Перейти к содержанию

doraemon

Пользователь
  • Публикаций

    18
  • Зарегистрирован

  • Посещение

Репутация

99 Excellent

Информация о doraemon

  • Звание
    Rank №2
  1. Binance хакнули 7 мая 2019 г.

    Коротко: Binance сгоксился, ввод и вывод криптовалюты остановлен как минимум на неделю. С криптовалютной биржи Binance 7 мая было выведено 7000 BTC ($41,1 млн по курсу совершения операции). На официальном сайте компании висит новость (источник: https://binance.zendesk.com/hc/en-us/articles/360028031711-Binance-Security-Breach-Update) Что интересно, токен BNB за сутки упал лишь на 6.75% к доллару. Не храните крипту на биржах, храните на холодных кошельках.
  2. Теоретически - может быть, и да. Но текущему решению несколько лет, телефоны работают на последней версии стоковой прошивки и регулярно обновляются. Во-вторых, одна дружественная организация использовала более старое решение, как раз на Android-смартфонах, и вот там очень сложно держать самую последнюю версию со всеми обновлениями. В-третьих, андроид-смартфон четырехлетней давности безнадежно устаревает, правильную модель или запчасти к ней невозможно купить в магазинах и т.д. (что не скажешь про IP-телефоны). В-четвертых, по сотовому телефону человек может говорить где угодно, где только есть сотовая связь (а не в специально отведенных переговорных), это риск. А может быть, все решила стоимость разработки, которая в случае с кастомной прошивкой телефона малосоизмерима с упомянутым решением. А может, тот факт, что именно по примерно такой модели была устроена спецсвязь внутри организации. А может, была коррупционная составляющая, и отвечающее за аппаратную часть сторона умела закупать телекоммуникационное оборудование, но не хотела связываться с поставщиком смартфонов. Короче, масса причин. К переговорным не имеют доступ, условно говоря, уборщицы, однако все-таки имеет доступ высоквалифицированный персонал, который все равно может оказаться слабым звеном. Опломбированный корпус и "брик" устройства при втыкании в него предварительно не разрешенного usb-устройства - это очень дешевая мера, которая убирает сразу два вектора атаки. Пустой траффик или шум, при анализе похожий на голосовые соединения, при этом не несущие смысловой нагрузки. Опять же, делается быстро и на коленке, при этом существенно затрудняет фингерпринтинг. Не, нетрудно. Потому что socat. Поищите по последним темам /dev/null, примерно за март-апрель 2017.
  3. Я решал аналогичную задачу для своих топов. Если вкратце, начали с модели угроз. Например, нам было совершенно пофигу внимание со стороны больших и опасных "монстров" вроде ФСБ или Моссада, но очень не хотелось пристального внимания от вполне конкретной нашей специфической национальной финансовой квазиспецслужбы (на самом деле, просто продвинутой экономической полиции, у которой в каких-то аспектах сильно развязаны руки, а в каких-то - наоборот) ну и кое-каких менее наглых контролирующих органов. Надо сказать, что дело происходит не в России, а в европейской стране с богатой историей экономических преступлений. Что за страна, в принципе, можно догадаться. Число пользователей системы - полтора десятка человек. Мы сознательно отказались от использования смартфонов и любого другого беспроводного оборудования, зато оборудовали некоторое количество "безопасных" переговорных с обычными ip-телефонами (плюс решение для быстрого развертывания мобильных переговорных). То есть, типичная ситуация, требующая спецсвязи - директор по GR из своего дома в рабочее время звонит финансовому директору, который в этот момент находится в командировке. Непосредственно абоненты общаются друг с другом с помощью ip-телефонов известного вендора (т.е. могут быть потенциально уязвимы для государственного ИБ-подрядчика. Поэтому то, что разговоры между собой завернуты в SRTP - это скорее приятное дополнение, чем основной контур защиты. Кстати, вопрос: а посоветуйте кто-нибудь модель IP-телефона с опенсорсной прошивкой? В первую очередь - чтобы zrtp поддерживал. Несколько лет назад, когда мы запускали эту систему, такого телефона еще не было, но вдруг что-то новое появилось у нас буквально под носом, а мы не знаем? Далее - это все коммутируется через специальный опломбированный криптомодуль, основу которого составляет железка типа raspberry pi (чуть помощнее и с двумя LAN интерфейсами). На ней - tcp-openvpn. Маленькая фишка - использование покрывающего трафика и кастомной сборки библиотеки OpenSSL с поддержкой алгоритмов шифрования ГОСТ. Почему? Потому что я русский. Был бы вместо меня какой-нибудь японец, компания не менее обоснованно выбрала бы OpenVPN на Camelia =) Как я говорил, мы вряд ли интересны ФСБ, а если внезапно интересны, то весьма польщены и совершенно против этого не возражаем. VPN тройной (а еще полгода назад был лишь двойной, спасибо за советы /dev/null с этого форума). То есть, каждый телефон - по аналогии с guard-нодами tor - имеет свою точку входа. Все разговоры происходят без федераций, в рамках единственного сервера asterisk. Телефоны не имеют доступа в интернет и даже физически всегда выделены в отдельный сегмент кабельной сети. Ах, да. Существует регламент по использованию данной линии связи. То есть, подробно описан перечень тем, которые сотрудники даже по этому каналу не вправе обсуждать. Саму систему связи эксплуатирует (в том числе, физически хранит стойки с оборудованием) отдельная компания, де-юре никак не афиллированная с фактическим заказчиком. Стоимость описанной системы совершенно копеечная по сравнению с аналогичными готовыми решениями на рынке. Описанное решение вообще не является панацеей, но зато на порядок усложняет и удорожает apt-атаку на перехват телефонных переговоров первых лиц. Наибольший геморрой с этим зоопарком скорее всего у эксплуатационщиков, которые поддерживают с невъебенным SLA эту систему, которая функционирует без логов. Но данный момент - уже не моя забота. Компания совершенно белая, существует более полувека, регулярно выигрывает национальные и европейские конкурсы как лучший работодатель, однако само собой, в переговорах первых лиц почти всегда присутствует некоторая специфика, разглашение которой чревато огромными проблемами. Изменение голоса мы тоже делали, но толку от этого довольно мало. Левые симки - вообще детский сад. Если остались вопросы - пиши ЛС с GPG, в жабе сейчас бываю редко. Если видите какие-то изъяны, пишите-критикуйте, отвечу как минимум плюсами.
