна.

С тремя наблюдениями, сделанными с интервалом в десять лет, можно достаточно хорошо рассчитать орбиту луны Нептуна, чтобы определить, где она была бы во время полета Voyager.

Большинство изображений пропускали эту область пространства. Таким образом, не было никакого реального способа идентифицировать эту луну до недавнего времени.


Художественная концепция крошечной луны Нептуна — Гиппокампа


Внутренние спутники Нептуна и их радиусы, а также захваченный объект пояса Койпера

Орбита Гиппокампа находится прямо внутри орбиты Протея, самой большой из внутренних лун Нептуна. Приливные силы заставляют Протея медленно отталкиваться от Нептуна, но Гиппокамп настолько мал, что эти силы будут оказывать на него минимальное влияние. И это подразумевает, что два тела были когда-то намного, намного ближе.

Одна из проблем, связанных с этой идеей, заключается в том, что близость к Протею должна была привести Гиппокампа к эксцентричной орбите. Но исследователи предполагают, что это не такая большая проблема, как кажется. Основываясь на скорости и размерах кратеров на Протеусе, они подсчитали, что столкновения, достаточно большие, чтобы полностью уничтожить Гиппокамп, могли бы произойти как минимум девять раз с момента его образования. Процесс разрушения и переформирования должен позволить луне занимать все более регулярные орбиты.

Эта модель, однако, предполагает, что он и, возможно, другие маленькие спутники возле Нептуна пережили множество разрушений в течение своей истории, а не просто были созданы во время формирования Нептуна. И еще много пропавшего материала, что говорит о том, что в регионе могут быть редкие кольца, которые будет трудно обнаружить без очередного посещения голубой планеты.

Теги:

Похожие публикации

Source: habr1

Метки:





Запись опубликована: 22.02.2019

[Перевод — recovery mode ] Популярные расширения Visual Studio Code

Code Time

Code Time — это плагин с открытым исходным кодом, который предоставляет метрики прямо в редакторе кода.

image

После установки расширения будет предложено войти в панель управления.

Если внутри редактора кода вы нажмете command + shift + P, откроется окно, в котором можно ввести Code Time, а затем выбрать между отображением данных в редакторе кода или в браузере.

Внутри браузера информация будет выглядеть так:

image

Внутри браузера красочнее:

image

Code Time полезен, если вам нужно точно знать или просто интересно, сколько времени вы тратите на написание кода.

One Dark Pro

One Dark Pro одна из самых популярных и часто загружаемых тем для Visual Studio Code.

image

В этом примере видно, что у нас есть значки для каталогов, таких как клиент и сервер, а также для файлов, таких как .eslintrc .gitignore и package.json.

One Dark Pro поддерживается в React, Angular, Redux и множестве различных фреймворков и библиотек, предоставляя различные значки каталогов для компонентов, утилит, стилей, а также для редюсеров (Reducers), действий (Actions) и хранилищ (Store).

Bracket Pair Colorizer

Это расширение позволяет сопоставлять скобки с цветами.
Это удобно, когда у вас есть глубоко вложенные объекты или функции, как показано здесь:

image

Color Highlight

Color Highlight показывает визуальное представление любого цветового кода.

Например, если вы введете RGB, RGBa, шестнадцатеричный или любой другой цветовой код, можно увидеть цвет, как в этом примере:

image

Path Intellisense

Path Intellisense — это плагин, который автоматически завершает имена файлов.

Это полезно для импорта компонентов в React, поскольку не нужно вручную вводить путь к файлу, который вы ищете.

ES7 React/Redux/GraphQL/React-Native фрагменты

Следующее расширение — ES7 React/Redux/GraphQL/React-Native фрагменты. Длинное название, но сэкономит вам много времени, особенно если вы используете его в React.

Это расширение предоставляет фрагменты JavaScript и React/Redux в ES7 с функциями плагина Babel для VS Code.

Прямо в редакторе кода можно нажать command + shift + P, а затем ES7 Snippet Search, вы увидите длинный список коротких команд, которые можно запустить, чтобы получить более длинные фрагменты кода.

image

С помощью этого расширения можно легко найти команду, например, для фрагмента функционального компонента.

Вы запускаете команды, набирая их в редакторе и нажимая ввод. Все просто!

GitLens — Git supercharged

GitLens расширяет возможности Git, встроенные в Visual Studio Code.

Помогает с первого взгляда определить автора кода с помощью аннотаций Git-blame и code lens, легко перемещаться и изучать репозитории Git, получать ценные сведения с помощью команд сравнения и многое другое.

Нажав на строку кода, вы увидите, кто его редактировал, когда его редактировали и в каком коммите. Полезная вещь!

image

Теги:

Похожие публикации

Source: habr1

Метки:





Запись опубликована: 21.02.2019

Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона

  • Tutorial

Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо)
Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры.
Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России…
Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.

Об истории и главных действующих лицах поподробнее


© кадр из к/ф «Банды Нью-Йорка»

Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб.

Родригес подобную систему создал и, судя по описанию, она представляла собой VoIP телефонию с шифрованием трафика. Клиенты системы устанавливались на мобильные телефоны бандитов, после чего тем «достаточно было набрать 3 добавочных цифры», чтобы разговаривать, не опасаясь прослушки.

После внедрения системы Родригес ее сопровождал, а также занимался другими IT-проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона.

Спустя некоторое время Родригеса завербовало ФБР и тот… по версии SecurityLab.ru слил ключи шифрования… или по версии New York Times «установил на зашифрованную сеть записывающее оборудование, которое отсылало в ФБР в полночь копии всех переговоров Эль Чапо».

