Практика системного администрирования

Как удалить вирус с компьютера

Wed, 21 Dec 2016 3:00:00 +0300

Компьютерный вирус – это особая разновидность программного обеспечения, используемая злоумышленниками для воздействия на электронные устройства жертвы. Вредоносное ПО делится на большое число категорий, различающихся по степени опасности, по силе воздействия и по специфике работы. Но в быту вирусами принято называть любые вредоносные программы. Разновидности вредоносного ПО На самом деле, разновидностей очень много, но следует помнить самые основные, те, с которыми люди встречаются чаще всего: Компьютерный вирус – программа, искажающая исходные процедуры операционной системы и другого программного обеспечения. Вирус может копировать свое тело, размножаясь в системе, добавлять себя в исходный код программ, в сектор автозапуска системы и прочее. Вредоносная составляющая вируса не ограничена исходной задумкой автора, так как может быть вызвана из-за ошибок работы системы. Природа вируса такова, что система не готова к работе с такой разновидностью ПО; Троянская программа – более опасный вид ПО в отличие от обычного вируса. Троян попадает на компьютер жертвы под видом дрогой программы и способен накапливать информацию о системе, чтобы пересылать ее своему создателю, то есть осуществлять шпионскую деятельность. Троян также может воздействовать на то, как будет работать система, использовать ресурсы компьютера в своих целях, модифицировать различные программы; Баннер – блокиратор доступа к операционной системе. Почему злоумышленники используют именно баннеры? Просто это легкий способ запугивания жертвы. Баннеры используется для блокировки электронных устройств в целях получения выкупа за разблокировку. Чаще всего, монитор будет выводить сообщение, растянутое на весь экран с условиями разблокировки. Все баннеры делятся условно на два типа: безобидные, снимаемые обычной перезагрузкой компьютера, и серьезные, для снятия которых используются стороннее программное обеспечение, либо специальные способы обхода; Бэкдор – это не программа, а особая модификация исходного кода программы с целью осуществления мошеннических действий, поэтому часто данное понятие упоминается в темах вредоносного ПО. Злоумышленник может оставить «следы» в коде программы, с помощью которых можно наладить связь с компьютером жертвы, где будет установлена программа. Бэкдоры используются для воровства паролей, номеров банковских карт и прочей ценной информации. Как бороться с вредоносным ПО? Антивирусная утилита – это вспомогательная программа, помогающая произвести сканирование компьютера на наличие вирусов. Вам не нужно задумываться над тем, как удалить вирус, а нужно лишь иметь в запасе свежую версию антивирусной утилиты. Самые популярные представители: CureIt! и Kaspersky Virus Removal Tool. Данные утилиты лечат уже зараженный компьютер, показывают, сколько вирусных программ содержит машина, и помогают удалить их. То есть они не способны обеспечить комплексную защиту, как полноценный антивирусный пакет. Проблема, связанная с баннерами, чуть сложнее, потому что они препятствуют доступу пользователя к системе. Перезагрузите ноутбук или стационарный компьютер, но если это не поможет, найдите доступ к сети, скачайте программу DrWeb Live CD, загрузите ее на пустой диск, после чего загрузите систему с этого диска. Такое решение позволит не только избавиться от баннера, но и создать резервные копии важных файлов, хранящихся на компьютере.

Компания Samsung принудительно запретит пользоваться смартфоном Note 7

Wed, 14 Dec 2016 3:00:00 +0300

Это означает, что реальный контроль над умными устройствами сегодня почти полностью принадлежит компаниям-производителям “железа” и софта, а не хозяину телефона. Уже не один раз представители Samsung просили людей, имеющих телефон модели Note 7, который имеет свойство взрываться, не пользоваться им, в связи с опасностью для здоровья, но на данный момент очень много владельцев данного смартфона не хотят расставаться с ним. Компания решила пойти на решительные меры и удалённо отключить модуль связи, Wi-Fi и Bluetooth у всех опасных телефонах в Канаде. С отключенными модулями аппарат станет совсем неинтересным, ведь владельцы не смогут по нему звонить и выходить в интернет ни по sim карте, ни по wi-fi. Первым на отключение пойдут модули беспроводной передачи данных - это произойдёт 12 декабря 2016 года, после чего, через 3 дня будет отключена и возможность совершать звонки. Около месяца назад те же меры были приняты в Новой Зеландии.

Сериал "Небезопасность". Эпизод 2.
Массовая уязвимость в приложениях с технологией Touch ID

Fri, 18 Nov 2016 3:00:00 +0300

Авторы очень многих приложений для устройств от Apple поспешили воспользоваться преимуществами технологии Touch ID для удобства своих пользователей. Несмотря на то, что недостатки технологии биометрической авторизации уже много лет демонстрируются в кино из Голливуда. Можно ли сегодня полагаться только на биометрическую защиту? Безопасно ли это? Начиная с 2014-го года Apple считает, что можно. До появления Touch ID приложения были защищены только собственным кодом, что было существенно безопаснее. Теперь, когда есть Touch ID, вы можете набирать десятки и сотни кодов от приложений, но они абсолютно не прибавляют в защите - это пустая трата времени и иллюзия безопасности. Между тем, разглашение людьми личного пароля от телефона стало сегодня слишком обычным делом. Люди доверяют свои пароли семье, друзьям, и зачастую даже просто случайным прохожим. Это гораздо удобнее, чем набирать пароль каждый раз, передавая телефон из рук в руки. Попробуйте вспомнить, было ли такое, что вы или вам задавали вопрос "Какой у тебя пароль?". Или бывает ли так, что вы набираете пароль под глазом видеокамеры. В этот момент удобство отодвигает безопасность далеко на задний план. Мы проверили приложения, которые считаются самыми защищенными, т.е. финансовые приложения, банковские, для доступа к удаленным устройствам и компьютерам, интернет-магазины, хранители паролей, записные книжки, таск-менеджеры, облачные хранилища и разные другие. Обойти пароли от входа в приложения возможно в случае, когда пароль на iPhone не установлен или известен злоумышленнику. Он может просто добавить в систему новый отпечаток пальца и использовать его для входа по Touch ID. Знать пароль самого приложения не требуется. Чтобы приложение было защищено, в момент запуска оно должно проверять - не появились ли новые отпечатки с момента последнего входа. Если новые отпечатки есть, то вход должен работать только по паролю приложения ¹. Так работает защита AppStore и некоторых других приложений. Разработчикам протестированных нами приложений направлены результаты исследования и рекомендации о методе защиты. По информации, имеющейся у лаборатории информационной безопасности «Кадмус», ответные действия на предоставленные рекомендации уже оперативно предприняты службой информационной безопасности банка "Сбербанк": алгоритм входа в банковское приложение по отпечатку пальца изменен, чтобы гарантировать защиту данных пользователей. Клиентам банка достаточно обновить приложение на iPhone с функцией Touch ID, чтобы включилась дополнительная защита.
Пользователям приложений с Touch ID, для повышения своей защищенности, мы рекомендуем:

