Куча говна / Говнокод #28329 Ссылка на оригинал

0

  1. 1
Пиздец-оффтоп #51

#21: https://govnokod.ru/27479 https://govnokod.xyz/_27479
#22: https://govnokod.ru/27485 https://govnokod.xyz/_27485
#23: https://govnokod.ru/27493 https://govnokod.xyz/_27493
#24: https://govnokod.ru/27501 https://govnokod.xyz/_27501
#25: https://govnokod.ru/27521 https://govnokod.xyz/_27521
#26: https://govnokod.ru/27545 https://govnokod.xyz/_27545
#27: https://govnokod.ru/27572 https://govnokod.xyz/_27572
#28: https://govnokod.ru/27580 https://govnokod.xyz/_27580
#29: https://govnokod.ru/27738 https://govnokod.xyz/_27738
#30: https://govnokod.ru/27751 https://govnokod.xyz/_27751
#31: https://govnokod.ru/27754 https://govnokod.xyz/_27754
#32: https://govnokod.ru/27786 https://govnokod.xyz/_27786
#33: https://govnokod.ru/27801 https://govnokod.xyz/_27801
#34: https://govnokod.ru/27817 https://govnokod.xyz/_27817
#35: https://govnokod.ru/27822 https://govnokod.xyz/_27822
#36: https://govnokod.ru/27826 https://govnokod.xyz/_27826
#37: https://govnokod.ru/27827 https://govnokod.xyz/_27827
#38: https://govnokod.ru/27833 https://govnokod.xyz/_27833
#39: https://govnokod.ru/27862 https://govnokod.xyz/_27862
#40: https://govnokod.ru/27869 https://govnokod.xyz/_27869
#41: https://govnokod.ru/27933 https://govnokod.xyz/_27933
#42: https://govnokod.ru/27997 https://govnokod.xyz/_27997
#43: https://govnokod.ru/28042 https://govnokod.xyz/_28042
#44: https://govnokod.ru/28080 https://govnokod.xyz/_28080
#45: https://govnokod.ru/28086 https://govnokod.xyz/_28086
#46: https://govnokod.ru/28105 https://govnokod.xyz/_28105
#47: https://govnokod.ru/28166 https://govnokod.xyz/_28166
#48: https://govnokod.ru/28229 https://govnokod.xyz/_28229
#49: https://govnokod.ru/28298 https://govnokod.xyz/_28298
#50: https://govnokod.ru/28308 https://govnokod.xyz/_28308

Запостил: nepeKamHblu_nemyx nepeKamHblu_nemyx, (Updated )

Комментарии (49) RSS

  • Доброй ночи.

    Этот оффтоп сгенерирован автоматически.

    Индекс оффтопов: https://index.gcode.space/.
    Зеркала Говнокода и полезные ресурсы:
    * https://govnokod.xyz/ (альтернативный Говнокод)
    * https://gcode.space/ (read-only зеркало Говнокода)
    * https://t.me/GovnokodBot (Говнокод-бот в «Telegram»)
    * https://t.me/GovnokodChannel (Тематический канал в «Telegram»)
    * https://app.element.io/#/room/#govnokod:matrix.org (резервный чат)

    Примечание: автоматические перекаты в настоящее время осуществляются только с аккаунта nepeKamHblu_nemyx.
    Остерегайтесь подделок. Берегите себя и своих близких. Кок!
    Ответить
  • Можно ли вкатиться в ИБ без опыта и без предварительного изучения курсов?
    Мне посоветовали: Можешь пойти сразу в ИБ, чтобы на работе научиться.
    Но я думаю, что если даже и прокатит, то зарплату я больше получать не стану.
    Ответить
    • Конечно можно. Будешь на реальных тасках учиться и ещё ЗП за это получать.
      Ну и требования к работе и сама работа отличаются как годзилла и надувной динозаврик.
      Ответить
        • У нас уволят только если ты специально базу сольёшь, а иначе скажут «с кем не бывает, давайте сделаем, чтобы такое больше не повторилось».
          Ответить
          • Это правильно, но если ты ИБшник и тебя каждую неделю ломают, то на третью тебя уволят кмк
            Ответить
            • Может и так, но это скорее касается руководства Уранца, чем самого Уранца. Вряд ли неопытному сразу дадут ответственность.
              Ответить
              • Смотря что за контора.

                Не все конторы одинаково хорошо управляются. Есть и такие, где берут случайного человека на случайную должность, а потом увольняют
                Ответить
                  • тогда надо идитить, думаю там откровенному говну не научат точно
                    Ответить
                    • Не надо думать, что там какие-то особенные люди. Там такие же ослоёбы и ротоёбы могут быть.
                      Ответить
                      • В целом в компании обычно неротоёбствуют те, кто занят ее прямой деятельностью
                        В касперском может быть ротоёб-админ или ротоёб-дизайнер, но программист скорее всего не будет полным ротоебом

                        В Ростелекоме ротоёбом будет програмист, но скорее всего не сетевой инженер
                        итд
                        Ответить
                        • Аналогии в целом понятны. Но что скажешь про ООО «Веб.Студио.Девелопмент»?
                          Ответить
                          • Основной профиль деятельсности ООО «Веб.Студио.Девелопмент» -- изготовление дешевых сайтов на вордпресс, и размещение их на шаредхостинге
                            Уверен, с этой задачей они справляются неплохо:)
                            Ответить
    • Зависит от степени твоей осведомленности в вопросах ИБ.
      Minimum privileges, zero trust, защищенный периметр, lateral movement, доверие, вот это всё?
      Ответить
      • Интерактивные Брокеры?
        Инвестиционный Банк?
        Исследовательское Бюро?
        Искоробочный Баребух?
        Интегрированная Бибилятека?
        Ответить
      • Вот гост бы со своей паранойей мог работать ИБшником
        Ответить
        • Излишняя паранойя тоже вредна. У нас недавно ИБшники анально огородили кое-какую систему, которой половина сотрудником пользуется. Так их хуями покрыли так, как никогда не покрывали, и ещё припомнили всё прошлое )))
          Ответить
          • Лучше хуи, чем шифровальщик)