В двух словах это все. Теперь перейдем к разбору законов.

Лицензирование


© скриншот из игры «Герои меча и магии»

Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи.

С точки зрения пп. 1 п. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности» у Родригеса, для того чтобы реализовать контракт с Эль Чапо, должна быть лицензия «на криптографию».

Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность.

Лицензия «на криптографию» правильно называется — лицензией на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Далее для простоты будем использовать неправильное, но более понятное и короткое название — лицензия «на криптографию».

В соответствии с Постановлением Правительства РФ от 21.11.2011 N 957 «Об организации лицензирования отдельных видов деятельности» выдачей лицензий «на криптографию» занимается ФСБ России.

Процедура получения лицензии и лицензионные требования к Родригесу описаны в Постановлении Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При этом Родригесу мало «просто получить» лицензию, в ней должны быть перечислены соответствующие разрешенные виды деятельности, полный перечень которых приведен в Приложении к Постановлению Правительства РФ от 16.04.2012 N 313. В зависимости от состава разрешенных видов деятельности к Родригесу будут предъявляться различные лицензионные требования, начиная от ценза по образованию, заканчивая доступом к гостайне.

С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313):

3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.

Сразу отметим, что использование шифрования в собственных целях в России не лицензируется и соответственно никакой лицензии «на криптографию» Эль Чапо не требуется.

Далее будем считать, что лицензия «на криптографию» с соответствующими видами деятельности у Родригеса есть.

Разработка и производство


© Internet картинки

В соответствии с лицензионными требованиями, а именно пп. б п.6 Постановления Правительства РФ от 16.04.2012 N 313 Родригес в своей работе обязан руководствоваться выпущенными ФСБ России соответствующими нормативно-методическими документами, основным среди которых является Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382)» (далее ПКЗ-2005).

В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов:

  1. Разработка.
  2. Производство.
  3. Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.

Все эти этапы подразумевают тесное сотрудничество с ФСБ России и согласование технических заданий и документации на выпускаемую систему.

Эксплуатация системы защищенной мобильной связи


© Internet картинки

Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки.

Из описания истории Эль Чапо мы помним, что система создавалась для защиты от прослушки со стороны правоохранительных органов. Данное основание слабо коррелируется с действующим законодательством, поэтому примем, что цель эксплуатации системы: «защита информации для личных и семейных нужд». При такой цели эксплуатации на Эль Чапо не накладывается никаких ограничений, и он может делать с системой все, что хочет, и как хочет.

Для нашей статьи это слишком просто и не интересно.

По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн).

Давайте представим, что Эль Чапо, прочитав Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», понял, что является оператором ПДн, и что на самом деле использует ПДн не для личных нужд, а в предпринимательской деятельности, и что по закону обязан их защищать.

Криптографическая защита персональных данных


© Internet картинки

Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать.

Для криптографической защиты персональных данных, в соответствии с

Эль Чапо должен построить модель нарушителя, на основании которой определить требуемый класс средства криптографической защиты. Поскольку Эль Чапо опасается спец.служб, то ему нужно средство защиты максимального класса — КА.

Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс.

Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России.

Кроме указанных выше документов, Эль Чапо обязан руководствоваться «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года N 152 (в простонародье — ФАПСИ 152).

По данному документу Эль Чапо необходимо будет выстроить внутренние процессы, связанные с эксплуатацией криптосредств, среди которых можно выделить:

  • организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);
  • поэкземплярный учет программных клиентов системы и криптоключей;
  • организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;
  • и др.

Вывоз защищенных мобильных телефонов за границу


© Internet картинки

Поскольку Эль Чапо вел «международный бизнес», защита связи при общении с иностранными «партнерами» была бы для него не менее актуальна, чем защита переговоров внутри страны. Для этого, как ни крути, ему потребовалось бы передать иностранцам либо софт для своей системы мобильной связи, либо телефон с уже установленными и настроенными программными клиентами.

И то, и другое по российскому законодательству трактуется как вывоз шифровальных (криптографических) средств за границу и, в соответствии с Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30), ограничивается (за исключением использования для личных нужд, но это не наш случай).

Перед прохождением таможни Эль Чапо должен был бы получить разрешение на вывоз, которые бывают двух видов:

  1. Нотификация
  2. Лицензирование

Нотификация — упрощенная форма разрешений на ввоз/вывоз — применяется для «ослабленной» или «бытовой» криптографии. Перечень средств, подпадающих под нотификацию, определен в Приложении N 4 к Положению о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30)

Поскольку система защищенной мобильной связи Эль Чапо имеет класс криптографической защиты КА, то нотификацией он не обойдется, и ему придется получать лицензию на вывоз. Для этого он должен будет пройти квест, задание на который описано в Решении Коллегии Евразийской экономической комиссии от 06.11.2014 N 199 (ред. от 19.04.2016) «Об Инструкции об оформлении заявления на выдачу лицензии на экспорт и (или) импорт отдельных видов товаров и об оформлении такой лицензии и Инструкции об оформлении разрешения на экспорт и (или) импорт отдельных видов товаров», и далеко не факт, что он сможет это сделать…

Заключение

Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России.

Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.

