LINUX.ORG.RU

Избранные сообщения snaf

Cloudbleed

Форум — Security

Аноны тоже хотят обсудить Проблема в инфраструктуре CloudFlare привела к разглашению приватной информации 4 миллионов сайтов

Проблема у cloudflare аналогичная heartbleed, когда злоумышленник мог смотреть неинициализированную память удалённого сервера, получая таким образом доступ к plain text данным: паролям, сообщениям и т.п. Однако, в heartbleed для этого требовался специальный malformed запрос. Cloudflare же выплёвывал эти данные самостоятельно так, что их (приватные сообщения на сайтах, персональные данные, пароли) проиндексировали даже поисковики.

Уязвимость обнаружил сотрудник G, который потратил десятки часов (в том числе своих выходных) на изучение проблемы. Как положено, cloudflare были проинформированы. Они взяли 90 суток на исправление. По истечение этого времени, сотруднику G дали самую большую bug bounty награду - футболку с логотипом cloudflare и опубликовали пост, где исказили суть уязвимости так, как будто это и не уязвимость вовсе.

Таким образом, cloudbleed можно смело назвать уязвимостью года.

 , , , ,

ThrowOut ()

Медведев сделал гадство.

Форум — Talks

Медведев отложил введение электронных паспортов

Надеюсь, что эти два года будут проведены не зря. Чего мне лично хочется от электронного паспорта:

  • NFC с возможностью прочтения паспортных данных с фото и записи по шифрованному протоколу
  • Вменяемого приложения госуслуг на Android, с функционалом «Приложи по NFC паспорт - получи услугу онлайн или забери документ у курьера».
  • Уведомительных процедур прописки и брака с новым паспортом. Переехал - введи адрес и приложи карту.
  • Минимизация нахождения гражданина без карты в формате «Срок действия завершен - оставь тикет онлайн, обменяй паспорт досрочно». При этом до активации нового действителен старый паспорт.
  • Идентификация по паспорту в банках (Хотя б в Сбербанке первое время). Забыл дома банковскую карту - получи деньги в любом банкомате, приложив паспорт к NFC кругу и введя секретный код + 3dsec.

А чего вы бы хотели от электронных паспортов?

 , ,

Athor ()

Одноплатник для олдовых консолей

Форум — Linux-hardware

Всем привет, задумал поиграть в старые игры с соответствующуей системой заточенной только на игры (управление джойстиком, интерфейс, встроенные эмуляторы\дрова etc). Нужен самый бюджетный одноплатник на который легко встанет, например, retropie. Или взять андроид свисток и поискать оболочку для этого дела? Критерий - максимально дешево и доступно собрать игровую станцию для старых 8-16 битных игрулек.

 , , ,

xobxobxob ()

Ха-ха, вот так: текущая ситуация с ntp.org

Форум — Talks

Сервера входящие в группу pool.ntp.org используются известным проектом shodan для сканирования клиентов.

Лука Бруно (Luca Bruno), разработчик Debian, говорит:

In summary, some machines (which seem related to the shodan.io scanning project) are actively participating in pool.ntp.org as IPv6 endpoints. However, clients connecting to them for NTP timesync, are subsequently scanned by probes originating from *.scan6.shodan.io hosts.

Далее приводит пруф, и слезно умоляет что-нибудь сделать:

For ntp.org admins: can those rogue server be expunged from the pools, and the whole shodan.io situation clarified? (Brad's post has a comprehensive endpoints list and helper tools for detection)

For oss-sec crowd: is there anything we can do to improve the situation and avoid similar cases in the future? Should crowd-sourced and fundamental services like this be encouraged to move to a stronger WoT?

Версия Ъ

 , ,

gh0stwizard ()

Посоветуйте солидную книжку по IPv6

Форум — Talks

Хочется хорошо разобраться с IPv6 и смежными технологиями. Постоянно проблемы у меня с ним, как ни столкнусь, не хватает знаний. Хочется хорошую книжку от начала и до конца всё описывающую.

 ,

Legioner ()

Однострочник

Форум — Talks
echo "main(i){for(i=0;;i++)putchar(((i*(i>>17|i>>9)&46&i>>3))^(i&i>>10|i>>100));}" | gcc -x c - && ./a.out | aplay

 

TheAnonymous ()

Как в apache ограничить количество одновременных запросов с одного IP к Location?

Форум — Admin

Доброго времени суток

Сабж. Штатной возможности похоже нет.

