Череп снова в деле! Рассказываем, как прошёл самый крупный CTF (на этот раз космический) от RUVDS и Positive Technologies.


Реальная фотография нашего спутника

Если вдруг пропустили — наше космическое событие.

Привет, Хабр! Вы, наверное, читали, что недавно RUVDS отправили свой спутник-сервер в космос. Это само по себе интересно, но есть ещё одна интересность. Оказывается, он хранит зашифрованные данные от криптокошельков — и я предлагаю вам сыграть в игру, которую мы разработали с Positive Technologies, чтобы взломать их.

26 мая 2023 года произошёл массовый дефейс веб-серверов национального сегмента сети интернет .РФ. В качестве цели атаки выступила CMS «Битрикс».

В ходе расследования выяснилось, что атака подготовлена заранее. Подготовка велась с 2022 года через известные уязвимости, включая CVE-2022-27228. Техническое описание см. на форуме разработчиков. Возможно, это самая крупная атака против национального сегмента .РФ в его истории.

Компания CyberOK выпустила отчёт c описанием атаки и разъяснением необходимых действий для того, чтобы удалить с сервера бэкдор, устранить уязвимости «Битрикса» и восстановить приложение. Также приведены рекомендации по защите веб-приложения.

Как-то раз мы сидели с другом и подумали: а что, если попробовать управлять вещами реального мира из мира виртуального?! Например, роботами. Мысль не новая, и в том или ином воплощении она широко распространена, например, в области IoT.

Немного забегая вперёд: в результате мы разработали роботов и систему удалённого управления. Один из видеороликов рабочих тестов системы заметили на телеканале НТВ, и нас пригласили на съёмки телепередачи "Чудо техники", которые прошли в Сколково, в Институте науки и технологий.

Но обо всём по порядку…

«КамАЗ» остановился, чтобы спасти конкурента

Довольно часто мы сотрудничаем с прямыми конкурентами. Иногда это вызывает вопросы. Например, относительно недавняя ситуация с оплатами с иностранных карт: благодаря своему финансовому прошлому мы одними из первых в РФ нашли практический способ сделать всё в белую без образования зарубежного юрлица и потом поделились им с прямо конкурирующими с нами хостинг-провайдерами.

Казалось бы, зачем? Ведь без карт они потеряют около 15 % оборота, и эти клиенты «размажутся» по рынку, а часть, возможно, перейдёт к нам.

Но нет, это работает не так. В стабильной модели конкуренция должна идти между системами в целом. Кто выстроит более мощный комплекс, который даст клиентам что-то, что будет сложно найти где-то ещё, тот и получит этих клиентов. На других уровнях гораздо выгоднее дружить.

Это довольно очевидно и понятно, но никто так не делает.

Мой знакомый предприниматель недавно выбирал часы: с прошлого ноября по начало мая. Не Rolex, не Vacheron Constantin, обычную повседневную модель «подо всё». Он изучил всё и прожужжал нам уши: механизмы, типы стёкол, расположение апертуры даты, безели, материалы шестерён, характеристики пружин, марки, модели, весь российский, швейцарский и японский рынок. И вот он гордо носит новые часы и на майских за мангалом впроброс говорит, что «купил в компанию ERP-шку». Я как бывший автоматизатор всего и вся в бизнесах всех мастей офигеваю и спрашиваю, а чего не проконсультировался. На что он отмахнулся «делов-то, оплатили и забыли» и ушёл укладывать купаты на решётку гриля. В моей голове не сходилось: выбирать полгода часы за 100 тысяч рублей и внедрить проект за 1,7 млн с нехилой ежемесячной арендой, как выяснилось, за неполный апрель («да у нас всё по базе, что мы как лохи»). А потом я вспомнил свои будни автоматизаторские и понял: либо я сейчас устрою ему разнос, либо статья. Статья на Хабр.

Про такое обычно не пишут посты и вообще всеми силами стараются аккуратно спрятать под ковёр. Но вы нас уже раза три спросили, почему мы подняли цены.

Отвечаю: потому что мы очень жадные!