Source: habr1

Метки:





Запись опубликована: 21.02.2019

Forbes опубликовал список самых дорогих российских интернет-компаний в 2019 году

Журнал Forbes опубликовал свежий рейтинг самых дорогих компаний Рунета с краткой справкой-анализом по каждой из 20-ти компаний, которые попали в список.
Вершина рейтинга не представляет интереса: первые три строчки остались те же, что и в прошлые годы: «Яндекс», Mail.ru Group и Avito. Несмотря на расширение бизнеса, общая экономическая ситуация не способствует повышению стоимости российских интернет-гигантов.

Например, «Яндекс» за год неплохо развивался, практически поглотил местный Uber и запустил ряд новых сервисов («Яндекс.Облако», «Яндекс.Диалоги», «Яндекс.Плюс», «Яндекс.Драйв»), но его оценка за год снизилась с $12,38 млрд до $10,724 млрд. Но это скорее характеристика депрессивного состояния всей российской экономики, чем оценка действий самого «Яндекса».
На втором месте Mail.ru Group, чья оценка за год тоже упала с $6,86 млрд до $5,362 млрд. За минувший год компания купила киберспортивный холдинг ESforce за $100 млн, а в апреле запустила онлайн-сервис заказа лекарств «Все аптеки». Осенью 2018-го группа получила около 18% акций онлайн-сервиса такси «Ситимобил» и договорилась с китайским интернет-гигантом Alibaba создать онлайн-ретейлера AliExpress Russia.

Эксперты Forbes считают, что Mail.ru Group старается диверсифицировать бизнес. То же самое делает «Яндекс». Кстати, последняя недавно объявила о снижении доли рекламы в общей структуре доходов до 80%, хотя ещё год назад она составляла 90%. Похоже, компания старается избавиться от такой «зависимости». Видимо, как и Mail.ru Group. Но эксперты говорят, что эти структурные изменения происходят естественным путём из-за снижения темпов роста рекламного бизнеса.

В то же время некоторые непрофильные активы растут очень быстро. Например, выручка «Яндекс.Такси» увеличилась за год на 293% до 18,9 млрд руб., а в следующем году доходы могут удвоиться, прогнозирует аналитик Sova Capital Александр Венгранович. Но пока это направление убыточно, следует из отчетности компании: скорректированная EBITDA отрицательная — минус 4,4 млрд руб. Причина понятна — большие инвестиции в перспективное направление.

Третье место рейтинга Forbes тоже вполне традиционно занимает Avito: $3,85 млрд (в прошлом году $2,734 млрд). За 2018 год число его пользователей выросло с 32 млн до 35 млн человек в месяц. В январе 2019 года фонд Naspers выкупил 29,1% акций компании за $1,16 млрд, доведя свою долю до 99,6%. Поэтому сервис и получил увеличенную оценку в $3,85 млрд.

Если компания непубличная, то Forbes выполняет экспертную оценку её стоимости. Как видим, в случае Avito они промахнулись примерно на 50% или даже больше, если сделать поправку на общее падение российского рынка примерно на 15%, что видно по реальной рыночной капитализации «Яндекса» и Mail.ru.

Остальные позиции в рейтинге:

4. Wildberries — $1 200 млн
5. Ozon Group — $694 млн
6. Headhunter — $299 млн
7. Ситилинк — $245 млн
8. 2ГИС — $243 млн
9. Lamoda — $226 млн
10. IVI.ru — $204 млн
11. Aviasales — $196 млн
12. Profi.Ru — $151 млн
13. ОнлайнТрейд.Ру — $110 млн
14. Skyeng — $109 млн
15. 1С-Битрикс — $106 млн
16. TalentTech — $97 млн
17. Циан Групп — $96 млн
18. B2B-Center — $95 млн
19. Superjob — $93 млн
20. YouDo — $88 млн

Эксперты Forbes отмечают появление в рейтинге двух новичков: TalentTech (16-е место) и YouDo (20-е место).

TalentTech — технологическая компания, выросшая из подразделения инвестиционной компании «Севергрупп». С 2017 года объединяет несколько проектов в области образования и трудоустройства. Крупнейший проект группы — «Нетология-групп», вошедший в структуру в августе 2017 года, обеспечивает около 80% годовой выручки.

Сервис YouDo объединяет заказчиков и исполнителей различных заданий: курьерские услуги и грузоперевозки, ремонт, уборка, компьютерная помощь и проч. На сайте создано более 4 млн заданий и зарегистрировано около 1 млн исполнителей, с которых берется плата за информацию об их услугах. Сервис вошёл в топ-20 благодаря тому, что в 2018 году МТС купила 13,7% акций за $12 млн. Соответственно, оценку пришлось пересчитать, хотя опрошенные эксперты считают, что МТС переплатила за него.

Кроме того, в топ-20 вернулась ещё одна биржа труда, организованная по принципу Uber, — сервис «Профи.Ру».

Покинули рейтинг компании KupiVip Group и Mamba. Опять же, это не обязательно связано с их бизнесом, просто в этом году Forbes немного изменил методологию экспертной оценки.

Source: habr1

Метки:





Запись опубликована: 21.02.2019

[Перевод] Почему в Kubernetes так сложно с хранилищами?

Когда пришли оркестраторы контейнеров, вроде Kubernetes, подход к разработке и деплою приложений изменился кардинально. Появились микрослужбы, а для разработчика логика приложения больше не связана с инфраструктурой: создавай себе приложения и предлагай новые функции.

Kubernetes абстрагируется от физических компьютеров, которыми управляет. Только скажите ему, сколько надо памяти и вычислительной мощности, — и все получите. Ифраструктура? Не, не слыхали.

