vitus_wagner: My photo 2005 (Default)

Нашел вот в дистрибутиве пакет libpam-ssh-agent-auth и вот теперь думаю, а повысится ли безопасность моего сервера, если я его буду использовать.

Работает эта штука так - прописывается в /etc/pam.d/sudo и аутентифицирует пользователя желающего сделать sudo, если у него имеется работающий (отфорварженный) ssh_agent с доверенными ключами.

Какому файлу доверять - прописываается в /etc/pam.d/sudo. Можно прописать свой рабочий ~/.ssh/authorized_keys, можно для желающих пользоваться sudo завести отдельный файлик где-нибудь в /etc/.

Оба подхода имеют свои преимущества. Первый - если у меня утек какой-то из приватных ключй ssh, например утерян ноутбук или смартфон, я быстрее вычищу скомпрометированный ключ если он будет лежать в приватном месте. Второй - злоумышленнику недостаточно добраться до моего аккаунта, нужно уже получить рута чтобы прописать свои ключи в этот файлик.

Но главное вообще-то не в этом. Главное в том, что если у нас sudo с паролем, то вообще говоря оно уязывимо к установке keylogger, а вот ssh-вый агент использует криптографию с открытыми ключами, и поэтому не боится перехвата чего либо на стороне сервера.

Но у пароля есть крайне полезное свойство - если на локальной и удаленной машине пароли разные, то когда юзер перепутает окно и наберет не на той машине, пароль не подойдет и команда не выполнится. Вероятность перепутать окно, несмотря на то что prompt-ы разноветные и содержат имя машины - намного выше вероятности хакерской атаки.

Хотя вот на работе жил я с NOPASSWD в sudoers (там было слишком много серверов и контейнеров, чтобы везде пароли расставлять) и ничего.

P.S. Соберетесь настраивать у себя, не забудьте прописать в /etc/sudoers, что environment кирпичом не чистят переменную SSH_AUTH_SOCK из environment удалять не надо. А то не найдет вашего агента.

X-Post to LJ

vitus_wagner: My photo 2005 (Default)

Тут Шнайер пишет про кампанию Take 9. Предлагается людям прежде чем кликать по ссылке, подумать 10 секунд.

Шнайер эту кампанию справедливо критикует. Повторять его аргументы не буду. Желающий их увидеть да пройдет по ссылке, не ожидая 10 секунд, и прочитает.

Но вот где 10-секундная задержка может действительно помочь уменьшению спама, это в телефонии. Если брать телефон не сразу, а только через 10 секунд после того как он начал звонить, то скорее всего большая часть спаммеров уже повесит трубку и пойдет дальше по списку номеров.

vitus_wagner: My photo 2005 (Default)

https://arstechnica.com/security/2025/05/signal-resorts-to-weird-trick-to-block-windows-recall-in-desktop-app/

ТУт Microsoft решила вставить в Windows фичу Windows Recall. Эта штука делает скриншоты каждые три секунды, распознает текст с них и позволяет делать поиск на тему "тут я на днях что-то читал про keyword, что это было?"

Казалось бы штука полезная. Но фактически это приводит к тому, что все, что человек делал на компьютере, где-то сохраняется. И кто-то может получить к этому доступ. Этим кем-то могут быть правоохранительные органы, члены семьи, а то и троян, севший на компьютер.

Поэтому защитники приватности в панике.

Разработчики мессенжера Signal изящно выкрутились - они пометили свои окна как содержащие copyrighted content, и соответственно на скриншотах такие окна изображаются черными прямоугольниками. И на скриншотах, делаемых Recall - тоже.

(помнится было дело, писал покойный Ленский обзор какой-то компьютерной игры, и нужны ему были скриншоты. А игра очень не любила чтобы с нее делали скриншоты и стримы. Пришел Ленский ко мне в гости, запустили мы эту игру то ли в qemu, то ли в dosemu, а против лома нет приема. Если мы делаем скриншоты с эмулятора, то запущенная внутри эмулятора программа про это знать не знает).

На мой взляд наличие у компьютера памяти о действиях пользователя, особенно в сочетании с AI, вещь однозначно полезная. А попытки требовать согласие второго участника разговора на запись этого разговора - несправедливы. Все что видели глаза и слышали уши человека он имеет право сохранить в памяти, биологической ли, технической ли, навечно. И проблема здесь скорее в том, что компьютер недостаточно защищен от проинкновения посторонних людей.