Пытаюсь сделать через mod_security по аналогии с rate limit:

    ############################################################################
    # modsecurity
    ############################################################################
    SecRuleEngine On

    SecAuditEngine RelevantOnly
    SecAuditLog /var/cache/modsecurity/audit.log

    SecDebugLog /var/cache/modsecurity/debug.log
    SecDebugLogLevel 9

    SecAction id:'12341',phase:1,initcol:ip=%{REMOTE_ADDR},pass,nolog
    SecAction "id:'12342',phase:5,setvar:ip.somepathcounter=-1,pass,nolog"
    SecRule IP:SOMEPATHCOUNTER "@gt 2" "id:'12343',phase:2,pause:300,deny,status:509,setenv:RATELIMITED,skip:1,nolog"
    SecAction "id:'12344',phase:2,pass,setvar:ip.somepathcounter=+1,nolog"
    Header always set Retry-After "10" env=RATELIMITED
    ############################################################################

Перезапускаю апач, проверяю через apache benchmark с другого хоста:

~$ ab -c 50 -n 150 <URL>
[...]
Concurrency Level:      50
Time taken for tests:   5.256 seconds
Complete requests:      150
Failed requests:        0
Write errors:           0
[...]

В логе apache тоже нет 509 кода, только 200. В /var/cache/modsecurity/debug.log видно, что счётчик ip.somepathcounter не превышает 1:

# grep -i somepathcounter /var/cache/modsecurity/debug.log | grep Relative | cut -d ' ' -f 4- | sort | uniq -c
     26 Relative change: somepathcounter=0-1
    150 Relative change: somepathcounter=0+1
    150 Relative change: somepathcounter=1-1

Сижу и пытаюсь понять, где я ошибся

update. nginx не предлагайте, сейчас у меня цель - научиться ограничивать запросы в самом apache

 , ,

router ()

Релиз DPI Carbon Reductor 4.0.3

Новости — Проприетарное ПО
Группа Проприетарное ПО

Вышла в свет 4.0.3 версия российского софтверного DPI под Linux - Carbon Reductor.

Carbon Reductor специализируется на фильтрации больших объёмов http-трафика у интернет-провайдеров, основная задача - блокирование сайтов из единого реестра Роскомнадзора и других источников.

Самая главная новая возможность - редирект пользователя на страницу о блокировке, реализован в виде модуля ядра Linux (target-модуль iptables). По сути он реализует tcp-session-hijack - пользователю подготавливается поддельный HTTP-пакет с Location 302 и отправляется от имени ресурса, к которому он обращался. Для гарантированной фильтрации после этого и абоненту и ресурсу отправляется tcp-rst пакет.

Дополнительно появилось множество не столь значительных, но приятных для администратора сервера плюшек:

  1. Автоматическая ежечасная диагностика с исправлением популярных проблем и подсказками как исправить то, что автоматически исправить не удалось;
  2. Отчёты по диагностике при возникновении ошибки для администратора и технической поддержки, отправляющихся на указанную в настройках почту;
  3. Автоматическая настройка сети и конфигурация ebtables и iptables для приёма и сканирования зеркала трафика с коммутатора;
  4. Три варианта обновления: ручное, автоматическое на все devel-версии или только на master с критическими исправлениями;
  5. Автоматический тюнинг параметров ядра Linux, для работы с большим количеством соединений;
  6. Опциональная поддержка списка Минюста (да, да, того самого на 85% состоящего из синих DVD дисков с аудиофайлом 1488.avi, в нём таки есть URL ресурсов, а провайдеров заставляют их банить).

Мануал по Carbon Reductor на xgu.ru

>>> Источник - carbonsoft.ru

 , , , ,

weirded ()

nDPI как замена l7filter

Форум — General

Если кому интересно, то вот рецепт

На большом потоке ( >300мбит/с ) c большим числом протоколов (>20) используется примерно 40% одного ядра Intel(R) Xeon(R) CPU E31230@3.20GHz. Если поток больше или процессор слабее, то включаем RPS или используем сетевые карты с multi-queue и irq-affinity :)

Требуется много памяти. На каждое соединение расходуется примерно 800+264*0.7 байт.

Исходники теперь есть на https://github.com/vel21ripn/nDPI/tree/netfilter

 ,

vel ()

Задачи с собеседований на интеллект.

Форум — Talks

Подкиньте еще логических задач с собеседований. Примеры таких:

  1. Встретились два старых друга, не видевшиеся уже довольно долго. Оба когда-то вместе учились на Физтехе. Вот их диалог: — Я слышал, у тебя дети появились. — Да, три сына. — И сколько им лет? — Ну... В сумме — тринадцать! — Хм... Загадками хочешь говорить? Ну ладно. И что еще можешь сказать? — Если возрасты перемножить, получится как раз столько, сколько окон у вооон того дома. — Но этого всё еще мало! — Могу добавить, что мой старший сын — рыжий. — Ну теперь совсем другое дело. Им ... (далее следует ответ) — Правильно! Сколько же лет им было?