            Я за принцип минимальных пермишенов: если вам дохуя куда-то надо попасть -- ну вонкретно вот тебе с конкретно твоих кредов и надо открывать
            Ответить
            • Но чтобы получить доступ, нужно подождать сутки (обещанное время, за которое должны рассмотреть заявку), 99% что никто не среагирует за это время, потом написать в личку и подопнуть проверяющего. Хорошо, если он один, иначе хуй знает кому писать. Напишешь не тому - он через пол дня ответит что не к нему. Бардак короче.
              Ответить
              • Так убирать нужно бардак, а не процедуры.

                Я просто видел обратные ситуации, когда пиздец был примерно такой:
                Говнокодер: я тут говносайтнаписал, открой его снаружи чтоб ходить можно
                Админ: ОК (открывает всему интернету какое-то говноприложение, внутри сети вертящееся)
                Ответить
                • > внутри сети вертящееся

                  Ну так а где оно должно вертеться? Как должен был поступить админ?

                  У нас в таком случае ИБ запрашивает описание говноприложения и код. Но ответственность за говно всё равно на говнокодере. Если туда зальют эксплойт, то данные оттуда ты спиздишь только пренадлежащие говноприложению, потому что сеть у него изолирована и доступы только туда, куда нужно.
                  Ответить
                  • >Ну так а где оно должно вертеться? Как должен был поступить админ?
                    ты же сам всё правильно написал:
                    >потому что сеть у него изолирована

                    Если у программера своя песочница, то пускай там черти ебуца (если конечно от его художеств в той песочнице не зависит бизнес напрямую).
                    Я же говорил о кейсах, когда программер во внутреннем периметре просит дырочку сделать. И делают же, долбоебы
                    Ответить
                    • Ты кстати прав. Двуногих стало слишком много. Они бегают, суетятся, вводят друг в друга углеводы и белки, воркують.

                      Пора убирать весь этот бардак.
                      Ответить
      • Кстати гост, покритикуй с точки зрения безопасности. Со злощастным админом обсуждали способ удаленного доступа питухов road warriors, пришли к такому:

        Подымается CA, питухам добавляется его серт в доверенные. CRL и AIA публикуются на nginx на прыще, доступный снаружи по http (https для CRL не работает). OCSP не нужен. nginx открывается только для России.

        CA выдает серт сетевой железке (микроту), но нем подымается IKEv2 (доступ только из РФ) с аутентификацией по серту (можно парольную настроить через RADIUS в AD, но пароль можно подобрать, а серт -- нет).

        Питухам генерятся ключи прямо на самом микроте. На нем сохраняются серты, ключи устанавливаются пользователям на машины.

        Вжух, и они по VPN в изолированной сетке в спец загончике. Теперь им нужно на RDP.
        RDP открывать нельзя: он дыряв, и так как они не в домене -- будет NTLM, в памяти терминалки будут его хеши, их оттуда подрежет mimikatz.

        Потому ставим RD Gateway, и выдаем ему серт из того же CA. Далее, CA выключем (будет всё время оффлайн на гипервизоре без доступа к сети (только IPMI)). CA можно закрыть битлокером, один хуй включать его тока вручную, для выдачи серта

        RD Gateway пускает уже зашедших про VPN по RDP over HTTPS и реализует KDC Proxy (тоже прверх HTTPS). Через него питухи могут получить kerberos ticket, и пойти на терминалку уже с ним. NTLM в домене совсем отключаем.

        to be continued
        Ответить
        • Питуховая машина соединеяется по IKEv2/ESP с микротом, валидирует его серт ходя на публичный nginx c AIA (хотя я хз делают ли так для корневых), аутентифицируется по RSA (своим приватным ключом от серта), подключается к KDC прокси (это умеет RDP клиент), получает тикет от KDC (безопасность DC выносим за скобки) и уже с тикеом через RD Gateway пиздует на терминалку, где даже если всё поломать -- хешей пароля в памяти не будет.

          Боты будут ебать VPN (микрот не умеет fail2ban), но так как они ограничены страной РФ и подобрать ключ всё равно нереально, то только логи засрут.

          В случае воровства компа пока хакер будет подбирать доменный пароль для RD Gateway, его сертификат просто выкинут с микрота (и акк забанят в AD), и он никуда не войдет.

          Не зашифруют?:)
          Ответить
      • Удивительно, что приходится такую прописную истину объяснять.

        Это как выходить с плакатом: "земля не плоская, а не падают люди потому, что гравитация"

        А зумер такой: капиталисты запудрили тебе мозги гравитацией чтобы тобой УПРАВЛЯТЬ
        Ответить
        • > земля не плоская, а не падают люди потому, что гравитация

          чел, попробуй это сказать где-нибудь на публике...
          Ответить
          • Сейчас бы отрицать искривление пространства, как какой-то неандерталец...
            Ответить
        • А разгадка проста и как всегда находится в разделе Early life
          > Born into a working-class Jewish family
          Ответить
  • Что лучше, кокаин или новококаин? Что больше вставляет?
    Ответить

Добавить комментарий

Семь раз отмерь — один отрежь, guest!

    А не использовать ли нам bbcode?


    8