Вообще когда AI в персональьных компьютерах станет нормой, вероятно имеющееся в законодательстве право не свидетельствовать против себя и близких родственников должно быть распространено на компьютеры. И АI должен иметь право не свидетельствовать против хозяина.

vitus_wagner: My photo 2005 (Default)

Что-то сегодня вся френдлента в лучах ненависти к Роскомнадзору, устроившему вчера какую-то гадость. А я и не заметил, я в это время машину из сервиса после техобслуживания забирал. И ехал ме-е-е-едленно и осторожно по беленькому снежку, выпвшему на тоненеький ледок.

А сегодня читаю как американский аналог роскомнадзора пытается запретить китайские машины. А что они по американским дорогам ездят, видеокамерами подглядывают и на китайские сервера это дело передают. Шпионаж же получается.

Хорошо все-таки что у меня в машине никаких опций, требующих для движенния соединения с интернетом нет (а то ездить постоянно приходится где-то где никакого мобильного покрытия к тому же). Есть только "Эра-Глонасс" но вроде она движению не мешает.

vitus_wagner: My photo 2005 (Default)

Помнится покойный Куздра некогда развивал мысль, что для наведения порядка в финансовой сфере надо всего лишь разделить организации, занимающиеся обслуживанием расчетной деятельности людей и организаций, и организации, занимающиеся кредитованием и инвестированием.

Все равно ж сволочи комиссию за аквайринг берут. Вот пусть те кто берут, на нее и живут.

Сейчас я что-то аналогичное подумал про мессенжеры, прочитав что одной из претензий Роскомнадзора к Вайберу было "распространение ложной информации". Ну не дело мессенжеру работать СМИ. Это средство для коммуникации точка-точка. Ну может быть группового чата.

Вот если н путать средство общения межу людьми с каналами распространения информации у всяких крупных игроков - что государств с их цензурой, что корпораций с их копирайтом и деловой репутацией будет куда меньше желания вмешиваться в их работу.

Чеширнет я некогда позиционировал только как средство распространения информации, считая личную переписку там лишней. Но не взлетело. С точки зрения конечного пользовтеля ему нужен гибрид ужа с ежом, который почему-то оказывается вдвойне уязвим.

vitus_wagner: My photo 2005 (Default)

С удивлением обнаружил что в openvpn нет возможности для запроса имени-пользователя пароля вызвать скрипт. В файл имя и пароль записать можно, а вот почему-то ни возможности позвать ssh-askpass, ни воспользоваться secret service API для более безопасного хранения паролей, пассфраз к сертификатам и пин-кодов к токенам - не предусморено.

Система плагинов по-моему эту задачу тоже не решает. Во всяком случае все найденные мной плагины были скорее про проверку аутенификации на стороне сервера, чем про предоставление аутентификационных данных на стороне клиента. Интересно, это я что-то упустил, или авторы openvpn?

vitus_wagner: My photo 2005 (Default)

На слэшдоте пишут, что китайские спецслужбы на протяжении месяцев подклчюались к американскому аналогу СОРМ.

(ну то что российский СОРМ читает NSA я уже давно писал.)

А эксперты по компьютерной безопасности уже десятилетия талдычат, что не бывает бэкдоров, которые кого надо бэкдоры. Если дыра есть, то вражеская спецслужба обязательно до нее доберется.

Правда, как мы знаем, в США есть глубокое убеждение что они одни умные, а весь остальной мир - дураки. Поэтому можно продавать наружу 40-битную криптографию, а у себя использовать 128-битную, как это было в конце прошлого века. Оказалось, конечно, что остальной мир не лыком шит, и просто разработка криптософта уехала с территории США.

Теперь аналогичная ситуация с государственными бэкдорами. Это не только американцы могут следить за окружающими "дикарями", это и другие технологически развитые страны могут следить за американцами.

vitus_wagner: My photo 2005 (Default)

Как было написано в "Понедельнике, начинающемся в субботу", Феодор Симеонович Киврин вселил в "Алдан" бессметртную душу, правда, веселую и работящую.

А вот тут описано, как человек вселил в компьютер искусственный интеллект на базе Claude, и позволил ему поадминистрировать соседний компьютер.

Естественно в итоге компьютер перестал грузиться. Но будем честны, кто из нас не допускал в начале своей сисадминской карьеры подобных ошибок?

Похоже, уже пора организовывать стартап по созданию "реально дружественной к пользователю операционной системы". И переформулировать три закона Азимов в применении к виртуальным сисадминам. Там явно должно быть что-то по поводу недопущения downtime в качестве одного из ведущих законов.

vitus_wagner: My photo 2005 (Default)

NIST тут опубликовал Digital Identity Guidelines. В этом документе (обязательном к исполнению для правительственных служб США и их контракторов) явным образом запрещаются наиболее идиотские политики работы с паролями, распространенные в корпоративном мире.

Так, например, запрещается требовать регулярной смены паролей. Требовать смены пароля можно и нужно только если есть подозрение на компрометцию.

Нельзя требовать наличие в пароле символов из каких-то определенных наборов. Типа чтобы обязательно присутствовала хотя бы одна цифра или хотя бы один знак препинания. Это up to user, как обеспечить требуемую энтропию.

Зато требуется длина не менее 8 символов (а лучше не менее 15) и иметь возможность использовать как минимум 64 символа.

В общем, фашиствующие сисадмины, которые своим security theater реально снижают безопасность, стали настолько реальной проблемой, что в США приходится с ними бороться посредством государственного регулирования.

См также на слэщдоте и arstechnica.

vitus_wagner: My photo 2005 (Default)

Шнайер тут сослался на пост https://blog.cryptographyengineering.com/2024/08/25/telegram-is-not-really-an-encrypted-messaging-app/ в котором исследуется защищенность telegram.

  1. End-to-end щифрование в телеграм есть только для тех кто не поленился его включить.
  2. Включить можно только в переписке с одним собеседником
  3. Чтобы включить, оба собеседника должны быть online.
  4. Интерфейс там такой, что без стакана не разберешься, как включить
  5. И даже после этого используется какой-то странный и необычный (читай подозрительный) алгоритм.

Ну и соответственно каналы и групповые чаты не шифруются вообще никак. Более-менее осмысленное end-to-end шифрование групповых чатов я встречал только в matrix.

X-Post to LJ

vitus_wagner: My photo 2005 (Default)

Прочитал тут на слешдоте про две проблемы, возникшие у федеральных органов США.

1) https://yro.slashdot.org/story/24/04/28/2140203/bezos-other-amazon-execs-used-signal---a-problem-for-ftc-investigators FTC занялось расследованием деятельности Амазона. А тамошние начальники, гады такие, оказались компьютерно-грамотными и для конфиденциальной переписки пользовались мессенджером Signal, который действительно умеет обеспечивать конфиденциальность, да еще и пользовались правильно. Нету теперь этой переписки, и использовать ее в расследовании не получится.

2) https://yro.slashdot.org/story/24/04/28/2235258/americas-commerce-department-is-reviewing-chinas-use-of-risc-v-chips US Departament of Commerce взволновался, что китайцы активно развивают процессоры с архитектурой RISC-V, и боится теперь, что Китай лишит америку технологического доминирования в области SoC, процессоров для смартфонов и тому подобного. А делать непонятно что - RISC-V это не ARM, все спецификации OpenSource, и не прижать китайцев никак.

Для меня, конечно, RISC-V тоже проблема. Портироваться туда надо, а из поддерживаемых нами дистрибутивов Linux эту архитектуру умеют полторы штуки. В смысле Ubuntu уже умеет как следует, а Debian и Alt - на четвертушку каждый. В смысле в sid и Sisyphus оно есть, но про выход стабильных релизов пока молчок. Пока это привело только к тому, что у нас на серверах появился третий дистрибутив. Кроме Debian (на x86 и arm) и Alt (на эльбрусах) теперь у нас есть сервер с Ubuntu.

Но вообще если так дело пойдет, то американцам не Китая бояться надо, а появления независимых ни от какого импорта мощностей по производству процессоров у Росссии, Северной Кореи и Ирана.

vitus_wagner: My photo 2005 (Default)

Замучали нехорошие боты брутфорсить мой ssh. Все равно же PasswordAuthentication no. Но долбятся с такой силой что уже мне зайти мешают, MaxStartup переполненный. Поставить что ли fail2ban? Или в эпоху ботнетов в этом нет никакого смысла? Я вот смотрю в логи и вижу что число коннектов с одного IP двухзначное. Ну то есть больше 80 неудачных коннектов ни с одного IP с момента ротации лога нет. А адресов 261. Это мне fail2ban dos-атаку на iptables не устроит?