  2. Три мудреца поспорили, кто из них самый умный и обратились к четвертому, чтобы он их рассудил. Судья сообщил мудрецам, что у него есть три белых колпака и два черных, после чего надел каждому белый колпак на голову так, чтобы каждый видел только колпаки двух других мудрецов. Мудрецам требовалось угадать цвет колпака на собственной голове. Через некоторое время один из мудрецов сообщил, что у него на голове белый колпак и выиграл состязание. Как он смог догадаться?

  3. Человек находится в ж.д. составе, замкнутом в кольцо. Случайным образом в каждом вагоне включен или выключен свет. Окна закрыты. Человек может только переходить из вагона в вагон и включать и выключать свет. Как ему узнать длину состава? UPD: У него с собой никаких предметов, ничего что бы он мог оставить, нельзя портить вагоны и испражняться в них.

  4. Жил-был султан, и был у него совет из множества мудрецов. Решил он, подсократить их, выбрать самых умных, а остальных казнить. Для этого вызвал их и сказал: «Сегодня вас всех посадят в темницу, завтра завяжут глаза, выведут на площадь у дворца, каждому наденут на голову черный или белый колпак, построят в шеренгу, что бы каждый видел всех перед ним и никого за ним, после чего всем развяжут глаза. Каждого, начиная с последнего, спросят, какой на нем колпак, если он не угадал - его казнят». Что могли придумать мудрецы, что бы минимизировать свои потери?

  5. На одномерную планету приземляются два робота, откидывают парашюты и начинают искать друг друга. Робот может раз в секунду поехать направо, поехать налево или постоять на месте (скорость у робота постоянная). Кроме того, робот может определить, есть ли рядом с ним парашют, и есть ли рядом с ним другой робот. Как им встретиться? Программа роботов одинакова.

  6. У вас есть стоэтажная башня и два идентичных стеклянных шара. Как за минимальное число попыток определить наименьший этаж, при падении с которого шар разбивается?

  7. В квадратном торте какой-то умник вырезал прямоугольное отверстие (не обязательно параллельное сторонам квадрата). Как поделить ровно пополам то, что осталось от торта?

  8. В тюрьме сидят 10 заключенных, каждый — в одиночной камере. Общаться между собой они не могут. В один прекрасный день начальник тюрьмы объявил им, что предоставляет всем шанс выйти на свободу на следующих условиях:

    «В подвале тюрьмы есть комната с переключателем, имеющим два состояния: ON и OFF («вкл.» и «выкл.»). Каждую ночь я буду приводить в эту комнату ровно одного заключенного (выбирая его абсолютно случайно) и через некоторое время уводить. Находясь в комнате, каждый из вас может либо изменить положение переключателя, либо ничего с ним не делать. Персонал тюрьмы трогать этот переключатель не будет. В какой-то момент один из вас (любой) должен понять, что в комнате побывали все заключенные, и сообщить об этом. Если он окажется прав — всех отпустят, если ошибется — все вы навсегда останетесь в тюрьме. Я обещаю, что в комнате побывают все заключенные, причем каждого будут приводить туда неограниченное число раз».

    После этого заключенным разрешили собраться и обсудить стратегию действий, а потом развели обратно по камерам.

    Могут ли заключенные гарантированно выйти на свободу, и если да, то как им этого добиться?

Кто какие еще знает? Составляем коллекцию.

 , ,

CatsCantFly ()

Что использовать для администрирования?

Форум — Admin

Комплексный вопрос, поэтому такой мутный заголовок.

Я работаю в компании, которая занимается SaaS-решениями. Со стороны бекенда это выглядит как код на питоне (django, flask, прочая лабуда), запускаемый через uwsgi и тупо слушающий запросы от клиентов. Каждое клиентское приложение (просто процесс, ассоциированный с определенным клиентом) запускается с отдельными переменными окружения, может иметь чуток разные настройки. Основными задачами являются:

  • Деплой нового кода
  • Поднятие приложений для новых клиентов
  • Мониторинг (логи, ошибки, статистика)

Сейчас для всего этого я использую самописный сервис, который готовит базу, окружение, тянет сорцы и следит за запуском. По структуре он похож на макароны и заточен ровно под эту задачу.

Периодически поддержка этого сервиса становится сложной и я задумываюсь о переезде на что-нибудь новомодное. Сейчас читаю про решения Canonical (Juju, LXD, Snappy) и те, с которыми они связаны (Docker, OpenStack), но из-за слишком большого количества маркетингового булшита не могу понять, нужны они мне или нет.

