Форум 'Информационная безопасность' на RSDN

Принципы сравнения номеров при проверке доступа

Mon, 06 Apr 2026 11:06:43 GMT

Со вчерашнего вечера имею продолжительный, но бесплодный секс со службой поддержки банка одной великой среднеазиатской страны, который возомнил себя круче ведущих мировых банков, и намутил такую развесистую "конфигурацию безопасности", которой я даже близко не видел ни в одном из банков, с которыми имел дело.

Вся проблема проистекла из того, что их приложение при входе запросило "номер паспорта", и я ввел его целиком, как и указано в соответствующем поле загранпаспорта, озаглавленном "Номер паспорта". Приложение ответило, что номер неправильный, я ввел еще раз — ответило то же самое. Я открыл в справку, там было сказано, "номер вводится без серии" (что само по себе безграмотно). Ввел только цифры после пробела — приложение заблокировало доступ.

И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?

Notepad++ взломан через систему обновлений

Mon, 02 Feb 2026 17:45:32 GMT

Здравствуйте!

Notepad++ взломан через систему обновлений — хабр

Чо делается-то

Если случайно запустил вредонос (без админа)...

Sun, 11 Jan 2026 13:18:47 GMT

Вопрос такой. Что делать, если случайно запустил вредонос. Всего лишь 1 раз. Взломали автора проги и он стал временно распространять прогу с зловредом.

Самый главный вопрос — чтобы оно не зацепилось в системе. В моменте, допустим, я не вводил пароли и не монтировал VeraCrypt. Т.е. оно не могло ничего сделать в моменте — разве что стащить файлы, но в тот момент только устанавливал систему и важных файлов не было...

Получается в идеале нужно восстанавливать систему из образа... Так же?

Потому что зацепиться оно могло так, что ты не найдешь. И не существует 100% достоверного способа его обнаружить.

Вот способы для зацепления:

Если программа запускалась без прав администратора, это ограничивает её возможности, но персистентность (автозапуск после перезагрузки/входа в систему) она всё равно может сделать на уровне текущего пользователя. Плюс есть риск, что она могла попытаться получить повышение прав через уязвимость/обход UAC — тогда ограничения уже не действуют.

Ниже — основные способы “зацепиться” без админ-прав (в Windows), и где это обычно проверять.

Что она может сделать без прав администратора (уровень пользователя)

1) Автозапуск через реестр (HKCU)
Самый частый вариант:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Это запускается при входе в аккаунт.

Как смотреть: Диспетчер задач → Автозагрузка (показывает часть), или Sysinternals Autoruns (лучше всего).

2) Папка “Автозагрузка” текущего пользователя
Ярлык/EXE могут положить сюда:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
Это тоже выполняется при входе пользователя.

3) Запланированная задача (Task Scheduler) от имени пользователя
Задачу можно создать без админа, если она запускается:

при входе в систему

по таймеру

при простое

Где смотреть: Планировщик заданий → Библиотека планировщика (и подпапки). Autoruns тоже показывает задачи.

4) WMI-подписки (WMI Event Subscription) в пользовательском контексте
Более “тихий” вариант автозапуска. Не самый частый, но встречается.

Где смотреть: Autoruns (вкладка WMI), либо специализированными утилитами/скриптами (но Autoruns обычно достаточно).

5) “Прилипание” через расширения/плагины приложений
Без админ-прав можно поставить/подменить вещи в профиле пользователя:

расширения браузера (Chrome/Edge/Firefox) и их политики в пределах профиля

автозагрузка через мессенджеры/игровые лаунчеры/Office add-ins (в каталоге пользователя)

подмена ярлыков/параметров запуска приложений в профиле пользователя

6) Дроп в AppData + запуск через легитимный процесс
Очень типично: файл кладётся в:
%LOCALAPPDATA%
%APPDATA%
и запускается через одну из точек выше.

7) Hijack на уровне пользователя (COM / file association / PATH в профиле)
Иногда делают перехват через:

per-user COM hijacking (в реестре HKCU)

ассоциации файлов (например, “.txt открывать вот этим”)

пользовательские переменные окружения/порядок поиска
Это сложнее в диагностике, но Autoruns тоже многое подсвечивает (особенно COM).

