Category: it

Category was added automatically. Read all entries about "it".

Моё фото в 43 года

Особенности взлома сети

 После взлома сети у вас появляется возможность, но не обязательно:

  1. Доступ к аккаунтам электронной почты, социальных сетей (фб, вк, ok, инстаграм и т.д.)

  2. Доступ к банковским аккаунтам

  3. Доступ к сетевому оборудованию жертвы, для переназначения трафика и поднятия прокси и впн-сервисов

  4. Использование инфроструктуры жертвы для проведения других атак, майнинга криптовалюты

  5. Получение конфендициавльной информации с целью шантажа или коммерческой разведки

  6. Шифрование информации на компьютере с целью дальнейшего вымогательства


Предупреждение мамкиным хакерам. Соответственно цена проникновения в чужую сеть составляет 5 лет тюрьмы и штраф до 1 млн. рублей. Это так, к сведению. Вот почему такие услуги не могут стоить дёшево.

Для всех остальных.  Рамонтируя компьютеры, я столкнулся с пренебрежительным отношением к информационной безопасности у рядовых пользователей и даже ИП. Конечно, не всякое проникновение в сеть грозит такими последствиями, но если такое случается, пользователь готов потратить любые деньги для исправления ситуации и наказания преступников. И здесь я готов огорчить таких пользователей. Следствие по этим эпизодам может длиться до шести лет, неопровержимые доказательства собрать сложно, толькое если подозреваемый не сотрудничает со следствием, и профессионалы стороняться от таких дел как чёрт от ладана. Поэтому лучше заранее предупредить подобное вторжение.

Для этого надо:

  1. На уровне операционной системы запретить пользователю запускать ненужные работодателю программы.

  2. На уровне сети запретить доступ пользователям к Интернет-ресурсам.

  3. Регламентировать использование электронной почты сотрудниками.

  4. Ограничить использование административных учётных записей в организации.

  5. Регулярно устанавливать обновления операционной системы и программных продуктов.

  6. Не использовать нелицензионное программное обеспечение, не допускать устаревания лицензий и испоьлзование устаревшего программного обеспечения.

  7. Соблюдать регламент использования сети и компьютерной техники в организации, не разглашать сведения о ней. Такой регламент должен быть совместно разработан ИТ-отделом и службой безопасности организации, и учитывать специфические требования бизнес-процессов в организации.

Как видите, рекомендации дополнительного программного обеспечения для защиты компьютеров и сетей автор устанавливать не рекомендует. Это ещё один дополнительный риск безопасности.

И, как следствие, в домашних условиях эти меры вряд ли применимы, но только их использование может частично обезопасить от вторжения в сеть.
Моё фото в 43 года

Issue-2021-01-30

Сегодня занимался программированием веб-приложения, основой которой было приложение WebDAV на Microsoft IIS сервере с базовой аутентификацией. Прошло много времени с того момента, когда я последний раз программировал такие веб-приложения, и я маленько «накосячил». У меня последовательно появлялись ошибки 67, 1920. 1244 веб-клиента и 401 ошибка веб-сервера. Опишу, как я их исправлял.

Ошибка 67 веб-клиента

В документации Microsoft сказано, что эта ошибка возникает, когда неправильно указан URI веб-сервера. Но в моём случае URI был правильный, ошибок в наборе URI не было. Однако я как то сразу обнаружил причину. Дело в том, что эта ошибка возникает при использовании http протокола вместе с базовой аутентификацией. По умолчанию с базовой атентификацией работает протокол https. Поскольку мне не хотелось заморачиваться с сертификатом, в качестве временного решения я создал следующий reg-файл, который разрешает этот протокол:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters]
"AcceptOfficeAndTahoeServers"=dword:00000001
"BasicAuthLevel"=dword:00000002


