BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/

Russian Security Newsline
Хотите установить RSN на своем сайте?

Утекший код XP и Windows Server удалось собрать
dl // 01.10.20 01:40
Аутентичность утекших на той неделе исходников Windows XP и Windows Server 2003 получила подтверждение в виде успешной сборки из них почти работающих операционных систем.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/10/01.html]
Исходники Windows Server даже более полные, хотя и в них не хватает кода winlogon, но в отличие от XP, из них удалось собрать загружающуюся систему, хоть и пришлось заменить несколько файлов (помимо winlogon, не хватало нескольких help-файлов и драйверов).

Источник: ZDNet
теги: microsoft, leak, xp  |  обсудить  |  все отзывы (1)


Дела виртуальные
dl // 30.09.20 22:36
Практически синхронно подоспели известия о том, что Xen Project портировал свой гипервизор на 64-битную Raspberry Pi 4, а Microsoft анонсировала поддержку эмуляции x64 на своих ARM-устройствах.

«Вот так, с помощью нехитрых приспособлений буханку белого (или черного) хлеба можно превратить в троллейбус… Но зачем?»

Источник: The Register, The Verge
теги: microsoft  |  обсудить  |  все отзывы (0)


Простое пробивание рабочего/провайдерского NAT с помощью Tailscale
dl // 20.08.20 03:02
Четырёхсотый выпуск — повод тряхнуть стариной и написать чуть больше, чем простая подборка новостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/08/02.html]
И как раз недавно на глаза попался вполне для этого подходящий симпатичный сервис, упоминаний на русском о котором внезапно практически не нашлось.

По нынешним временам всеобщей удалёнки всё, этой удалёнке помогающее, стремительно набирает популярность. И речь не только о видеоконференциях, иногда ведь хочется и нормально поработать с ресурсами офисной или домашней сети. Те, у кого удалённая работа входит в нормальный рабочий цикл, конечно, всё уже давно настроили, но многие ещё только подтягиваются, открывая дивный новый мир VPN, проброса портов, UPnP и т.п.

Проще всего тем, у кого под рукой оказался хотя бы один «белый» IP-адрес, хоть дома, хоть на работе. В большинстве приличных домашних роутеров либо NAS уже давно можно найти серверы PPTP, OpenVPN, IPSec, иногда какой-то один, иногда все. После простой настройки устанавливаем подходящий клиент и радуемся жизни. PPTP-сервер тысячу лет входит в поставку любой Windows, для IPSec, правда, потребуется Windows Server. В самостоятельном разворачивании OpenVPN-сервера или набирающего популярность WireGuard тоже нет ничего сложного.

Я и сам именно так подключаюсь к домашней сети уже лет десять. Но далеко не все провайдеры предоставляют честные IP-адреса, пусть даже динамические, а уж в рабочих сетях сплошь и рядом все сидят за NAT — и если вы не являетесь по счастливому стечению обстоятельств администратором сети, флаг в руки уговаривать его пробросить порт для столь вопиющего нарушения периметра.

На этом этапе многие ломаются и просто ставят какой-нибудь TeamViewer, AnyDesk или вообще Chrome Remote Desktop, решив, что вместо удалённого подключения к сети достаточно удалённого управления одной машиной в этой сети. С одной стороны, минимальные усилия по настройке, с другой — вот так гонять картинку своего экрана через чужие узлы — бррр, разве что для каких-то очень второстепенных систем.

Не сдавшиеся уходят сравнивать цены на VDS/VPS, чтобы поднять там сервер любимой VPN, к которому подключаются со всех своих систем уже в качестве клиентов. В минусах очень дополнительная головная боль и, как правило, ограничения на скорость и трафик.

И теперь на сцене появляется собственно герой рассказа — сервис Tailscale, основанный в прошлом году парой выходцев из Google и открытый для публичного использования весной этого года. Лично моё внимание он привлёк, когда в него перешёл Брэд Фицпатрик (Brad Fitzpatrick), известный разработкой memcached и LiveJournal и тоже проработавший в Google 13 лет, 10 последних из которых занимаясь Go (языком, а не игрой).

Идея Tailscale — организация VPN на основе mesh-сети из узлов уже упоминавшегося WireGuard. Сервер координации раздает сертификаты и статические адреса, при регистрации клиентов используются аккаунты Google либо Microsoft. Для организации прохода сквозь NAT используется несколько техник, основанных на стандартах STUN и ICE, в особо запущенных случаях используется сеть из серверов-ретрансляторов DERP (Designated Encrypted Relay for Packets), взаимодействующих поверх HTTPS.

Клиенты доступны для Windows, macOS, Linux, Android, iOS, установка и настройка просты до безобразия, исходники открыты. Есть и сторонние пакеты для всех популярных NAS. Linux-клиент после этого может обеспечить доступ ко всей сети, Windows-клиенты дают доступ только к той машине, на которой установлены.

Для личных целей можно бесплатно использовать до 100 устройств, привязанных к одному аккаунту. Хочется иметь больше устройств или использовать разные аккаунты для разных клиентов — уже придётся платить, но для личного использования выглядит вполне достаточно, а для описанной задачи взаимодействия двух систем, скрытых NAT, — практически идеально. С точки зрения безопасности — ну да, в принципе, вы пускаете в свою сеть трафик с постороннего узла. С другой стороны, это всяко не хуже упомянутых решений для удалённого доступа и явно комфортнее самопального велосипеда на VDS/VPS.

Источник: Tailscale
теги: vpn  |  обсудить  |  все отзывы (0)


400 уязвимостей в процессорах Snapdragon
dl // 08.08.20 08:08
Исследователи из Check Point Research сообщают о найденных 400+ уязвимостях в коде цифрового сигнального процессора (DSP) производства Qualcomm Technologies, позволяющих как превратить использующий его смартфон в идеальное подслушивающее устройство, так и просто вывести его из строя.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/08/01.html]
С учётом того, что процессоры Qualcomm используются в 40% мобильных устройств, уязвимости потенциально затрагивают 3 миллиарда пользователей.

Источник: Check Point 400
теги: уязвимости  |  обсудить  |  все отзывы (0)


Яндекс неуклюже оправдался за установку Теледиска
dl // 29.07.20 17:09
На днях пользователи Яндекс.Диска внезапно увидели на своих рабочих столах новую иконку с ещё одним творением Яндекса — перепиленным из опенсорсного Jitsi сервисом видеоконференций Яндекс.Телемост.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/07/02.html]
Такая вот попытка компенсировать безнадёжное опоздание запущенного месяц назад Теледиска к дележу столь вкусного по нынешним временам всеобщей удалёнки пирога видеоконференций.

На резонное недоумение последовал ответ, путающий причину со следствием — Телемост активно использует функции Диска, поэтому ставится с Диском без возможности удаления. Заодно в Яндексе открыли для себя новое правило — нельзя добавлять на рабочий стол новые иконки без ведома пользователя.

Источник: Блог Яндекса
теги: клоуны  |  обсудить  |  все отзывы (0)




1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10 >>  »    »»


Предложить свою новость

  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach