🤔 Минцифры объяснило, почему Рунет не работает за границей

Минцифры оценило масштаб полыхания и выкатило на официальном сайте пресс-релиз. Ведомство заявляет что всё работает в штатном режиме. Госуслуги, банки и маркетплейсы ждут соотечественников с распростертыми объятиями. А если вдруг не открывается личный кабинет, то виноваты:
🟢Злые иностранные провайдеры, которые специально блокируют российские сервисы.
🟢Твой кривой отельный Wi-Fi (рекомендуют переключиться на LTE).
🟢Анти-DDoS системы, которые кратковременно отбивают атаки (попробуй зайти попозже).

В последнем абзаце ведомство все-таки признало ложные срабатывания, когда человек без всяких туннелей ловит заглушку (Выключи VPN). На этот случай придумали архитектурное решение... на Госуслугах появится специальная кнопка, чтобы пожаловаться на ложную блокировку 😮

Получается, что никто откатывать ковровые Geo-блокировки не собирается. Если вы за границей и вам нужен доступ к Рунету, то неплохо бы иметь VPS в Москве с поднятым туннелем ВНУТРЬ страны 🤙

Типичный 🥸 Сисадмин

Матрица уже здесь. Мы просто не заметили релиза 👾

Выбирай... сладкое неведение с дефолтными настройками или горькая правда с бесконечным чтением мануалов.

З.Ы. Ложки не существует...

Типичный 🥸 Сисадмин

🇺🇸 Импортозамещение по-американски

Если кто еще думал, что паранойя с запретом вражеского железа, реестрами отечественного ПО и импортозамещением это исключительно наша забава, то снимаем шапочку из фольги и смотрим на сияющий Град на Холме. Американский регулятор FCC (отвечает за связь) выкатил апдейт к своему мартовскому бану зарубежных роутеров 👮‍♂️

Месяц назад FCC запретила продажу на территории Штатов новых домашних роутеров, собранных за бугром (в Китае и остальной Азии). Запрет внесли под соусом национальной безопасности. А на днях до них дошло, что они забыли про мобильные сети. И выпустили быстрофикс... теперь в блэклист добавлены портативные мобильные роутеры (MiFi / хотспоты) и домашние 5G/LTE CPE-терминалы.

Пытливые умы считают, что истинная цель дяди Сэма - тупо заставить корпорации перенести сборочные конвейеры на территорию США. Чтобы получить исключение из блэклиста.

Оказывается для правильных вендоров оперативно сделали исключения... временную амнистию до октября 2027 года получили:
🟢Amazon со своими роутерами eero.
🟢Netgear (линейки Nighthawk и Orbi).
🟢Adtran 🤷‍♂️

Им дали полтора года, чтобы вывезти сборочные линии из китайского Шэньчжэня куда-нибудь в Техас.

Прецедент создан. Раньше FCC банила конкретные проштрафившиеся компании (типа Huawei, ZTE или Каспера). Теперь впервые банят целые классы устройств просто по факту их сборки за рубежом. Сегодня это домашние роутеры, а завтра под соусом безопасности можно будет запретить импорт вообще любых умных чайников или смартфонов.

Кибербалканизация шагает по планете семимильными шагами. Скоро в каждой стране будет свой правильный роутер из родного текстолита 🤔...

А что же будет когда все огородятся... 🌟

Типичный 🥸 Сисадмин

30 лет прошло... когда ты ждал подключения по диалапу, чтобы сказать другу Ку 😭

Типичный 🥸 Сисадмин

Боня просила не блокировать Telegram – поддерживаем 🤝
В нём хотя бы можно читать Avanpost😉

Это канал про Identity Security, аутентификацию и то, что реально происходит на рынке ИБ. Максимально человеческим языком и с юмором 💁‍♂️

Подписывайтесь: @avanpost_idm – там ещё и бесплатные вебинары по актуальным темам 👈

🫡 Эпоха ушла... легендарный портал Udaff закрылся навсегда. Оказывается он работал до вчерашнего дня.

🤪Превед, кросавчеги! Йа сам фшоке, ибо искренне думал, што этот динозавр сдох еще во времена диалапа и карточек РОЛ, а он, сцуко, был жыв все эти годы! Оказываеццо, поциент тупо лежал на ИВЛ в тихом уголке рунета, а мы и не знали.

Главный падонок всея Руси Димон Соколовский (он же Удафф) выкатил на главной чорный баннер с мессагой:

Эпоха окончена. Проект закрыт. Мы и так уже тянули дольше, чем это было нужно...

