😑 Да зачем нужен этот ваш Касперский?!

@showconfig #sec #антивирус #mac

Как объединить два офиса в одну сеть с помощью ocserv?

В работе часто возникает задача соединить разные офисы в единую корпоративную сеть. Для этого отлично подходит VPN-сервер на базе ocserv — современного и безопасного решения с поддержкой протокола AnyConnect.

🔹 Что такое ocserv?
ocserv — это легковесный OpenConnect сервер с поддержкой TLS/DTLS, аутентификацией через PAM, LDAP, сертификаты, и возможностью интеграции с RADIUS. Поддерживается большинство платформ (Windows, Linux, macOS, iOS, Android) через стандартные клиенты AnyConnect/OpenConnect. Репозиторий: https://gitlab.com/openconnect/ocserv/

🔹 Сценарий: объединение двух офисов
Задача — два офиса должны видеть друг друга как одну локальную сеть. С помощью ocserv на базе Linux это можно реализовать, настроив сервер в одном из филиалов, а во втором — клиент, который создаёт постоянное VPN-соединение (site-to-site).

Примерный план действий:
1. Установка и настройка ocserv на сервере Linux
- Установить ocserv (через apt или yum).
- Сгенерировать и настроить сертификаты (Let's Encrypt).
- Отредактировать конфигфайл /etc/ocserv/ocserv.conf (прописать сеть офиса, маршруты).
- Открыть порт 443/UDP и 443/TCP (можно и другие)

2. Настроить авторизацию пользователей или аутентификацию средствами сертификатов.

3. В офисе-клиенте развернуть OpenConnect и сконфигурировать автоконнект к серверу.
- В конфиге клиента прописать постоянное соединение с сервером, указать маршруты сети второго офиса.

4. Настроить маршрутизацию:
- В обоих офисах добавить маршруты, чтобы пакеты шли через VPN-интерфейс.

5. Готово! Теперь оба офиса в одной виртуальной сети, работают общие сервисы, можно централизовать безопасность и управление.

💡 Совет: Для повышения отказоустойчивости используйте резервные каналы и мониторинг состояния соединения.

P. S. Если интересна детальная инструкция — пишите в личку!

@showconfig #VPN #openconnect #ocserv #office

🧠 Чтобы поймать преступника, нужно думать как преступник!

Но у специалистов ИБ этого может больше не получиться.

Минцифры РФ подготовило второй пакет мер по борьбе с кибермошенниками. Одна из мер предполагает внесение поправок в ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:

Одна из этих поправок предлагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин», наравне с экстремистским контентом.

Чет как-то 😐

📖 Читать полностью: https://xakep.ru/2025/08/28/infosec-antifraud/
⚖️ Сам проект: https://regulation.gov.ru/projects/159652

🚫 Чем заменить Fail2Ban?

Fail2Ban годами считался "классикой жанра" для защиты серверов от перебора паролей и брутфорса по SSH. Но у этой утилиты есть минусы: она написана на Python, иногда потребляет слишком много ресурсов на системах с высокими логами и требует настройки фильтров вручную.

Есть альтернатива.

CrowdSec — это более современный, высокопроизводительный движок "поведенческой" защиты, который сочетает локальный анализ логов с глобальной репутацией IP-адресов и гибкой системой реакций через "баунсеры".

Написан на Go, парсит логи быстрее и выявляет сценарии злонамеренной активности, принимает решение и передаёт его исполнителям-блокировщикам (bouncers) на разных уровнях — от файрволла до реверс‑прокси и веб‑сервера . Ключевая фишка — общий пул репутаций IP-адресов, формируемый сообществом, что позволяет более точно блокировать IP-адреса краулеров или ботов брутфорсеров.

Если ваша VM с pet-проектом смотрит в мир, то точно будет полезно настроить CrowdSec.

Гитхаб: https://github.com/crowdsecurity/crowdsec

@showconfig #CrowdSec #Fail2ban #IDS #secutiy #waf

🔒Записки клуба любителей шапочек из фольги

Многие люди уверенны, что для сохранения конфиденциальности достаточно обмазаться випиЭном и всё будет хорошо. Не будет.

В статье на пальцах рассказывается, как ваш браузер вас "сдает".
https://www.rtings.com/vpn/learn/research/browser-fingerprinting

Что вообще такое Browser Fingerprinting?
Это технология, которая позволяет интернет-сервисам однозначно выделять и отслеживать пользователей по множеству технических признаков, даже если традиционные методы идентификации заблокированы или ограничены.

Процесс фингерпринтинга включает сбор множества характеристик: версия браузера (user-agent), операционная система, разрешение и параметры экрана, часовой пояс, языковые настройки, список установленных шрифтов, расширений, поддержка HTML5, поведение с Canvas/WebGL, аудиофункции и других свойств. Эти данные объединяются и проходят через функцию хеширования, в результате создаётся уникальный идентификатор — «отпечаток» браузера.

