Pull to refresh
4
0
Vladimir Pissarev @tempico

Пользователь

Увидел Ваш комментарий, купил стик. И, оказывается, он прямо из коробки не работает, не распознается. Стал гуглить, а такая проблема у большого количества людей и производитель вообще ничего не делает.

dmesg выхлоп при подключении устройства
dmesg выхлоп при подключении устройства

Дабы стик заработал, его надо переподключить раз 20 (это не шутка), и через некоторое время работы (30 минут, час, два) он все равно отключается и приходится кучу раз переподключать и вызывать dmesg.

Не уверен, что слово "беспроблемный" приемлем для этого стика за 60 евро. Про веб интерфейс вот с такими подробными ошибками я вообще молчу. 🙊

artem_s_shestakov вы упомянули, что в статье рассмотрите безопасность кластера. Однако, авторизации не было выделено ни строчки.

Я более чем уверен, что найдутся читатели, которые попробуют развернуть стэк по вашему циклу в облаке, и, к сожалению, большая часть кластеров будет взломана спустя несколько часов после старта сервиса на публичном интерфейсе. Авторизация хотя бы защитит от анонимного удаления всех данных с кластера одним curl'овым запросом.

Ваш цикл — нужен и полезен. Но уделите безопасности больше внимания — это действительно важно при работе с эластиком.
У меня есть догадки, что дело в том, как название этого бренда читается и слышится по-английски.
«Mi» — скорее всего американцы будут произносить как «my», «май». А «май пэд» уже слишком сильно похож на «айпэд».
У «типичного» пользователя приложение находится на экране продолжительное время, в виду листания ленты (часами) или чата. На iOS довольно сложно утащить альбом в фоне, потому что сервис будет убит примерно через 30 секунд активного использования сети. Но когда приложение на переднем экране — это проще. Если пользователь дал доступ к Photos, можно пройтись по альбому People — отличные данные для создания графа связей, все фотки уже распаршены самой системой.

Нет смысла смотреть альбомы когда вздумается и привлекать внимание (я бы так не делал). Рано или поздно все будет обработано, упорством самого пользователя.
Давайте посмотрим не на то, что на их сайте сейчас, а на то, что было, ну скажем, 25.03.2020.
Как я сказал:
Во всей шумихе с Zoom меня меньше всего интересует их маркетинг.
Надеюсь, я никого не обижу приведя в пример телеграм.
В телеграме тоже якобы end-to-end — но по-умолчанию чаты без шифрования. Да и «секретных групп» так-то вообще нет. Но «в целом» телеграм себя позиционирует как безопасный мессенджер. И
что-то это никого не тревожит.


P.S. в вашей выжимке c офф-сайта не вижу слова video/audio рядом с «end-to-end encryption». Там написано про встречи, а они могут быть полностью текстовые, нет?
А если компания не имеет обученного технического персонала на обслуживание багов SIP и готова платить деньги за готовое решение (где в случае падения сервиса во время совещания совета директоров поставщик услуг платит штраф за нарушение SLA)?
Как подключиться к такому митингу по SIP/телефонной линии?
В конференциях Cisco Webex и Google Meet тоже по-умолчанию парольная защита отключена. Но что-то это никого не тревожит.

End-to-end шифрование в Zoom и правда есть (не знаю, на сколько это шифрование стойкое). Только для чатов. То есть технически, они не соврали. Просто «оказалось» что end-to-end шифрование не работает для видео-конференций, как некоторые пользователи могли ожидать.

Во всей шумихе с Zoom меня меньше всего интересует их маркетинг. Я уже как-то научился отфильтровывать балабольщину от действительных технических state-of-art. И вообще, если вы работали с продажниками Cisco, то знаете, что есть ситуация когда:
Если компания утверждает, что эта функциональность есть, а потом выясняется, что компания под этим «модным словечком» понимает нечто другое, то как это называется?
И (наверное) понимаете, что энтерпрайз решения защищаются от таких проблем контрактами в 50+ А4 страниц и SLA.
Думаю автор никогда сам не пользовался Zoom, не владеет техническим бэкграундом и просто начитался паники в прессе.

Выяснилось, что Zoom преобразует в ссылки UNC-пути… Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom.

Zoom не преобразует ссылки в UNC пути. Наоборот, UNC пути становятся кликабельными ссылками. При нажатии на ссылку может утечь NTLM хэш учетной записи windows, а не сферический хэш Zoom в вакууме.
Еще раз: взломают не учетку Zoom, а ваши доверительные данные для входа в учетную запись Windows. Это больше проблема Windows, чем Zoom. В корпоративных средах с хорошим штатом администраторов вряд ли эту проблему можно будет эксплуатировать. Подробности тут.

Zoom не имеют должного шифрования и что сама компания может просматривать любые сеансы связи своих пользователей. А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: в 2020 году большую популярность приобрел так называемый «Zoombombing»

Сквозное шифрование — модное словечко, которое иногда неприменимо на практике. Когда в чате 2 человека — сквозное шифрование возможно (и даже нужно). Когда речь о трансляции на 10+ человек — сквозное шифрование становится близким к невозможному в полевых условиях. Идея сквозного шифрования в том, что сервер поставщика услуг не видит контента, его может расшифровать только конечная сторона. А теперь подумайте о накладных расходах во время конференц-связи с 10 участниками. В случае использования обычного TLS соединения до концеренц-провайдера, отсылается одна «копия» сообщения, которая потом передается остальным самим контент-провайдером. При использовании сквозного шифрования каждый из участников должен слать шифрованную копию сообщения (видео-потока) 10 другим участниками. Учитывая что средний размер потока при видеозвонках — 4 мегабита в секунду, это превращается в 40 мегабит. А если я присоединился к трансляции через 4G?

Современные энтерпрайз решения для видеоконференций состоят из множества компонентов и это не только ноутбук/телефон работника. Извиняюсь за мое высокомерие: в нормальных компаниях все совещания происходят через так называемые «митинг-румы», которые оборудованы дорогими камерами, следящими за разговаривающими, микрофонами и акустической системой. Такие «митинг-румы» не контролируются через «старый ноутбук в шкафу», а подключаются через SIP сервисы или проприетарные «коннекторы». Стоит ли упоминать, что эти железки просто не могут потянуть шифрование?

В случае, если я нахожусь где-то вообще без интернета, я могу подключиться к конференции позвонив с мобильного/настольного на телефонный номер компании и указав пин-код встречи. Это нам дает в целом вот такую картину.
image

Я понимаю, что вам проще объяснить пранки тем, что «сервис не имеет сквозного шифрования», но ведь дело может быть и в другом: в том, что пользователи не включают требование ввести пароль для входа в сессию. Я не шучу. Одна галка в настройках действительно может решить проблему.

На днях американское издание Washington Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках YouTube и Vimeo. (https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

Вы сами смотрели ссылку которую указали как пруф или просто снова поверили «желтым» переводам?
But because Zoom names every video recording in an identical way, a simple online search can reveal a long stream of videos elsewhere that anyone can download and watch. The Washington Post is not revealing the naming convention that Zoom uses, and Zoom was alerted to the issue before this story was published.

Many of the videos appear to have been recorded through Zoom’s software and saved onto separate online storage space without a password. It does not affect videos that remain with Zoom’s own system.

Разбираемся вместе: Zoom имеет 2 варианта записи сессий: в облако Zoom и на локальный компьютер. В облако могут писать все аккаунты Pro (платные, $15), но объем хранилища там 1 гигабайт. Этого хватает на 2-3 совещания. Если нужно хранить больше — каждый последующий гигабайт стоит $40 (называется Additional Cloud Recording Storage Add-on). Нет ничего удивительного, что люди вместо того, чтобы платить деньги, сохраняют совещания локально а потом выгружают: на ютуб, на vimeo, Google Drive, Mega и другие сервисы. Статья говорит о том, что люди сами виноваты в том, что делятся записями разговоров не защищая записи паролями. Zoom виноват только в том, что все записи имеют префикс названия файла. Совещания, которые записаны с использованием 40-баксовых планов этой проблеме не подвержены: каждая прямая ссылка на загрузку видео защищается CSRF токеном в заголовке и сессинной кукой. При попытке подменить ID видео — Zoom перенаправляет на страницу входа. Попробуйте сами.