Ошибка 1920

Эта ошибка происходит, если неверно заданы настройки WebDAV приложения. В принципе, по документации, оно означает, что веб-клиент находит URI документа, но не находит в нём шару. Применительно ко мне был следующий косяк. Я почему-то настроил приложения аутентификации не на корневой каталог, а на вложенные. Вследствие этого у меня начались разные «чудеса», от невозможности включить WebDAV до неприменения правил аутентификации. Решение было следующим, хотя, как оказалось, неполным:

  • внутри сайта я удалил все файлы web.config в корневом и всех вложеных каталогах

  • создал приложение WebDAV в корневом каталоге сервера и настроил для него базовую аутентификацию

После этого исчезла не только ошибка 1920, но и ошибка 1244, которая в веб-клиенте является аналогом ошибки «Access denied». Клиент нормально заработал как с веб-сервера, так и с командной строки (команда net use). Однако я рано радовался. При доступе к приложению при помощи команды curl.exe на некоторых каталогах у меня наблюдалась ошибка веб-сервера 401 «Unauthorized». Job,rf была странная, поскольку на других каталогах всё работало. Танцы с бубном привели к следующей зацепке. Оказывается, часть каталогов соединялось по базовой аутентификации, а часть по аутентификации NTLM Windows. Это было уже что-то. В результате родилось действие.

Исправление ошибки 401 веб-сервера

Исправление этой ошибки оказалось простым. Мне пришлось зайти во вложенные каталоги, где я ранее «накосячил», и проверить тип аутентификации. Оказалось, и это баг IIS, что после удаления файлов web.config данные аутентификации никуда не удалялись! У меня там стояла аутетнтификация Windows NTLM и доступ для конкретного пользователя. После удаления пользователя (аутентификация только для группы) и ручное выставление базовой аутентификации всё заработало!

Выводы

Ещё раз отмечаю, что всякие «полезные» советы исправления аутентификации путем удаления/отключения WebDAV или его переустановки на самом деле вредны. Действительно, приложение IIS WebDAV очень капризное в настройке, тем более нужно следовать в его настройке следующим советам:

1. Устанавливайте приложение в корне сервера. Если Вам потребуются другие обработчики, создайте для них новый сервер на поддомене. Это гораздо проще, чем потом разбирать капризы IIS.

2. Основные настройки WebDAV и аутентификации необходимо проводить в корне приложения, а в подкаталогах менять уже малозначимые параметры (вроде документа по умолчанию или просмотра каталога). Этим Вы избавитесь от множества скрытых ошибок.
Моё фото в 43 года

Ещё один плагин к админ-паку «Экспонента»

Заканчивается тестирование ещё одного плагина к админ-паку «Экспонента» — NIT-Scheduler. Назначение этого плагина — запуск по расписанию программ, перечисленных в определённых командных файлах. Частота запуска этих заданий: раз в 10 минут, 15 минут, полчаса, час, неделя, месяц. Также в программе присутствует возможность старта программ в неустановленное промежуточное время (для внутренних нужд Админ-пака).

Назначение такого рода плагина — упрощение запуска программ по расписанию, например, очистка системы или проверка на вирусы. Кроме того, данный плагин может служить для загрузки и установки модулей (например, обновления Админ-пака), для запросов к серверам DynDNS и многому другому.

Поскольку при установке плагина он «затирает» все назначенные ранее задания, он не будет распространяться отдельно, а только как модуль для установки персонализированных сценариев. Также не предусмотрено его открытое тестирование.

Данный плагин устанавливается строго после основного пакета с плагинами (в базовой поставке). Отдельно от базовой поставки он работать не будет.
Моё фото в 43 года

В RMS найдена «особенность» касающаяся виртуальных машин

В программе Remote Manipulation System от TeKtonit найдена некоторая «особенность», препятствующая обратному соединению с Internet-ID сервером, если система находится за программным NAT. Особенность затрагивает виртуальные машины Hyper-V, VMware, VirtualBox. Что характерно, если система находится за аппаратным NAT (маршрутизатором, домашним Интернет-центром), то соединение нормально работает и устанавливается.

Варианты исправления:

- Используйте Bridge подключение гостевой виртуальной машины к локальной сети, а из неё — к Интернету. Настройка такой сети сложнее, но это единственный способ заставить работать RMS с гостевой виртуальной машиной.