  4. Начнем с того, что даже если конкретный vpn-сервис (например, поднятый лично вами на трехдолларовой микроVPS) не ведет логов, логи обязательно ведут его хостеры. Более того, есть мнение, что полные данные netflow еще несколько лет назад в том же Hetzner хранились как минимум за несколько дней. Эта вроде бы тяжелая ситуация благополучно разрешается тем, что на самом деле, большинству наплевать на собственную безопасность. Люди палятся не только и не столько на логах многочисленных VPN, сколько на простых вещах вроде вывода средств. А если ты выстроишь цепочку (многоквартирный дом) -> (4G на левую симку) -> (public VPN) -> (Tor) -> (dedic) - (private double vpn) и при этом не будешь работать по RU, вряд ли тебя выдаст несовершенство технологий.
  5. Поясни, какая у тебя модель угроз? Если тебе надо договориться о сделке на Экспе, связаться с Гарантом и так далее - это одно. Если тебе надо списаться с The New York Times и слить компромат на главу демократической партии - уже другое. Если у тебя тормозит хостинг твоего магазина, который торгует RDP
  6. Спасибо тебе за тему. Но на всякий случай для остальных подскажу, что даже когда программные оптимизации оптимальны, и ты вроде бы уперся в производительность железа, причина может быть не только в загрузке процессора, но и в дисковой очереди. Задача "считать/разархивировать/записать" много маленьких файлов - это чуть ли не самый классический бенчмарк производительности системы. Имеет смысл считывать с одного физического тома и записывать на другой, при этом обратив внимание на особенности организации RAID, если таковая там присутствует.
  7. Примерно пару месяцев назад под давлением международной общественности Facebook внедрил совместимость с требованиями GDPR. Теперь каждый пользователь может не только якобы удалить свой профиль и все свои данные, но еще и скачать их в удобочитаемом варианте. Спойлер Пишу "якобы" потому что не верю, что за столь короткий срок команды каждого из продуктов, объединенных под общим брендом "Фейсбук" научились не только механизм удаления пользователя с его данных из текущего продуктива, но и из древних бэкапов, некоторые из которых делались на ленточных накопителях, а некторые вообще записывались навечно, без возможности перезаписи. Про то, как это сделать, написано у них в справке (https://www.facebook.com/help/1701730696756992) В результате получишь zip-архив и в нем довольно крупный набор json'ов. Проанализировав эти данные, с большой вероятностью поймешь, как это работает.
  8. в данном случае это похоже и есть сам код 2фа для GA. попробуй в приложении GA добавить то мыло, и этот код. Вообще странно. oathtool ни с одним ключом код YSTUSN6E79EUIS7V не съел. То есть, ни base32, ни любая другая нотация. Может быть, не все так просто. 50/50, комбинацию YSTUSN6E79EUIS7V ты скопировал сюда достоверно, как была в логах или просто выложил похожую? Если второе, то antikrya прав, и тебе поможет утилита oathtool http://www.nongnu.org/oath-toolkit $ oathtool --totp --base32 MZ2WG2ZAN5TGMIJB 157903
  9. Хорошо бы сюда еще приложить логи соединения, как с клиента, так и с сервера.
  10. Подразумеваются настройки браузера, включая историю посещений, сохраненные данне форм, пароли и т.д. https://superuser.com/questions/507536/
  11. Многое должно зависеть от платформы. Например, у меня был успех с копированием одного только лишь local storage хромиума под линуксом, и два разных неуспеха у двух пользователей Windows 10: один был локальным пользователем, а другой авторизовался в системе через Live ID. С виндой помогло только взятие дампа системы, последующая виртуализация и получение пароля юзера через сессию mimikatz (даже сброс/деликатная подмена пароля через элкомсофтовые утилиты не помогали). Короче, пиши полную конфигурацию и как можно больше деталей. Например, в некоторых случаях (при наличии образа загрузочного диска) можно тупо сбрутить пин-код винды за 2-3 часа.
  12. Нет, просто вопрос очень странный. При условии знания английского, попробуй тупо загуглить Why Tor Hidden Service is called "hidden". В такой формулировке вопроса содержится половина ответа. Самое простое и понятное описание с графическими пошаговыми слайдами о процедуре хендшейка есть здесь: https://www.torproject.org/docs/onion-services Впрочем, на случай, что у тебя с английским все тяжело, попробую объяснить на пальцах. Ты ведь сам уже это сказал выше, что в отличие от обычного веб-сайта c HTTPS, c которым взаимодействует выходная нода, указанная в ExitNodes (еще в 2014 году можно было ее указать явно, так что вместо мозгоебства с 10 серверами в маленькой стране imho достаточно просто поставить legacy версию демона Tor), в случае обмена данными с Hidden Service как раз не является последней. Наоборот, для клиента и сервера важно найти и выработать rendezvous point, которая лежит ровно посередине, то есть, в трех итерациях и между клиентом и сервером. Таким образом, трафик проходит 7 узлов, а "выходные" ноды и клиента, и сервера видят лишь зашифрованный трафик c "точкой свидания". Читайте маны, они рулез :) https://www.torproject.org/about/overview.html.en https://www.torproject.org/docs/tor-onion-service.html.en https://help.riseup.net/en/security/network...-best-practices https://www.torproject.org/docs/faq.html.en https://security.stackexchange.com/questions/44144 https://tor.stackexchange.com/questions/7275/
  13. антифрод от maxmind

