Ещё совсем недавно, работать на серверах в облаке считалось чем-то экстраординарным. Однако, в плане безопасности, всё стремительно поменялось и теперь выносить физические сервера в облака стало жизненно важной необходимостью. Полагаю, догадываетесь по какой причине. Сегодня расскажу об одной интересной и практически бесплатной схеме построения такого облака на базе сетевого накопителя QNAP для удаленного доступа к терминальному серверу.

читать полностью →

Сегодня обойдусь без лишних предисловий. Если вы хотите узнать кто смотрел вашу страницу ВКонтакте или Инстаграм достаточно просто пройти по этой ссылке. Но, прежде чем кликнуть по ссылке, хочу попросить только об одном условии, не спешите скорее закрывать эту страничку и вы поймёте какую мысль я хотел до вас донести...

читать полностью →

Популярный мессенджер WhatsApp, принадлежащий сети Facebook, решил ужесточить борьбу с фейковыми новостями. На самом деле, идея здравая и намеренное распространение дезинформации через соцсети и всевозможные СМИ стало бичом нашего времени.

читать полностью →

Пару дней назад на моём макбуке в браузере выскочило предупреждение от Яндекса:

На вашем компьютере обнаружен вирус, подменяющий рекламные объявления. ПРОВЕРИТЬ

Хотя macOS и является более защищенной от вирусов, кликать по кнопке «ПРОВЕРИТЬ» я всё-таки не стал и первым делом проверил не затесалось ли случайно какое-то расширение в браузере (пользуюсь штатным Safari). Впрочем, ничего подозрительного не нашлось, потому предположил что это какой-то новый тип рекламных объявлений от Яндекса, но червячок сомнений остался.

читать полностью →

Меня всегда удивляли отдельные пользователи с манией преследования, которые заклеивают камеру на ноутбуках, но в то же время устанавливающие всякие автоматические ускорители интернета и прочие "улучшатели". Практически всегда на таким компьютерах находилась и утилита CCleaner, предназначенная для очистки и оптимизации Windows.

читать полностью →

Увидев такой абсурдный заголовок, вы можете упрекнуть меня в кликбейте, вроде стараюсь привлечь таким образом внимание. Однако, если дочитаете статью до конца, вы узнаете какой потенциальный риск скрыт за использованием модулей антивирусов вроде «безопасных платежей» при работе в личном кабинете любого банка и почему не стоит слепо доверять производителям антивирусов.

читать полностью →

Ещё в августе 2014 года специалистами по информационной безопасности из компании Security Research Labs была продемонстрирована глобальная уязвимость USB устройств позволяющая взламывать компьютеры с любой операционной системой и получившая название BadUSB.

читать полностью →

Сейчас интернет и цифровое телевидение пришли практически в каждый дом и к Сети подключается всё, плоть до утюгов и холодильников. В результате, одной из самых популярных целей для атак хакеров оказываются вовсе не компьютеры и мобильные телефоны, а роутеры различных производителей.

читать полностью →

Плохие новости для всех владельцев сайтов на MODX Revolution. Пару дней назад, а именно 20 июля, множество сайтов на этом движке были скомпроментированы злоумышленниками. Неделей ранее были выявлены критические уязвимости в MODX Revolution версии 2.6.4, позволяющие одним запросом стереть весь сайт или загрузить произвольный файл (например php-скрипт) и удаленно выполнять код (RCE). Также найдена уязвимость в дополнении Gallery.

читать полностью →

Последние пару дней прошли как в страшном сне в результате трагического ухода из жизни серверной материнской платы ASUS Z10PR-D16 (за что отдельное спасибо электрикам). Бесперебойник (к сожалению не управляемый) держался до последнего, отчаянно пища, но ему так никто и не пришёл на помощь и сервак вырубился аварийно.

читать полностью →

В связи с недавними обновлениями безопасности Windows, закрывающее уязвимости в протоколе CredSSP, парочка маков (mac mini середины 2007 года) потеряли доступ к терминальному серверу на базе Windows Server 2008R2.

читать полностью →

TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:60382, sid=c9c9a1f3 02ce9312
VERIFY ERROR: depth=0, error=CRL hasexpired: CN=client_name
OpenSSL: error:14089086:SSL routines: ssl3_get_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

Сегодня речь пойдет об одном нюансе, связанном со списком отозванных сертификатов (Сertificate Revocation List, CRL) в OpenVPN. Данный механизм применяется, когда требуется блокировать доступ отдельных узлов к сети (в случае увольнения сотрудника или подозрения что выданный сертификат скомпрометирован).