Абсолютная анонимность нереальна, но усложнить отслеживание и добиться чуть-чуть приватности пока еще можно.

@showconfig #VPN #Secutiy #Browser #Fingerprinting

🔥 Когда бэкапы — не шутка: Южная Корея теряет облако государственных данных из‑за пожара

Жёсткий урок для тех, кто считает резервные копии не приоритетом. Пожар в дата‑центре NIRS (Тэджон) уничтожил гособлако G-Drive — террабайты рабочих документов 750 000 служащих ушли в никуда.

Ключевая уязвимость: архитектура G-Drive не позволяла делать внешние бэкапы, хотя большая часть других систем ежедневно копировалась на изолированные устройства и удалённые площадки.

Причина пожара: литий‑ионные батареи LG Energy Solution для ИБП стояли на одном этаже с серверами и давно были отслужившими свой срок. Пожар вспыхнул при очередном этапе переезда инфраструктуры и отключении аккумуляторов. Все 384 батареи, оставшиеся в помещении, сгорели.

Последствия:
— терабайты данных безвозвратно потеряны
— один из ответственных чиновников совершил самоубийство
— парламент страны начал официальное расследование причин провала и экстремального инцидента
— обсуждают причастность хакеров и совсем мистические нюансы в расследовании

Даже если кажется, что ваша система надёжная — удалённые резервные копии must have.

«Но архитектура G‑Drive не позволяла делать внешние копии» (The Korea Herald)
Нукамон?!

Ссылки и детали:
https://habr.com/news/953800
https://koreaherald.com/article/10586088
https://phrack.org/issues/72/7_md#article

@showconfig #backup #fire #servers #G-Drive #clouds

А что у нас с айти? 🥲
Немного авторского мнения по теме.

Рынок охлаждается
Найма меньше, требования выше, а конкуренция за каждую джун‑позицию выросла в разы, а где-то они вообще стали не нужны. Сейчас работают стратегии выживания: держать улыбку, работать системно и смотреть в ниши с меньшей конкуренцией (и быть готовым быстро набраться экспертизы) вместо лобовой атаки на самые модные стеки.

Что делать джунам?
Опора на базу и дисциплину!
Тут всё стандартно, надо прокачивать hard‑скиллы, подтягивать soft‑скиллы, попутно строить нетворк, чтобы обойти «шум» на рынке. Обязательно учиться «продавать» свой опыт через резюме (не полагайтесь только на ИИ), портфолио и самопрезентацию, четко формулируя ценность для бизнеса.

Базовые навыки сейчас
Основы по сетям и протоколам (DNS, HTTP/HTTPS, TLS), основы Linux (в частности CLI), Git, REST API и протокол SOAP, Docker, знание и применение цифровой гигиены, начальные знания по ИБ, начальные знания по использованию AI — это база для большинства направлений. Для технических ролей добавлять pet‑проекты и разборы инцидентов, чтобы показать системное мышление и практику.

Менее конкурентные ниши
Стоит смотреть в DevOps/SRE начального уровня, сетевую инженерию, SecOps/BlueTeam, тестирование безопасности (penetration testing), MLOps, телеком‑стек BSS/OSS, где ценятся рабочие руки и базовая инженерия.

В итоге, сегодняшний путь «войти в Ойти» может быть долгим, но последовательность и системная работа выигрывают у случайных всплесков активности. Не сдаваться и идти к цели — единственная стратегия, которая гарантированно даст шанс на оффер.

☠️ Вошедшим в айти до 2022: улыбаемся и пашем.

@showconfig #IT #айти #junior #джун #digital

📡 Meshtastic: децентрализованная mesh-сеть в твоём кармане

Представь (мне в Воронеже представлять не надо): связь без интернета, операторов и серверов. Только радиоволны и шифрование.
Meshtastic — это open-source проект для создания автономных mesh-сетей на основе LoRa модулей.

Полный контроль над инфраструктурой связи. Никаких API ограничений, отключений или слежки (ну почти). Данные ходят напрямую между устройствами с end-to-end шифрованием, автоматически маршрутизируясь через промежуточные узлы (ноды).

🗺 Сценарии использования
- Городская mesh-сеть — покрыть район или город автономными узлами связи. Идеально для локальных комьюнити.
- IoT мониторинг — подключай датчики температуры, влажности, давления через MQTT. Данные летят по mesh-сети без Wi-Fi и сотовой связи.
- Походы и экспедиции — связь на расстоянии до 10-15 км в городе и до 50+ км на открытой местности. Без роуминга и покрытия.
- Emergency связь — автономный канал на случай отключения основной инфраструктуры.

