Category: Безопасность

Записи касаемо безопасности работы на компьютерах. Безопасности как в информационном плане, так и в плане физического и психического состояния и здоровья.
“Безопасность – это процесс, а не результат”
– Брюс Шнайер.

Настройка OpenVPN на Windows

В этом описании будет рассмотрена настройка OpenVPN, как серверной части так и клиентской. Для OpenVPN роль клиента или сервера задаётся только конфигурационным файлом. Исполняемый модуль для обеих ролей один и тот же.

Загрузка и установка OpenVPN

Загрузите инсталятор с сайта openvpn.net (выбирайте свежую версию, сейчас это OpenVPN 2.3.5 — выпущенная 2014.10.28) и запустите его на компьютере который будет выступать сервером и произведите установку. Более ранние версии ставить не рекомендуется по причине наличия серьёзной уязвимости в пакете OpenSSL.
Произведите такю же установку на всех комьпютерах которые будут выступать в роли клиентов.

Continue reading Настройка OpenVPN на Windows

OpenVPN TLS key negotiation failed to occur within 60 seconds. TLS handshake failed

Сегодня клиент обратился с проблемой которая заключалась в том, что один из удалённых пользователей не может соединиться с OpenVPN сервером.

В журнале сервера с данного IP были такие ошибки:

Tue Nov 11 09:58:49 2014 xxx.xxx.xxx.xxx:49611 TLS: Initial packet from 176.108.233.33:49611, sid=aea2a5e5 bc9d76f6
Tue Nov 11 09:59:49 2014 xxx.xxx.xxx.xxx:49611 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Nov 11 09:59:49 2014 xxx.xxx.xxx.xxx:49611 TLS Error: TLS handshake failed

Документация по OpenVPN указывает на проблему соединения.

Это казалось абсурдным так как эта запись была в журнале сервера. И конечно пинги на сервер проходили. В журнале статуса openvpn-status.log (у вас может быть другой, смотрите конфиг опцию status) была запись в состоянии UNDEF

UNDEF,xxx.xxx.xxx.xxx:49611,84,108,Tue Nov 11 09:26:20 2014

После попытки перейти с UDP на TCP стало ясно, что проблема не в протоколе. Включение более детальных логов опцией verb 6 также не раскрыло глаза. И тут в tcpdump бросилось в глаза то что от клиента приходит всего один пакет, а сервер в ответ отвечает от 5-ю до 20-ю, а может и более пакетами. Чтобы проверить проходимость больших пакетов с клиента ping-анули сервер пакетами размером 16 килобайт. В ответ небыло получено ни одного ответа. Проблема была явно в связи о чём и говорила запись в логе. Клиенту осталось разобраться с провайдером.

Установка openvpn на Linux mint

Прежде всего уясните себе что машина с easy-rsa это машина которая только подписывает ключи. И по логике безопасности должна быть отдельной машиной. Не стоит хранить генератор ключей и в особенности приватный CA на самом VPN сервере.

1) ставим openvpn на VPN сервере

# apt-get install openvpn

2) ставим easy-rsa на станции подписей

# apt-get install easy-rsa

3) создаём каталог куда скопируем easy-rsa и там будем изменять настройки, создавать и подписывать сертификаты

# mkdir -p /root/sign-host/easy-rsa
# cd /root/sign-host/easy-rsa
# cp /usr/share/easy-rsa/* ./

Continue reading Установка openvpn на Linux mint

Fast HDD Eraser – Быстрое стирание дисков

Мне часто приходится затирать жёсткие диски пачками, например при модернизации стораджей, и мне был очень необходим скоростной источник потока данных которыми затирается целевой диск. Чтобы более менее надёжно затереть данные на диске неразрушив сам диск, недостаточно затереть его нулями из /dev/zero. В тоже время поток данных из /dev/urandom слишком медленный чтобы быстро затирать современные жёсткие диски.
Поскольку необходимый мне уровень стирания не претендовал на уровень военной разведки то я решил выкрутиться через большой массив случайных (псевдослучайных) чисел. А чтобы массив этот быстро работал я решил закинуть его в память. И /dev/shm – идеальное место.
Для стирания я использовал raid контроллер чтобы затирать сразу множество дисков. А для автоматизации процесса написал bash-скрипт. Скрипт имеет свой счётчик продвижения и его можно прервать Ctrl+C и затем продожить с той позиции где он был прерван.
Continue reading Fast HDD Eraser – Быстрое стирание дисков

Запуск Skype от стороннего пользователя

У того кто попал на эту страницу случайно может возникнуть вопрос:
Зачем запускать Skype от стороннего (другого) пользователя?
Это вопрос безопасности.

  • Чтобы скайп не совал свой нос в ваши файлы
  • Чтобы тот кто сможет взломать скайп не совал нос в ваши файлы

Для работы Skype нужен только доступ в интернет и к папке с его профилем. Всё остальное, в частности доступ к вашим папкам и файлам, ему не нужен. Поэтому отрежем всё остальное поместив работающий Skype в пространство стороннего (другого) непривелигированного пользователя.
Continue reading Запуск Skype от стороннего пользователя

«Топорная диверсия» или «Как отрубить интернет для целого континента»

В крупнейшей за всю историю интернета поражающей воображение DDoS атаке подозревается CyberBunker. А всё потому что незадолго до этого между ним и SpamHouse возник конфликт. Атака началась 18-го марта 2013 года «забив» в каналах передачи данных 90 мегабит в секунду. SpamHouse попросила защиты у CloudFlare. Атака поменяла направление на сеть дистрибуции трафика CloudFlare который стал прикрывать SpamHouse от DDoS и успешно с этим справлялся. Мощность атаки несколько раз увеличиванась, и где-то в районе 22 марта достигла пиковой мощности 300 гигабит в секунду. В это время значительные проблемы с интернетом наблюдались на Лондонской точке обмена трафиком где трафик достигает в часы пик 1.5 терабита в секунду. Атака довольно сложная и дорогостоящая так как использует колосальные ресурсы сети.
А слабо «забить» канал шириной 1.28 терабит — в четыре раза больше,- используя только топор?

Continue reading «Топорная диверсия» или «Как отрубить интернет для целого континента»

Отключение сторонних cookies

tetris-hell«Every breath you take
Every move you make
Every bond you break
Every step you take
I’ll be watching you»
(c) Sting

Мало кто после установки браузера или другого ПО лезет в настройки чтобы посмотреть на все рычаги и педали. Однако это имеет смысл. Чем меньше компромата на себя вы отдаёте по собственной недальновидности тем лучше же для вас.

Если вы не хотите чтобы вам показывали таргетированную рекламу, если вы не хотите чтобы по вашему посещению интернета строили поведенческий профиль, значит вам нужно позаботиться о том чтобы ваш браузер не «стучал» на вас.

Continue reading Отключение сторонних cookies

Проверка прав доступа к файлам Linux

Суть проверки проста: от имени пользователя чьи права проверяются нужно запустить команды

Проверка прав на чтение

su -l login-for-user
find / -type d \( -wholename '/dev/*' -o -wholename '/sys/*' -o -wholename '/proc/*' \) -prune -o -exec test -r {} \; -exec echo {} is readable \; 2>/dev/null

Проверка прав на запись

su -l login-for-user
find / -type d \( -wholename '/dev/*' -o -wholename '/sys/*' -o -wholename '/proc/*' \) -prune -o -exec test -w {} \; -exec echo {} is writable \; 2>/dev/null

Чтобы разбрать результат по полям нужно через конвеер отправить вывод команде:

cut -d'/' -f1,2,3 | sort -u

Разновидность команды (на современных версиях find):

su -l login-for-user
find / ! -writable
find / -writable

Проверка системных файлов Windows XP/2003

При помоши утилиты Sfc.exe можно выполнить проверку защищённых системных файлов на предмет каких либо повреждений.

Утилита запускается из консоли. Из терминального окна не запустится.
Она требует установочный диск с файлами.

Ключи

sfc [/Scannow] [/Scanonce] [/Scanboot] [/Revert] [/Purgecache] [/Cachesize=x]

	Scannow - проверить незамедлительно
	Scanboot - проверить однократно при загрузке
	Scanboot - проверять при каждой загрузке
	Revert - не проверять при каждой загрузке
	Purgecache - очистить файловый кеш и немедленно выполнить проверку
	Cachesize=x - установить размер файлового кэша равным x мегабайтам (МБ)

это новый аватар вашего профиля?))

Последнее время часто стал получать от своих контактов одинаковые бессмысленные сообщения “это новый аватар вашего профиля?)) http://goo.gl/cipRN?foto=youngblog”. Сходив по ссылке (чего вам не рекомендую делать) я удостоверился, что это троянский вирус, который использует список контактов скайп для своего растространения. Как обычно ситуация повторяется. Компания Microsoft по прежнему не включает (по умолчанию) политику ограничения запуска программ, а пользователи, которые пониятия зелёного не имеют чем отличается dll от doc — считают себя админами (работают с привилегиями администратора). А потом тратятся миллионы человеко-часов для лечения от новой напасти.
Continue reading это новый аватар вашего профиля?))