всегда использовать пароль на телефоне (усиленный, если вы видите в этом необходимость);
отключать Touch ID в настройках важных приложений, если такая возможность предусмотрена;
называть отпечатки понятными именами, включая в название имя владельца отпечатка и какой палец какой руки. Так можно проверить подмену отпечатка в будущем;
не набирать пароль, когда кто-то видит экран вашего телефона;
не сообщать пароль тем, кому вы не доверяете на 100%;
не попадать в поле действия видеокамер в момент набора пароля;
в случае потери телефона незамедлительно блокировать его через iCloud.

Мы открыты для сотрудничества и готовы обратить свои знания и опыт на пользу вашему бизнесу или лично вам. Если у вас есть задачи, связанные с информационной безопасностью, то напишите нам на эл. почту mail@cadmus.ru В знании - сила! Поделитесь этим знанием со своими друзьями. Кому-то это наверняка поможет.

1. Технические подробности на GeekTimes

Предыдущая статья: Сериал "Небезопасность". Эпизод 1.
Доступ к счету в банке через заблокированный iPhone и обзор других методов взлома Siri

Сериал "Небезопасность". Эпизод 1.
Доступ к счету в банке через заблокированный iPhone и обзор других методов взлома Siri

Павел Гришин — Tue, 27 Sep 2016 3:00:00 +0300

В последнее время в наш быт начинают проникать так называемые голосовые помощники. Они действительно чертовски удобны и скоро обещают быть еще лучше. Очень здорово, когда в дороге, не доставая телефон из кармана, можно выполнить звонок или прочитать последнее сообщение. Или например на кухне, включить таймер на 8 минут и не переварить макароны. Или управление навигатором в дороге, за рулем. Сегодня это уже просто классические примеры использования голосового помощника. Но безопасно ли ими пользоваться? Попробуйте положить свой iPhone рядом с компьютером. Включите громкость повыше, чтобы телефон слышал звук.

Такой сюрприз можно устроить друзьям, которые на время оставили свой телефон без внимания. Напоминание тоже возможно установить. чтобы друг потом не забыл вас поблагодарить. Что возможно еще? СМС-ки используются не только для управления счетом в банке. Но и например:

с помощью СМС можно получить доступ к учетной записи Telegram или другим системам с СМС-аутентификацией;
открывать шлагбаумы;
управлять питанием электроприборов
включать и отключать сигнализации
и многое другое...

Давайте разбираться, как это оказывается возможным. ## Аутентификация хозяина Одна из основных проблем голосовых помощников — аутентификация пользователя, вроде Voice ID (это та самая, которая на первом запуске айфона назойливо просит поздороваться 5 раз, помните просила?). Siri просто-напросто не способна быть уверена, хозяину ли принадлежит обращающийся к ней голос. Только с какой-то долей вероятности. Получается это пока не очень — для удобства потребителей и гарантии срабатывания, чувствительность узнавания хозяина Voice ID довольно низкая. В любом случае, голос хозяина однажды возможно записать на диктофон, чтобы потом использовать его для запуска команд. Сколько можно дать прав такому "незнакомцу", когда на 100% не уверен, что это владелец? Можно ли ему звонить с телефона и слать сообщения? Начиная с 2015-го года в Apple считают, что можно. ## Управление помощником на расстоянии Группа специалистов по безопасности из ANSSI опубликовала методику удаленного управления голосовым помощником, пишет Wired. Она заключается в наведении на наушники, как на антенну, специального радиосигнала. Он совпадает с сигналом, который получается в них при получении обычных голосовых команд и просто действует. %[Удаленное управление Google Now через наушники] (http://www.wired.com/wp-content/uploads/2015/10/Demo_web_browsing.mp4) Авторы этого метода рекомендуют отключать наушники с микрофоном, когда вы ими не пользуетесь. Кроме того, сегодня существуют довольно развитые технологии направленного акустического сигнала. Современные направленные микрофоны и динамики позволяют создавать и снимать звук на расстояниях до 200 метров. ## Маскировка команд для помощников Если вы находитесь рядом с телефоном, то при попытке воспользоваться вашей Siri вы, скорее всего, её обнаружите. Поэтому, исследователи из Georgetown University и UC Berkeley придумали способ спрятать понятный для Siri акустический сигнал в непонятном для человека звуке. В следующем видео показано как на расстоянии непонятным шумом открыть сайт на телефоне. А сайт может содержать вирус который попадет на устройство. @[Маскировка команд к Google Now] (HvZAZFztlO0) Возможно, похожим методом получится замаскировать команду в звуке телевизора или в уличной музыке. ## Аудио-мониторинг окружающих звуков Чтобы получить команду в любой момент, айфону приходится непрерывно вас слушать, иначе он может пропустить фразу "Привет, Siri!". Прямо сейчас он и в самом деле вас слушает. То есть микрофон активен и его сигнал обрабатывается программой где-то внутри. Чувствуете некую неловкость? Ведь он действительно ловит каждое ваше слово и всегда находится рядом. Проверить что он еще понимает и что делает мы не можем, ведь начинка мобильных устройств почти полностью закрыта от их владельцев и исследователей. ## Отключение Siri на заблокированном экране Все эти проблемы безопасности касаются не только Siri, но и Google Now, и Cortana и прочих помощников. По-умолчанию функция "Привет, Siri" включена начиная с IOS 9. Если вы решите её отключить на заблокированном экране, то это возможно сделать в настройках:

**Поделитесь этим знанием со своими друзьями. Возможно, кому-то это поможет!**

Павел — Sun, 28 Jul 2013 4:00:00 +0300

![](/files/b/8/b83f79e8aa5720c2efac1f5a6d250266) привет

Google снова недоступен

Павел Гришин — Tue, 27 Dec 2011 4:00:00 +0300

Недоступны публичные DNS, серверы gmail, часть CDN-сетей.