🧐 С чего начать
Бери готовую плату, например, LILYGO T-LoRa V2.1 с ESP32 и LoRa модулем за ~2000 рублей. Прошивай через Web Flasher на официальном сайте meshtastic.org — никакой возни с компиляцией. Настраивай через мобильное приложение (iOS/Android) по Bluetooth за пару минут. Либо с компьютера через CLI или web-клиент.

🌧 Можно пойти дальше
Припаивай сенсоры (BME280 для метео-данных), добавляй внешнюю антенну, экспериментируй с солнечными панелями для автономности.

⚙️Один из моих сетапов:
- Датчик BME280: https://ozon.ru/t/zqPT5FB
- Антенна 433 МГц: https://ozon.ru/t/VpqxEZr
- Lilygo LoRa32 V2.1: https://ozon.ru/t/l7ArjHb

P.S. Самый бюджетный вариант ноды Meshtastic
- Heltec Wireless Stick Lite V3: https://ali.click/d2twkw

@showconfig #LoRa #ESP32 #meshtastic #mesh #flipperzero #geek

AWS немного отдыхает не по своей воле

Статуспейдж: https://health.aws.amazon.com/health/status

"Паровозиком" ушли на отдых и другие крупные сервисы.

@showconfig #aws #statuspage #issue #Amazon #cloud

🧠 Как понять, что перед вами текст от ИИ

Вы читаете текст и уверены: писал человек.
Умно, логично, без штампов. А если это искусственный интеллект? Новое исследование показывает: мы ошибаемся чаще, чем кажется.

https://education.yandex.ru/journal/Ai-text

🌚 Привет, XMPP! В каком же ты отчаянии, раз обратился ко мне

Когда-то не было ни Telegram, ни WhatsApp.
Были ICQ‑номера, и тот самый Jabber — открытая сеть, где каждый мог выбрать или сделать свой сервер, никнейм и клиент.

Был Adium с его стильной утиной иконкой на macOS, Psi с минимализмом и скоростью работы (а также форк Psi+), Gajim для любителей Linux и строгого контроля, Pidgin для тех, кто хотел «всё в одном»: ICQ, MSN, Jabber, Google Talk.

То было время статусов «занят», «ушёл обедать», «сейчас играет...». Когда приватность не зависела от корпораций, а твой список контактов жил на твоем сервере, не чьем-то чужом.

Сегодня, когда мессенджеры обещают свободу, но приносят лишь зависимость, хочется снова открыть Psi, ввести свой олдскул JID и написать другу строку без стикеров:

Привет 🙂

А мода тем временем циклична 😉

Поностальгировать:
- https://pidgin.im/
- https://psi-im.org
- https://adium.im
- https://gajim.org

@showconfig #jabber #xmpp #ejabberd #prosody #snikket #gajim

🔒 Weakpass – где, pass от слова password

https://weakpass.com

Коллекция списков паролей для различных целей: от тестирования на проникновение до повышения безопасности паролей.

C поиском по хэшу и c API.

Бесплатно.

@showconfig #secutiy #password #API #pentest #infosec #redteam

🚫 Yandex Cloud немножко отдыхает

По законам трудовых будней страдаем с 9:00 понедельника.

Частичная недоступность сетевых дисков:
https://status.yandex.cloud/ru/incidents/1422

@showconfig #yandex #cloud #incident #storage #hdd #failure

Про Apache Cassandra от Тысяча фичей @tfeat

Кассандра это моя старая любимая боль, без которой у меня долгое время не начинался рабочий день. Изучайте, пользуйтесь, страдайте.

Клиент, сервер.
Как работает запись?
Как работает чтение из Кассандры?

- Первая часть: https://xn--r1a.website/tfeat/145 
- Вторая часть: https://xn--r1a.website/tfeat/151
- Третья часть: https://xn--r1a.website/tfeat/153

@showconfig #cassandra #nosql #keyvalue #db #apache

Взлет и падение StackOverflow.

Это был главный сайт вопросов и ответов для программистов. На пике популярности, в 2014-2018, там задавали по 200 тысяч вопросов в месяц! В прошлом месяце, на нем задали только 3 тысячи вопросов, столько же, как и в августе 2008, при запуске.

Нейросети — финальный удар, который добил гиганта. ИИ отвечает на конкретно твой вопрос мгновенно, а недавно научился искать по всему интернету. Это удобнее, чем часами, а то и днями ждать ответов от волонтеров.

Но сайт начал падение ещё в 2018 году! Ну и окончательно покатился вниз в 2021, задолго до появления нейросетей (первая сколько-то полезная chatgpt 3.5 выйдет только в ноябре 2022).

Что же это было? Две главные гипотезы:

1. Discord. Эту программу для чатов запустили в 2015 году и в 2016-17 туда начали переезжать популярные open source проекты. Это, кстати, огромная потеря, ответы на вопросы из Discord’а недоступны для поиска в «большом интернете». Есть проекты типа Linen, которые пытаются это исправить, но они стоят денег и по умолчанию сообщения «заперты» в чатах. А ещё Discord, конечно, продаёт доступ к чатам компаниям обучающим нейросети, но это отдельная история.

2. Очень злая модерация. Модераторы закрывали вопросы как дубликаты или как не подходящие под «правила сайта». В результате, новички часто не могли получить ответ на свои вопросы и уходили разозленные, а опытные участники разочаровывались и переставали отвечать. Классический синдром вахтера, когда суть подменяется формой, у википедии схожие проблемы.

Интересно, что сайт изначально имел двойственную суть: это была попытка создать полную, структурированную энциклопедию знания о программированию с одной стороны — это был посыл со-основателя Джефа Атвуда (он вышел из проекта в 2013) и сообщество людей, которые помогают друг-другу, с другой — идея Джоэля Спольски, второго сооснователя, вышедшего из проекта 2019 вместе с продажей.

Sic gloria transit mundi.

Кстати, SO — пример отличной архитектуры, когда люди не изобретают сложность на пустом месте. Один из самых популярных сайтов в интернете работал на десятке серверов, а временами выживал вообще на одной машине. Рекомендую серию статей 2016 года, где инженер оттуда рассказывает, как всё устроено под капотом. Есть чему поучиться.

А ещё у нас есть эпизод подкаста, где мы говорим с Николаем Чабановским, который сделал русский клон и продал его самому Джоэлю Спольски и отвечал за сообщества в SO.

Прям ностальгия...

🔍 Gixy-Next: Сканер безопасности конфигурации NGINX для аудита безопасности

Что это?
Открытый сканер для анализа nginx.conf на уязвимости и проблемы производительности. Активно поддерживаемый форк легендарного Gixy от Яндекса.

Ключевые возможности:
• Статический анализ конфигурации NGINX
• Встроенный сканер в браузере через
• WebAssembly — можно проверить конфиг прямо на сайте: https://gixy.io/scanner/
• Быстрая установка через pip/uv (пакет на PyPI)
• Экспорт конфигурации в единый файл-дамп
• Гибкая настройка проверок через плагины и фильтры

Чем лучше nginx -t?
nginx -t проверяет только синтаксис. Gixy-Next ищет уязвимости (например, misconfig в заголовках), риски производительности и помогает предотвратить сбои.

Исходный Gixy был заброшен.
Gixy-Next — это современный форк, который исправляет ошибки, удаляет AI-артефакты и развивает проект.

• https://gixy.io
• https://github.com/MegaManSec/Gixy-Next

@showconfig #nginx #безопасность #devops #инфраструктура #opensource

🔒Let's Encrypt: 6-дневные сертификаты и сертификаты на IP-адреса

Через Let's Encrypt теперь доступны сертификаты с коротким сроком действия и сертификаты для IP-адресов. Срок действия этих сертификатов составляет 160 часов, то есть чуть более шести дней. Чтобы получить сертификат с коротким сроком действия, просто необходимо выбрать профиль сертификата с коротким сроком действия в своем клиенте ACME.

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability

P.S. А еще с 13 мая 2026 сертификаты буду выдаться сроком на 45 дней
https://letsencrypt.org/2025/12/02/from-90-to-45

🔐 Docker Hardened Images теперь БЕСПЛАТНО

Сюрприз от Docker: hardened-образы (Alpine, Debian, Python, Node, PostgreSQL и 1000+ других) теперь доступны без подписки.

Ключевые плюсы:
• Бесплатно — больше не нужен платный тариф Docker Pro/Team
• 1000+ образов — базовые ОС, рантаймы, БД, message brokers
• Supply chain security — образы собираются из исходников в контролируемом namespace
• Compliance «из коробки» — SBOM, аудиторские отчеты для ISO 27001, SOC 2, EU Cyber Resilience Act

Концепцию waterline (линия безопасности):
• DHI обеспечивает вам «линию безопасности». Ниже этой линии Docker отвечает за управление уязвимостями. Выше неё — вы. Когда сканер обнаруживает что-то в слое DHI, ваша команда не может предпринять никаких действий. Всё, что находится выше границы DHI, остаётся вашей ответственностью.
• Уязвимости никуда не деваются. Ниже линии безопасности (в базовых образах) нужно оперативно подтягивать пропатченные DHI-образы. Выше линии безопастности (в твоём слое) ты по-прежнему отвечаешь за код приложения, зависимости и всё, что накатил сверху.

🔗 Подробнее: https://www.docker.com/blog/hardened-images-free-now-what/

Сами образы тут: https://hub.docker.com/hardened-images/catalog

@showconfig #Docker #Security #DevSecOps #Containers #HardenedImages