«Для чого в команді ping використовуються опції Loose, Strict, Record, Timestamp і Verbose?» — таке запитання мені нещодавно зустрівся в вендорном іспиті. Вони дозволяють впливати на маршрутизацію пакетів ICMP і збирати інформацію про транзитних L3-пристроях. Але займаючись мережевими технологіями вже досить давно, я майже ніколи їх не використав.

Мені стало не зовсім зрозуміло, чому таке питання взагалі присутня в тесті. Повернувшись додому, вирішив дізнатися, раптом я дійсно постійно випускаю з уваги щось важливе?
Читати далі →

Security Week 46: обхід OAuth 2.0, низьковольтний ICMP DDoS, приватність iOS і обхід локскрина

Давно у нас не було наукових робіт за темою безпеки, і ось, будь ласка. На європейській конференції BlackHat EU дослідники з університету Гонконгу показали приклади некоректної реалізації протоколу OAuth 2.0, які в ряді випадків дозволяють вкрасти облікові записи користувачів. Так як мова дійсно йде про наукове дослідження, то і відповідна термінологія — без всяких цих «ААААА!1 мільярд учеток можна легко зламати через OAuth 2.0». Втім ні, oh wait, приблизно так робота і називається (новость і саме исследование).

Як би там не було, проблема, виявлена дослідниками, полягає не в самому OAuth, а в його конкретних реалізаціях. Необхідність впроваджувати системи Single-Sign-On не тільки для інтернету, але і для мобільних додатків (які належать не тільки власникам сервісів ідентифікації типу Facebook і Google, але і третій стороні) призвела до того, що стандарт OAuth 2.0 почали надбудовувати хто на що здатний, не завжди дотримуючись методи безпеки.

В результаті авторизація користувача місцями відбувається як попало: в дослідженні описується ситуація, коли авторизуватися від імені іншого користувача можна, знаючи тільки його логін (зазвичай e-mail). Втім, описані сценарії атаки передбачають наявність позиції man-in-the-middle, і можливі не завжди. З виявлених у ході дослідження проблемних додатків більшість працює з китайським identity provider Sina, а з 99 досліджених аппов, що підтримують OAuth через Google і Facebook атаці піддаються всього 17. Вирішити проблему можна на стороні провайдерів: якщо довіряти даними тільки від самого сервера ідентифікації, і не довіряти даними від програми (які можуть бути підроблені по дорозі), то елегантний хак працювати не буде.

Читати далі →

Основи комп'ютерних мереж. Тема №3. Протоколи нижніх рівнів (транспортного, мережевого і канального)


Вітаю всіх читачів. Тепер настав час поговорити про протоколах, що знаходяться на нижніх рівнях. У цій статті будуть розібрані протоколи канального, мережного та транспортного рівнів. Сідайте зручніше і читайте на здоров'я.

Читати далі →

Прихований баг (фіча ?) комутатор ZyXEL ES-2108-G



Адмініструючи мережа Tier-3 провайдера, стикаєшся з дуже цікавими особливостями деяких вендорів.
Про одну з таких особливостей і піде мова в цій статті.

Читати далі →

Uptime ваших сайтів тепер в PDF

Що робити, якщо начальство вимагає звіт про роботу корпоративного сайту? Або ж якщо відвідала геніальна думка про створення чудового скрипта, який буде робити все-все-все за Вас, ось тільки для цього потрібні дані у відповідному форматі? З сьогоднішнього дня ХостТрекер надає розширений набір форматів звітів, а також можливість завантажити їх в будь-який момент.




Читати далі →