Что обычно требует админ-прав (но могло быть сделано при повышении прав)
Если вдруг она всё же получила админ-доступ, появляются варианты:
сервис (Windows Service)

драйвер
автозапуск в
HKLM\...\Run
“общая” папка автозагрузки для всех пользователей

изменение политик/защитника/прав

перехват системных DLL/компонентов
Как быстро проверить и вычистить (самые практичные шаги)
Отключить сеть (чтобы не тянула/не передавала данные).
Открыть Sysinternals Autoruns (от Microsoft) и посмотреть вкладки:
Logon, Scheduled Tasks, Services, Drivers, WMI, Browser Helper Objects/Extensions и т.п.
Ищите записи из
%AppData%
,
%LocalAppData%
, Temp, с “мусорными” именами, без издателя.
Проверить Диспетчер задач → Автозагрузка и Планировщик заданий.

Прогнать Microsoft Defender Offline (офлайн-сканирование) + при желании вторым мнением (Malwarebytes и т.п.).

Если есть подозрения на кражу паролей — сменить пароли (лучше с другого чистого устройства), включить 2FA.

Т.е. куча всего. Антивирус обнаружит только массовые сигнатуры, и то не сразу. Проактивная защита обнаружит только когда сильно системные функции юзаются.

Получается для чего все это сделано? Чтобы заставить платить. Ведь просто так чел. платить не будет — нужно его напугать — а у страха глаза велики. Вот когда риск утрат — чел. готов платить много. А если добровольно — не очень то...

Развод через "капчу"

Mon, 13 Oct 2025 09:44:46 GMT

Как создать контейнер на Рутокен Lite?

Sat, 09 Aug 2025 13:24:51 GMT

У меня российская ЭЦП лежит на eToken 5110. Глядя на постепенное смещение акцента на "отечественные" продукты, купил на всякий случай Рутокен Lite 1010. Винда его опознала самостоятельно как "Microsoft Usbccid Smartcard Reader (WUDF)", родная утилита rtadmin его видит и успешно форматирует, родная панель управления от SafeNet тоже видит, хотя и не может инициализировать.

Открываю КриптоПро CSP 5.0.12000 КС1, в списке поддерживаемых носителей Рутокен Lite присутствует. На сайте Рутокена пишут, что никаких дополнительных модулей для КриптоПро не нужно.

Нажимаю "Протестировать" — оно показывает пустое окно контейнеров, при этом индикатор токена непрерывно мигает. Делаю вывод, что на пустом токене контейнеров нет. Нажимаю "Установить личный сертификат", выбираю файл .pfx одного из тестовых сертификатов, где ключ хранится в файле, флаг "установить в контейнер" установлен по умолчанию — выдает "Ошибка записи свойств сертификата из контейнера закрытого ключа 'f21d8cbd6c05fd0707bca65ffffc8fd6_426f4d27-9fde-43bf-9e62-9e6d305c818c'".

Пробую сделать то же самое с eToken 5110, с которым КриптоПро нормально работает — "Ошибка записи свойств сертификата из контейнера закрытого ключа '1394eb14ba7b6b0507951459e8ce50d9_426f4d27-9fde-43bf-9e62-9e6d305c818c'".

Открываю поисковик, делаю запрос "как создать контейнер на Рутокен Lite" — выдает описания процедур через "Установить личный сертификат".

Еще пишут, что стандартный виндовый менеджер сертификатов, если при установке сертификата указать, что секретный ключ будет неэкспортируемым, якобы предлагает выбрать носитель для записи секретного ключа. Я такого не могу добиться ни с одним из своих носителей.

Что я делаю не так?

P.S.

Скачал софт от Aktiv Co., запустил rtcontrol_panel. Она видит носитель, выдает его характеристики, показывает пустое окно контейнеров. На вкладке Certificates выбираю Import. Выбираю файл, ввожу пароль — "Import error. Details: Cannot find object or property. CSP name: Microsoft Strong Cryptographic Provider". В выдаче certutil -csplist "Microsoft Strong Cryptographic Provider" присутствует.