    alkotrash, спасибо за дополнения. все очень по делу говоришь. Возможно, еще кто-нибудь дополнит наши ответы, и получится неплохой FAQ по теме для новичков. Вот это дельная идея. Но в отношении айфонов закрадывается вот какое сомнение: разве в последнее время появилась возможность эмулировать iOS без Xcode macOS в качестве операционки гипервизора? По моим данным, iOS не запустить ни на KVM, ни на XEN, ни на VirtualBox, ни на HyperV, ни даже на чисто маковской Parallels. Так что для iOS, скорее всего, придется использовать реальные устройства. Буду очень рад, если окажусь здесь неправ :) Что касается эмуляторов андроида для x86, то еще года 3-4 назад тема прекрасно прокатывала даже с относительно жестким антифродом, правда приходилось довольно низкоуровнево залезать во внутренности операционки и методом проб и ошибок редактировать /system/build.prop для того, чтобы определялись разные модели устройств. Мне кажется, с тех пор все стало только проще. А вот тут не соглашусь. Примерно зимой 2017, то есть чуть больше года назад, решил сильно заморочиться, поднял стенд с MITM-proxy и прогнал через Burp Suite пару десятков разных девайсов, от телефонов до ноутов. К моему удивлению, iOS устройства с правильными настройками приватности "стучат" совсем мало, не сильно больше чем какая-нибудь Ubuntu. Тот же Firefox несмотря на активацию всех приватных опций, доступных из GUI (т.е. не через "опасный" about:config) при активном серфинге сливает за час в несколько раз больше информации, чем сафари на айфоне. Иными словами, надежно заблочить на фаерволле все попытки iOS-устройства связаться с серверами Apple можно примерно за 20-30 минут экспериментов. Что нельзя сказать про большинство китайских телефонов на андроиде типа Xiaomi/Huawei/Meizu/etc или ПК на Windows 10, даже несмотря на многочисленные faq по отключения передачи телеметрии, гуляющие по сети. Приходит очередной пак апдейтов - и отключать все надо заново.
  14. антифрод от maxmind