Кароче, аффтар выпил йаду и закрыл лавочку. Сайт, который с 2000 года генерил нам мемы, ушел фтопку 😵

Сам создатель гаварит, што в последние годы ресурс скатилсо... там тупо терли за футбик и хоккей, ставили стафки и вообще было уныло. Никакого годного креатива, падонки постарели, обзавелись ипотеками и спиногрызами. Но мы-то помним! Это была колыбель Олбанского йезыга. Именно оттуда пошли в массы все эти (аффтар жжот, пацталом, ржунимагу, в Бабруйск, жывотнае и КГ/АМ). Без Удаффа не было бы ни культуры мемасиков, ни Лурка, ни Двача. Это буквально нулевой километр нашей цифровой йуности 😭

Кароче, пожилые олды, снимаем шляпы. Эпоха ушла в Бабруйск и больше не вернеццо. Пешыте исчо в комментах, кто скока лет назад там сидел и чей креатив читал. Аффтару - пожизненный зачот, ресурсу - вечная память, а зумерам - учить албанский! Тема закрыта 🫡

Типичный 🥸 Сисадмин

Портативный ЦОД из 2005 года 💼

Чем пухлее был твой холдер, тем больше к тебе было уважения на районе 😎

Типичный 🥸 Сисадмин

🚨 Видеоконференции. Как всё проверить и за всем уследить?

Если вы следите за работой одной или нескольких ВКС-систем, то большинство проблем с сетью, нагрузкой или качеством связи можно предотвратить. Для этого разработчики выпустили новую версию системы TrueConf Monitor — 1.1.

29 апреля команда Труконф покажет новые возможности и вспомогательные инструменты для IT-специалистов и администраторов, которые упростят контроль и реагирование на инциденты до того, как они повлияют на онлайн-встречи. 📱

В программе вебинара:
✅ Уведомления о сбоях — напрямую в мессенджере ❗️
✅ Журнал событий с фильтрацией и экспортом
✅ Мониторинг звонков 1 на 1
✅ Расширенные возможности работы с данными
✅ Примеры, которые упростят жизнь любому IT-отделу

⏰ 29 апреля в 11:00 мск
📎 Зарегистрироваться

Сон при температуре 🏥

Типичный 🥸 Сисадмин

😶Налог на VPN официально подтвержден

Помните инфу о том, что мобильных операторов заставят брать конские бабки за международный трафик свыше 15 Гб? Многие тогда подумали, что это просто влажные фантазии. Но теперь на это есть официальная бумага с гербовой печатью.

Ассоциация компаний связи (АКС) написала прямой запрос в министерство о реальности введения лимитов. Ответ превзошел все ожидания. На втором листе официального письма:

...конкретные параметры механизма дополнительной тарификации международного трафика пользователей... находятся в проработке.

Это больше не слухи и не вбросы. Окончательно осознана базовая проблема... гоняться за каждым новым Xray, VLESS или Reality-туннелем через DPI - это неудобно и накладно. Энтузиасты всё равно придумают новую обфускацию быстрее, чем обновится сигнатура.

Поэтому решили запилить знак равенства между VPN и зарубежным трафиком. Оператору (и его биллингу) абсолютно нет дела, зашифрован твой пакет или нет. Он видит пункт назначения... IP-адрес в Нидерландах. Качаешь гигабайты из-за бугра? Лови тарификацию х3, сверхлимиты и боль 🤯. Обход блокировок должен стать не только сложным, но и финансово невыгодным для рядового нормиса.

Пару моментов:
🟢 Пока что речь идет про мобильные сети. Домашних провайдеров пока не трогают.
🟢 В первой половине письма напоминают, что ковровые бомбардировки неугодных протоколов через ТСПУ будут продолжаться. Совмещают, так сказать, L7-фильтрацию с экономическим удушением 😱

Типичный 🥸 Сисадмин

🤡 Как Microsoft чинила одну уязвимость, а выкатила zero-click бэкдор

В феврале Мелкомягкие выкатили заплатку от критической баги в Windows Shell (CVE-2026-21510). Изначально дыра позволяла вслепую протаскивать левые экзешники в обход SmartScreen и получать удаленное выполнение кода. Инженеры Microsoft героически перекрыли кислород троянам, отчитались в бложике и забыли.

Но, как это обычно бывает, закрыли они ровно половину проблемы. Теперь вместо скрытой установки малвари кулхацкеры тупо тянут учетки.

Вектор опирается на древние костыли файлового менеджера (Explorer). Атакующий подкидывает жертве специально ярлык, внутри которого зашит удаленный сетевой UNC-путь. Винда видит ярлык, и у нее срабатывает рефлекс... надо срочно подгрузить и отрисовать красивую иконку 😬. Система ломится по указанному пути, инициируя SMB-рукопожатие с сервером хакера. В процессе этого коннекта Windows отдает удаленному серверу хэш Net-NTLMv2 текущего юзера. Бинго 🎩... дальше хэш либо перебирается по словарям, либо юзается напрямую для атаки.

З.Ы. Эксплойт работает в чистом zero-click режиме, где вообще не надо кликать по ярлыку. Достаточно просто открыть папку с ним (или чтобы почтовый клиент попытался отрендерить превью вложения).