Блин, как же бесит это вечное шаманство...

Фкантактеговый аккаунт вместо паспорта

Sat, 14 Jun 2025 14:50:48 GMT

Как считает сообщество, насколько удобно и безопасно будет организовано удалённое предъявление паспорта (и заодно всех документов с госуслуг)?
Нужно будет как в дедовские времена голосом просить жертву назвать код из СМС, или сделают удобно автоматически на уровне ядра?
https://t.me/bankrollo/43630
https://t.me/sevseal/8803

Вирус распространяющийся через bluetooth?

Thu, 12 Jun 2025 14:26:06 GMT

Мне последние 3 дня приходят предложения провести сопряжение с какими-то рандомными телефонами. Если позавчера это был один случай. То сегодня уже штук 10. Не могу понять это у меня bluetooth стэк в телефоне умирает. Это новый быстро распространяющийся вирус. Или какая-то модная тенденция. В новостных лентах ничего не гуглится.

Может кто в курсе?

Новая уязвимость: prompt injection

Wed, 11 Jun 2025 08:07:52 GMT

https://www.arxiv.org/abs/2503.10809

Суть: в картинки, текст, внедряют специальные закладки, чтобы LLM сглючила нужным способом.

Исправление ошибки в сертификате

Thu, 10 Apr 2025 10:43:01 GMT

Привет,

в общем, столкнулся с такой ситуацией. Есть CA узел в сертификате которого допущена ошибка.
На нем построена цепочка доверия небольшой инфраструктуры. Есть ли возможность заменить этот рутовый сертификат без остановки зависимых узлов?
Я попытался сгенерить с того же привата исправленный серт, но при этом узловые сертификаты перестают проходить верификацию. Очевидно цепочка завязана на поле Issuer, которое и требует исправления, а не на Public Key.
Может возможно каким-то образом сделать мультисигн? Чтобы было 2 Issuer для начала, а затем после обновления второго уровня отозвать невалидный серт.

p.s. Посмотрел cross-signing. Правильно ли я понимаю что можно сделать так
— сгенерить новый CA сертификат, подписав его старым CA сертификатом
— от нового CA перегенерить узловые сертификаты
— переподписать новый CA на self-signed, отрезав старый CA от цепочки
?

В России наступила эпоха чебурнета

Mon, 31 Mar 2025 23:14:19 GMT

Кто смеялся над идеей возникновения чебурнета признавайтесь? Поздравляю всех дорогих россиян с праздником, чебурнет таки наступил.

Да, можно называть это законом о суверенном российском интернете. Но вопрос не в законе, а в том, что имеем на деле.

В России заблокировали.
1. LinkedIn.
2. Facebook.
3. Instagram.
4. Youtube.
5. Discord.
6. Viber.
И прочие, но даже не это делает чебурнет чебурнетом.

Так же были забанены торрент трекеры, сайты с аниме, книгами, аудиокнигами, энциклопедиями и прочими.

Это чебурнет скажет наивный россиянин? Нет россиянин это ещё не чебурнет.

А теперь сюрприз в России забанили Cloudflare. Да, шли статьи, что забанен только TLS 1.3 ECH, а вот остальное работает. И что забанен в большей степени стационарный, а не мобильный интернет.

Но опыты с ТСПУ (технические средства противодействия угрозам) продолжаются. Операторов интернета в России заставили поставить эти ящики, которые осуществляют атаку посредника.

Итак, что же происходит? А происходит буквально следующее, РосКомНадзор берёт и банит какие-то области в России полностью на предмет того же Cloudflare. Не только TLS 1.3 ECH, а вообще всё.

Какие ваши доказательства? Кокаинум!!!

А Cloudflare тем временем называют раком интернета. И здесь всё просто, это единственная в мире бесплатная, эффективная и простая защита от DDoS. Плюс кэширование снижает нагрузку на сервера.

Не всегда хорошо её использовать, например, в случае если необходимо низкое время пинга для тех же игровых серверов. Чем игровой сервер ближе, тем лучше. Направлять трафик на противоположную часть планеты чтобы получить её обратно не будет работать в реалтайм играх.

