Forwarded from Типичный Сисадмин
Перехват шифрованного трафика jabber.ru и xmpp.ru 🥷
Администратор jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей. Она проводилась в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.
Атака обнаружена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены🧠
Подмена сертификата прекратилась после начала разбирательства. При этом дополнительный переход при маршрутизации пакетов, отправляемых на 5222 порт одного из серверов в Linode, наблюдается и ныне, но сертификат теперь не подменяется.
🔍 Команда проекта предполагает, что атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов, в результате взлома инфраструктур обоих провайдеров или сотрудником, имевшим доступ к обоим провайдерам.
Пользователям рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP в своих PEP-хранилищах на предмет возможной подмены.
Типичный🥸 Сисадмин
Администратор jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей. Она проводилась в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.
Атака обнаружена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены
Подмена сертификата прекратилась после начала разбирательства. При этом дополнительный переход при маршрутизации пакетов, отправляемых на 5222 порт одного из серверов в Linode, наблюдается и ныне, но сертификат теперь не подменяется.
Пользователям рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP в своих PEP-хранилищах на предмет возможной подмены.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯20😱6🌚6👍1
Типичный Сисадмин
Перехват шифрованного трафика jabber.ru и xmpp.ru 🥷 Администратор jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей. Она проводилась в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. Атака организована…
👆 Как защититься от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером
Чтобы предотвратить получение TLS-сертификатов третьими лицами, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена.
CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:
✅ для привязки домена example.com к удостоверяющему центру letsencrypt.org:
✅ для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890
Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический мониторинг отсутствия подмены сертификатов, и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) или вручную отслеживать появление незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано выбирать размещённых в разных странах операторов хостинга, регистрации домена, DNS и удостоверяющих центров.
Linux / Линукс🥸
Чтобы предотвратить получение TLS-сертификатов третьими лицами, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена.
CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:
example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"DNS-сервер должен быть размещён на отдельной сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS ответы с записью CAA.
Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический мониторинг отсутствия подмены сертификатов, и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) или вручную отслеживать появление незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано выбирать размещённых в разных странах операторов хостинга, регистрации домена, DNS и удостоверяющих центров.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16
Средства контроля пропускной способности сети в Linux с открытым исходным кодом
Часть 1.
1. vnStat – это полнофункциональная программа на основе командной строки для контроля сетевого трафика Linux и использования полосы пропускания сети в режиме реального времени в системах Linux и BSD.
Регистрирует статистику сетевого трафика и использования полосы пропускания сети для последующего анализа – это его поведение по умолчанию. Фактически вы можете просматривать эти журналы даже после перезагрузки системы.
2. iftop – это простое и удобное в использовании средство контроля пропускной способности сети в режиме реального времени на основе командной строки, которое используется для быстрого обзора операций сетевого трафика в интерфейсе. Оно отображает обновленные данные пропускной способности сети в среднем каждые 2, 10 и 40 секунд.
3. nload – еще одно простое и удобное средство командной строки для контроля сетевого трафика и использования полосы пропускания сети в режиме реального времени. Оно использует графическое представление информации и отображает такую информацию, как общий объем переданных данных и минимальное/максимальное использование сети.
4. NetHogs – это текстовое средство, чем-то похожее на предыдущее, для контроля использования пропускной способности сетевого трафика каждым процессом или приложением в режиме реального времени, которое работает в системе Linux.
Linux / Линукс🥸
Часть 1.
1. vnStat – это полнофункциональная программа на основе командной строки для контроля сетевого трафика Linux и использования полосы пропускания сети в режиме реального времени в системах Linux и BSD.
Регистрирует статистику сетевого трафика и использования полосы пропускания сети для последующего анализа – это его поведение по умолчанию. Фактически вы можете просматривать эти журналы даже после перезагрузки системы.
2. iftop – это простое и удобное в использовании средство контроля пропускной способности сети в режиме реального времени на основе командной строки, которое используется для быстрого обзора операций сетевого трафика в интерфейсе. Оно отображает обновленные данные пропускной способности сети в среднем каждые 2, 10 и 40 секунд.
3. nload – еще одно простое и удобное средство командной строки для контроля сетевого трафика и использования полосы пропускания сети в режиме реального времени. Оно использует графическое представление информации и отображает такую информацию, как общий объем переданных данных и минимальное/максимальное использование сети.
4. NetHogs – это текстовое средство, чем-то похожее на предыдущее, для контроля использования пропускной способности сетевого трафика каждым процессом или приложением в режиме реального времени, которое работает в системе Linux.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤5
Доступна серверная JavaScript-платформа Node.js 21.0
Поддержка ветки Node.js 21.0 будет осуществляться в течение 6 месяцев. В ближайшие дни будет завершена стабилизация ветки Node.js 20, которая получит статус LTS и будет поддерживаться до апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.0 продлится до сентября 2025 года, а позапрошлой LTS-ветки 16.0 до апреля 2024 года.