Пока непонятно, специально ли Tektonit не разрешает соединяться машинам с программным NAT или это её баг, который не исправляется на протяжении длительного  времени. Запроса комментариев к авторам программы отправлено не было.
Моё фото в 43 года

Вышла обновлённая линейка продуктов NIT

Вышла обновлённая линейка продуктов NIT


Вышла обновлённая линейка продуктов (обновлённая до очередной бета-версии) компании New Internet Technologies Inc. Её преимущества:



  • Повышена безопасность ит стабильность кода

  • Переписан движок программы

  • Перенастроена схема распространения продукта

  • Добавлены новые технологии, поддерживаемые последними версиями Microsoft Windows 10


Закрытое тестирование показало превосходную работоспособность кода и подтвердило заявленные в техническом задании функции.


Назначения программ


Данная линейка продуктов позволяет обновить конфигурацию Microsoft Window для поддержки последних её технологий (менеджер пакетов chocolatey, оболочки boxstarter, PowerShell). После этого на компьютер может установлено программное обеспечение для удалённого управления и мониторинга работы компьютеров, поиска и устранения на них неисправностей, учёта времени работы, поддержания здоровья системы, полезными инструментами для разработки приложений, коллективной работе на компьютере, мессенджеров и чатов в виртуальной сети и много другое.


После установки данного пакета программ вы навсегда отучитесь скачивать программы из Интернете — необходимые программы и зависимости установятся после подачи команды в командной строке. Вы также сможете клонировать конфигурацию компьютера, чтобы избежать излишних резервных копий.


Проект NIT — это находка для администратора сети. Можно забыть, какие в сети компьютеры, подсоединены ли они к домену, какой они архитектуры — ко всем из них может быть предоставлен администраторский доступ. Администратору сети не обязательно находиться на рабочем месте. Более того, он может жить даже в другой стране, на исполнении его служебных обязанностей это никак не скажется.


Также система позволяет контролировать удалённых работников. У предпринимателя появится возможность перевести своих сотрудников «в облако», что сэкономит ему деньги, аренду офисных помещений, упростит налоговые проверки. Услуга Ssaas позволяет экономить на лицензиях на программное обеспечение, и сделать офис бизнесмена максимально мобильным.


Ссылки на скачивание


В целях упрощения установки пользователю доступны ссылки для скачки файлов-ярлыков на указанные программы. Ярлыки скачиваются программой Microsoft Internet Explorer, а потом эти ярлыки запускают скачку и установку самих программ. Установка производится простым способом, без участия администратора, что является большим преимуществом.


Компания предупреждает, что все пакеты должны быть установлены до конца, иначе ваша система подвержена риску быть уязвимой. В процессе установки система несколько раз перезагрузится, это не страшно. В конце установки должно появиться окно: Программа успешно обновила Вашу Windows.



ПРИМЕЧАНИЕ: В браузерах, отличных от Internet Explorer, данные ссылки меняют расширение скаченного файла с .lnk на .download. Поэтому пользователю необходимо будет вручную переименовать ярлыки для корректного запуска установки.

ПРИМЕЧАНИЕ: Чтобы вручную не переименовывать файлы ярлыков, разбросанные по всей файловой системы компьютеров, советую использовать следующий лайфхак. Он позволяет полностью контролировать ход сохранения ярлыков.


  1. Щёлкните правой клавишей мыши по ссылке на файл, который вы хотите скачать.

  2. Появится диалоговое окно сохранения файла с расширением ".download" в папку по-умолчанию.