Или повесить два разных экземпляра sshd на внешний интерфейс и vpn-овский?

vitus_wagner: My photo 2005 (Default)

Тут возникла идея для защиты от блокировки openvpn посредством dpi использвать openvpn-xor патч. Поглядел я на этот патч и у меня возникло устойчивое впечатление что от данной поделки надо держаться подальше

Обсуждение патча на сайте людей которые его распростнаяют со своим продуктом содержит следующие моменты

1) As the OpenVPN developers point out, the patch has never been through a thorough review for security, coding, etc. However, a Tunnelblick developer has reviewed the patch, found some problems, and modified it in Tunnelblick to resolve those problems. The problems that were found and fixed involved insufficient parameter validation, null pointer dereferences, division by zero errors, and a buffer overflow. Some defensive programming was also added to the modified version of the patch to increase its robustness.

2) The original post proposing the patch claims that using the patch is sufficient to secure communications and that no other encryption is necessary:

"With this obfuscate option, I think that it is ok to use "cipher none", because working out the method used would take a lot of cryptoanalysis. The obfuscate option is also much easier on the CPU than any cipher options This is incase you are using ddwrt or openwrt or have a low speed cpu."

Do not take this advice! The obfuscation provided by this patch appears to be extremely rudimentary. Beware of cryptographic advice from amateur cryptographers!

Сам патч при этом близок к тривиальному см исправленную версию. При этом попатчить man-страницу, добавив описание опции scramble не осилил ни оригинальный автор, ни разработчики tunnelblick.

Разработчики openvpn сказали авторам патча "ребята вы охренели, используйте лучше obfsproxy". Правда, основной их резон "мы не хотим играть в кошки-мышки с Великим Китайским Файрволлом".

Основной мой резон, почему мне не нравится идея применить этот патч - это правило 13-удара часов. "Если часы бьют 13 раз, то это заставляет сомневаться не только в 13 ударе, но и в остальных 12".

Если автор сумел насажать буфер оверфлоу в таком простеньком патче, то может ну его всё-таки нафиг, пользоваться его творчеством. Хотя говорят, Великий Китайский Файрволл пробивает по-прежнему, несмотря на то, что патчу уже больше 10 лет.

X-Post to LJ

vitus_wagner: My photo 2005 (Default)

Что-то последнее время какая-то эпидемия атак на телеграм. Мало того что пишут в телеграм с фейкового аккаунта директора, причем подделанного крайней аккуратно - с копированием юзерпика и все такое, теперь повадились угонять реальные аккаунты сотрудников.

Делается это путем социальной инженерии. Человека просят за что-нибудь проголосовать и подтвердить выбор вводом кода из СМС. А вредоносный сайт для голосования на самом деле использует эту СМС для авторизации в телеграме.

По-моему основаная причина этого всего безобразия в том, что телеграм это пресловутая "глобальная деревня". Плоское пространство имен без какой-либо структуризации по доменам. Соответственно человек и ведет себя в нем как в тесном кругу знакомых, где все всех знают. А на самом деле в этой сети миллионы людей.

Плюс к тому телеграм представляет собой странное смешение мессенждера, для которого характерен обмен личными сообщениями между знакомыми по другим каналам людьми, и социальной сети, которая по охвату аудитории является средством массовой информации.

Вот как-то распространение почтового спама и фишинга мы пережили горазло легче. Понаставили себе всяких спамассасинов, и живем. Возможно, потому что несмотря на все усилия гугля. яндекса и mail.ru, превратить пространство имен электронной почты в плоское, все равно все более-менее информационно продвинутые конторы (включая даже МФЦ) используют корпоративные домены электронной почты. Ну а в корпоративных доменах усилиями, что удивительно, того же гугля, сплошь и рядом SPF,DKIM, DMARC, и хрен подделаешь.

Кстати, по-моему лично у меня телеграм это единственный канал коммуникации где не разделяются рабочие и личные контакты. Потому что не умеет он. В почте - разделяются, в матрице, разделяются. Whatsapp и Skype я просто в рабочих целях не использую. А телеграм вроде и чисто рабочий, но туда периодически попадают люди знакомые по другим причинам - [livejournal.com profile] nasse, [livejournal.com profile] beldmit.

Вообще надо на работе объявить что телеграмом я не пользуюсь и все желающие ко мне обратиться в мессенжере пусть делают это через matrix. [personal profile] nataraj это уже сделал и вроде ничего.

vitus_wagner: My photo 2005 (Default)

Рассказ Азимова "Хоровод" где описаны роботы, неспособные сдвинуться с места без человека на плечах, опубликован в марте 1942 года.