Linux / Линукс🥸
Поддержка ветки Node.js 21.0 будет осуществляться в течение 6 месяцев. В ближайшие дни будет завершена стабилизация ветки Node.js 20, которая получит статус LTS и будет поддерживаться до апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.0 продлится до сентября 2025 года, а позапрошлой LTS-ветки 16.0 до апреля 2024 года.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Уменьшение жёстко определённого размера окна приложения в формате AppImage
При запуске некоторых приложений, поставляемых в формате AppImage, окно не умещается на экран и штатные механизмы изменения размера окна не позволяют уменьшить его до нужных размеров. Например, окно оказывается слишком длинным и его нижняя часть на широкоформатном экране ноутбука всегда оказывается за пределом экрана.
Для постоянного уменьшения масштаба можно перед запуском программы выставить переменную GDK_DPI_SCALE для программ на GTK, и QT_SCALE_FACTOR для Qt. Например:
🥸
При запуске некоторых приложений, поставляемых в формате AppImage, окно не умещается на экран и штатные механизмы изменения размера окна не позволяют уменьшить его до нужных размеров. Например, окно оказывается слишком длинным и его нижняя часть на широкоформатном экране ноутбука всегда оказывается за пределом экрана.
Для постоянного уменьшения масштаба можно перед запуском программы выставить переменную GDK_DPI_SCALE для программ на GTK, и QT_SCALE_FACTOR для Qt. Например:
GDK_DPI_SCALE=0.8 ./prog.AppImageLinux / Линукс
QT_SCALE_FACTOR=0.8 ./prog.AppImage
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22
Please open Telegram to view this post
VIEW IN TELEGRAM
😁47🔥4🤔3
Представлен выпуск свободной загрузочной прошивки Libreboot 20231021. Обновлению присвоен статус тестового выпуска. В новом выпуске:
▪️ Возвращена поддержка серверных материнских плат: ASUS KFSN4-DRE и ASUS KGPE-D16.
▪️ Добавлена поддержка материнских плат для ПК: ASUS KCMA-D8 и Dell Precision T1650.
▪️ Добавлена поддержка ноутбуков: Dell Latitude E6430 (Intel GPU), Lenovo ThinkPad X301, HP EliteBook 2170p и HP EliteBook 8470p.
▪️ Осуществлён переход на находящуюся в разработке ветку загрузчика GRUB 2.12-rc. Добавлена поддержка шифрованных разделов в формате LUKS2, использующих механизм формирования ключа на базе алгоритма argon2 (ранее поддерживались только конфигурации с PBKDF2).
И другие изменения.
Linux / Линукс🥸
▪️ Возвращена поддержка серверных материнских плат: ASUS KFSN4-DRE и ASUS KGPE-D16.
▪️ Добавлена поддержка материнских плат для ПК: ASUS KCMA-D8 и Dell Precision T1650.
▪️ Добавлена поддержка ноутбуков: Dell Latitude E6430 (Intel GPU), Lenovo ThinkPad X301, HP EliteBook 2170p и HP EliteBook 8470p.
▪️ Осуществлён переход на находящуюся в разработке ветку загрузчика GRUB 2.12-rc. Добавлена поддержка шифрованных разделов в формате LUKS2, использующих механизм формирования ключа на базе алгоритма argon2 (ранее поддерживались только конфигурации с PBKDF2).
И другие изменения.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥62😁16💯10👍4🤔1
Доступен первый стабильный релиз проекта nghttp3, развивающего библиотеку на языке Си с реализацией протокола HTTP/3.
В nghttp3 предоставляется независимая реализация спецификаций RFC 9114 (HTTP/3 поверх протокола QUIC), RFC 920 (технология сжатия заголовков QPACK), RFC 9220 (передача WebSockets поверх HTTP/3) и RFC 9218 (расширяемая схема для управления приоритетами отправки ответов на запросы клиента).
Библиотека не зависит от определённых стеков QUIC и поддерживает работу поверх разных реализаций транспортного протокола QUIC. При этом проектом также развиается собственная реализация протокола QUIC - ngtcp2, применяемая по умолчанию.
Linux / Линукс🥸
В nghttp3 предоставляется независимая реализация спецификаций RFC 9114 (HTTP/3 поверх протокола QUIC), RFC 920 (технология сжатия заголовков QPACK), RFC 9220 (передача WebSockets поверх HTTP/3) и RFC 9218 (расширяемая схема для управления приоритетами отправки ответов на запросы клиента).
Библиотека не зависит от определённых стеков QUIC и поддерживает работу поверх разных реализаций транспортного протокола QUIC. При этом проектом также развиается собственная реализация протокола QUIC - ngtcp2, применяемая по умолчанию.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17
Средства контроля пропускной способности сети в Linux с открытым исходным кодом
Часть 2.
1. bmon – это простое в использовании средство командной строки для контроля использования пропускной способности сети и оценки скорости в Linux. Оно собирает сетевую статистику и визуализирует ее в удобном для пользователя формате, чтобы он мог наблюдать за работой своей системы.