  3. В этом диалоговом окне смените расширение файла с ".download" на ".lnk" (ручками!), а в качестве папки сохранения на левой панели окна выберите рабочий стол

К величайшему сожалению, Google Chrome и подобные ему браузеры (таких большинство) переименовывают при загрузке расширения файлов ".lnk", ".local", считая их небезопасными. При этом свободно пропускают другие небезопасные расширения (например, ".scr"). Информацию об этом поведении смотри в статье (на английском языке): c# - Chrome ignoring the extension suggested in the Content-Disposition header of an HttpResponse sent from a WebAPI controller - Stack Overflow Следует отметить, что ни Mozilla Firefox, ни Internet Explorer, ни тем более curl/wget и другие менеджеры закачки такое поведение не наблюдали. Именно поэтому Вам как можно быстрее надо скачать и обновить свой компьютер.

P.S. Ссылки ни при каких воздействиях не стали рабочими. Актуальные ссылки и инструкции смотри в комментариях к посту.

Заключение


Данная линейка продуктов поможет поднять управление вашим компьютером на новый уровень. Открытое тестирование придаст Вам новый импульс в расширении Вашего кругозора и освобождения Вашего времени на более важные и интересные дела.


Успехов вам и удачи!

Моё фото в 43 года

Технологии создания сайта


  • Сайты создаются на основе любого публичного шаблона, путём его последующей доработки под требования CMS. Допускаются непубличные шаблоны. с доработкой;

  • При создании сайтов используются следующие языки программирования и и х компбинация:


  1. HTML5

  2. CSS3

  3. JavaScript

  4. Jquery

  5. PHP

  6. Perl

  7. Python

  8. ASP.NET/Mono

  9. VB.NET/C#

  10. NodeJS

  11. Bash

  12. Фреймворки и библиотеки на основе этих языков.


  • В качестве основных CMS используются:


  1. Joomla,

  2. WordPress

  3. ModX

  4. Mobirise

  5. Статика  + отдельные скрипты


  • Хостинг размещается на Ubuntu Linux И Microsoft Windows Server VPS/VDS серверах, оплачивается на год вперёд.

  • В качестве приёма средств рассматриваются: криптокошельки, Ю-Деньги, QIWI-кошельки, PayPal, карты, выпущенные онлайн-банками и сотовыми операторами. Настройка таких средств оплаты производится по отдельной калькуляции.

  • Вследствие особенностей работы сайты могут не поддерживать дополнительную функциональность, такую как импорт и экспорт документов Microsoft Office и 1С, обратные звонки и т.п., которые не предполагаются на сайтах с таким уровнем секретности. Прошу извинения клиентам за неудобства.

  • Поддержка аутенфикации по СМС также оговаривается заранее и отражается в итоговой калькуляции.

  • Следует отметить, что услуги хостинга, облачных хранилищ, аренды DNS, доменов, АТС и услуг СМС, платёжных сервисов, услуг CRM и бизнес-сервисов, анонимайзеров и SSL-сертификатов  являются платными с ежемесячной абонентской платой, с минимальным сроком заказа 1 год. Эта сумма включена в итоговую калькуляцию по созданию сайта и в ежегодную плату за администрирование и поддержку хостинга.

  • Также в стоимость входит трудоёмкость создания и поддержки сайта, а также обеспечение необходимого уровня безопасности.

Моё фото в 43 года

Проблема с dns сервером на нестандартном порту в Raspbery Pi

Начал, вернее, продолжил, настраивать ipv6 6to4 на своей домашней сети. У меня уже были настроены ipv6 адреса, и задача заключалась в том, чтобы сделать их статическими. На роутере статический ipv6 адрес создаётся по-умолчанию. На Windows компьютере я прописал статические адреса вручную. Осталось только прописать статические адреса на Raspberry Pi и прописать все назначенные адреса в dns сервере, который я поднял на роутере на нестандартном порту, скажем, 53530.

Назначить статический адрес для Raspberry Pi мне удалось, только прописав директивы:

interface eth0                                 
static ip_address=192.168.*.*/24           
static ip6_address=fe80::*:*:*:*/64 
static routers=192.168.*.*                   
static domain_name_servers=192.168.*.*

в файле /etc/dhcpcd.conf. При этом сервис networking не запустился, по ходу сетью у меня управляют демоны network-manager и dhcpcd (клиент dhcp). Поскольку локальный статичный ipv6 адрес сети может сбиться, я прописал соединение в Network Manager командой:

nmcli connection add con-name "static" ifname eth0 autoconnect yes type ethernet ip6 fe80::*:*:*:* gw6 fe80::*:*:*:*

Как Вы можете видеть, такая конфигурация не позволяет использовать ipv6 для Интернет соединений, но в локальной сети пинг ipv6 проходил.

