scif_yar: (Default)
[personal profile] scif_yar
Пальто Пало альто прислало -
Уважаемые клиенты,

Мы рады предложить Вам проведение бесплатного АУДИТА БЕЗОПАСНОСТИ СЕТИ с помощью межсетевого экрана нового поколения Palo Alto Networks!
..
Перед аудитом мы можем провести обзорную презентацию по линейке фаерволов Palo Alto Networks, подобрать подходящую модель и предоставить прайс.
(и далее там)

Замечу, что они как бы не единственные, чей TRAPS ловил Ванна Край - так что не сетевым инфобезопасникам стоит присмотреться.
scif_yar: (Default)
[personal profile] scif_yar
Ситуация со слов потерпевшего:
походу там прилетел какой-то странный апдейт
теперь при запуске он говорит что щас будем подключаться к О365
но можно выбрать и другие типы )
так вот если подключаться к О365 все ОК
при этом оно подхватит акк ексча

Потом вылетает с сообщением
установлена старая версия службы сообщений microsoft exchange
You have a previous version of the microsoft exchange messaging

в логах лишь
Выполняется повторная отправка хранилища C:\Users\HELLOEVERYONE\AppData\Local\Microsoft\Outlook\HELLOEVERYONE.ost в индексатор по следующей причине: Newly created store.

По слухам, помогает старый метод:
Try to delete the profile keys from the registry and then create new profile and verify the status.
Note: Take a backup of all your Outlook data before you delete the profile keys from registry.
Follow the steps below:
1. After taking the backup of Outlook data, close all the windows and click on start>run
2. Copy and paste the below line and click ok
3. Regedit
4. Go to the location - HKEY_CURRENT_USER/Software/Microsoft/Windows NT/Current Version/Windows Messaging Subsystem/Profiles
5. Right click on Profiles and click export and export the registry key to any known location
6. Expand profiles folder and delete all the sub-folders
7. Close registry window.
8. Restart the computer
9. Create new profile, configure email account and verify the status.

Mail profile keeps getting corrupted
https://answers.microsoft.com/en-us/msoffice/forum/msoffice_outlook-mso_other/mail-profile-keeps-getting-corrupted/bfb47899-041d-4ece-8590-1279297af055
scif_yar: (Default)
[personal profile] scif_yar
Linux-версия эксплойта EternalBlue
Все версии Samba, начиная с 3.5.0, подвержены уязвимости удаленного запуска кода, позволяя злоумышленникам загружать библиотеку совместного использования в доступный для записи общий ресурс, чтобы затем заставить сервер выполнить вредоносный код», — сообщила компания Samba в среду.
https://habrahabr.ru/company/cloud4y/blog/329464/

Что там как у Эльбруса и прочих вариаций БолгенОС?
scif_yar: (Default)
[personal profile] scif_yar
В Томске разрабатывают российскую альтернативу Windows за 300 млн рублей
Программисты Томского государственного университета (ТГУ) и компании «ЭлеСи» сообщили о совместной разработке программного комплекса (ПК), призванного заменить некоторые программные решения Windows.

НИ РАЗУ НЕ БЫЛО И ВОТ ОПЯТЬ!
Кажется, это второй раз в этом году.
Напоминаю, что я по прежнему взволнован борьбой с пейратским протоколом UDP:
В частности, в дорожной карте говорится о предложениях по борьбе с пиратством в интернете. которые должны быть реализованы до конца 2016 г. В корпоративных сетях должен быть установлен запрет на пиратский трафик. А за использование юридическими лицами трафика по протоколу UDP предполагается ввести судебную ответственность.
Подробнее: http://www.cnews.ru/news/top/2015-10-23_putinu_predlozhat_perekryt_v_rossii_torrenty

и внедрением линухса:
В 2009 году Минкомсвязь разработала план перехода на СПО органов государственной власти и бюджетных учреждений (утверждён Председателем Правительства РФ Владимиром Путиным 17 декабря 2010 года) и составило методические рекомендации по его разработке и приобретению. Подчёркивается, что в процессе перехода на СПО будет обеспечена полноценная замена используемых проприетарных программных решений свободными. К IV кварталу 2011 года будет создан пакет базового СПО, включающий операционные системы, драйверы, прикладное программное обеспечение для серверов и рабочих мест; Минкомсвязь и Минэкономразвития предложат формы государственной поддержки российских разработчиков СПО для государственных нужд; должна появиться национальная операционная система на базе Linux.
- Во II квартале 2012 года будет создан национальный репозиторий свободных программ и начнется апробация базового пакета СПО в пилотных учреждениях.
- В IV квартале 2012 года будут созданы и размещены в репозитории пакеты дополнительных прикладных программ СПО.
- С III квартала 2013 года Минкомсвязь должна ежеквартально обновлять пакет базового СПО и размещать его новые версии в репозитории.
- С IV квартала ежегодно обновляться и публиковаться в репозитории должен пакет дополнительного свободного ПО.
http://minsvyaz.ru/ru/directions/?direction=29
scif_yar: (Default)
[personal profile] scif_yar
Учеными Ставропольского края создан первый в России стопроцентно импортонезависимый аналог Microsoft. Впервые он будет представлен на Всероссийском форуме «Неделя инноваций-2017», сообщили корреспонденту ИА REGNUM в региональном Фонде поддержки предпринимательства.
..
Программный продукт создавался на грантовые средства.
..
Авторы разработали собственные сборки операционных систем семейства Linux и офисные приложения, аналогичные по своим функциональным характеристикам продуктам компании Microsoft.
Далее: https://news.rambler.ru/scitech/36878389/?utm_content=news&utm_medium=read_more&utm_source=copylink
scif_yar: (Default)
[personal profile] scif_yar
Обновление. "Еврософтпром" продолжит предоставлять обновления для существующих клиентов, но не сможет продавать новые продукты, пишет "Интерфакс-Украина".

Напомним, производитель программного обеспечения ООО "1С" (Москва) и "Еврософтпром" попали под санкции на три года. Украинским госкомпаниям запрещено закупать продукты ООО "1С".

К ООО "1С" и "Еврософтпром" будут применены блокирование активов; ограничение торговых операций; запрет на вывод капиталов за пределы Украины; остановка выполнения экономических и финансовых обязательств; ограничение или прекращение предоставления телекоммуникационных услуг и использования телекоммуникационных сетей общего пользования; запрет передачи технологий, прав на объекты права интеллектуальной собственности; им не будут выдавать лицензии на ввоз или вывоз валюты.

В Украине программными продуктами "1С: Предприятие" пользуется около 300 тыс. компаний.
-
Апд:
ТАм еще и Парус, и Галактика:
Президент Украины Петр Порошенко расширил персональные специальные экономические санкции на ряд российский известных IT-компаний и связанных с ними украинских юрлиц, в частности, в отношении поставщиков популярных ERP-систем ООО "1С", ООО "Корпорация "Парус", ЗАО "Галактика Центр".

Согласно указу президента №133 от 15 мая 2017 года, которым введено в действие соответствующее решение Совета национальной безопасности и обороны Украины от 28 апреля, в перечне попавших на ближайшие три года под санкции компаний также известный разработчик ПО в области распознавания ООО "ABBYY" и ООО "Аби Украина ЛТД".

Санкции также введены в отношении российских ООО "Инталев Украина" (Киев), ООО "Документ Менеджмент" (Москва), системного интегратора АРО "Энвижн Груп", ООО "Мастердата", АО "Аскон".

АПД2
Полный список
http://itc.ua/news/polnyiy-spisok-it-kompaniy-popavshih-pod-sanktsii-protiv-rossii/
scif_yar: (Default)
[personal profile] scif_yar
Про начавшуюся в пятницу атаку и антивирусы - мнение (сходное с моим):
Странно, что Palo Alto и Check Point молчат. Ну и прочие ребята от HIPS, virtual patching и прочая
PAN(Palo Alto Networks) кратенько очень высказалась, мол, да, мы его и на уровне гейтвея ловим, и TRAPS. И всё. А надо бы трубить во все колокола о своей охуенности.
А что до антивирусников традиционных, то там же все SOSNOOLEY


От меня:
Palo Alto Networks TRAPS действительно сработал. Подтверждено.

Похоже, повторяется история с KIDO (Downadup, Conficker, Conflicker, Kido) от 2009 года -
http://www.securitylab.ru/opinion/366833.php
scif_yar: (Default)
[personal profile] scif_yar
https://3dnews.ru/952148
https://channel9.msdn.com/Events/Build/2017?wt.mc_id=build_hp

В том числе -
Новое дополнение PowerPoint под названием Presentation Translator функционирует на базе Microsoft Translation API, который обеспечивает перевод презентации на любые языки в режиме реального времени. Также теперь доступен новый сервис Cognitive Services Labs, который позволяет разработчикам экспериментировать с новыми API.
scif_yar: (Default)
[personal profile] scif_yar
В минувшую пятницу сообщество пользователей Linux-дистрибутива openSUSE предупредили о недоступности ряда онлайн-сервисов в связи с брешью в безопасности многофакторной системы аутентификации проекта.

В анонсе сообщается, что существует (пока формально не подтверждённая) вероятность наличия уязвимости в вышестоящей системе аутентификации, используемой не только проектом openSUSE. В любом случае всем пользователям таких онлайн-сервисов openSUSE, как OBS (openSUSE Build Service), wiki, форумы и Bugzilla, рекомендуется сменить свой пароль
По состоянию на момент написания новости (утро субботы 13 мая) статус серьёзных проблем имеют: система аутентификации, раздел программного обеспечения (образы ISO и поиск пакетов), сервис сборки OBS, система управления запросами на улучшения openFATE, а также у некоторых сервисов указан статус частичной доступности.

https://www.nixp.ru/news/14027.html
https://lists.opensuse.org/opensuse-announce/2017-05/msg00000.html
scif_yar: (Default)
[personal profile] scif_yar
Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру

Серверы МВД России не пострадали от глобальной хакерской атаки благодаря использованию отечественного оборудования и альтернативных операционных систем. Об этом сообщила официальный представитель МВД России Ирина Волк.

По её словам, специалисты Департамента информационных технологий, связи и защиты информации МВД России оперативно заблокировали около тысячи заражённых компьютеров под управлением Windows, что составляет «менее 1%«.

«Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус»», – Ирина Волк, официальный представитель МВД России.

Волк также отметила, что в настоящий момент вирус уже локализован и проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты.
https://мвд.рф/news/item/10246388
https://www.vesti.ru/doc.html?id=2887457&tid=110762
-
Так не пострадали или локализован, загнан в угол и отчаянно отстреливается бродкастами по всем портам?

UPD
Утечка служебной информации с информационных ресурсов МВД России полностью исключена
https://мвд.рф/news/item/10246388

Через 2 недели на Горбушке новое шоу - ничего не утекало, оно наверное само, взяло допустим и стало продаваться.
scif_yar: (Default)
[personal profile] scif_yar
WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule : 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge.

https://twitter.com/JakubKroustek

An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak
It's been a matter of weeks since a shady hacker crew called Shadow Brokers dumped a load of tools believed to belong to the National Security Agency (NSA). It now appears one leaked NSA tool, an exploit of Microsoft Windows called EternalBlue, is being used as one method for rapidly spreading a ransomware variant called WannaCry across the world.

https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#3305ef5e599b

Выглядит вот так



В новостях пока тихо - только типа на западе
http://www.rbc.ru/society/12/05/2017/5915cb609a794752f6b24e9d?from=main

Дырка ETERNALBLUE MS17-010 Echo Response - закрыта в марте 2017
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-us/help/4013389/title

Опубликована в апреле -
14 апреля 2017 года был опубликован новый дамп от группы хакеров, именующих себя The Shadow Brokers. Среди прочего в дампе находится фреймворк FuzzBunch, позволяющий эксплуатировать опасные RCE-уязвимости ОС Windows практически в автоматическом режиме. Данная уязвимость устранена с выходом пачта MS17-010: он устраняет шесть проблем Windows SMB Server, пять из которых позволяют выполнить произвольный код через создание специального пакета Server Message Block (SMB) 1.0.
https://habrahabr.ru/company/pentestit/blog/327490/

Шагает по миру:
WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain
https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/


Мегафно
https://meduza.io/news/2017/05/12/sotrudniki-megafona-soobschili-o-hakerskoy-atake

МВД
http://varlamov.ru/2370148.html

АПД
Сегодня в 20:14

Сотрудник Avast Якуб Кроустек сообщает, что антивирус Avast зафиксировал уже 57 тысяч заражений по всему миру.

И так далее.

Про антивирусы:
SEP, KAV отсосали.
PA TRAPS рулил.
scif_yar: (Default)
[personal profile] scif_yar
Windows Server 2003 missing Network Store Interface Service (nsi)
There were 3 dependencies (bowser, mrxsmb10 and nsi) shown for the Lanmanworkstation service. Usually there has to be none. After finding your post here and removing the 3 items, the server started as wanted again.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d73bd1b-0c8e-4c17-ae2e-50a1cdd215b3/windows-server-2003-missing-network-store-interface-service?forum=winservergen

Коллеги выхватили на виртуалке.
Слышал о таком выхватывании в Server 2008.
Походу, дырка неведомая.

Разовое лечение там же -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\
Edit the DependOnService key and remove NSI

Но вообще проблема так не лечится, после следующего ребута возникает снова.
scif_yar: (Default)
[personal profile] scif_yar
Неимоверной полезности хреновина
Introducing Project Sauron – Centralised Storage of Windows Events – Domain Controller Edition
https://blogs.technet.microsoft.com/russellt/2017/05/09/project-sauron-introduction/?utm_source=dlvr.it&utm_medium=twitter
scif_yar: (Default)
[personal profile] scif_yar
Кто следит за судьбой кукбука - перешел на его обновление раз в 2-3 дня под тем же именем.
Порицания и добавления приветствуются.
scif_yar: (Default)
[personal profile] scif_yar
4-я технологическая революция, IoT и IT as a service
Потратил почти целый день, послушал
https://www.meetup.com/Unified-Communications-User-Community/events/237616885/
по скайпу.
Read more... )
scif_yar: (Default)
[personal profile] scif_yar
Прибежали в избу дети
Второпях зовут отца
"Мы внезапно осознали
Все масштабы пиздеца"
https://social.technet.microsoft.com/Forums/ru-RU/d491c54c-c562-4937-8f8a-89ed8b75d723/-exchange-2013?forum=exchange2013ru
scif_yar: (Default)
[personal profile] scif_yar
Сидел читал требования в вакансиям, нашел строчку:

Знание и опыт работы с ZBF, CBAC, ACL, PBR, NAT, DMVPN, EasyVPN, AnyConnect.
Знание модели OSI и принципов работы сетевых протоколов стека TCP/IP, OSPF, EIGRP, VLAN (802.1Q), DMVPN, QOS, L2TP, PPTP, IPSEC, GRE, SSL.

Я тут знаю может быть половину слов, а часть не знаю совсем, решил дописать чего не знаю и заодно разобраться. Спросил гугль .. угу.

Началось все 10 сентября 2016 г - когда эту вакансию от ATH American Express (организация деловых поездок для корпоративных клиентов) разместили тут -
https://sysadmins.ru/post13479199.html

Потом эту же строчку честно стянули сюда -
Feb 2, 2017 https://hh.ru/vacancy/18406779
вакансия кстати обновлена 14 апреля 2017 - похоже, уже полгода ищут человека на 100к на руки с таким длинным списком требований - или чего-то не договаривают.

и 22 марта эту же строчку утащили сюда - https://hh.ru/vacancy/20017337

Nov 15, 2016
Системный администратор сети в ISP
ООО ПЕКИТЕЛ
https://career.ru/vacancy/18955279


К: копипастеры ..
scif_yar: (Default)
[personal profile] scif_yar
Как сообщили редакции SecureNews в ряде российских компаний, занимающихся информационной безопасностью, было получено письмо, содержащее актуальную базу клиентов компании InfoWatch и несколько коммерческих предложений. Компрометации подверглись в том числе персональные данные сотрудников клиентов и партнеров компании.

Письмо есть в распоряжении редакции, в нем в частности указывается, что "Инфовотч не платит своим сотрудникам денег, поэтому сотрудники платят ей по заслугам". В прикрепленных документах содержится архив с базой клиентов компании, насчитывающий более пяти тысяч позиций, в том числе персональные данные.

Компания InfoWatch является крупным российским разработчиком DLP-систем, предназначенных для предотвращения утечек данных. Руководит компанией Наталья Касперская, член Экспертного совета по российскому программному обеспечению при Минкомсвязи России. В интервью "Новой Газете" Касперская, в частности, заявляла, что "видит в каждом пользователе потенциального преступника", а в прошлом месяце появилась информация о привлечении компанией инвестиций от РФПИ.
https://securenews.ru/infowatch_data_leak/

Инфовоч все отрицает:
Группа компаний (ГК) InfoWatch зафиксировала информационную атаку, которая была осуществлена централизованно из анонимного источника путем размещения данных, порочащих деловую репутацию InfoWatch, в сети Интернет, рассылки персональных писем сотрудникам организаций, представителям СМИ и блогерам. В ходе информационной атаки актуальные данные партнеров и клиентов ГК InfoWatch не пострадали.
https://www.infowatch.ru/presscenter/news/17558
scif_yar: (Default)
[personal profile] scif_yar
Смотрел (в скайпе) заседание очередного UC², кратко подведу итоги, как я их понял.

Часть 1. Артём Синицын (Microsoft, руководитель программ информационной безопасности в Центральной и Восточной Европе)

Тема: Двойное гражданство: современные сценарии аутентификации и авторизации на земле и в небе.

Фактически:
Новый модный молодежный Windows Passport требует TPM модуль. Ввоз которых на территорию РФ толи запрещен, толи разрешен по огромному числу согласований, толи что. В результате в РФ эти модули или выпилены из техники совсем, или отключены так, что без бубна не включить.

MS активно топит за "все в облако" - отсюда растут требования к знаниям
- Active Directory Federation Services (ADFS)
http://serverfault.com/questions/708669/what-is-adfs-active-directory-federation-services

- Azure Multi-Factor Authentication (MFA)
https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication

Primary Refresh Token (PRT) и его использование для Azure AD and AD FS applications
https://jairocadena.com/2016/11/08/how-sso-works-in-windows-10-devices/

Общем, этот их Hello for business - какой-то лютый пиздец.

Напомнили (или рассказали, я вот не знал), про то что авторизация по СМС сосет и причмокивает - подробнее тут
https://habrahabr.ru/company/pt/blog/305472/
https://habrahabr.ru/company/pt/blog/283052/
https://www.ptsecurity.com/upload/corporate/ru-ru/download/PT_SS7_security_2014_rus.pdf

Примечание про ADFS и подход в целом:
https://social.technet.microsoft.com/wiki/ru-ru/contents/articles/32183.aspx


Часть 2. Евгений Григоренко (Microsoft Россия, Technical Evangelist), Олег Коверзнев (Microsoft Россия, Director of Product Marketing, Office Group

Тема доклада: Эффективные внутренние коммуникации организации на базе Microsoft Teams и Bot Framework

Итог: Teams - задорный гибрид, точнее API к скайпу, шарику, one drive, project и так далее
https://products.office.com/en-us/microsoft-teams/group-chat-software
НО:
2.1 Весь облачный
2.2 Требует настроенных сервисов по списку выше
2.3 Сам по себе нихрена не помогает. Если внутренние коммуникации, вне формальной пирамиды отделов, сосут и причмокивают в результате уверенной работы пиджаконосцев(ТМ) - то его наличие ничего не поменяет.

Profile

Сисадмины всех кофеварок, соединяйтесь!

September 2017

S M T W T F S
     12
3456789
1011121314 1516
17181920212223
24252627282930

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 22nd, 2017 04:23 am
Powered by Dreamwidth Studios