2. Darkstat – это небольшой, простой в использовании, кросс-платформенный, работающий в режиме реального времени, эффективный веб-анализатор сетевого трафика. Это средство контроля сетевой статистики, которое работает за счет захватывания сетевого трафика и статистики использования компьютера и предоставляет отчеты по протоколу HTTP в графическом формате. Его также можно использовать через командную строку, результаты будут те же.
3. IPTraf – это настраиваемое средство, основанное на ncurses, для контроля входящего и исходящего сетевого трафика, проходящего через интерфейс. Это важно для контроля IP-трафика и просмотра общей и подробной статистики интерфейса и многого другого.
4. CBM – это небольшая утилита командной строки для отображения текущего сетевого трафика на всех подключенных устройствах в цветах Ubuntu Linux. Она показывает каждый подключенный сетевой интерфейс, полученные и переданные байты, а также общее количество байтов, что позволяет контролировать пропускную способность сети.
Linux / Линукс🥸
Часть 2.
1. bmon – это простое в использовании средство командной строки для контроля использования пропускной способности сети и оценки скорости в Linux. Оно собирает сетевую статистику и визуализирует ее в удобном для пользователя формате, чтобы он мог наблюдать за работой своей системы.
2. Darkstat – это небольшой, простой в использовании, кросс-платформенный, работающий в режиме реального времени, эффективный веб-анализатор сетевого трафика. Это средство контроля сетевой статистики, которое работает за счет захватывания сетевого трафика и статистики использования компьютера и предоставляет отчеты по протоколу HTTP в графическом формате. Его также можно использовать через командную строку, результаты будут те же.
3. IPTraf – это настраиваемое средство, основанное на ncurses, для контроля входящего и исходящего сетевого трафика, проходящего через интерфейс. Это важно для контроля IP-трафика и просмотра общей и подробной статистики интерфейса и многого другого.
4. CBM – это небольшая утилита командной строки для отображения текущего сетевого трафика на всех подключенных устройствах в цветах Ubuntu Linux. Она показывает каждый подключенный сетевой интерфейс, полученные и переданные байты, а также общее количество байтов, что позволяет контролировать пропускную способность сети.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Please open Telegram to view this post
VIEW IN TELEGRAM
😁40👍4
В ночных сборках Firefox появилась поддержка машинного перевода на русский и украинский языки
В ночных сборках Firefox, на базе которых 21 ноября будет сформирован выпуск Firefox 120, расширен список языковых моделей во встроенной системе машинного перевода. Так, для тестирования предложены модели для русского, украинского, эстонского, финского, исландского, каталонского, норвежского, персидского, чешского и венгерского языков.
О времени интеграции дополнительных языков в стабильную ветку не сообщается.
Linux / Линукс🥸
В ночных сборках Firefox, на базе которых 21 ноября будет сформирован выпуск Firefox 120, расширен список языковых моделей во встроенной системе машинного перевода. Так, для тестирования предложены модели для русского, украинского, эстонского, финского, исландского, каталонского, норвежского, персидского, чешского и венгерского языков.
О времени интеграции дополнительных языков в стабильную ветку не сообщается.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤36👍9🔥1
Выпуск qBittorrent 4.6 с поддержкой I2P
Торрент-клиент qBittorrent 4.6 написан с использованием тулкита Qt и развивается как открытая альтернатива µTorrent. 👉 Среди изменений и новшеств:
▪️ Добавлена экспериментальная поддержка распределённой анонимной сети I2P.
▪️ Обеспечено добавление новых торрентов в начало очереди.
▪️ Добавлена возможность фильтрации списка торрентов на основе их локального файлового пути.
▪️ В web-интерфейс добавлен просмотрщик логов, реализованы настройки для файла с логом, предложен интерфейс для переименования разом нескольких файлов, добавлена поддержка подкатегорий и обеспечено сохранение привязки к сетевому интерфейсу после разрыва соединения.
▪️ Для FreeBSD включена сборка с поддержкой D-Bus.
И другие изменения.
Linux / Линукс🥸
Торрент-клиент qBittorrent 4.6 написан с использованием тулкита Qt и развивается как открытая альтернатива µTorrent. 👉 Среди изменений и новшеств:
▪️ Добавлена экспериментальная поддержка распределённой анонимной сети I2P.
▪️ Обеспечено добавление новых торрентов в начало очереди.
▪️ Добавлена возможность фильтрации списка торрентов на основе их локального файлового пути.
▪️ В web-интерфейс добавлен просмотрщик логов, реализованы настройки для файла с логом, предложен интерфейс для переименования разом нескольких файлов, добавлена поддержка подкатегорий и обеспечено сохранение привязки к сетевому интерфейсу после разрыва соединения.
▪️ Для FreeBSD включена сборка с поддержкой D-Bus.
И другие изменения.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28
Please open Telegram to view this post
VIEW IN TELEGRAM
😁77❤5🤔3