Вот так вот легаси из 90-х годов (автоматический рендеринг иконок по сети) умножает на ноль современные системы защиты.

Разумно, если еще не сделано, отрубить исходящий SMB-трафик (порты 139 и 445) на периметре сети наглухо, а также отключить NTLM аутентификацию там, где это возможно.

Типичный 🥸 Сисадмин

Пользовательская работа на тоненького... рядом с питанием 🌚

Типичный 🥸 Сисадмин

Ленты снова в фокусе?!

Наши заказчики вновь смотрят на ленточные носители. А все потому что мы вовремя им подсветили, сколько они сэкономят с лентами в 2026 🧐

Контекст предсказуем и прозаичен, но озвучим наши с вами общие наблюдения:

— объем резервных и архивных данных растет как на дрожжах
— хранить его на дисках и в облаках становится дорогим удовольствием

⬅️Вопрос: как организовать хранение постоянно растущего объема данных при этом снизить затраты, сохранить гибкость архитектуры и надежность?

➡️Ответ: ленты

Служат до 30 лет, хранят до 75 ТБ при сжатии (зависит от привода), энергопотребление минимальное. Да, скорость доступа к данным уступает дискам, но это вопрос компромиссов. А еще они безопасны при онлайн-атаках.

В основном мы предлагаем ленты как один из элементов в стратегии резервного копирования 3-2-1. Они принимают на себя те данные, что рекомендуется выносить за основной контур.

Конечно, есть нюансы внедрения и использования. Например, надо четко понимать, какое поколение LTO-приводов вам нужно, в каком контексте задач вы рассматриваете ленты, какие ленточные библиотеки актуальные и надежные.

Все это уже проговорили в подробном исследовании на сайте.

Погрузиться в чтиво с кофейком на 5 минут ⏺

💬Мы в MAX 💙VKontakte
Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFHSuAgy

- Дед, а почему ты из ИТ ушел?
- Когда монолит распилили на микросервисы, я понял, что этот цирк уже не остановить...

Типичный 🥸 Сисадмин

🔐 15 лет с голой жопой. Как обычная запятая в OpenSSH давала root-права всем желающим.

Безопасники из компании Cyera раскопали эпичный факап в самом сердце опенсорса. В коде OpenSSH нашли дыру (CVE-2026-35414), которая 15 лет позволяла получить рута через... банальную опечатку.

Баг благополучно жил в кодовой базе полтора десятилетия. Эксплойт позволяет любому юзеру с низкими привилегиями, имеющему валидный серт от доверенного центра сертификации, инстантно поднять свои права до root на целевом сервере 😱

Для тех кто позабыл 😬... SSH-сертификаты работают через principals (роли/имена), которые прописываются при подписи ключа утилитой ssh-keygen. Сервер при коннекте сверяет эти principals со своим локальным конфигом.

А теперь следите за руками разработчиков OpenSSH. Какой-то сумрачный гений 15 лет назад решил сэкономить время и заюзал для парсинга списка principals старую сишную функцию, которая изначально писалась для парсинга списков алгоритмов шифрования (в духе aes128-ctr,aes256-gcm).

Для этой функции запятая - это истинный разделитель массива. Что делает атакующий? Он просит у своего CA выпустить сертификат с принципалом, в имени которого тупо захардкожена запятая. Например deploy,root.

Что делает уязвимый OpenSSH-сервер? Он берет эту строку, прогоняет через кривой парсер, который сплитит её на два отдельных принципала: deploy и root. Дальше срабатывает логическая дыра... первая функция проверки видит совпадение по deploy (если такой юзер разрешен сервером) и пускает дальше, а вторая функция авторизации из-за конфликта переменных просто скипает дальнейшую валидацию и... выдает атакующему полноценный root. Epic Win 🔥! На написание рабочего эксплойта у исследователей ушло 20 минут.

Самая жопа заключается в том, что этот взлом физически невозможно отследить по логам. Поскольку сервер технически считает авторизацию легитимной (сертификат-то валидный, криптография сошлась, подпись CA верна), в /var/log/auth.log не падает никаких ошибок authentication failure. Никакие Fail2Ban, Wazuh и дорогущие SIEM-системы на это не триггернутся. В логах это выглядит как штатный, рутинный логин легального юзера 🎩

Патч уже выкатили в свежем релизе OpenSSH 10.3 (вышел в начале апреля). Так что, господа, идем чекать версии демонов sshd и обновляем пакеты. И заодно проверьте, кому ваш внутренний Vault/CA раздает серты, пока кто-нибудь не зашел на прод под логином user,root 🙂

Типичный 🥸 Сисадмин

Отдел ИБ одобряет этот подход

Блокирую даже когда иду в туалет у себя дома. Профдеформация 👴

Типичный 🥸 Сисадмин