Больше 80 лет прошло и теперь опять приводят как "одно из базовых правил информационной безопасности - в учётки людей могут ходить только люди, в учётки программ/ботов могут ходить только программы/боты. Именно для этого принято разделять логины по user/password и secret id." (цитата из нашего корпоративного чата).

Что характерно, всякие яндексы теперь требуют специальных аксесс-токенов даже от робота с человеком на плечах, например от интерактивного почтового клиента.

Я уж не говорю что это очень удобно, когда ты можешь завести робота, который по крону будет выносить корзину с удаленными письмами из твоего imap-аккаунта, качать vcard-ы из корпоративного лдапа в твою записную книжку и т.д.

X-Post to LJ

vitus_wagner: My photo 2005 (Default)

Вот раньше у меня на сервере таймзона была MSK (GMT+3). Сейчас когда переехал на новый сервер там, в соответствии с его физическим расположением в пространстве стоит CET (GMT+1). В результате скрипты для перезапроса летсенкриптовских сертификатов стали запускаться тогда, когда я уже встал и сижу за компом.

Соответственно, открываю сутра почту, вижу письмо.Generating CSR for domain и не вижу Requesting new certificate и Deploying new certificate. Они придут позже. Это несколько напрягает - вижу что процесс начался, но не завершился.

Вот думаю, таймзону там перестаивть или поправить время запуска этих скриптов, чтобы запускались когда я сплю.

vitus_wagner: My photo 2005 (Default)

Тут некоторое время назад я писал про появление белого списка VPN. Что до наших контрлоирующих органов наконец дошло что не все VPN предназначеные для обхода цензуры, а некоторые - для обслуживаниея критичной инфраструктуры.

Вчера в нашем корпоративном чате можно было наблюдать в реальном времени репортаж о применении этого нововведения. Как наши сисадмины добивались от Билайна при посредстве Роскомнадзора чтобы они не создавали препятствий для работы наших удаленных сотрудников. Добились. Но ближе к концу рабочего дня.

В процессе был момент, когда письма на билайновские адреса поддержки стала возвращаться по причине переполненности ящика. Видимо мы не одни такие успели вписаться в белый список, и очередная попытка блокировать openvpn, вызвала волну писем "а нашу ВПН вы блокировать не имеете права, у нас пайцза есть".

vitus_wagner: My photo 2005 (Default)

https://www.computerweekly.com/news/366554957/Why-only-1-of-the-Snowden-Archive-will-ever-be-published

Вот тут пишут что NSA получило доступ к российскому СОРМ. Ну это как бы не удивительно. Если одна спецслужба делает себе бэкдор к коммуникационным компаниям, другая, враждебная, этим бэкдором обязательно воспользуется. И единственный способ защитить секреты от врагов - не пытаться туда сунуть нос самим. Что характерно, британцев, пытыющихся запретить e2e-encryption то, что их же собственная GCHQ получила доступ к аналогичным системам других стран, ни на какие мысли не навело.

vitus_wagner: My photo 2005 (Default)

https://www.opennet.ru/opennews/art.shtml?num=59965

https://www.linux.org.ru/news/security/17386475

https://habr.com/ru/news/768914/

Пишут что оказывается усторить MiTM атаку на протокол ACME и получить сертификат на чужое доменное имя - крайне несложно. Если у тебя есть вообще возможность быть in the middle. Между целевым сайтом и остальным интернетом.

X-Post to LJ

vitus_wagner: My photo 2005 (Default)

https://iz.ru/1557444/2023-08-11/v-gosstrukturakh-nachali-testirovat-smartfony-na-otechestvennoi-os-avrora

«Таким образом, полученная российскими спецслужбами информация свидетельствует о тесном сотрудничестве американской компании Apple с национальным разведсообществом, в частности АНБ США, и подтверждает, что декларируемая политика обеспечения конфиденциальности персональных данных пользователей устройств Apple не соответствует действительности», — говорится в сообщении силового ведомства.

После этого ряд ведомств, среди которых Минпромторг, Росавиация и Минтранс, а также некоторые госкомпании и госкорпорации, запретили своим сотрудникам использовать iPhone в служебных целях.

2023 год на дворе. iPhone уже 16 лет на рынке. И наконец хотя бы до кого-то стало доходить, что это нельзя использовать если тебе дорога твоя информация. Интересно когда наконец с сервисами Гугля так же поступать начнут?

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

June 2025

S M T W T F S
1 23 4 56 7
89 1011 12 13 14
1516 17 18 192021
2223 2425 2627 28
2930     

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 1st, 2025 08:35 am
Powered by Dreamwidth Studios