Настолько жадные, что учли инфляцию, колебания курса, повышение стоимости лицензий Microsoft (а мы всё ещё не пиратим), допиздержки на серый импорт железа, повышение цен на IP-адреса и глобальное потепление. Повысили цены и всё равно остались примерно в 2–4 раза дешевле облака одного очень российского поисковика.

В общем, такие времена. Кто-то разливает молоко в пакет по 0,9 литра, а кто-то покупает в VDS-хостинг десктопное железо. Но мы уже выросли достаточно, чтобы понимать, что такое планирование вдолгую, и знаем, что важно нашим клиентам.

А нашим клиентам важно, чтобы всё шло без сюрпризов. Последние три года и так выдались удивительные, и какие-нибудь новости от хостинга — это не то, что они хотели бы.

В предыдущих двух материалах мы говорили про сам спутник-сервер RUVDS и сложности, которые возникали в процессе его создания. Для тех, кто подключился к нам только сейчас, это статьи: «Космические системы становятся персональными, а серверы — космическими. Зачем RUVDS свой пико-спутник» и «Сложности проектирования своего пико-спутника. Или спутник разработать — не блинов напечь».

А сейчас отвлечёмся от создания самого спутника-сервера, и перенесём своё внимание на средства его доставки в космос. Ведь в этом проекте новый не только форм-фактор, но и способ его доставки. Спутники тайнисат, как и кубсаты, запускаются с помощью пусковых контейнеров, но основная идея при создании нового форм-фактора заключалась в том, чтобы уменьшить количество новых разработок, которые бы привели к изменению способа доставки спутников в космос.

Так, пусковой контейнер для спутников формата тайнисат — это по сути, «материнский» космический аппарат форм-фактора кубсат. Получается такая «матрёшка». Кубсаты запускаются с помощью своих пусковых контейнеров, которые уже хорошо распространены на ракетах-носителях, как отечественных, так и иностранных. А уже кубсат несёт на себе пусковой контейнер тайнисат.

В Казахстан мы заходили ровно так же, как привыкли в Европах. Выбрали два ЦОДа по спецификациям из списка доступных дата-центров, нашли партнёра с каналами связи и свободными мощностями в выделенных секциях колокации и договорились, что встаём. Дальше мы выпустили стандартный пресс-релиз про то, что вот русская хостинг-компания открывает на территории Казахстана две площадки.

Дальше началась цепочка смешных и не очень совпадений.

«Коммерсант» и другие издания опубликовали наш релиз. Потому что есть дефицит хороших новостей про российский бизнес.

Из «Коммерсанта» про это узнал «Форбс Казахстан» и перепостил новость. Только вот есть нюанс. В релизе у нас было «на мощностях «Транстелекома» (мы вставали в их ЦОДы), но в бумажную газету почему-то попало в формулировке «совместно». А мы, напомню, вставали через их арендатора, условно, в секцию к магистральному провайдеру, брали несколько стоек для начала.

Кто-то из руководства «Транстелекома» пролистал за утренним чаем «Форбс» и узнал много нового. В частности, о своём стратегическом партнёрстве.

А тут надо сказать, что до этого на рынке случилась очень забавная (или не очень) история с газетной уткой. О ней мы тоже не знали, конечно же.

Продолжая тему легендарных микросхем, нельзя обойти вниманием замечательнейшую микросхему 7400, также известную на постсоветском пространстве, как К155ЛА3.

Давным-давно, когда деревья были большими, а я ещё учился в старших классах, на меня снизошло откровение от старших товарищей, что практически любое цифровое устройство можно собрать только на микросхемах К155ЛА3. Утверждение может показаться спорным, но ничто не мешает нам его проверить.

И поможет нам в этой проверке другое откровение: «Инверсия конъюнкции есть дизъюнкция инверсий». Заодно и разберёмся, что есть «конъюнкция», что есть «дизъюнкция», и причём здесь «инверсия».

В последнее время достаточно сильно выросла популярность различных VPN сервисов, и думаю, почти каждый, так или иначе, сталкивался с необходимостью получить доступ к тому или иному ресурсу, который по какой-либо причине недоступен на территории РФ. Да, есть множество бесплатных решений, которые позволяют спрятать свой IP адрес или получить доступ к нужному ресурсу, но, как говорится, «бесплатный сыр только в мышеловке», и такие сервисы, для обеспечения своего существования спокойно могут продавать всю информацию, содержащуюся в вашем трафике.