По частям:

  • Docker

    Насколько я понимаю, его основными плюсами считаются контейнеризация и контроль зависимостей в одном пакете. Имея более 500 приложений, насколько будет велик оверхед запуска каждого из них в контейнере?

  • OpenStack

    Не до конца понимаю суть. Абстрагировать администрирование от железа? В каких случаях его использование будет наиболее удобно?

  • Juju

    Выглядит как оркестрировалка сервисов для ленивых. Тот же вопрос: юзкейсы, зачем, почему, что делает лучше?

  • LXD

    LXC + REST API?

Хотелось бы услышать какие-нибудь практические мнения касательно этих технологий, и, при возможности, советы по использованию или рекомендации.

 , ,

Spectator ()

Поставь линукс - прокачай реакцию

Форум — Talks

Есть онлайн тест скорости реакции http://www.ifastest.ru/
Мои результаты в линуксе всегда лучше чем в винде, где-то ~180 против ~200. Графическая система линукса таки быстрее, или может это юсб подсистема так влияет?

 ,

Novell-ch ()

Gentoo и недохассвелы

Форум — Linux-hardware

По сабжу: Имеется ноут с Pentium 3550M и желание поставить на него Gentoo. И все бы хорошо, да не знаю, какой march и mtune для него прописать. По техпроцессу вроде как Haswell, но по характеристикам и поддерживаемым плюшкам - не дотягивает до Core i3 Sandy Bridge. Помогите, люди добрые, если кто с этим дело имел.

 , ,

Meyer ()

Яблоко надкусили

Форум — Talks

Короче говоря по тем документам, которые всплыли начиная с 2010 года Центральное то-самое управление направлено встраивает бэкдоры, взламывает firmware, разрабатывает специальное ПО направленное на полную компрометацию яблочной продукции и финансирует конференции и независимых исследователей, которые занимаются взломом яблочных устройств и ПО. Судя по всему есть и успехи по взлому шифрования используемого на разного рода устройствах яблочной экосистемы. Сама Apple отрицает сотрудничество, вмешательство и возможность взлома firmware и ПО на своих устройствах.

By targeting essential security keys used to encrypt data stored on Apple’s devices, the researchers have sought to thwart the company’s attempts to provide mobile security to hundreds of millions of Apple customers across the globe. Studying both “physical” and “non-invasive” techniques, U.S. government-sponsored research has been aimed at discovering ways to decrypt and ultimately penetrate Apple’s encrypted firmware. This could enable spies to plant malicious code on Apple devices and seek out potential vulnerabilities in other parts of the iPhone and iPad currently masked by encryption.

Тут полная статья: https://firstlook.org/theintercept/2015/03/10/ispy-cia-campaign-steal-apples-...
В конце статьи по ссылке приводится часть документов, которые помогли в создании данной статьи.

 , ,

anonymous_sama ()

Статистика Nginx в Zabbix

Форум — Admin

Здравствуйте.

В интернете есть статьи как снимать статистику с nginx и отображать ее в Zabbix. Например: http://wiki.enchtex.info/howto/zabbix/nginx_monitoring

Но дело в том, что статистика снимаеться только с тех Virtualхостов, на которых настроен нужный location.

Как отображать в zabbix статистику со всего сервера nginx в целом? К примеру общее количество активных подключений на данный момент?

aidar5 ()

Принудительное разрешение DHT в qBittorrent назло плохим трекерам. А как вы боретесь с сетевыми жлобами?

Форум — Talks

Сейчас пошла такая мода - добавлять в .torrent файлы флаг «private», из-за этого блокируется DHT и обмен пирами PeX). И торрент-клиенты не удосуживаются добавлять опции для игнорирования сего безобразия (в страхе перед забаном на трекерах).

Меня это категорически не устраивало, ведь получалось, что на ровном месте софт диктовал мне, что можно, а что нельзя. Тратить много времени тоже было лень. Решение оказалось очень простым - грубый фикс libtorrent-rasterbar:

--- a/src/torrent_info.cpp      2014-11-29 06:18:52.000000000 +0200
+++ b/src/torrent_info.cpp      2015-02-28 19:00:42.059598517 +0200
@@ -1085,7 +1085,7 @@
                        m_merkle_tree[0].assign(root_hash->string_ptr());
                }
 
-               m_private = info.dict_find_int_value("private", 0);
+               m_private = false;
 
                return true;
        }

В результате основанный на libtorrent-rasterbar qBittorrent показал пиры по DHT и PeX на «приватных» торрентах. Красота!

