Příspěvky

1

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 14. 11. 2023, 12:13:20 »

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
 Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

Máš pravdu, určitě by se našel lepší příklad, měl jsem to v poznámkách k RDP, na sdělení to ale moc nemění.

DoS útok je občas hodně podceňovaný, ale může vyprovokovat uživatele nebo admina k neuváženým a nebezpečným krokům (nejde mi RDP, zkusím hledat jakékoliv řešení; nefunguje mi RDP server? Zkusím to debugovat, vypnu FW atd.). Vytížení služby by mělo korelovat se síťovým provozem a jakákoliv asymetrie je dnes chápána jako špatně.

RDP je příliš starý protokol, umožňuje přihlašování pouze přes jméno a heslo, žádné 2FA, žádný SAML/oauth2, žádné rotování klíčů. Podívejte se jak vlastně funguje inicializace, klient pošle seznam šifrovacích algoritmů, server odpoví, který si vybral (RSA RC4 je pořád ve velké části instalací kvůli kompatibilitě, CredSSP je zase nedílnou součástí firemních instancí). Pak klient zahájí MSC část komunikace, kdy vyzpovídá server o jeho reáliích (hostname, product ID, build ID, resolution, desktop atd. atd.) k tomu mu ještě napráská, které channely jsou volné a které obsazené, klient si nějaký vybere a ten obsadí (= DoS). A až tady jde na řadu sdělení jména a hesla.

Vidíte ten problém? Dříve než se objeví autorizace klienta, tak probíhá poměrně ukecaná komunikace, server na sebe napráská kdeco a pak se teprve klient může rozhodnout, jestli se teda ráčí přihlásit a pošle jméno a heslo.

Je naprosto nedůležité, jaké CVE jsou a jestli jsou nějaké neopravené, ten protokol je sám o sobě nemocný a není radno ho vystavovat veřejně, musí se vždy schovat, to není jen takové bezduché doporučení.

2

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 09. 11. 2023, 16:59:23 »

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

3

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 09. 11. 2023, 14:45:33 »

Zrovna včera mi volal zákazník, že se nemůže připojit VPN do firmy skrze hotspot v mobilu. VPN běžně používá po různých WiFiních. Byl jsem v autě, tak jsem mu nebyl schopen nijak pomoct. Za chvíli mi volal znovu, že zkusil v mobilu zakázat 5G a přes LTE mu to funguje. Za mě trošku WTF, ale čert ví, co tam ten operátor má.

A co tam má za vpn? Oni totiž různé ipsec, l2pt mají problém často s hotstopy, ipv6, natem a dalšími vylomeninami, co nám operátoři řádi dávají. IP vpn zpravidla ale fungují úplně bez problémů.

4

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 09. 11. 2023, 12:05:33 »

pochopitelne to nemam na 3389, ale nekde vysoko a nejedu to primo na muj stolni pocitac, ale na locknute VM v Proxmoxu.

Port nikoho nezajima, analyzuje se obsah a pokud to charkteristikou neodpovida HTTP/HTTPS provozu tak to prisnejsi poskytovatel proste zarizne a muzes to mit na jakem portu chces.

DPI dělá opravdu málo operátorů a že by blokovali jinak než podle portů jsem se v DE a CZ nesetkal (mluvím o operátorech, ne o free wifi).

Každopádně změna rdp portu ze zkušenosti nepomáhá a a to ani na změnu na čísla 40000 výše, ty skenery jsou dnes efektivní, rychlé a občas se trefí na tebe a proskenují.

5

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 09. 11. 2023, 11:44:59 »

BTS nevidí IP trafik, ten je o několik úrovní výš.

Operátor či někdo po cestě může blokovat rdp protokol kvůli bezpečnosti, dnes má neopravitelné zranitelnosti a nelze ho zabezpečit, proto nesmí být veřejně.

