Страницы

Docker, Radarr и Jackett, или качаем торренты правильно

В итоге, конечно, стримминг таки добьёт торренты. И если в доХДшном мире это, по сути, уже свершилось, то HD/4k/8k контент пока ещё держится за счёт торрентов (у нас и в Европе) и юзнетов (штаты).

Сегодня стримминг выигрывает, в основном, за счёт удобства. Открыл апп, зашёл в раздел "новинки" и выбирай на любой вкус. Я прокачал свой процесс с торрентами и теперь он смотрится, как минимум, не хуже.

Пару слов в среде разработки для ИБ специалиста

Если вы собрались кодить, то первое, с чего люди обычно начинают - это поиск курсов по программированию. Что почти всегда остается за рамками курсов - так это та самая рутина, от которой зависит 90% результата: софт, тулзы и привычки. Мало научится водить, нужно ещё и машину хорошую купить.. тут собак зарыто поболее.

Сдал CSXP (ISACA Certified Cybersecurity Practitioner)

Сертификаты - форма современного ИТ фетишизма наряду с наклейками на крышку ноутбука.
О них нужно обязательно писать первой строчкой в резюме, добавлять в подпись и на визитки: "Член ISACA, член ICS2...", дабы длинный список титулов выгодно отличал вас от коллег и конкурентов по рынку труда.

Ещё это один из способов разбавить ежедневную рутину и раскрутить работодателя на пару доп.плюшек (именно поэтому сертификаты стоят так дорого - из своего кармана за них никто не платит).

В общем, вещь хорошая, как ни крути. Главное знать меру и понимать, что наличие либо отсутствие у вас ИБшного акронима не значит ровным счётом ничего.

Так вот... 

Domain fronting


Domain fronting весьма любопытная техника обхода сетевых средств мониторинга, которая эксплуатирует особенности современной архитектуры крупных интернет узлов (Google, Amazon...). Домеин фронтинг использовал Тор, использовал Телеграмм чтобы мимикрировать свой трафик под гуглозапросы, но лавочку прикрыли. Точнее не прикрыли, а сузили до родных сервисов.

В кратце суть такова:

Как работает HTTPS:

curl -H "Host: <real-host.com>" "https://www.host.com/path"

Весь пакет HTTP целиком со всеми хэдэрами шифруется. При этом "www.host.com" копируется в открытом виде в SNI header (это, кстати, опционально). Именно SNI хэдэр - это то, что вы видите на файрволе/прокси/DNS если не заглядываете в HTTPS.

Если вам нужен любой из сервисов Гугла (Ютюб, Драйв, ДНС..) - вы кидаете пакеты на один и тот же центральны сервер-терминатор SSL Гугла, и он уже дальше роутит траффик внутри локальной сети ГуглоДЦ. Этот SSL терминатор использует "Host" хэдэр из тела HTTP пакета чтобы определить, куда отправить пакет дальше.

Вот мы и добрались к самому интересному: СЗИ работает с SNI хэдэром (который есть копия домена из URL), а сервера Гугла работают с Хост хэдэром (который часть HTTPS пакета и зашифован по пути до ).

То же самое справедливо для всех крупных облачных провайдеров.

Для чего оно надо?
  • во-первых для малвари чтобы скрытно качать/выкладывать файлы с/на Google Drive, маскируя траффик под YouTube (я такое, пока что, не встречал)
  • во-вторых для DNS-over-HTTPS если компания блокирует гуглоDNS (8.8.8.8).  Можно спокойно достучаться до гуглоДНС так:
curl -s -H 'Host: dns.google.com' 'https://youtube.com/resolve?name=internetbadguys.com'

такой запрос сгенерирует один DNS пакет с доменом youtube.com, в ответ вебсервер вернёт вам IP заблокированного сайта internetbadguys.com. К сожалению/к счастью, браузеры пока такой фокус не поддерживают :( / :)

Сортируем фоточки


Написал два скритпа на питоне:
  • первый можно натравить на папку с фоточками и он ее рассортирует по дате и по типу
  • второй - найдет все старые видео и пережмёт их в HEVC дабы освободить место
Третий уже не мой - https://github.com/instaloader/instaloader. Поможет выкачать все инстаграмки. Тоже для бэкапа, на всякий случай.. 

Оч люблю моменты, когда можно "покодить по хозяйству": использовать питон для решения повседневных задач. Раньше как-то питон был только на работе (надо будет про это отдельно написать), а сейчас вот SublimeText + Anaconda Python вошли в стандартный набор и на домашних ПК. Кстати, редактор SublimeText может запускать питоновские скрипты по нажатию Ctrl+B, если кто не знал.

А вот PowerShell так и не прижился. Да, для внутренней кухни продуктов Microsoft ему замены то нет, но для всего остального - bash через Windows Subsystem for Linux или python через Sublime. У меня даже есть питон скрипт, который позволяет запускать PowerShell через Python и работать с выводом, так как в один прекрасный день я понял, что PowerShell'а с меня хватит.

Типичное применение питона для меня: POST/GET запросы к какому-нибудь серверу или СЗИ. "Пробить по базе" хэш или айпи, сложить результат в csv файл или отобразить на экране. Это гораздо удобней сделать из командной строки одной строчкой, чем ждать пока загрузится вебконсоль СЗИ и 10 раз повторять одни и те же действия снова снова.

Второе любимое дело для питона - собирать дневную статистику с СЗИ и хранить историю. Пришел утром на почту, а у тебя свежее письмо от бота со всей аналитикой, которая тебе нужна. Клеартекст, 0 булщит. И графики уже готовые лежат для квартальных отчётов. Класс!


Слив сотрудников Сбербанка

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser.

Я вам скажу Сбербанк ещё легко отделался.

Правдивый обзор Cisco Umbrella


Cisco купила OpenDNS пару лет назад и выпустила новый продукт - фильтрующий DNS сервер (точнее облако) Cisco Umbrella.

Решил запилить свой обзор, с дырами и скелетами в шкафу, ибо достало уже :)

Тюнинг сигнатур Cisco IDS (aka Sourcefire / FireSIGHT / FirePOWER )

У меня особое отношение к Сиско идскам. Я их нелюблю. Они полны багов (тупых, хронических и "катастрофических"), вебинтерфейс ужасно тормознутый (даже на топовой модели с 40 ядрами и нулевой загрузкой) и порог входа чрезвычайно высок - нужно суметь найти среди десятков страниц настроек маленькую кнопочку, дабы всё, наконец, заработало.

Особая боль - это отсутствие RMB опции "Copy" и невозможность быстрого экспорта событий в csv.
 
"Cisco, за что??" 

Однако Gartner киску любит, а джунипер еще большее дерьмо.

Модель защищенного доступа от Микрософта



Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.