Веб-сервисы google сейчас работают.

В нашу службу техподдержки поступает много жалоб о проблемах с доступностью разных сайтов.

>ping -t 8.8.8.8

Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=123мс TTL=38
Превышен интервал ожидания для запроса.

Трафик на MSK-IX / SPB-IX аналогично падает.

Спад трафика на магистралях в Москве уже достиг 10%, а в Питере около 20% общего трафика.

Напомню, что в прошлый четверг были проблемы с аналогичными симптомами, про которые google сообщил «Причина сбоя — проблемы с оптоволоконной сетью в России».

Официальной информации пока нет. Следим за событиями.

upd 15:39 На текущий момент все сервисы Google доступны. В этот раз время перебоя составило около часа.

Google не работает

Алексей Андреянов — Thu, 22 Dec 2011 4:00:00 +0300

Небезызвестный поисковик Google, все его продукты и сервисы (да..YouTube тоже попал под удар) на данный момент перестали открываться. Помимо этого возникают существенные проблемы у сайтов из-за использования jquery с cdn Google, в связи с чем, к нам продолжают поступать звонки от клиентов, столкнувшихся с этой проблемой.

upd 16:55

Пинги снизились до ~100мкс
фиксируем доступность Google

PS: В 17:30 специалисты Google на странице компании в Twitter официально прокомментировали существовавшие неполадки, не забыв извиниться перед своими пользователями.
Причина сбоя - проблемы с оптоволоконной сетью в России

Как открыть docx и xlsx, если у Вас более ранняя версия Office?

Данила Гичкин — Fri, 14 Oct 2011 4:00:00 +0300

Сегодня мне хотелось бы разобрать проблему, с которой сталкивались сотрудники большинства компаний при передаче офисных документов друг другу – чем открыть docx или xlsx? Проблема эта приурочена к выходу Microsoft Office 2007. При попытке пользователя Office 2003 и более ранних версий открыть документы, созданные в Office 2007 (они то и имеют расширения docx/xlsx) на экране возникает примерно следующая картина:

![docx_xlsx](/files/3/e/3ef6eba3f5ec2f418eef61736dd90f9c)

Не спешите паниковать, проблема решается намного проще, чем вы думаете! Специально для этих целей Microsoft заботливо выпустили утилиту, установка которой позволит Вам, не переустанавливая программное обеспечение, открывать файлы нового Офиса.

Теперь рассмотрим ситуацию, в которой Вы являетесь гордым обладателем Office 2007 и используете его в своей работе. При очередной отправке документов Вам необходимо помнить, что, адресат может пользоваться более ранней версией, и, если Вы хотите чтобы у него не возникло проблем с открытием Вашего документа, предлагаю Вам следующий план действий:

При сохранении документа, в меню "Файл" выбираем пункт "Сохранить как"

![docx](/files/0/c/0cbfe42a643a076406e20cdacfb7b766)

Из предложенных вариантов выбираем «Документ Word 97-2003», таким образом, документ будет доступен для всех версий Office.

Программы на флешке

Данила Гичкин — Thu, 29 Sep 2011 4:00:00 +0300

Каждый из нас на своем домашнем компьютере накопил тот или иной пакет софта соответствующий нашим требованиям, хобби, да и просто привычкам. Не всегда на рабочем месте нам доступны привычные программы, чаще всего нам приходится работать со стандартным пакетом программ заботливо установленных админом. Можно конечно попросить установить Вам парочку-другую «родных» программ, но куда легче иметь их всегда под рукой на собственной флешке. Существует масса ситуаций когда мы вынуждены пользоваться чужим ПК на которым может просто не быть необходимого софта, решению подобной задачи я посвящу сегодняшний пост.

Для этих целей была разработано приложение PortableApps, которое позволяет иметь при себе комплект необходимых программ, записанных на USB-накопитель, который пользователь сможет всегда иметь при себе. PortableApps.com Suite является полной коллекцией портативных приложений, в ее состав входят: веб-браузеры, почтовые клиенты, офисные пакеты, календарь / планировщик, клиенты обмена мгновенными сообщениями, антивирусы, аудио/видео-плееры, игры, менеджер паролей, PDF Reader и многое другое (Полный список http://portableapps.com/apps )

Для установки этого приложения необходимо скачать установочный файл и начать стандартную установку. Не смотря на то, что сайт англоязычный, есть возможность выбрать Русский язык. Папкой установки выбираем флешку.

![portableapps](/files/b/8/b824c087ecacbdc1892922e97cf8b677)

После установки приложения необходимо наполнить его версиями тех программ, которые Вас интересуют. Выбрать их можно здесь. Интересующие Вас приложения так же скачиваются и устанавливаются (программа сама выбирает путь сохранения приложения) после чего приложение появляется в списке и мы имеем следующий результат(в нашем случае мы устанавливали только GIMP):

![программы на флешке](/files/d/8/d8c259a932a417e2340bca28ff54b7f7)

Теперь, просто вставив флешку в компьютер, Вы сможете запустить нужное приложение без необходимости его установки в систему.

Обзор Windows 8

Алексей Андреянов — Mon, 19 Sep 2011 4:00:00 +0300

Не так давно вышла dev превью Windows 8, что мы не смогли оставить без внимания. Посмотрим что же она для нас готовит..

Холодный старт занимает 15-20 секунд(запрос пароля появляется в первые 2-3 секунды, после выбора в загрузчике Windows 8). Первым что бросается в глаза, кроме кардинально нового интерфейса «Пуск», это metro UI, при открытии которой даже самые стойкие из нас редко удерживаются чтобы не ойкнуть, настолько велики изменения. Новый вид проводника значительно удобнее, т.к. основные задачи вынесены на главный экран, а так же удивила возможность делить его с приложениями metro

![windows 8](/files/b/8/b83f79e8aa5720c2efac1f5a6d250266)

Сами же приложения metro стартуют в полном экране, что говорит о направленности на планшеты и прочие мобильные устройства, например приложение предлагающее раскрасить самолетик ☺ ![обзор виндовс 8](/files/d/8/d87029d30c3da51e438df9ce69f8c602)

А здесь представлено разделение экрана между новой панелью управления и стандартным рабочим столом, впрочем разработчики сохранили и стандартную панель управления, которую можно запустить в меню control panel - more settings

![рабочий стол](/files/8/6/86af7d81def687c55168225ad9008b60)

Сам рабочий стол не претерпел почти никаких изменений, что и понятно - зачем пилить то, от чего предстоит отказаться. Сам принцип работы с пуском изменился, достаточно просто навести мышку.

![меню windows 8](/files/0/7/0702f8f19b87278dbdc4f19b696ceabc)

Под настройками скрывается системное меню, где можно настроить громкость, яркость экрана, нотификации, посмотреть язык ввода, текущее сетевые подключения, а также выключить компьютер (не я один искал кнопку выключения)

![windows 8 rus](/files/7/f/7f780149def201ac37bcca53e5c75610)

«Девайсы» отвечает за подрубленные флешки, телефоны , принтеры и прочую p’n’p ерунду, а так же подключение проектора.

![windows 8 preview](/files/f/6/f65c7c2dbe8951b0ec8d71a85add27dd)

В разделе Share сказывается направленность к соц. сетям, там предлагается расшарить скриншот экрана (возможно потому, что был в тот момент в буфере обмена)
Регистрироваться нигде не хотелось, поэтому функция до конца не изучена ☺

![выход windows 8](/files/2/5/25b6f7081b7bfc03bb99220af3e81cec)

Последний пункт - это поиск программ, аналог поисковой строки из семерки, доступен как в обычном стиле, так и в metro

![windows 8 metro](/files/7/b/7b863e6f7df5c9a59956ff1cb0a37c96) ![windows 8 metro](/files/1/1/11fdbc6fc9fcb10fc4a1c75d71e20095)

Так же для разработчиков - здесь можно ознакомится с Visual Studio 2011 (правда образ для загрузки придется качать на 1Гб больше).
Так можно рассмотреть диспетчер задач:

![windows 8 rus 2011](/files/0/0/00df4d6ac492efc59a69e88cb45525f7)

Для обычного пользователя он выглядит просто списком запущенных задач с кнопкой «Завершить» - ничего лишнего, отвлекающего и непонятного, но для нас там есть целый кладезь полезных функций:

![windows 8 beta](/files/6/5/65f2fb22d335b58302e6e35a8dfae7ee)

Наглядно видна полная загрузка CPU, MEM, Disk, сети, а так же можно проследить какое приложение сколько съедает из суммарного потребления. Обновилась закладка «Производительность»

![windows 8 тема](/files/6/1/6172cbe187e833e75d2d2cefc60b4d0a) ![microsoft windows 8](/files/c/d/cd4793cbc9ab0335e04b0d4620ce8c80)

Помимо всего представлена история работы в приложениях - где, в каком приложении и сколько проработал пользователь с учетом количества затраченных ресурсов. Во вкладке «Пользователи» можно отследить сколько требует каждый, а так же список его процессов. Вкладка Details - это копия вкладки «Процессы» из 7, вкладка «Сервисы» так же не претерпела никаких изменений.

![новый windows 8](/files/5/5/55be23ba37ce616f0208e509f9d52e89) ![windows 8 отзывы](/files/b/f/bff83bcf42a0df43c4f4ac369543249c)

Все вышеизложенное - это лишь поверхностный обзор, на детальное изучение новых фишек еще уйдет много времени. Уже сейчас можно сказать, что новая система будет непривычной, но все же удобней чем раньше, как для пользователей так и для администратора, чья работа помогать и следить за работоспособностью машин и инфраструктуры пользователей.

Систему тестировали на ноутбуке ASUS N53JQ
с расширенной памятью до 12Гб
Momentus 5400.6 SATA 3Gb/s 500-GB Hard Drive Intel i7-740QM 1730МГц (Boost 2930МГц) / 12Гб / 500ГБ 5400 / nVidia GeForce GT 425M

Как вернуть письма на сервер

Данила Гичкин — Fri, 16 Sep 2011 4:00:00 +0300

Иногда случается так, что, настроив почтовый клиент и синхронизировав почту, вы обнаруживаете, что вся ваша почта исчезла с почтового ящика. В этом случае вы оказываетесь привязанными к конкретному почтовому клиенту на конкретном рабочем месте, и не имеете доступа к почте с других компьютеров. В этой статье я рассмотрю несколько способов решения данной проблемы.

Для начала давайте разберемся в принципах работы почтовых протоколов. Существуют два самых распространенных протокола, по которым почтовый сервер доставляет почту клиенту, это протокол POP (Post Office Protocol Version 3 — протокол почтового отделения) и IMAP (Internet Message Access Protocol — протокол доступа к электронной почте Интернета). Хотя оба эти протокола и выполняют одну задачу, доставку почты клиенту, но имеют принципиальные отличия. Если не вдаваться в технические детали, то различия заключаются в том, что POP, в отличии от IMAP серверов, не позволяют работать с почтой непосредственно на сервере, все манипуляции производятся только после того как почта будет закачена на локальный компьютер. В этом как раз и заключается преимущество IMAP протокола перед POP. Узнать по какому протоколу работает ваш почтовый сервер можно на официальной странице помощи сервиса, предоставляющего вам услуги.

Давайте вернемся к нашей проблеме. В случае, если вы получаете почту по протоколу IMAP, то у вас таких проблем быть не должно. Если же вы все таки используете POP, то для отправки ее обратно на сервер можно использовать один из нижеприведенных вариантов:

При написании этого материала я использовал почтовый клиент Thunderbird от компании Mozilla, из-за личных предпочтений, но все нижеописанное справедливо и для большинства других программ (Bat, Outlook и т.д.)

1. Пересылка почты самому себе, указав адрес своего почтового ящика в строке получателя. Для этого в своем почтовом клиенте выделите те письма, которые вам необходимо закачать обратно на сервер, щелкните правой кнопкой мыши по выделенным объектам и в открывшемся контекстном меню выберите «переслать».

![Alt text](/files/a/8/a85a3b4decdaa739eb9a73920cc6497e)

В поле получателя введите адрес своего почтового ящика и нажмите «отправить».

![Alt text](/files/9/4/94c5c35f6214ad525f3547e80bd48b69)

2. Создайте почтовый ящик на сервере, поддерживающем протокол IMAP. В вашем почтовом клиенте настройте новую учетную запись на этот ящик. Затем переместите или скопируйте письма из вашего старого аккаунта, работающего по протоколу POP, в только что созданный.

![Alt text](/files/a/c/ac2a68991881ef803c66d68c0107b614)
Через некоторое время, папки будут синхронизированы, и вы получите доступ к вашей почте на новом ящике. Если вы хотите продолжать пользоваться старым ящиком, но сервис не предоставляет доступ к нему по IMAP (например Mail.ru, который ни в какую не хочет этого делать), вы можете в настройках аккаунта включить опцию «сбор почты с других почтовых ящиков».

![Alt text](/files/6/a/6ae4326a7b779a0f98190e5251b164c7)
В этом случае, введя адреса и пароли от сторонних ящиков, вы будете получать письма отправленные на них.

В заключении, для предотвращения подобных ситуаций, могу порекомендовать при настройке почтового клиента указывать опцию «оставлять копии на сервере», это позволит вам получать почту на локальном компьютере не удаляя ее с сервера.. а лучше перевести всю почту на IMAP, и будет вам счастье =)

![Alt text](/files/f/c/fc8c9af62ed883c004ff0f9bf60a3709)

Как архивировать файлы и папки

Данила Гичкин — Tue, 13 Sep 2011 4:00:00 +0300

Многие люди ежедневно, по рабочей необходимости или в личных целях, отправляют письма по электронной почте, прикрепляя к ней вложенные файлы. В случае одного или двух вложенных файлов проблем не возникает, однако, когда количество прикрепленных файлов превышает десяток возникает вопрос: “как бы сделать так, чтобы большое количество файлов объединить в один?”. Или возникает необходимость отправить файл относительно большого объема по медленному соединению. Во всех этих (и многих других) случаях на помощь приходят специальные программы - архиваторы.

Существует огромное количество программ-архиваторов, различающихся способом архивирования (форматом) и функциональностью, популярностью. В этой статье я рассмотрю такую программу как WinRar, которая является самой популярной среди пользователей.

Теперь давайте немного разберемся в форматах архивов. Их на данный момент существует огромное множество, и различаются они в основном качеством сжатия. Для Windows наиболее подходящими являются rar, zip и 7zip, в операционных системах *nix более распространены bz2, gz и lzma. Формат zip является стандартом , его поддерживают многие операционные на уровне системных приложений, т.е. для работы с ним нет необходимости устанавливать сторонние программы.

Перейдем непосредственно к созданию архива. Скачайте программу WinRar, эта программа платная, но есть возможность скачать бесплатную версию. С помощью нее можно создавать архивы rar и zip, а также открывать практические все остальные форматы. После установки она интегрируется с контекстным меню Windows и ассоциирует себя с файлами архивных форматов. Чтобы быстро создать архив и добавить туда файл (файлы, папку), щелкните правой кнопкой мыши по файлу (по группе выделенных файлов, папке) и выберите пункт “добавить в архив…”.

![Alt text](/files/4/0/4099835ae896856b9aa67256585c739a)

Появиться окно, в котором можно указать имя архива, выбрать формат: rar или zip, степень сжатия, а также некоторые другие специфические для форматов опции. Если вам нужно быстро объединить множество файлов в один или отправить сжатый файл через интернет, то настройки по умолчанию вам вполне подойдут.

![Alt text](/files/4/b/4bea52a57e3bbc772d9b69b086b85314)

Выбрав формат zip вы можете быть уверенным, что он откроется на компьютере с Windows без установки сторонних программ, если вы выбрали формат rar, то для открытия его на другом компьютере необходимо, чтобы на нем был также установлен WinRar.

Для того чтобы другой пользователь смог открыть ваш архив rar или zip не имея на компьютере установленного архиватора, нужно поставить галочку в пункте “Создать SFX архив”. Эта опция позволяет создать самораспаковывающийся архив.

![Alt text](/files/b/2/b245d16f67730fe1568e63b26f702ea2)

Иногда случается так, что переданный архив в результате поломки носителя или плохого канала связи оказывается поврежденным. Выставив галочку в пункте “добавить информацию для восстановления”, архиватор добавит в файл блок избыточной информации, которая в последствии с большой степенью вероятности позволит восстановить поврежденный архив, это несколько увеличит размер файла.

![Alt text](/files/7/3/73f628fd35b971cedef4bae25cbc4661)

Если конечный файл получается такого размера, что не помещается на носитель, можно разбить архив на несколько файлов, указав при этом размер тома, подходящий для данного носителя. Для этого в строке “разделить архив на тома” выберите размер из предлагаемого списка или введите собственный.

![Alt text](/files/9/2/92a5966c70a588725b5c57ffef996d2c)

После выбора всех необходимых опций нажмите кнопку “ОК” для создания архива.

Извлечение файлов из архива

Для того, чтобы быстро извлечь файлы из архива нажмите правой кнопкой мыши по архиву и в контекстном меню выберите пункт “Извлечь файлы…”

![Alt text](/files/e/4/e47b781683cad672a9e790ed937ee1d1)

Вы можете извлечь файлы из архива в определенную папку, в папку, которая будет иметь имя архива или прямо в ту папку где находиться сам архив.

Все приведенные действия и операции, выполненные с использованием программы WinRar, полностью или во многом справедливы для других программ-архиваторов. Ради справедливости стоит заметить, что изначально архиваторы были созданы с целью упаковывать и сжимать текстовую информацию, поэтому при архивировании графических и других мультимедийных данных, размер будет уменьшаться незначительно.

Атаки хакеров на банковские счета компаний

Павел Гришин — Tue, 13 Sep 2011 4:00:00 +0300

Недавно Альфа-Банк рассылал письмо, которое начиналось так:

Важно!!! выявлен новый модуль троянской программы Zeus, предназначенный для хищения средств в системах дистанционного банковского обслуживания. Зловред перехватывает вводимый пользователем логин, пароль и пин-код, после чего, подключившись к eToken'у, незаметно для пользователя выполняет несанкционированную финансовую транзакцию. Зловред угрожает в т.ч. пользователям системы «Альфа-Клиент On-Line».

В этом году к нам несколько раз обращались компании, уже пострадавшие от хищения денег с их расчетных счетов. Эти компании пытались решить вопрос по организации безопасной работы бухгалтера на своем рабочем месте. Само по себе явление электронного мошенничества не удивительно, но только сейчас оно обрело достаточный размах для того, чтобы быть заметным: все больше людей меняются деньгами по сети, а также, все больше появляется юных домушников-индиго, способных к технологиям электронного мошенничества, все больше новостей на этот счет. Банки и законы страны пока просто не успевают обеспечить достаточную безопасность при использовании новых технологий. Я попросил описать свои впечатления бухгалтера, не по своей воле участвовавшего в подобной ситуации, и вот как она это описывает:

Расскажу вам, дорогие друзья и коллеги, случай, который произошел со мной буквально недавно, а именно 25 мая 2011 года. Я, являясь главным бухгалтером, имею доступ к интернет-банку. Делаю платежки, подписываю и отправляю их. 25-го мая в 15:15 я зашла в интернет-банк, сделала платежку и отправила ее в банк. Далее события развивались следующим образом: отошла я от компа на 5 минут, оставив ключ (токен) в компе, чтобы проверить статус платежки позже, вернувшись обнаружила, что комп перезагрузился, но не может загрузиться. Тут поступил звонок из нашего банка, из которого следовало, что с нашего счета была попытка списания денежных средств в приличном размере. Так как банк получателя был в черном списке, а наш банк регулярно мониторит ситуацию, нам реально повезло. Платеж приостановили, ключи заблокировали. Все обошлось лишь большим испугом. Но совсем бы не хотелось испытать такое еще раз :(((

Деньги в данном случае удалось спасти, но было выведено из строя рабочее место бухгалтера и безвозвратно утеряна часть важных рабочих файлов. Это, к сожалению, типичный ход развития событий, которые зачастую имеют печальный исход.

Я думаю, подавляющее число людей представляют вирусы некими обезличенными компьютерными зверьками, которые просто приносят неудобства в виде тормозов, глюков и порно-баннеров, но на самом деле это не совсем так. Нужно понимать, что у каждого вируса есть свой злодей-хозяин, конкретный живой человек, который может связываться с вирусом и получать полный доступ к компьютеру с вирусом.

Итак, все начинается с вируса, который попадает на компьютер бухгалтера одним из многочисленных способов. Способов этих действительно много. Кстати, вопреки распространенному мифу, совершенно не обязательно ходить на «левые» сайты, чтобы поймать вирус. Вирусы иногда попадают на компьютеры, когда человека даже нет с ним рядом, но я не хочу заострять сейчас на этом внимание.

Вирус спокойно живет себе, наблюдает за программами, которые использует юзер (далее по тексту «жертва»). В какой-то момент, вирус замечает программу клиент-банка и сообщает об этом своему злодею-хозяину. Тот, в свою очередь, использует вирус для подключения к компьютеру жертвы и начинает за ней настоящую тотальную слежку!При этом, злодей вполне способен беспардонно использовать веб-камеру или микрофон, подключенные к компьютеру, а т.к. ему доступна вся информация на экране компьютера жертвы, то он сразу понимает размер куша, который он может сорвать с расчетного счета компании.

Через некоторое время на руках у злодея формируется план, который заключается либо в обмане жертвы (на экране одни платежки, а в банк ушли другие), либо в расчете на то, что внимание жертвы будет отвлечено на поломку компьютера. Свои планы злодеи делают довольно детальными. Они хорошо разбираются в особенностях банковской работы, знают, что такое банковские рейсы, их расписания для отдельных банков и прочее.

И вот, деньги уходят…

Конечно, существуют методы, сводящие возможности таких злодеев практически к нулю. Каким образом это делается — тема отдельной заметки. В Кадмусе мы разрабатываем собственные методики, направленные на решение такой вполне конкретной задачи, как защита рабочего места бухгалтера. Приходите за ИТ-защитой к нам — мы сделаем атаку на вас безумно сложной задачей.

Фиксируем проблему с приложениями во ВКонтакте.

Павел Гришин — Thu, 8 Sep 2011 4:00:00 +0300

В текущее время полностью не работают приложения во ВКонтакте.

Также ряд пользователей испытывают сложности с отправлением сообщений внутри соц. сети.

upd 17:07 Приложения начали загружаться.

Перенос почты из Thunderbird в Outlook

Алексей Андреянов — Mon, 22 Aug 2011 4:00:00 +0300

Сегодня темой моего повествования станет решение такой «извечной» проблемы, как перенос почты из Thunderbird в Outlook. Переход с других почтовых клиентов на Thunderbird не представляет большой проблемы, т.к. разработчики Thunderbird позаботились о функции импорта почтовых настроек и почты из других программ. К функции экспорта они подошли менее ответственно и сделали возможность экспорта только в mail box формат, который не совместим с Outlook. К сожалению, за годы существования это проблемы, которая, тем не менее, остается чрезвычайно актуальной, разработчики Thunderbird закрывают на ее глаза. Итак задача поставлена, займемся ее решением.