Остальные страшилки автора вызывают такие же вопросы, но их уже может проверить любой нетехнический пользователь, так что я оставлю это комьюнити.
Есть возможность проверить утекшие пароли тоже.
Работает это так: берем sha1 хеш от пароля в шестнадцатиричной ASCII репрезентации, затем первые 5 символов от этого хеша отправляем на сервер HIBP. Сервер присылает нам 10-200 тысяч хешей обратно и по ним проходимся оффлайн for-loop'ом. Если есть полное совпадение по хешу — пароль утек. Если нет — значит нет. Нужды светить свой уникальный пароль полностью — нет.

Если нет желания отправлять даже маленький кусок пароля, с этой страницы торрентом можно скачать словари и проверить на утечку оффлайне. Стоит упомянуть, что оффлайн словарь в действительности не содержит все-все пароли. Только популярные (то есть которые попадались несколько раз).
По ссылке выше, коллекция дополнений именно для Safari for MacOS. Выбираем, например, AdBlock, ставим как обычное приложение, заходим в настройки Safari, ставим галку или две в extensions — готово.
Если что-то не блокируется — подключаем доп. списки, — все как обычно в других дополнениях.
Переезд в дополнений в AppStore позволил разработчикам зарабатывать на своих дополнениях, однако и привнес более жесткие правила модерации, чтобы, случайно, дополнение погоды не отправляло на сторону доверительные данные.

Если вопрос в том, что сафари перестал поддерживать какие-то API и много старых дополнений перестало работать — это случалось много раз и с Firefox, как-то ведь выкручивались :)
Бред. Есть много блокировщиков. Платных и бесплатных.
apps.apple.com/ee/story/id1377753262
В конечном итоге все эти штрафы будут отбиты за счет повышения цен. В этом году они уже подняли цену за аккаунты электронной почты с 3.33 евро за аккаунт до 5.20 евро.
А вы сами проверяли, что сертификаты одинаковые, а не генерируются локально при установке?

Я вот проверял. Сертификаты — разные. То же самое делает и касперский с включенной фильтрацией https.
Обычно первым делом всегда делается «образ» диска… В свой NAS забитый под завязку SSD'шками и HDD. Потом из образа либо делается iSCSI таргет, либо он просто монтируется в read-only. Скорость обработки с NAS выше чем просто с диска, да и с оригиналом напрямую работать — признак дурного тона.

Количество времени требуемое на то, чтобы откопать вкусноту — отличается от случая к случаю. На вскидку — несколько дней минимум.
Не думаю, что в статья ориентирована на пентестеров — вышеперечисленные тулзы им в общем-то не особо нужны. Чаще всего они раздербаниваются на модули и на основе всего этого создается свой личный пентест фреймворк.

Да и зря вы негодуете. В предыдущей статье автора был свой, упрощенный, довольно годный чеклист. И если каждый разработчик, пишущий свои велосипеды, по нему пройдется — веб станет куда качественнее.

Любопытным я бы посоветовал взглянуть еще на следующие репозитории:
github.com/stampery/mongoaudit
github.com/cure53/H5SC ( html5sec.org )
github.com/gchq/CyberChef ( github.com/gchq/CyberChef )
github.com/ant4g0nist/Susanoo
github.com/commixproject/commix
github.com/reinderien/mimic
github.com/operatorequals/oneliner-sh
github.com/1N3/IntruderPayloads
github.com/meirwah/awesome-incident-response
github.com/cchio/deep-pwning
github.com/minimaxir/big-list-of-naughty-strings
27к ошибок — выглядит как пасхалка, как бы намекает на соответствие ISO 27000 :)

Было интересно почитать, спасибо!
В чем отличие от вордпресса?
1

Information

Rating
Does not participate
Registered
Activity