Woodpecker nest

Безопасность это не когда у вас высокие стены и ров, а когда вы знаете как отбить атаку и защититься.

Начал в тетрадке рисовать структуру системы. Чую что места маловато. Закажу завтра большую доску, метр на полтора. Будет где разгуляться.

Обычно во всяких срачах Linux vs Windows всегда находится кучка красноглазых линупсоидов которые уж точно знают почему Linux лучше чем Windows. В основном мне доводилось видеть следующие доводы:

1. Линукс удобнее потому что есть репозитории в которых очень много разного софта
2. Линукс безопасная система под которую нет вирусов
3. Линукс открытая система (open source)

Первые два пункта обсудим немного позже, сейчас же хочу остановиться на третьем. Обычно в качестве пользы «open source» приводят тот факт, что любой специалист (по системам безопасности или любой другой анестезиолог) может взять исходные коды, провести аудит, найти и возможно исправить ошибки. Этот тезис легко опровергает недавний баг в debian-specific патче к openssl, в результате которого все сгенерированные ключи были предсказуемы. Баг жил в Debian больше года, и подозреваю что обнаружился он из-за того что патч не встал на новую версию OpenSSL, и это заставило мейнтейнера таки заглянуть внутрь.

Теперь я хочу рассказать о том как же положить Linux на лопатки, да так чтобы он уже не поднялся. Основной тезис, на котором основан мой метод, прост, известен очень давно и звучит следующим образом: надёжность всей системы равна надёжности самого слабого звена. Если в системе задействованы люди, то самые слабые это они. Мы в свою очередь будем играть на двух полезных (для нас) качествах:

1. Скорость реакции. Наша задача быстрее среагировать на появление бреши в безопасности чем противник и попытаться пробить дыру раньше чем она будет закрыта
2. Чувство ложной безопасности. Тов. линупсоиды, признаёмся честно, кто и когда в последний раз проверял ключи и пути к репозиториям, кто на 100% уверен что таскает софт и апдейты из офф. источников, а не с какого-нить Васи Пупкина который в каждый пакет кладёт по троянчику? ;)

Этап первый: подготовка

Нам необходимо иметь информацию об уязвимостях. Для этого достаточно подписаться на множество доступных bug-трекеров и списков рассылки.

Также необходимо написать собственно червя который будет самостоятельно распространяться, обновляться и производить заражение локальной машины, о технологии заражения напишу ниже.

Необходим сервер на котором будут лежать инфицированые копии репозиториев.

Этап второй: основная работа

Здесь всё просто: читаем рассылки относительно новый уязвимостях. Для необходимых ошибок пишем эксплоиты и выкладываем обновление для нашего червя.

Технология заражения

Человек активно пользующий GNU/Linux и читающий opennet/LOR/etc. знает что ошибки находят регулярно. Благодаря мониторингу багтреков, наш червь всегда будет в курсе последних ошибок в ядре и различных сервисах. С некоторой долей вероятности мы можем «пробить» один из публично доступных сервисов и ждать пока не появится эксплоит для повышения привилегий (Local Privilege Escalation). А после того как мы стали рутом делаем следующие вещи:

• регистрируем себя в бот-нет сети и отправляем информацию о машине/системе куда нужно
• если данный подвид линукса нам неизвестен – ждём апдейт
• если же известен, то:
• подменяем ключи и пути к репозиторию на наш фейковый
• с помощью UPX-like техники внедряем себя во все бинари, при этом не забыв подправить где нужно (chucksum-ы пакетов, setuid.today, etc., это всё информация известная для конкретного дистрибутива)
• качаем/ставим модули ядра, патчи на софт, etc., в общем всё что нужно для того чтобы нас никак не могли найти (в рамках конкретного дистрибутива задача решаема). Сюда также можно добавить патчи для iptables & co предназначенные для сокрытия «нашей» сетевой активности.
• собираем как можно больше полезной и бесполезной информации о машине и отправляем куда нужно. Дистрибутив хоть и знаком, но не известно какие тараканы живут в голове у админа.

В общем где-то так, если чего-нить ещё вспомню (а то время позднее), то напишу ещё. Буду благодарен за замечатения, пожелания, исправления :)

Про новый рамштайн не писал только ленивый. :)

До конца осталось несколько песен, но в целом мне нравится. Не особо впечатлило только Ich Tu Dir Weh и B****, но послушаем ещё, может я чем-то не проникся ещё ;)

Ну что за жопа с железом то творится:

• Система на базе Atom 330 аля Zotac IONITX-A-E: мелкий БП, 2C4T, up to 4G мосха, но нет поддержки VT-x
• Система на базе Atom Z5xx: всё примерно как у предыдущего, только ядро одно/2T, зато есть поддержка VT-x
• Система на базе какого-нить Pentium DC E5300: производительность выше, 2C без HT, поддержка VT-x, но блин БП размером как вся система, впрочем можно подключить несколько таких систем к одному достаточно мощному

почему нельзя было просто добавить в 330 атом поддержку VT-x? Получился бы в итоге просто замечательный проц для домашнего и не совсем применения.