1. Для начала работы нам необходима программа IMAPSize В своем составе она имеет модуль mbox2eml, который нужен для первичной конвертации писем в совместимый формат.

2. Затем мы находим файлы данных Thunderbird, обычно они хранятся в папке:

• XP

C:Documents and SettingsApplication DataThunderbirdProfiles

• Vista, Windows 7

C:UsersAppDataRoamingThunderbirdProfiles

Внутри которой нас интересует папка:

Mail<Ваш почтовый сервер>

Копируем нужные файлы в рабочую папку, например на рабочий стол в папку mail. Файлы для копирования:

Выбираем первые 4 файла

Drafts – Черновики,Посланные но еще не отправленные письма

Inbox – Входящие

Sent – Посланные

Trash – Корзина (Удаленные)

3. Запускаем IMAPSize, и в ней запускаем модуль конвертера. Выбираем файлы для конвертации, не забывая установить галочку «распаковывать каждый файл в отдельную папку».

4. Ждем

5. Далее запускаем Outlook Express или Почту Windows

6. Перетаскиваем все файлы из папок в соответствующие папки Почты Windows

7. Далее выбираем «Экспорт почты в Microsoft Exchange» (Конфигурация Outlook по умолчанию называется outlook)

8. Запускаем Outlook и смотрим «Папки хранения» там будут все экспортированные письма

После чего наслаждаемся результатом – почта перенесена без лишних хлопот и потерь.

Яндекс не отвечает

Алексей Андреянов — Fri, 19 Aug 2011 4:00:00 +0300

Сегодня, примерно в 17:00 в результате сбоя прекратила работу система Яндекс. Не отвечает не только поиск, но и все его известные ресурсы.

На пару с ним не работает поисковый сервис Rambler, использующий механизм поиска "Яндекса", а так же недоступен рейтинг сайтов "Рамблер ТОП100".

При этом google-public-dns-a даже не может выдать ip Яндекса, видимо за час уже забыл


c:>nslookup ya.ru 8.8.8.
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8
*** google-public-dns-a.google.com не удалось найти ya.ru: Server failed

Парковка головок WD

Алексей Андреянов — Wed, 10 Aug 2011 4:00:00 +0300

На многих ноутах (и других устройствах с 2,5”) с хардами от WD Blue есть проблема частой парковки головок. Мой рабочий неттоп, уже успевший накопить более 15 000 парковок, оказался не исключением. Немного погуглив, выяснилось, что для решения имеющейся проблемы Western Digital выпустили утилиту WDIdle3.exe, которая может работать с firmware диска напрямую и изменять его параметры (включать отключать Idle и задавать время его ожидания).

Найти ссылку на родной сайт суппорт WD не составило труда, где путем нехитрых телодвижений предлагается скачать искомую утилиту. Помимо описанной выше WDIdle3.exe необходимо скачать «HP USB Disk Storage Format Tool» (т.к она позволяет создавать Dos (Win98) boot disk) и DOS (пара файлов в архиве IO.SYS и COMMAND.COM). Далее я распаковал в C:DOS и запустил HP USB Disk Storage Format Tool (для висты и 7 нужно запускать от администратора), выбрав нужную флешку, определил необходимую директорию и запустил процесс.

Затем, скопировав WDIDLE3.exe на флешку, перезагрузился, после чего наблюдал экран старта Win 98 и вот перед нами командная строка DOS.

>WDIDLE3.EXE

Выдал имя диска, серийник xxxx, idle time 8.0s. Так как нельзя просто отключить, я установил время равное 5 минутам:

>WDIDLE3.EXE /S300

Операция выполнена успешно, перезагружаемся. Оказалось не все так хорошо как хотелось бы - парковки стали постоянными. После непродолжительны раздумий перезагрузился еще раз, установив:

>WDIDLE3.EXE /D

Т.е. просто выключил парковку. После этих манипуляций ситуация осталась прежней, что сподвигло меня на то, чтобы еще раз перезагрузиться и снова установить:

>WDIDLE3.EXE /S300

После этого парковки прекратились. Ну и последним штрихом стало полное отключение парковок:

>WDIDLE3.EXE /D

На момент написания статьи прошло уже 3 дня, и количество Load/Unload cycle count не увеличилось ни на единицу. Информация, изложенная в данной статье была проверена на аналогичном неттопе, где были такие же проблемы. Все операции были выполнены в такой же последовательности и привели к успешному результату, что подтверждает, некорректное по какой то причине восприятие WD смены режимов idle.

Упал ЖЖ

Павел Гришин — Mon, 25 Jul 2011 4:00:00 +0300

Нет, это не у вас не работает интернет. Это недоступен сайт блогов livejournal.com.

Поломка хостинга РБК

Павел Гришин — Thu, 30 Jun 2011 4:00:00 +0300

Не доступна сеть крупного российского хостинг-провайдера компании РБК.

Она обслуживает около 10% российских сайтов.

Повторный скайпопад 7 июня 2011

Павел Гришин — Tue, 7 Jun 2011 4:00:00 +0300

Сегодня, примерно с 15 часов мы фиксируем проблемы со скайпом. Проблема глобальная, ее решения мы пока не нашли. Следите за обновлениям в этом сообщении.

17:20 upd Скайп восстанавливает свою работу. Для подключения - перезапустите саму программу Скайп. Если не получилось, то, скорее всего, получится немного позже.

Сбой Skype 26 мая 2011

Павел Гришин — Thu, 26 May 2011 4:00:00 +0300

Сегодня суппорт нашей компании фиксирует проблемы со Скайпом у ряда клиентов (занимаемся техподдержкой). Программа завершает работу с сообщением об ошибке. При повторном запуске, в момент авторизации, программа намертво зависает с занятым процессором на 100%. Пока только ясно, что проблема связана с самим сервисом Skype. PS Напоминаю, что сервис Skype недавно был приобретен компанией Microsoft :)

Авария в дата-центре Телехаус Караван: проблемы с сетевой доступностью и не работает часть оборудования

Павел Гришин — Sun, 10 Apr 2011 4:00:00 +0300

Сегодня около 17 часов пропала связь с нашим оборудованием в дата-центре «Караван».