Управляя образами Docker, Kubernetes и приложения делает переносимыми. Разработав контейнерные приложения с Kubernetes, их можно деплоить хоть куда: в открытое облако, локально или в гибридную среду, — и при этом не менять код.

Мы любим Kubernetes за масштабируемость, переносимость и управляемость, но вот состояния он не хранит. А ведь у нас почти все приложения stateful, то есть им нужно внешнее хранилище.

В Kubernetes очень динамичная архитектура. Контейнеры создаются и уничтожаются в зависимости от нагрузки и указаний разработчиков. Поды и контейнеры самовосстанавливаются и реплицируются. Они, по сути, эфемерны.

Внешнему хранилищу такая изменчивость не по зубам. Оно не подчиняется правилам динамического создания и уничтожения.

Чуть только надо развернуть stateful-приложение в другую инфраструктуру: в другое облако там, локально или в гибридную модель, — как у него возникают проблемы с переносимостью. Внешнее хранилище можно привязать к конкретному облаку.

Вот только в этих хранилищах для облачных приложений сам черт ногу сломит. И поди пойми хитровыдуманные значения и смыслы терминологии хранилищ в Kubernetes. А еще есть собственные хранилища Kubernetes, опенсорс-платформы, управляемые или платные сервисы…

Вот примеры облачных хранилищ от CNCF:

Казалось бы, разверни базу данных в Kubernetes — надо только выбрать подходящее решение, упаковать его в контейнер для работы на локальном диске и развернуть в кластер как очередную рабочую нагрузку. Но у базы данных свои особенности, так что мысля — не айс.

Контейнеры — они же так слеплены, что сове состояние не сохраняют. Потому-то их так легко запускать и останавливать. А раз нечего сохранять и переносить, кластер не возится с операциями чтения и копирования.

С базой данных состояние хранить придется. Если база данных, развернутая на кластер в контейнере, никуда не переносится и не запускается слишком часто, в игру вступает физика хранения данных. В идеале контейнеры, которые используют данные, должны находиться в одном поде с базой данных.

В некоторых случаях базу данных, конечно, можно развернуть в контейнер. В тестовой среде или в задачах, где данных немного, базы данных комфортно живут в кластерах.

Для продакшена обычно нужно внешнее хранилище.

Kubernetes общается с хранилищем через интерфейсы плоскости управления. Они связывают Kubernetes с внешним хранилищем. Привязанные к Kubernetes внешние хранилища называются плагинами томов. С ними можно абстрагировать хранение и переносить хранилища.

Раньше плагины томов создавались, привязывались, компилировались и поставлялись с помощью кодовой базы Kubernetes. Это очень ограничивало разработчиков и требовало дополнительного обслуживания: хочешь добавить новые хранилища — изволь менять кодовую базу Kubernetes.

Теперь деплой плагины томов в кластер — не хочу. И в кодовой базе копаться не надо. Спасибо CSI и Flexvolume.

Собственное хранилище Kubernetes

Как Kubernetes решает вопросы хранения? Решений несколько: эфемерные варианты, постоянное хранение в постоянных томах, запросы Persistent Volume Claim, классы хранилищ или StatefulSets. Поди разберись, в общем.

Постоянные тома (Persistent Volumes, PV) — это единицы хранения, подготовленные админом. Они не зависят от подов и их скоротечной жизни.

Persistent Volume Claim (PVC) — это запросы на хранилище, то есть PV. С PVC можно привязать хранилище к ноде, и эта нода будет его использовать.

С хранилищем можно работать статически или динамически.

При статическом подходе админ заранее, до запросов, готовит PV, которые предположительно понадобятся подам, и эти PV вручную привязаны к конкретным подам с помощью явных PVC.

На практике специально определенные PV несовместимы с переносимой структурой Kubernetes — хранилище зависит от среды, вроде AWS EBS или постоянного диска GCE. Для привязки вручную нужно указать на конкретное хранилище в файле YAML.

Статический подход вообще противоречит философии Kubernetes: ЦП и память не выделяются заранее и не привязываются к подам или контейнерам. Они выдаются динамически.

Для динамической подготовки мы используем классы хранилища. Администратору кластера не нужно заранее создавать PV. Он создает несколько профилей хранилища, наподобие шаблонов. Когда разработчик делает запрос PVC, в момент запроса один из этих шаблонов создается и привязывается к поду.

Вот так, в самых общих чертах, Kubernetes работает с внешним хранилищем. Есть много других вариантов.

CSI — Container Storage Interface

Есть такая штука — Container Storage Interface. CSI создан рабочей группой CNCF по хранилищам, которая решила определить стандартный интерфейс хранения контейнеров, чтобы драйверы хранилища работали с любым оркестратором.

Спецификации CSI уже адаптированы для Kubernetes, и есть куча плагинов драйвера для деплоя в кластере Kubernetes. Надо получить доступ к хранилищу через драйвер тома, совместимый с CSI, — используйте тип тома csi в Kubernetes.

С CSI хранилище можно считать еще одной рабочей нагрузкой для контейнеризации и деплоя в кластер Kubernetes.

Если хотите подробностей, послушайте, как Цзе Юй рассказывает о CSI в нашем подкасте.

Опенсорс-проекты

Инструменты и проекты для облачных технологий шустро плодятся, и изрядная доля опенсорс-проектов — что логично — решают одну из главных проблем продакшена: работа с хранилищами в облачной архитектуре.

Самые популярные из них — Ceph и Rook.