В связи с этим нам в поддержке также не удалось избежать вопросов о возможности поднятия своего VPN на наших серверах. Выделить хотел бы два вопроса: 1. IP-адрес будет принадлежать только мне, и другие пользователи не смогут его использовать? 2. Возможно ли с помощью VPN настроить доступ к корпоративной информации компании. Чтобы доступ был лишь с определённых IP? На оба вопроса ответ положительный. Одной из особенностей VDS сервера является то, что серверу присваивается статический IP-адрес, и на протяжении всего использования, он меняться не будет. Адрес может быть присвоен только одному серверу, так что другие пользователи, пока существует ваш сервер, не смогут им воспользоваться. То есть, и VPN настроенный на вашем VDS сервере всегда будет иметь один и тот же IP адрес.

31 марта по инициативе пользователей Reddit во всём мире отмечают День резервного копирования. Лучший способ отметить этот праздник — создать резервные копии данных, проверить и протестировать свои бэкапы.

На днях Slack объявил, что в марте 2023 года полностью прекращает деловые отношения с клиентами из России. Компания планирует приостановить любой доступ к рабочим пространствам россиян 21 марта 2023 года и удалить все имеющиеся там данные в течение следующих 60 дней. Также ранее корпорация Майкрософт заявила о прекращении использования лицензии на бесплатную версию Microsoft Teams с середины апреля 2023 года.

В связи с этим сейчас многие компании срочно ищут замену в виде более удобного, дешёвого и надёжного варианта для корпоративных коммуникаций. RUVDS предлагает своим клиентам решение на базе опенсорсного протокола Matrix.

В прошлой статье, помимо всего прочего, я рассказывал, как можно запустить Quake для DOS, загрузив DOS на современном компьютере. Отказ от использования эмуляторов позволяет погрузиться в прошлое наиболее реалистично, однако есть ряд недостатков:

• не на всех компьютерах можно поиграть со звуком;
• необходимо заменять файл в дистрибутиве Quake;
• невозможно поиграть по сети.

В этой статье я приведу решение, лишённое этих недостатков. Хотя оно подразумевает использование эмуляции, возможность игры в интернете позволяет забыть об этом. Обладая минимальными знаниями по работе в Linux, любой желающий может повторить это решение у себя.

В предыдущей статье серии мы обсудили важность сбора данных. В этой статье мы изучим роль мониторинга в наблюдаемости, особенно его связь с безопасностью, производительностью и надёжностью. Мониторинг необходим для выявления происходящих в продакшене проблем и выбросов, он позволяет командам DevSecOps выявлять и устранять проблемы до того, как они нанесут серьёзный урон. Мониторинг снижения производительности или подозрительной активности может вызывать алерты и автоматическое реагирование для изоляции потенциальных проблем или атак.

В этой статье мы подробно рассмотрим мониторинг, расскажем о нескольких примерах использования, дадим рекомендации, а также поговорим о том, как конкретно мониторинг способен повысить безопасность, производительность и надёжность при помощи наблюдаемости.

Если вы ещё не сыграли в нашу прорывную игру «Атомный Графъ», которую можно назвать, без ложной скромности, разработкой года, то самое время приобщиться. А сегодня мы расскажем, как создавали её, как защищали от читеров и какие призы приготовили для самых активных игроков.

Разрешение на пользование сотовым телефоном Nokia в 1998 году

Многие государства пытаются в той или иной степени контролировать информацию в национальном сегменте интернета: вводить цензуру, фильтровать трафик. Например, в США действует 11 федеральных законов для интернет-цензуры. Аналогичная ситуация в других странах. Но всё это бесполезно. Потому что информация хочет быть свободной. Как речной поток, она обойдёт любые барьеры на своём пути, говорили классики шифропанка.

Свой личный VPN — полностью легальный инструмент для безопасной работы в интернете. Вопрос в том, как долго продлится такая ситуация. И что делать, если использование этого инструмента ограничат? Некоторые уже начали готовиться к худшему сценарию.