Однако множество обычных сайтов по всему миру используют Cloudflare, когда время отклика не критично. Так вот РосКомНадзор решил заблокировать/замедлить Cloudflare. И по заветам варить лягушку медленно делает это постепенно.

Вопрос тем кому забанили Youtube, вы перестали его смотреть? Я вот не перестал. Только с Youtube понятно, что его замедлили до нуля, то есть забанили. Просто варварски отбрасывают пакеты и всё. Но что насчёт других сайтов?

Получается теперь ходи на каждый сайт и жди, загрузится, не загрузится. И только самые наивные россияне думают, что кто-то под них будет подстраиваться.

Иностранные ресурсы не будут подстраиваться потому что те, которые работали для иностранцев не знают о проблемах в России и даже не задумываются. Вот вы задумываетесь как работает интернет в Гондурасе? Если вы там не живёте вам плевать.

Российские же ресурсы поделены на тех кто использует иностранные мощности к которым относятся те же Cloudflare, даже если хостинг российский. Всё полезное уже давно забанили и без этого. А с Cloudflare отвалится грубо говоря половина интернета, если не больше.

Без иностранного VPN или Tor браузера чем-то пользоваться попрежнему можно. Например, Вконтакте не заблокируют потому, что там нет тайны переписки. Сообщения никогда не удаляют, даже если пользователь удалил их для себя, а прямой доступ к ним имеют спец. службы России.

Но дело то даже не в динамических сайтах, не в тайне переписки, а в том, что интернет при использовании российских операторов интернета забанен. И наивный россиянин спросит, я тебе плачу деньги, почему большая часть интернета не работает.

А российский оператор интернета разведёт руками и ответит, что лишится лицензии под угрозой властей, если попробует обойти ТСПУ от РосКомНадзора, ФСБ, КГБ, Путина. И говорить об иностранном VPN и Tor браузере нельзя, это же страшный секрет.

Причём VPN это обычная технология. Не что-то такое, что создавалось для противостояния государствам. Нет это просто виртуальная частная сеть и всё. Да есть разные виды виртуальных частных сетей, но что с того.

Или вот.
В каких странах запрещен Tor Browser
В Туркменистане отключили SSH и HTTPS, молодцы. В Египте отключили весь внешний интернет, хлопаем в ладоши. А в России пока всего лишь не работает пол интернета и все крупнейшие иностранные сервисы, плюс самые полезные сайты ведь для них у РосКомНадзора отдельный котёл в чебурнете.

И смотрите как по божески, как либерально в России по сравнению с другими странами. Теперь россиянам придётся предусматривать расходы не только на подключение к интернету, но и на доступ к интернету. А всякая наивнота будет всё время отсасывать у DPI пакеторезок.

Я читал смешные мнения в интернете, что дескать вот теперь то заживём. Одного так и вовсе бесила капча на Cloudflare на которую надо тыкнуть, и он наивняк думал, что теперь её не будет. Нет сынок, это ты теперь будешь меньше есть, потому что тебе придётся платить не только за интернет, но и за иностранный VPN. А бесплатный Tor браузер он не сказать чтобы быстрый и подходит только для просмотра веб-страниц включая Youtube.

Ура товарищи, мы в чебурнете. Вокруг только одни друзья. Да, чебурнет это про друзей из соседнего подъезда. Кстати, мои прогнозы, что цифровой экономике России придёт пушистый писец. Мы их душили душили, имеются в виду сайты. А на агрегаторах не забалуешь, все в оффлайн, и не нужён нам этот ваш интернет.

Ах да, к чему эта статья? Не смотря на то, что Россия уже в чебурнете многие россияне об этом ещё не догадываются. Вот будет со временем сюрприз. Ведь когда-нибудь они поймут, что если веб поисковик закинул их на сайт, а тот не открывается, то дело в их подключении к интернету, а не в сайте.