Однако проблемы начались, когда я создал локальную зону на роутере. Порт 53 был занят системными службами, поэтому я развернул сервер bind9 на нестандартном порту, в качестве родительских серверов указал ему тот же сервер на 53 порту, а потом ещё добавил сервер bind9 в качестве родительского сервера  DNS для роутера. Получается кольцо из обращений к роутерам «сервер»:53530 <—> «сервер»:53. Понимаю, это не лучший вариант настройки серверов, но большинство систем с этой конфигурацией «справились».

Отказалась только работать Raspberry Pi. После включения этой конфигурации любое верное доменное имя обозначается как неавторизованное, а мой локальный домен объявлен несуществующим. При том, что другие системы его видят. Если же подать команду

nslookup -port=53530 «локальный домен»

то всё работает, а все доменные имена обозначаются как авторизованные.

ВЫВОД:

Существуют системы, которые не воспринимают закольцованные рекурсивыные вызовы dns серверов, к тому же расположенные на нестандартных портах. Такой системой, в частности, является Raspberry Pi 3
Моё фото в 43 года

Инструкция по включению ActiveX в Internet Explorer 11


Instruction for ActiveX



Инструкция для включения активного содержимого


Данная страница использует активное содержимое для прямого взаимодействия с сервером.


К сожалению, вследствие санкционной политики США, наша организация больше не может использовать защищённое активное содержимое корпорации Microsoft. И чтобы не лишать наших клиентов доступа к государственным услугам, мы приняли решение использовать другие сервисы активного содержимого, доступного в Internet Explorer. Пожалуйста, воспользуйтесь нашими советами, чтобы включить это активное содержимое.



  1. Откройте данный сайт в браузере Internet Explorer версии 11. Активное содержимое доступно в версиях Internet Explorer, начиная с 7, но работа данного активного содержимого на этих версиях не тестировалась;


  2. В правом верхнем углу браузера Internet Explorer щёлкните на значок «шестерёнка» и в меню выберите пункт «Свойства браузера»;



  3. В открывшемся окне выберите вкладку “Безопасность”;


  4. Выберите зону «Интернет» в окне «Выберите зону для параметры её параметров безопасности»;

  5. Нажмите на ней кнопку «Другой»;

  6. В открывшемся окне «Параметры безопасности» пролистайте пункты вниз до «Элементы ActiveX и модули подключения»;


  7. Следующие параметры безопасности: «Автоматические запросы элементов управления ActiveX», «Разрешать запуск элементов управления ActiveX, которые не использовались ранее, без предупреждения» отметить как «Включить»;

  8. Следующий параметр безопасности: «Включать фильтрацию ActiveX» отметить как «Отключить»;

  9. Следующие параметры безопасности: «Использование элементов управления ActiveX, не помеченные как безопасные для использования», «Разрешить сценарии», «Скачивание неподписаных элементов ActiveX» отметить как «Предлагать» или «Включить (небезопасно)»;

  10. Нажмите кнопку «Ok»;

  11. В появившемся окне с сообщением «Вы действительно хотите изменить настройку для этой зоны?» ответьте «Да».

  12. Повторите пункты 5-11 для зон «Местная Интрасеть» и «Надёжные сайты», если параметры безопасности отличаются от вышеуказанных;

  13. Нажмите кнопку «Применить» диалогового окна;

  14. Нажмите кнопку «Ok» для закрытия диалогового окна;

  15. В дальнейшем при открытии активного содержимого с сайта у Вас появится диалоговое окно с подтверждением полномочий на его запуск. Ответьте на него утвердительно, если хотите его запустить.