Ceph — это динамически управляемый, распределенный кластер хранилища с горизонтальным масштабированием. Ceph дает логическую абстракцию для ресурсов хранилища. У него нет единой точки отказа, он сам собой управляет и работает на базе ПО. Ceph предоставляет интерфейсы для хранения блоков, объектов и файлов одновременно для одного кластера хранилища.

У Ceph очень сложная архитектура с RADOS, librados, RADOSGW, RDB, алгоритмом CRUSH и разными компонентами (мониторы, OSD, MDS). Не будем углубляться в архитектуру, достаточно понимать, что Ceph — это распределенный кластер хранилища, который упрощает масштабируемость, устраняет единую точку отказа без ущерба для производительности и предоставляет единое хранилище с доступом к объектам, блокам и файлам.

Естественно, Ceph адаптирован для облака. Деплоить кластер Ceph можно по-разному, например с помощью Ansible или в кластер Kubernetes через CSI и PVC.


Архитектура Ceph

Rook — это еще один интересный и популярный проект. Он объединяет Kubernetes с его вычислениями и Ceph с его хранилищами в один кластер.

Rook — это оркестратор облачных хранилищ, дополняющий Kubernetes. С ним пакуют Ceph в контейнеры и используют логику управления кластерами для надежной работы Ceph в Kubernetes. Rook автоматизирует деплой, начальную загрузку, настройку, масштабирование, перебалансировку, — в общем все, чем занимается админ кластера.

С Rook кластер Ceph можно деплоить из yaml, как Kubernetes. В этом файле админ в общих чертах описывает, что ему нужно в кластере. Rook запускает кластер и начинает активно мониторить. Это что-то вроде оператора или контролера — он следит, чтобы все требования из yaml выполнялись. Rook работает циклами синхронизации — видит состояние и принимает меры, если есть отклонения.

У него нет своего постоянного состояния и им не надо управлять. Вполне в духе Kubernetes.

Rook, объединяющий Ceph и Kubernetes, — это одно из самых популярных облачных решений для хранения: 4000 звезд на Github, 16,3 млн загрузок и больше сотни контрибьюторов.
Проект Rook уже приняли в CNCF, а недавно он попал в инкубатор.

Больше о Rook вам расскажет Бассам Табара в нашем эпизоде о хранилищах в Kubernetes.
Если в приложении есть проблема, нужно узнать требования и создать систему или взять нужные инструменты. Это относится и к хранилищу в облачной среде. И хотя проблема не из простых, инструментов и подходов у нас завались. Облачные технологии продолжают развиваться, и нас обязательно ждут новые решения.

Source: habr1

Метки:





Запись опубликована: 21.02.2019

[Перевод] Анализ последних массовых атак с захватом DNS

Правительство США и ряд ведущих компаний в области информационной безопасности недавно предупредили о серии очень сложных и распространённых атак DNS hijacking, которые позволили хакерам предположительно из Ирана получить огромное количество паролей электронной почты и других конфиденциальных данных у нескольких правительств и частных компаний. Но до сих пор подробности произошедшего и список жертв хранились в тайне.

В этой статье постараемся оценить масштаб атак и проследить эту чрезвычайно успешную кампанию кибершпионажа от начала и до каскадной серии сбоев у ключевых поставщиков инфраструктуры интернета.

Прежде чем углубиться в исследование, полезно рассмотреть факты, раскрытые публично. 27 ноября 2018 года исследовательское подразделение Talos компании Cisco опубликовало отчёт с описанием продвинутой кампании по кибершпионажу, названной DNSpionage.

DNS означает Domain Name System: система доменных имён, которая служит своего рода телефонной книгой интернета, транслируя удобные названия веб-сайтов (example.com) в числовой компьютерный IP-адрес.

Эксперты Talos написали, что благодаря атаке DNSpionage злоумышленники смогли получить учётные данные электронной почты и других сервисов ряда государственных организаций и частных компаний в Ливане и Объединенных Арабских Эмиратах путём смены DNS-записей, так что весь трафик электронной почты и виртуальных частных сетей (VPN) был перенаправлен на IP-адрес, контролируемый злоумышленниками.

Talos сообщила, что благодаря DNS hijacking хакеры сумели получить сертификаты шифрования SSL для целевых доменов (в том числе webmail.finance.gov.lb), что позволило им расшифровать трафик с аккаунтов электронной почты и VPN.

9 января 2019 года поставщик услуг безопасности FireEye опубликовал свой отчёт «Глобальная кампания по захвату DNS: массовые манипуляции с записями DNS», в котором гораздо больше технических подробностей, как проведена операция, но мало деталей о жертвах.

Примерно в то же время Министерство внутренней безопасности США выпустило редкую директиву по чрезвычайным ситуациям, которая предписывает всем гражданским федеральным агентствам США защищать учётные данные в интернете. В рамках этого мандата DHS опубликовала краткий список доменных имен и интернет-адресов, которые использовались в кампании DNSpionage, хотя список не выходил за рамки того, что раньше сообщали Cisco Talos и FireEye.

Ситуация изменилась 25 января 2019 года, когда специалисты по информационной безопасности CrowdStrike выложили список практически всех IP-адресов, которые использовались в хакерской операции на сегодняшний день. Остальная часть этой истории основана на открытых данных и интервью, которые мы провели, пытаясь пролить больше света на истинные масштабы этой экстраординарной атаки, продолжающейся до сих пор.