    Диапазон крайне широк. Для начала, надо определиться с крайностями. Самый ерундовый антифрод стоит при регистрации говнохостингов. Его задача - отбить мамкиных хакеров, которые скачали Tor-Browser, купили prepaid-mastercard и со своего детского ноута из-под Windows 10 пытаются зарегистрировать анонимный хостинг. Обходится самым банальным публичным VPN после Tor, статей на эту тему много. Следующий уровень - хостинги покрупнее. Например, Digital Ocean или Azure. Вместо бесплатного (триального) публичного VPN потребуется ssh-туннель в домашнюю, корпоративную или университетскую сеть, т.к. IP адрес из датацентра вызовет подозрения. И тем более, далеко не все prepaid mastercard пролезут через мерч, надо будет выбирать материал побелее. Задача сложнее - удаленное открытие счета в каком-нибудь кипрском говнобанке. Там кроме туннеля еще желательна виртуалка с девственной операционной системой и уникальным HWID. Не знаю как сейчас, а 5-7 лет назад такая конфигурация вполне прокатывала, лишь бы сканы счетов и документов проходили бы проверку. Уровнем сложнее уже требуется дедик, то есть выделенный аппаратный сервер, да еще и с домашней операционкой. Потом - "прокси под штат", история cookies (девственный firefox без истории посещения других страниц уже не прокатит). Честно говоря, в бОльшие дебри не доводилось углубляться, но это не значит, что для совершенствования в этом направлении есть какой-то предел.
  15. Вот тебе на вооружение статья про массовое сканирование и абузы https://exploitinqx4sjro.onion/index.php?showtopic=130730 В этой концепции подходит любой, т.е. вообще любой хостинг.
×