PS думаю на неё впендюрить OpenSolaris и Xen пользовать.

Появилась другая задача: поставить FreeBSD на zfs без каких либо разделов и прочего – zpool размером с винчестер и всё на нём. В предыдущем посте есть ссылки на инструкции по установке на различные конфигурации, а вот установку на zfs only пришлось додумывать самаму, ибо местами были разбросаны камни о которых никто не упоминал.

Есть у меня машинка под FreeBSD. Выполняет она роль домашнего сервера со всеми возможными и невозможными функциями. Пережила она уже много всяких переездов и апгрейдов, включая недавний переезд с ufs на zfs-root (вместе с ufs-boot, почитать о подробностях такого можно тут: Root on ZFS configuration with UFS /boot). Всё бы ничего, но вдруг в одном из страйпов забарахлил веник – начали сыпаться DMA timeout-ы, редко, но метко. На замену был куплен веник и появилась другая проблема: корректно перенести пока ещё живой zpool на другой веник. Заодно было решено отказаться от ufs-boot и перейти полностью на загрузку с zfs, благо фряха это позволяет с некотрых пор. В принципе документации на эту тему не то чтобы много, но что-то найти можно. Относительно zfsboot разные решения можно посмотреть здесь: ZFS boot on zfs mirror, Root on ZFS configuration (zfsboot), Setting up a zfs-only system.

Итак, исходные данные: два zpool-а построенные поверх gstripe: luna (system, 2x320, одна из которых сыпется) и tera (2x500). Переехать нужно будет на uranus (1TB, сюда переедет tera) и neptune (mirror, 2x500, на него переедет luna). При этом необходимо сохранить все свойства навешанные на файловые системы.

Этап первый, tera –> uranus.

Для этого пришлось написать небольшой скрипт. Работа достаточно проста: берём датасет из исходного пула, создаём аналогичный в приёмнике, переносим все нужные свойства и данные. Не переопределяются только mountpoint-ы, но в данном случае это было не смертельно, т.к. в данном случае dataset-ы не переопределяли точку монтирования. После переноса оставалось только поправить ссылки на новые mountpoint-ы и всё. Судя по ману всё подобную работу может сделать ключик –R у zfs send (если верить ману), но у меня было выпадение в корку где-то в дебрях libzfs и особо разбираться желания не было, проще было скрипт написать.

#! /bin/sh
 
SRC=tera
DST=uranus
 
ZFS=zfs
 
zfs list -H | grep "^$SRC" | while read line
do
  SRCDSET=`echo $line | cut -f 1 -d ' '`
  SIZE=`echo $line | cut -f 2 -d ' ' | sed -E -e 's/(,[[:digit:]]+)//'`
 
  echo Processing dataset $SRCDSET
  DSTDSET=`echo $SRCDSET | sed -E -e "s/^$SRC/$DST/"`
 
  echo '==>' Creating dataset $DSTDSET
  $ZFS create $DSTDSET
 
  echo '==>' Moving props
  zfs get -H all $SRCDSET | grep -E -v '(-|default|temporary)$' | grep -E -v 'inherited from' | while read prop
  do
    NAME=`echo $prop | cut -f 2 -d ' '`
    VALUE=`echo $prop | cut -f 3 -d ' '`
 
    if [ "$NAME" = "mountpoint" ]
    then
      VALUE=`echo $VALUE | sed -E -e s/$SRC/$DST/`
      continue
    fi
 
    echo '====>' Seting prop "$NAME" to "$VALUE"
    $ZFS set $NAME=$VALUE $DSTDSET
  done
 
  echo '==>' Moving data
  echo '====>' Creating snapshot
  $ZFS snapshot $SRCDSET@migration
 
  echo '====>' Copy data
  $ZFS send $SRCDSET@migration | pv -s $SIZE | $ZFS receive -F $DSTDSET
 
  echo '====>' Cleanup
  $ZFS destroy $SRCDSET@migration
  $ZFS destroy $DSTDSET@migration
 
  echo 'Done!'
  echo
done

Этап второй, luna –> neptune, будет немного позже. Stay tuned.

Вот меня один вопрос интересует. Если через S/PDIF вполне себе пролазит Stereo 24-bit 192kHz, тобишь ~9.2mb/s, то почему через него нельзя пропихнуть скажем 5.1 16-bit 44.1kHz? Или таки можно но я об это не знаю?

На дворе 21й век, а flac имеет ограничение на размер файла в 2GB. А я уже надеялся вместо одного dvd-audio (iso) получить один flac с вшитым cue. Последний хоть можно в foobar засунуть. Ых.

Стаття 197. Проживання без паспорта
Проживання громадян, зобов'язаних мати паспорт, без паспорта або за недійсним паспортом, проживання без реєстрації - тягне за собою попередження або накладення штрафу від одного до трьох неоподатковуваних мінімумів доходів громадян.

постим тестовое мессаго