«Пассивный» DNS

Для начала я взял все IP-адреса, упомянутые в отчёте CrowdStrike, и проверил их в сервисах Farsight Security и SecurityTrails, которые пассивно собирают данные об изменениях записей DNS, связанных с десятками миллионов доменов по всему миру.

Обратная проверка по этим IP-адресам позволила убедиться, что в последние несколько месяцев 2018 года хакерам DNSpionage удалось поставить под угрозу ключевые компоненты инфраструктуры DNS для более чем 50 ближневосточных компаний и правительственных учреждений, включая цели в Албании, Кипре, Египте, Ираке, Иордании, Кувейте, Ливане, Ливии, Саудовской Аравии и ОАЭ.

Например, эти «пассивные данные» показывают, что злоумышленники смогли перехватить DNS-записи домена mail.gov.ae, который обслуживает электронную почту правительственных учреждений ОАЭ. Вот лишь несколько других интересных доменов, успешно скомпрометированных в рамках операции:

-nsa.gov.iq: Совет национальной безопасности Ирака
-webmail.mofa.gov.ae: электронная почта Министерства иностранных дел ОАЭ
-shish.gov.al: государственная разведывательная служба Албании
-mail.mfa.gov.eg: почтовый сервер министерства иностранных дел Египта
-mod.gov.eg: министерство обороны Египта
-embassy.ly: посольство Ливии
-owa.e-albania.al: портал Outlook Web Access для электронного правительства Албании
-mail.dgca.gov.kw: почтовый сервер бюро гражданской авиации Кувейта
-gid.gov.jo: Главное разведывательное управление Иордании
-adpvpn.adpolice.gov.ae:VPN-сервис полиции Абу-Даби
-mail.asp.gov.al: электронная почта албанской государственной полиции
-owa.gov.cy: портал Microsoft Outlook Web Access для правительства Кипра
-webmail.finance.gov.lb: почта министерства финансов Ливана
-mail.petroleum.gov.eg: министерство нефти Египта
-mail.cyta.com.cy: кипрский телекоммуникационный и интернет-провайдер Cyta
-mail.mea.com.lb: почтовый сервер Middle East Airlines

Пассивные данные DNS от Farsight и SecurityTrails также дают подсказки, когда «захвачен» каждый из этих доменов. В большинстве случаев злоумышленники, видимо, изменили записи DNS для этих доменов (чуть позже расскажем, как это сделано), чтобы они указывали на подконтрольные им серверы в Европе.

Вскоре после начала атаки — иногда спустя недели, иногда дни или часы — злоумышленники смогли получить SSL-сертификаты этих доменов от центров сертификации Comodo и/или Let’s Encrypt. Подготовку нескольких атак можно проследить по crt.sh: база всех новых SSL-сертификатов с функцией поиска.

Рассмотрим подробнее один пример. Отчёт CrowdStrike упоминает IP-адрес 139.59.134[.]216 (см. выше), на котором, согласно Farsight, в течение многих лет размещались семь различных доменов. Но в декабре 2018 года на этом адресе появились два новых, включая домены в Ливане и — что любопытно — Швеции.

Первый из них ns0.idm.сеть.lb — сервер ливанского интернет-провайдера IDM. С начала 2014 года по декабрь 2018 года запись ns0.idm.net.lb указывала на ливанский IP-адрес 194.126.10[.]18. Но на скриншоте от Farsight ниже видно, что 18 декабря 2018 года, DNS-записи для этого интернет-провайдера изменились, перенаправив трафик, предназначенный для IDM, к хостинг-провайдеру в Германии (адрес 139.59.134[.]216).

Обратите внимание, какие ещё домены сидят на этом IP-адресе 139.59.134[.]216 вместе с доменом IDM, согласно Farsight:

DNS-записи доменов sa1.dnsnode.net и fork.sth.dnsnode.net в декабре тоже изменились со своих законных шведских адресов на IP немецкого хостера. Эти домены принадлежат Netnod Internet Exchange, крупному глобальному DNS-провайдеру из Швеции. Netnod также управляет одним из 13 корневых серверов DNS: критически важный ресурс, лежащий в основе глобальной системы DNS.

Чуть позже вернёмся к компании Netnod. Но сначала давайте посмотрим на другой IP-адрес, указанный в отчёте CrowdStrike как часть инфраструктуры, пострадавшей от атаки DNSpionage: 82.196.11[.]127. На этом голладском адресе также размещается домен mmfasi[.]com. По информации CrowdStrike, это один из доменов злоумышленников, который использовался в качестве DNS-сервера для некоторых из захваченных доменов.

Как видим, на 82.196.11[.]127 временно размещалась другая пара DNS-серверов Netnod, а также сервер ns.anycast.woodynet.net. Он назван по прозвищу Билла Вудкока, исполнительного директора Packet Clearing House (PCH).

PCH — некоммерческая организация из Северной Калифорнии, которая тоже управляет значительной частью мировой инфраструктуры DNS, в том числе обслуживая более 500 доменов верхнего уровня и ряд доменов верхнего уровня Ближнего Востока, пострадавших в операции DNSpionage.

Атака на регистраторов

14 февраля мы связались с генеральным директором Netnod Ларсом Майклом Йогбеком. Он подтвердил, что часть DNS-инфраструктуры Netnod была захвачена в конце декабря 2018 года и начале января 2019 года после того, как злоумышленники получили доступ к учётным записям регистратора.

Йогбек сослался на заявление компании, опубликованное 5 февраля. В нём говорится, что Netnod узнала о своей причастности к атаке 2 января, после чего на протяжении всего времени действовала в контакте со всеми заинтересованными сторонами и клиентами.

«Как участник международного сотрудничества в области безопасности, 2 января 2019 года Netnod стало известно, что мы оказались втянуты в эту серию атак и подверглись атаке типа MiTM (человек-в-середине), — говорится в заявлении. — Компания Netnod не является конечной целью хакеров. По имеющейся информации, их цель состоит в сборе учётных данных для интернет-служб в странах за пределами Швеции».

15 февраля Билл Вудкок из PCH в интервью признался мне, что части инфраструктуры его организации тоже были скомпрометированы.

После получения неавторизованного доступа хакеры переписали записи доменов pch.net и dnsnode.net на те же сервера немецкого доменного регистратора Key-Systems GmbH и шведской компании Frobbit.se. Последняя является реселлером Key Systems, и часть интернет-инфраструктуры у них совпадает.

Вудкок сказал, что с помощью фишинга хакеры выманили учётные данные, которые PCH использовал для отправки сигнальных сообщений, известных как Extensible Provisioning Protocol (EPP) или «расширяемый протокол предоставления информации». Это малоизвестный интерфейс, своего рода бэкенд глобальной системы DNS, позволяющий регистраторам доменов уведомлять региональные реестры (например, Verisign) об изменениях в доменных записях, включая регистрации новых доменов, изменения и передачи.

«В начале января Key-Systems сообщила, что их интерфейсом EPP воспользовались посторонние лица, укравшие учётные данные», — сказал Вудкок.

Key-Systems отказалась комментировать историю. Она заявила, что не обсуждает детали бизнеса своих клиентов-реселлеров.

Официальное заявление Netnod о нападении адресует дальнейшие запросы директору по безопасности Патрику Фёльтстрёму, который также является совладельцем Frobbit.se.

В переписке с нами Фёльтстрём сказал, что хакерам удалось отправить EPP-инструкции в различные реестры как от имени Frobbit, так и Key Systems.

«С моей точки зрения, очевидно, что это ранняя версия будущей серьёзной атаки на EPP, — написал Фёльтстрём. — То есть целью было отправить в реестры правильные EPP-команды. Лично меня очень пугает то, что может произойти в будущем. Должны ли реестры доверять всем командам от регистраторов? У нас всегда будут уязвимые регистраторы, верно?»

DNSSEC

Один из наиболее интересных аспектов этих атак — то, что Netnod и PCH являются громкими сторонниками и последователями DNSSEC, технологии для защиты именно от атак такого типа, какой сумели использовать хакеры DNSpionage.

DNSSEC защищает приложения от подделки данных DNS, требуя обязательной цифровой подписи для всех DNS-запросов для данного домена или набора доменов. Если нейм-сервер определяет, что адресная запись данного домена не изменилась при передаче, то осуществляет резолвинг и позволяет пользователю посетить сайт. Но если запись каким-то образом изменилась или не соответствует запрошенному домену, то DNS-сервер блокирует доступ.

Хотя DNSSEC может быть эффективным инструментом для смягчения подобных атак, только около 20% основных сетей и сайтов в мире включили поддержку этого протокола, согласно исследованию APNIC, интернет-регистратору Азиатско-Тихоокеанского региона.

Йогбек сказал, что инфраструктура Netnod подверглась трём атакам в рамках операции DNSpionage. Первые две произошли в двухнедельном промежутке между 14 декабря 2018 года и 2 января 2019 года и были нацелены на серверы, не защищённые DNSSEC.

Однако третья атака между 29 декабря и 2 января произведена на инфраструктуру Netnod, защищённую DNSSEC и обслуживающую собственную внутреннюю сеть электронной почты. Поскольку у злоумышленников уже был доступ к системам регистратора, они сумели ненадолго отключить эту защиту — по крайней мере, этого времени хватило, чтобы заполучить SSL-сертификаты двух почтовых серверов Netnod.

Когда злоумышленники получили сертификаты, то заново запустили DNSSEC на целевых серверах, вероятно, готовясь ко второму этапу атаки — перенаправлению почтового трафика на свои серверы. Но Йогбек говорит, что по какой-то причине злоумышленники не отключили DNSSEC повторно, когда начали перенаправлять трафик.

«К счастью для нас, они забыли его отключить в момент начала MiTM-атаки, — сказал он. — Будь они более квалифицированными, то удалили бы DNSSEC с домена, что вполне могли сделать».

Вудкок говорит, что PCH проверяет DNSSEC на всей инфраструктуре, но при этом не все клиенты компании настроили системы для полной реализации технологии. Это особенно относится к клиентам из стран Ближнего Востока, на которых нацелена атака DNSpionage.

Вудкок сказал, что инфраструктура PCH подверглась нападению DNSpionage четыре раза с 13 декабря 2018 года по 2 января 2019 года. Каждый раз хакеры использовали инструменты для перехвата трафика с учётными данными в течение примерно одного часа, а затем сворачивались и возвращали сеть в исходное состояние.

Наблюдение дольше часа было бы избыточным, ведь большинство современных смартфонов настроены постоянно проверять электронную почту. Таким образом, всего за час хакеры смогли собрать очень большое количество учётных данных.

2 января 2019 года — в тот же день, когда состоялась атака на внутренние почтовые серверы Netnod — хакеры напрямую атаковали PCH, заполучив SSL-сертификаты Comodo двух доменов PCH, через которые тоже идёт внутренняя почта компании.

Вудкок сказал, что благодаря DNSSEC атаку удалось почти полностью нейтрализовать, но хакеры смогли получить учётные данные электронной почты двух сотрудников, которые в то время были в отпуске. Их мобильные устройства загружали почту через WiFi в гостинице, поэтому (по условиям предоставления сервиса WiFi) использовали DNS-серверы отеля, а не системы с поддержкой DNNSEC от PCH.

«Оба пострадавших в это время находились в отпуске со своими iPhone и им пришлось пройти через скомпрометированные порталы при получении почты, — сказал Вудкок. — При доступе им пришлось отключить наши серверы имён, и в течение этого времени их почтовые клиенты проверяли новую почту. Если не считать этого, DNSSEC спасла нас от полного захвата».

Поскольку PCH защищает свои домены с помощью DNSSEC, практический эффект от взлома почтовой инфраструктуры заключался в том, что в течение примерно часа никто, кроме двух удалённых сотрудников, не получал писем.

«По сути, для всех наших пользователей почтовый сервер был недоступен в течение короткого периода времени, — сказал Вудкок. — Люди просто смотрели на телефон, не видели новых писем и думали: странно, проверю позже. И когда они проверяли в следующий раз, всё работало нормально. Группа наших сотрудников заметила краткосрочное отключение почтового сервиса, но это не стало слишком серьёзной проблемой, чтобы началось обсуждение или кто-то зарегистрировал тикет».

Но хакеров DNSpionage это не остановило. В рассылке для клиентов PCH рассказала, что проведённое расследование установило взлом сайта с базой данных пользователей 24 января. База содержит имена пользователей, хэши паролей bcrypt, электронные письма, адреса и названия организаций.

«Мы не видим свидетельств, что злоумышленники осуществили доступ к базе, — говорится в сообщении. — Таким образом, мы сообщаем эту информацию в целях прозрачности и предосторожности, а не потому что считаем данные скомпрометированными».

Продвинутый уровень

Несколько экспертов, которых мы опросили в связи с этой историей, упомянули хронические проблемы организаций по защите своего DNS-трафика. Многие воспринимают его как некую данность, не ведут логи и не следят за изменениями в записях домена.

Даже для тех компаний, которые пытаются контролировать свою DNS-инфраструктуру на предмет подозрительных изменений, некоторые службы мониторинга проверяют DNS-записи пассивно или только раз в день. Вудкок подтвердил, что PCH полагается не менее чем на три системы мониторинга, но ни одна из них не предупредила о часовых угонах DNS-записей, которые поразили системы PCH.

Вудкок сказал, что с тех пор PCH внедрила собственную систему мониторинга DNS-инфраструктуры несколько раз в час, которая немедленно предупреждает о любых изменениях.

Йогбек сообщил, что Netnod тоже усилила мониторинг и удвоила усилия по внедрению всех доступных опций безопасности доменной инфраструктуры. Например, раньше компания не блокировала записи для всех своих доменов. Такая защита предусматривает дополнительную аутентификацию перед внесением любых изменений в записи.

«Нам очень жаль, что мы не обеспечили максимальную защиту наших клиентов, но мы сами стали жертвой в цепочке атак, — сказал Йогбек. — После ограбления вы можете установить лучший замок и надеяться, что теперь повторить подобное станет сложнее. Я действительно могу сказать, что мы многому научились, став жертвой этого нападения, и сейчас чувствуем себя гораздо увереннее, чем раньше».

Вудкок обеспокоен тем, что ответственные за внедрение новых протоколов и другие сервисы инфраструктуры всерьёз не воспринимают глобальную угрозу DNS-атак. Он уверен, что хакеры DNSpionage взломают ещё много компаний и организаций в ближайшие месяцы и годы.

«Битва идёт прямо сейчас, — сказал он. — Иранцы проводят эти атаки не для краткосрочного эффекта. Они пытаются проникнуть в интернет-инфраструктуру достаточно глубоко, чтобы совершить что им захочется в любой момент. Они хотят обеспечить себе как можно больше вариантов для манёвра в будущем».

Рекомендации

Джон Крейн — руководитель по вопросам безопасности, стабильности и отказоустойчивости ICANN, некоммерческой организации, которая курирует глобальную индустрию доменных имен. Он говорит, что многие методы профилактики и защиты, которые могут затруднить злоумышленникам захват доменов или инфраструктуры DNS, известны уже более десяти лет.

«Многое сводится к гигиене данных, — сказал Крейн. — Ни крупные организации, ни самый малый бизнес, не обращают внимания на некоторые очень простые методы безопасности, такие как многофакторная аутентификация. В наши дни, если у вас неоптимальная защита, вас взломают. Такова реальность сегодняшнего дня. Мы видим в интернете гораздо более изощрённых противников, и если вы не обеспечиваете базовой защиты, они ударят по вам».

Некоторые из передовых методов защиты для организаций:

  • Использовать DNSSEC (как для подписи, так и для проверки ответов)
  • Использовать функции регистрации, такие как блокировка записи (Registry Lock), которые помогают защитить записи доменных имен от изменения
  • Использовать списки контроля доступа для приложений, интернет-трафика и мониторинга
  • Использовать двухфакторную аутентификацию и требовать её использования всеми соответствующими пользователями и субподрядчиками
  • В случаях, когда применяются пароли, выбирать уникальные пароли и рассмотреть менеджеры паролей
  • Проверять аккаунты у регистраторов и других поставщиков
  • Проводить мониторинг сертификатов, например, с помощью Certificate Transparency Logs

Source: habr1

Метки: