My blog

Category: Security

  • На злобу дня

    У меня есть мнение насчет последних событий с неким Павлом, которое я оставлю при себе.

    Но вот эта уверенность людей в том, что “компании могут/будут/хотят заботиться о моей приватности”, особенно в контексте некоего Павла…

    Смотрите, быстрый privacy-101:

    – информация, которую вы не хотите раскрывать никому не должна попадать в места, в контроле которых вы не уверены. Идеально: ее не будет существовать. Понятный краевой пример из жизни: если вы сняли эротический контент со своим участием, то лучше всего будет сразу отправить его своим родственникам, начальству, друзьям и Римскому Папе. Если вы не готовы так делиться – не создавайте этот контент. Вот так просто! Аналог air gap.

    – информация, которую вы хотите раскрыть, но не хотите иметь с ней связь в глазах тов. майора не должна касаться ничего с вами как-то связанного. Это не так уж и сложно на самом деле, но требует усилий.

    – чтобы там не заявлял поставщик услуг, все ваши “приватные аккаунты”, “подзамки”, “только для друзей” доступны просто невероятному количеству людей. Часть из них продажны, часть из них дегенераты. Нет ни какого подзамка в приватном аккаунте, не было, не будет.

    Разумеется, есть good enough случаи. Например, если вы не PEPs, не активист и т.п., то использование респектабельного менеджера паролей будет хорошей идеей, шифрование данный просто средствами ОС будет достаточно.

    Разумеется, никто ради вас не будет палить уязвимость в AES.

    Разумеется, если вас уже взяли в работу, то никакое шифрование вам не поможет. Есть вполне себе научная работа, показывающая, что реальная угроза лишения зрения и/или иссечения гениталий ломает 100% людей. Я эту работу читал, вы не хотите, просто на слово поверьте, что таки да.

    Но, пожалуйста, используйте менеджеры паролей, шифрование файловой системы, не ставьте российское и китайское говно (Opera, все от Yandex или Mail.ru/VK)! Если у вас просто украли ноутбук и там все просто зашифровано средствами ОС, то вы 146% защищены, что ваши данные попадут в какие-то большие “сливы” и потом их как-то используют против вас.

  • Про распознавание лиц в школах и не только

    /*старый текст, просто чтобы не потерять его*/

    Почему-то меня сильно задел обсуждаемый в ленте ФБ вопрос о внедренной в китайских школах системе распознавания лиц и китайского Social Score. В комментариях пришли люди, которые внедряли похожую систему в каком-то ВУЗе в РФ, пришло много людей, которые хотели бы такую систему в своих школах для собственных детей. До этого меня задело обсуждение охраны в школе, где люди радовались вышкам с автоматчиками и колючей проволоке по периметру, хотя казалось бы, зона комфорта размером с город или страну гораздо привлекательнее зоны комфорта внутри загородки с охраной или автомобиля. Мне не нравится ЮАР, хотя там Макдональдс автоматчик охраняет, безопасно же!
    На сколько я понял их аргументацию pro:

    (more…)

  • Getting back your privacy on the Internet in one simple step

    tl&dr: you should not put anything about you on the internet about you don’t want to see on the billboard in the city center.

    The privacy on the internet is treated as one of the greatest concerns last year and it would be treated even more next year. There are lots of articles how to harden your smartphone, what to turn off in the Windows 10 or where to store secrets. I think that they’re missing some concepts:

      • The secret itself is something you’re not telling anyone.
      • The best protection you can give the information that compromises you are not having or keeping this information.
      • Some entities you have to trust due to legal reasons, so trust them only on the level you can afford.

    (more…)

  • Simple fail2ban log file parcer

    I have written simple fail2ban log file parcer in Golang that finds banned IPs, makes a struct with date, time and IP and a map with IP as a key and count as a value. I am thinking of nmapping the values I’ve got and making a report out of them. (more…)

  • Перевод Designing an Authentication System: a Dialogue in Four Scenes (часть 2)

    Предположим я скопировал аутентификатор и билет пока они пересекали сеть. Мне придётся изменить сетевой адрес моей рабочей станции и моё пользовательское имя. И всё это я должен проделать за пару минут. Это довольно высокие требования. На самом деле я не думаю, что это возможно. Если только … . . .

    (more…)

  • Перевод Designing an Authentication System: a Dialogue in Four Scenes

    Надо сохронить, так как этот полезный текст остался только в Веб Архиве.

    Copyright 1988, 1997 Массачусетский технологический институт. Все права защищены.

    Билл Брант (Bill Bryant), февраль 1988.

    Отредактировал и подготовил HTML вариант — Теодор Тсо (Theodore Ts’o), Февраль, 1997. Также добавлено приложение описывающие изменения 5-й версии протокола Kerberos. (more…)

  • AD + SSSD

    If you have host in the AD with the SSSD then your root user can be any user from the domain. So

    %groupname ALL=(ALL) NOPASSWD:ALL

    would actually give permissions to all users from the “groupname” to become any AD user they want, and if they’re SSH’ng the localhost then, they would have Kerberos ticket as well. It is not actually that evident, but Active Directory is an identity provider, so if you are superuser on the host — you can be AD user on the host.

  • Debugging IDM

    One of the most frequent cases I have is that “sometimes” and “somewhere” user is not getting authenticated. Trying to SSH to the host works for some users not always, “id username” returns errors sometimes — it’s all the same problem in the environment with LDAP replication. It does not actually matter what kind of the LDAP server or domain controller is being used, always check:

      1. Enable debug log on the client. If the client is SSSD, add “debug_level = 9” to the /etc/sssd/sssd.conf and then restart it. Invalidate its cache if possible.
      2. Repeat the test so you would see the error.
      3. Collect the log file from the client. You would see what server it has queried to get the information.
      4. Check server’s log. Most likely there is no requested information on this LDAP instance due to replication issues.

    This would help to identify and fix the problem.