А благодаря Gentoo мне достаточно положить патч в

/etc/portage/patches/net-libs/rb_libtorrent/00_always_disable_private_torrent_flag.patch

Пользуйтесь :)

А как вы боретесь с сетевыми жлобами?

P.S. Вдохновился этим тредом Как максимально распространять торренты с закрытых трекеров?

 , ,

Chaser_Andrey ()

TTS от гугеля (На замену festival)

Форум — Talks

Говорит довольно таки прилично, женским голосом, текст. Из требований - php_cli, php_curl, интернет. Пользоваться элементарно - ./say_google.php «текст»

#!/usr/bin/php
<?php
  $text = $argv[1];
  $uagent = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.872.0 Safari/535.2";
  $text = urlencode(iconv("UTF-8", "UTF-8", $text));
  $url= "http://translate.google.com/translate_tts?tl=ru&q=$text";
  $ch = curl_init( $url );
  curl_setopt($ch, CURLOPT_URL, $url);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt($ch, CURLOPT_HEADER, 0);
  curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
  curl_setopt($ch, CURLOPT_ENCODING, "");
  curl_setopt($ch, CURLOPT_USERAGENT, $uagent);
  curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 120);
  curl_setopt($ch, CURLOPT_TIMEOUT, 120);
  curl_setopt($ch, CURLOPT_MAXREDIRS, 10);

  $content = curl_exec( $ch );
  curl_close( $ch );

  $file = fopen("current.mp3","wt") or die("err");
  fputs($file,$content);
  fclose($file);
  system("mplayer ./current.mp3");
?>

 ,

warlock9000 ()

Шёл 2015 год...

Форум — Desktop

а в дельфине кде до сих пор не смогли реализовать фокус клавиатурного указателя на той же директории, из которой только что вышёл.

 ,

darkenshvein ()

Hollywood Technodrama — отведай «хакерского» интерфейса!

Новости — Open Source
Группа Open Source

Всегда, когда смотришь по телевизору голливудские фильмы или сериалы с бравыми взломами сверхзащищённых серверов Пентагона или мегакрутых космических станций, в глаза бросается одна вещь - непостижимый, завораживающий и бесполезный по своей сути интерфейс рабочего окружения компьютеров этих мегакрутых «хакеров». И зачастую хочется сделать у себя именно так же... Да, можно сделать это просто поставив awesome и запустив в нем пару терминалов да Conky, но теперь эта возможность стала гораздо проще и удобнее.

Дастин Киркленд и Кэйс Кук подготовили пакет Hollywood Technodrama, который симулирует работу хакерского консольного интерфейса в стиле голливудских фильмов.В пакете используются штатные открытые утилиты, знакомые многим пользователям GNU/Linux (htop, hexdump, apg, man, stat, tree, speedometer, jp2a, bmon, sshart, cmatrix и т.п.), которые в сочетании с мозаичной компоновкой окон, реализованной при помощи консольного оконного менеджера Byobu (надстройка над tmux или screen), создают достаточно эффектный интерфейс, так сильно похожий на пресловутый голливудский, так сильно любимый у тех самых мегакрутых «хакеров».

В процессе работы в разных окнах запускаются утилиты для показа логов, подсветки синтаксиса исходных текстов, отображения активности процессов, оценки нагрузки на CPU, мониторинга сетевых соединений, визуализации звукового спектра, показа картинок в псевдографике, генерации паролей и SSH-ключей, вывода содержимого разных областей /proc, /sys и /dev, древовидного представления разных директорий и прочие одновременно и полезные и бесполезные данные. Но все это вместе делает компьютер похожим на ту самую машину, с которой Нео смотрел в матрицу.

Пользователи Ubuntu могут поставить этот пакет из PPA и наслаждаться уже сейчас, а пользователи тестовых сборок Ubuntu с версией 15.04 могут просто набрать в так нелюбимой ими консоли

sudo apt-get install hollywood
и с превосходством посмотреть на пользователей предыдущих сборок, все еще мучающихся с неподвластным им терминалом и PPA.

Скриншоты: 1, 2, 3.

Видео: смотреть пример работы

>>> Официальная страница

 

Zhbert ()

opensuse 13.2 и кодеки

Форум — General

Друзья, всех приветствую!!!

Выручайте!! Поставил сусю, поставил нужные проги, потом вспомнил, что кодеков то нет... поставил те, что в «один клик». Короче - не работает. И через консоль вбивал и через один клик... Репозитории подключены: стандартные, пакман, vlc, мозила.

при этом - vlc вообще не открывает видео. стандартный проигрыватель открывает avi, но не открывает mkv...

Что делать??

 ,

CAHO ()