6

Studium a uplatnění / Re:Plat správce sítě v Praze (junior/medior)

« kdy: 08. 11. 2023, 13:16:07 »

Svého času jsem se začal specializovat na Infiniband

jak je tady na IB velký market?
Resp. je v CZE dost míst, kde s IB kde už řešíš nějaké pokročilejší věci, jinej než defaultní (fattree) routing, pkeys, a není to vlastně jen alternativa k fibre channelu?

Malej, za to pořád žící. Má to tady jeden operátor. Karolina v Ostravě je postavena nad mellanox quantum, obecně it4Innovations ho používá často. Mají ho ve výzkumných ústavech, něco mají dráhy. Není to zase tak málo, s akvizicí Mellanoxu Nvidií se ale záběr nejspíš rozšíří, k Tesla kartám ho hodně tlačí.

U nás je asi největší dodavatel HPE, i přes něj jsem měl většinu zakázek.

7

Studium a uplatnění / Re:Plat správce sítě v Praze (junior/medior)

« kdy: 08. 11. 2023, 09:23:57 »

ano, v lidlu člověk občas dostane víc než síťař. Co si budeme povídat, junior sítař je někdo, kdo tahá kabeláž a uživuje aktivní prvky.

Je dnes spousty kurzů a certifikací, dostávat víc za něco, co umí spousty lidí je těžké.

Svého času jsem se začal specializovat na Infiniband (primárně od Mellanoxu) a to je obor, kde si mě klienti přepláceli navzájem, protože v ČR nás byli jednotky, kteří uměli postavit velké clustery.

Návod na vyšší příjem je za mě specializace, jdi do nějaké práce, sleduj v čem jsou slabá místa a kde se dělají chyby a začni se na to zaměřovat.

8

Studium a uplatnění / Re:Plat správce sítě v Praze (junior/medior)

« kdy: 07. 11. 2023, 16:57:33 »

Obecně - v privátním sektoru rozhodně nejít pod 70k, ve státním o 1/4 méně.

Jestli můžu radit, protože jsi ještě nezkušený, jdi dělat do firmy, která dělá správu IT a bude prodávat tvojí práci. Budeš dřít jako tůůůt a za mizerné peníze (60k), ale hrozně moc se naučíš. A po dvou letech tradá na teplé místečko kompetentního síťaře za úplně jiné peníze.

lol, dobrý nesmysl.

Bez certifikaci a 2 roky praxe jít na 70tis? To je trochu přestřelené, ne?

Udělat si Cisco CCNA/CCDA (přípravka je často součástí předmětů na VŠ, takže to kluci/holky mají jak nic) je takový malý základ. V O2 najíme sítaře po škole s malou praxí za 40 tis. KB má nástupku 60tis, ale tam už chtějí alespoň CCDP. Kde ti prosímtě dají 70tis bez VŠ jiného formálního vzdělání na sítě?

9

Hardware / Re:Maličký 12V zdroj se zálohováním

« kdy: 07. 11. 2023, 12:23:43 »

Tý jo, 12V na USB-A konektoru, to by mne ani ve snu nenapadlo.

nj je to prasárna, protože to není jak v PD/QC atd., kdy si to musíš domluvit, ale to napětí tam máš rovnou, pokud tě napadne tam přes kabel píchnout rovnou telefon, můžeš se s ním rozloučit.

10

Hardware / Re:Maličký 12V zdroj se zálohováním

« kdy: 07. 11. 2023, 09:18:19 »

A co něco takovéhoto https://www.suntech.cz/mhpower-maly-zalozni-zdroj-dl181-12-mini-ups-12v-1a_d586846.html (mají varianty na 5v, 9v, 12v, 24v), obsahuje 18650 baterii (součástí balení), pár minut ti to dá čas.

11

Odkladiště / Re:Statistiky bezpečnosti operačních systémů

« kdy: 03. 11. 2023, 15:26:15 »

Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ,  nové klíče se bezpečně nainstalují automaticky.

Pokud ho cestou podvrhnu, tak mi je přece jedno kým je podepsaný, když si tam přidám svůj, stejně jak si tam přidám svůj balíček.

Ano, distribuce zpravidla přichází
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).

Vždyť ani samo Ubuntu nemá instrukce s https a je tam spousta http použití.

12

Odkladiště / Re:Statistiky bezpečnosti operačních systémů

« kdy: 03. 11. 2023, 10:44:20 »

Vtipné, viz oficiální stránka Ubuntu nebo tady výpis všech mirror, http je docela běžné. Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.

Jenže tady to HTTP vůbec nevadí, protože ty balíčky jsou podepsané každý zvlášť vývojáři dané distribuce. Pak je úplně jedno, odkud se stahují, protože provozovatel zrcadla nedokáže vyrobit svůj podvržený balíček a podstrčit ho uživateli do systému.

A jakpak se ten Release.gpg do toho systému dostane, aby se podle něho ověřily podpisy u balíčků? Tady je ten kámen úrazu, on se totiž stahuje také z toho http.

Ano, distribuce zpravidla přichází s předkonfigurovaným keyringem, ale třeba Debian je každý rok rotuje. Mysli na to, že pokud útočník má možnost podvrhnout celý repositář vč. metadat, může si sám udělat vlastní GPG key id a tím podepsat svůj podvržený balíček. Bavíme se i o spoustě dalších repositářů na SW, který se tak běžně distribuuje.

Stejně tak si představ útočník, který prostě čeká, sleduje provoz a až se naskytne ta správná kombinace provozu, teprve tehdy začne obsah podvrhávat, http repository pro apt není na tenhle typ útoku odolné. Může třeba čekat na situaci, kdy si budu chtít aktualizovat distribuci nebo si přidám nový apt source.

Rozumíme si?

13

Odkladiště / Re:Statistiky bezpečnosti operačních systémů

« kdy: 02. 11. 2023, 16:37:04 »

O Turecku nevím, ale takovýhle postup je známý, viz je třeba po krokách popsaný tady https://versprite.com/vs-labs/apt-mitm-package-injection/.

A myslíš, že dnešní linux distribuce už používají jen a pouze http? Vtipné, viz oficiální stránka Ubuntu https://packages.ubuntu.com/ nebo tady výpis všech mirror https://launchpad.net/ubuntu/+archivemirrors, http je docela běžné.

Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.

14

Odkladiště / Re:Co se stalo s Lamer.cz ?

« kdy: 02. 11. 2023, 09:42:36 »

mladá generace také sdílí znalosti, ale místo "obskurních" (z jejich pohledu) webů používá youtube, twitch, tiktok a jiné sítě. Velké množství obsahu je jako video a při školeních zažívám situace, kdy žáci odmítají konzumovat písmenka a chtějí pouze namluvený vizuál.

Ten trend byl asi postupné, v práci v kluků ve věku 20 - 30 let se také setkávám s tím, že dokud na něco neexistuje tutorial jako video, tak to vlastně neexistuje. Doby, kdy bylo běžné pročítat dokumentace a pilovat si znalosti ze zdrojáků jaksi taksi jsou asi pryč, i u open source vidím trend krabic a tutoriálů. Komunitní weby, kde jsme si po kouskách tříštili znalosti jsou asi doménou naší generace a s ní i zaniknou.

Video tutoriály si ale získaly přízeň i starší generace, mám tady šedesátníky, kteří milují video návody z Oracle znalostní databáze, ač to dělají 30 let, video je nějak fascinuje a mají ho raději než čtení.

15

Software / Re:čtení souboru MTP bez kopírování do %TEMP% ?

« kdy: 01. 11. 2023, 15:02:16 »

to záleží jak ten video soubor vypadá, jestli má hlavičky na začátku nebo na konci (MTP neumožňuje blockový přístup a seek).

Na linux existuje třeba https://github.com/libmtp/libmtp, který ti připojí mtp jako složku a pak si to můžeš přehrávat streamovaně přes ffmpg nebo vlc, používám to tak.