читать полностью →

Стремления отдельных стран взять под контроль или заблокировать ресурсы глобальной сети (мы не исключение) заставили многих пользователей узнавать о VPN, Tor, IP2P и прокси. И тут обычным пользователям открылась скрытая сторона привычного интернета, получившая название «даркнет» (Darknet). Несколько реже встречается упоминание Deepweb (глубокая паутина), но по сути это одно и то же.

читать полностью →

Нынешнее безумие вокруг криптовалют, а точнее жажда лёгких денег, привели к новому виду угроз в интернете с которыми уже столкнулось большинство пользователей сети.

читать полностью →

Времена меняются, а маразм в головах наших законотворцев год от года только крепчает. Никто не даст гарантии, что по очередному нелепому закону, какой-то комментарий или пост в сети, оставленный пару лет назад, нельзя будет причислить к экстремистским высказываниям. Промывки мозгов по зомбоящику уже недостаточно, теперь правительство всерьёз взялось за интернет. По доброй традиции, всё это проходит под видом борьбы с терроризмом, и в целом, заботой о нас с вами.

читать полностью →

Иногда бывает нужно зашифровать какой-то архив или отдельный файл, обезопасив таким образом доступ к нему посторонним. Несколько лет назад, я уже рассказывал о хранении шифрованных данных в облаке Яндекс.Диск, тогда рассматривалось создание шифрованного образа диска средствами Mac OS X.

Сегодня, будем шифровать данные с помощью библиотеки OpenSSL, входящей в состав любого *NIX дистрибутива. К сожалению, самый распространённый архиватор tar, не умеет самостоятельно шифровать данные, но мы ему в этом поможем.

читать полностью →

Решил дополнить последний пост о настройке OpenVPN сервера на FreeBSD 10/11. В прошлый раз, оставил без внимания вопрос об отзыве пользовательских сертификатов, а ведь данная тема, рано или поздно, встаёт перед любым администратором.

Как вы, наверное, уже знаете, начиная с 10-ой версии FreeBSD изменился процесс создания и управления сертификатами. Ранее для отзыва сертификатов использовался специальный скрипт revoke-full. Отныне, за все действия с сертификатами, в том числе и за отзыв, отвечает один единственный shell-скрипт easyrsa.real, что согласитесь, гораздо удобнее. Пример отзыва сертификата пользователя user01:

переходим в каталог easy-rsa
# cd /usr/local/etc/openvpn/easy-rsa
удаляем сертификат пользователя user01 из базы
# ./easyrsa.real revoke user01
создаем файл с отозванными сертификатами
# ./easyrsa.real gen-crl

Осталось скопировать полученный файл crl.pem в каталог с остальными ключами (в моём случае это /usr/local/etc/openvpn/keys/). Также не забудьте в конфиге OpenVPN сервера (server.conf) раскомментировать соответствующую строку о проверке отозванных сертификатов:

crl-verify /usr/local/etc/openvpn/keys/crl.pem

Ставил на прошлой неделе новый почтовый сервер. Изменения были весьма масштабными, кроме всего прочего, поменялся и статический ip, который ранее выдавал провайдер. Следствием этого получили очередной виток борьбы со всякими спамбазами, где адреса блокируются целыми блоками (вообще, конечно, это забота провайдера выдавать чистый IP-адрес, вот только заниматься такими вещами провайдеры считают выше своего достоинства). Но, сегодня речь не об этом...

читать полностью →

До Мелкософта наконец дошло что шифровальщики приобрели по-настоящему массовый характер, особенно это стало заметно после масштабных эпидемий WannaCry и Petya. Шифровальщики приносят весьма не плохие деньги, их уже стали продавать по схеме Ransomware-as-a-Service (RaaS) (вымогатель как услуга), таким образом приобрести и распространять его может практически любой желающий обогатиться подобным образом.

читать полностью →

Наверняка все уже в курсе, что 12 мая десятки тысяч компьютеров по всему миру стали жертвами атаки шифровальщика Wana Decrypt0r (он же WCry, WannaCry, WannaCrypt0r и WannaCrypt). Главными целями стали Россия, Украина и Тайвань. У нас же от Wana Decrypt0r пострадали Минздрав России, «Мегафон», РЖД, МВД, Сбербанк и это только самые известные. Наверное, это первый вымогатель на моей памяти, который попал даже в выпуски новостей по зомбоящику.

читать полностью →