Сгенерить пользователям пароли и выслать юзерам

Thu, 20 Mar 2025 04:18:43 GMT

Есть 500+ корпоративнх юзеров. Надо для них сгенерировать аккаунты и пароли и потом выслать юзерам.
Аккаунты есть, а вот пароли надо сгенерить. Как их сгенерить, чтобы были не очень сложны, чтоб не заблокировались сразу, но и не нельзя было подобрать?
Я в безопасности относительно слабоват и хотелось бы подетальней: какой алгоритм, какие правилы генерации паролей, может еще ЦУ?

Проект будет на .net core, но сам програмулину для генерации хотел написать либо на котлине или go.

Доступ к информационным ресурсам

Sun, 02 Feb 2025 10:25:56 GMT

Предыдущая статья на эту тему.
Электронная почта и номер телефона это дыра в безопасности сайта (17.11.2024)

В связи с тем, что российское правительство активно тестирует способы забанить интернет у меня возникают мысли по поводу того, что из себя представляет его прошлое и настоящее.

Откуда дровишки? Здесь всё очевидно, правительство может дотянуться только до открытых ресурсов, те которые видны всем без регистрации и СМС. Но сложно забанить то, о чём не имеешь представления. А это прежде всего глубокая паутина.

Так же не забываем, что российское правительство использует атаку посредника называя сервера находящиеся на площадках российских провайдеров интернета и пропускающих через себя весь трафик ТСПУ (технические средства противодействия угрозам).

Собственно так и банят youtube и не только. Потому очевидным решением любых глубоких сетей должен быть криптографически зашифрованный канал связи, и чем выше уровень сетевой модели для шифрования, тем лучше. Но это так, просто к слову, чтобы было понятно, что я это тоже учитываю.

Далее перейдём к способу опознания пользователя информационным ресурсом.
1. Логины и пароли.
2. Цифровые ключи.
3. Цифровые подписи.
И так далее.

Но с точки зрения людей важно.
1. Вводим ли мы идентификаторы из головы.
2. Копируем ли мы их откуда-нибудь с диска.

С точки же зрения сервера важно.
1. Количество вариантов для подбора методом брутфорса.
2. Количество попыток даваемых пользователям за определённое время.

Причём механизм отбрасывание запросов всё равно логичнее делать по интернет адресу, а не тому же логину, так как все способы по сути это некие вариации набора. Потому что логины всегда отличаются друг от друга меньше, чем полная последовательность для опознания. И соответственно их можно так же подбирать брутфорсом и троллить системы пытающиеся блокировать кого-то по количеству попыток зайти по ним.

Можно выдумать какие-нибудь ключи активации, а потом свести всё к тем же паролям или цифровым подписям. Или зашивать в цифровые подписи кучу других данных включая логины и так далее. Можно даже пытаться всё время менять цепочку для идентификации. Но смысл всегда остаётся одним и тем же, то есть количество вариантов подбора и количество попыток за определённое время.

Так же хочу обратить внимание на эту статью.
Проект Google Books — несостоявшаяся революция в авторском праве? (21.11.2012)

Да, российское правительство зажимает сайты. Заставляет их создавать дурацкие предупреждения о куки иначе оно их оштрафует, или если они вне России забанит, так как оштрафовать не сможет. Ещё требует регистрации как оператора персональных данных и прочие челобитные барину.

Но обратите внимание, что из статьи про гугл книги можно сделать вывод, что интернет с самого начала и не только в России был более зажат, чем даже бумажные книги. Про форматы переноса знаний я писал в статье Новая эра личных баз знаний (14.01.2022).

1. Бумажную книгу можно без проблем передать кому угодно.
2. С физическим цифровым носителем уже начинаются проблемы и различные способы защиты от технологических до юридических.
3. А цифровая дистрибуция пытается привязать покупку к аренде конкретным лицом.

И ещё хотелось бы отметить, что когда есть несколько высококачественных материалов по теме, то даже цена не будет играть существенную роль. Но если их тысячи и качество низкое, то выбор из них становится крайне сложным. Современная индустрия дошла до того, что из втайне отсканированных книг или даже открытых данных обучаются модели ИИ на основе которых генерируются книги, которые в последствии поступают в продажу.

Мусор ли эти книги, ответ да. А для тех кто не знает, открытые сайты в интернете тоже в основном создаются по книгам, это называется рерайтинг или переписка. Вот почему подобные материалы называют безвкусной жвачкой, тогда как авторские статьи не идеальны, но гораздо более продвинуты. Речь, конечно, не о таких статьях как эта, пишущихся за раз для болтовни.

А к чему я собственно клоню. Был бы человек, а статья найдётся. То есть правительство России будет прежде всего искать человека или людей. Отсюда и законы про челобитные барину для регистрации сайтов и видеоблогеров. Так то тяжело искать людей самим, лучше пригрозить им зверскими наказаниями и они сами прибегут регистрироваться.

И самое смешное, что я как раз и начал с полностью обезличенных данных. Вроде как правительство России хочет обо всех всё знать, но чтобы другие не знали. Даже бизнесу не позволено просто так узнавать о своих клиентах. В итоге мы приходим к абсолютно обезличенным идентификаторам. Но всегда можно сказать, что раз идентификатор идентифицирует пользователя на серверах, то значит и найти его можно.

Пчёлы борятся против мёда и возможно даже победят, что у них мёда больше не останется. А весь мёд будет лежать в недоступном улье, то есть в глубокой паутине. Потому закрытому от посторонних улью больше угрожает пчела предатель, нежели пчёлы, которые активно борятся с мёдом.

И здесь я прихожу к ещё одной идее, а именно распределённой глубокой сети. Если подумать, то пока сеть открытая, с ней всё равно будут бороться. Это даже не вопрос покупки продажи. Правительство платит людям миллиарды чтобы они боролись против самоорганизации общества. Для чего так делать можно почитать в статье Современный рабовладельческий строй (30.09.2023).

А ещё у меня была статья Кредиты научно-фантастические планетарные деньги (05.08.2022). Опять же доступ к деньгам это доступ к информационным ресурсам. На самом ли деле нужны единые деньги или каждый может создать свою валюту, как те же скидочные баллы в магазинах и банках.

Чем бы ни была последовательность для идентификации на ресурсе именно она является ключевым фактором позволяющим получить доступ к информации. Эта последовательность могла бы даже продаваться, то есть быть товаром. По большому счёту коды для программ и игр так раньше и продавали и до сих пор некоторые продают.

Опять же авторское право и его передача кому-либо за деньги не пустой звук. Тихо ...л и ушёл, называется нашёл. Всему надо знать меру, особенно при капитализме. Это как у гугла где-то лежат десятки миллионов книг, но доступа к ним у широкой публике нет и не будет.

А всё потому, что существуют определённые реалии. Угрозы от правительства России по сути всего лишь вернули рунет в эпоху торрентов отказавшись от сервисов. И это опять же подводит к идеям локального поиска. В некотором смысле компьютеры пользователей это и есть глубокая паутина, так как их не сканируют поисковики.

В телеграмме дыр не находили?

Wed, 06 Nov 2024 22:28:25 GMT

Здравствуйте!

Начал писать и звонить какой-то хрен. Аватарка моя. Имя моё, только на русском, а у меня на английском. Ну, это всё просто. Захожу посмотреть его профиль — а там айди, который вроде бы как уникальный, показывается мой.

Не очень понятно, что делать. Ситуация несколько напрягла, мало ли что. Нагуглил @notoscam, написал туда, ноль реакции, хз как этим пользоваться.

Началось с того, что я попытался найти VladD2 в телеге — https://rsdn.org/forum/flame.politics/8847908.1

Сначала не отвечал, потом прикинулся вроде как Владом

	Скрытый текст

потом какая-то херня началась

	Скрытый текст

потом начал уже мой двойник мне писать и звонить.

Что за хрень?

Атака на доступ к локальной сети. Обход NAT через UPnP?

Tue, 23 Jul 2024 09:39:34 GMT

Настроил недавно TrueNAS, поднял торренты и DLNA. В качестве торрент-клиента специально выбрал Transmission, а не rtorrent, потому что Tranmission сам просит маршрутизатор пробросить порты (через UPnP). И вот в тот же вечер вижу в логах TrueNAS две попытки подключения к TrueNAS по SSH. Меня очень смутил тот факт, что имя пользователя, под которым пытались войти, совпадает с моим интернет-именем пользователя на различных ресурсах. Это же имя используется как локальный логин на ноуте и настольном компе. Адрес, с которого была попытака подключения принадлежит локальной сети — 192.168.1.222, но вот что странно: такого лиза нет в записях маршрутизатора, а лиз выдаётся на 24 часа (с момента попытка входа прошло 6-7 часов). Я включил все устройства в доме, которые могут подключаться по домашней сети, и ни одно из них не попросило себе 192.168.1.122. Я даже скажу более того — все устройства уже имели лиз в пуле dhcp, поэтому новых адресов я не увидел.

Поскольку TrueNAS находится за NAT-ом, а на маршрутизаторе отсутствуют статические пробросы порта, то по логике получается, что попытка подключения шла из локальной сети. Но нет никаких следов кого-либо, кто бы это мог сделать из локальной сети. Да и откуда могло что-то попасть в локальную сеть, когда у меня телефоны на андроиде с приложениями только из Play, машина на Linux и телевизоры? Допустим, это дырявые телевизоры, но ведь они за NAT-ом, и получить малварь могли только через официальное обновление. Это может быть сам маршрутизатор, но там порты тоже все закрыты.

Посему у меня начала закрадываться идея, что через UPnP и манипуляции с пакетами TCP можно как-то попасть в локальную сеть. Или нет?

FID02/WebAuthn - как работает через телефон?

Sat, 13 Jul 2024 20:05:25 GMT

Вопрос такой. Есть сайты, которые позволяют авторизацию через FID02/WebAuthn — и такой ключ можно добавить в телефон. А где бы посмотреть список ключей, которые есть в моем телефоне?

отдельный комп для особо важных данных и софта

Tue, 09 Jul 2024 21:34:14 GMT

Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.
Какие здесь могут быть подводные камни?
Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

xz-utils: диверсанта спалили за месяц

Sun, 31 Mar 2024 10:44:01 GMT

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

В прошлые разы спрашивали "ну где тот миллион глаз который высмотрит всё?"

В этот — не успело попасть в реальные дистрибутивы, даже в большинство unstable, уже нашёлся, кто спалил пятилетнюю подготовку.

Ожидаю, что все расслабятся и будут надеяться на соседа.

Схема красивая, в месяц по ложечке.

Откуда у сайтов берутся разрешения на cross-site cookies?

Sat, 24 Feb 2024 09:37:38 GMT

Периодически вижу у RSDN такое:

А сегодня увидел там разрешение для Яндекс.Почты (!!!). Жаль, что не догадался сфотографировать, а сразу грохнул. Для Ютуба я ещё понимаю, откуда, но очень слабо. В сообщениях есть ютубовский виджет, взаимодействие с которым приводит к выписыванию разрешений (как именно?). Но у Я.Почты-то откуда? Последний ФФ.

Искусство заголовка :)

Thu, 15 Feb 2024 12:15:20 GMT

Статья на cnews:
В тюрьму посадили американцев, которые наняли «русских хакеров», чтобы такси в Нью-Йорке работало по-человечески.
Я не могу понять, то ли это такой тонкий сарказм, то ли ребята на cnews реально считают, что "по-человечески" == "хитрожопо".
Кому лень читать: два ушлых гражданина США наняли пару хакеров для того, чтобы взломать диспетчерскую систему такси в JFK, и брать деньги с таксистов за "премиальный доступ" к пассажирам.
Те, кого не устраивало ожидание в "честной очереди" могли заплатить червонец, чтобы их продвинули к началу. Понятно, что те, кто не хотел делиться с "предпринимателями", были вынуждены ждать своей очереди дольше.

Опасно ли светить серийник Mac ?

Sat, 03 Feb 2024 21:29:48 GMT

Вопрос такой.

Заметил что некоторые блюрят или на видео прикрывают пальцем серийник своего девайса. А чем это так опасно то? Вроде ничего нельзя сделать, зная серийник — разве что проверить на сайте состояние поддержки.

Кто что скажет?