Все наше оборудование, и оборудование клиентов, было 2 раза перезагружено.

Наши инженеры в текущий момент проверяют состояние сервисов наших клиентов.

При необходимости, инженеры сегодня будут оставаться на рабочих местах до полного восстановления всех сервисов наших клиентов.

upd 17:55 На текущий момент однозначно установили, что потерь данных у клиентов нет. Пока серьезные проблемы есть только у нескольких баз данных у тех, кто использует Linux: разрушены файловые системы. Базы будут сегодня восстановлены с бекапов + бинарных журналов до актуального состояния.

Сайты habrahabr.ru, dirty.ru, free-lance.ru, svyaznoy.ru и другие недоступны по той же причине.

Сотрудники телехаус Каравана сейчас активно работают над восстановлением сервисов.

Как мы включали WiFi на ноутбуке Asus

Алексей Андреянов — Sun, 10 Apr 2011 4:00:00 +0300

Ноутбуки ASUS часто оснащаются переключателями беспроводных сетей, чтобы, далеко не ходя, одним движением руки выключать Wi-Fi, Bluetooth. Но обычно о существовании этих переключателей догадывается крайне малое количество людей.

Однажды позвонили к нам и говорят, что не работает Wi-Fi, мол, драйвер слетел. Ну что ж, бывает, подключился, смотрю. Сетевое подключение на месте и умеет включаться и выключаться. Вроде проблема не в драйвере. И тогда меня озарило. Вспомнил, как сам пару дней настраивал себе Wi-Fi под Ubuntu, пока случайно не заметил незаметный рычажок, который волшебным образом открыл мне Wi-Fi . Оставалось только найти этот самый рычажок на корпусе ноутбука. В данной модели он замаскировался под 2 слот SD, на первый взгляд сразу и не отличить. Вот и пользователь даже не догадывался об этом.

Очередной квест был решен!

Серия рецептов: 101 способ поглумиться над программами

Павел Гришин — Wed, 23 Mar 2011 3:00:00 +0300

Пользователи, иногда, подкидывают и такие интересности. Если поставить ассоциацию zip-файла на открытие Internet Explorer и запустить его, то получится прикольный циклический запуск iexplore.exe.

Новая папка (999)

Павел Гришин — Fri, 18 Mar 2011 3:00:00 +0300

Вирус. При создании одной новой папки, он, зачем-то, создавал еще 999 штук.

Про моменты удивления у сисадминов

Павел Гришин — Wed, 16 Mar 2011 3:00:00 +0300

Глюк на ноутбуке, который «начал тормозить» — установлено 2 планки по гигу, а Windows, иногда, видит всего 768 Мб. Причины выясняем

Самое понятное описание MapReduce

Павел Гришин — Sun, 13 Mar 2011 3:00:00 +0300

Наши клиенты, разработчики веб-сервисов, порой, бывают даже слишком к нам суровы

via godhedin.vkontakte.ru

Ошибка C0000034 после обновления Service Pack 1 на Windows 7 / 2008 R2

Павел Гришин — Thu, 10 Mar 2011 3:00:00 +0300

Сегодня около 3:30 утра дежурный системный администратор получил от системы мониторинга оповещение о потере одного windows-сервера на территории клиента.

Стало сразу понятно, что это событие, скорее всего, связано с вышедшем намедни пакетным обновлением Service Pack 1 для систем Windows 7 / 2008R2, и последующей автоматической перезагрузкой компьютера.

В консоле было неприятное сообщение такого вида:

Протрассировав процесс загрузки стало понятно, что проблема с доступом к одному из файлов в процессе установки обновления, а именно 000000000000000.cdf-ms.

После исследования стало понятно, что решить проблему можно, но для этого нужно получить доступ к файловой системе проблемного компьютера.

Нужно немного поправить файл %windir%\winsxs\pending.xml, а именно, нужно удалить три строки:

<Checkpoint/>
<DeleteFile path="\SystemRoot\WinSxS\FileMaps\_0000000000000000.cdf-ms"/>
<MoveFile source="\SystemRoot\WinSxS\Temp\PendingRenames\2c5b6bdeb9decb012ee1000074207424._0000000000000000.cdf-ms"destination="\SystemRoot\WinSxS\FileMaps\_0000000000000000.cdf-ms"/>

* Возможно, строка с MoveFile будет немного иначе выглядеть в имени временного файла.

После этого нужно просто загрузить компьютер, и Windows доустановит все, что требуется.

Уже утром, начиная с 8 часов утра, мы получили от своих клиентов серию заявок с подобными симптомами, но уже для Windows 7 Pro. Точно такое же лечение помогает.

Сегодня все проблемные рабочие станции клиентов будут приведены в порядок.

Обратите внимание на безопасность вашего лицевого счета, привязанного к банковской пластиковой карте

Павел Гришин — Mon, 27 Dec 2010 3:00:00 +0300

В 2010 году более 20 раз обращались к нам с инцидентами, при которых с лицевых счетов обычных людей крадут деньги. Почти всегда это связано с отсутствием знаний об основах безопасности, ну и безалаберностью при использовании пластиковых карт. В целом, это более-менее нормальная статистика, на мой взгляд, но в январе я жду всплеск интереса по этой теме.

Сегодня, возможно, произошла утечка большого количества персональных данных о пластиковых картах с серверов одной российской системы электронных платежей. Данных в этой утечке достаточно для кражи денег с лицевых счетов физических лиц. Если вы за последние 2 года хоть раз пользовались оплатой чего-то через интернет, используя пластиковую карточку (и три последних цифры с обратной стороны карты CVV-кода*), то я рекомендую дойти до банка и написать заявление о компрометации и перевыпуске вашей карты.

PS Я думаю, что задачей злоумышленников может быть распространение данных о картах по подпольным рынкам как можно быстрее (до середины января) и как можно шире.

Новость в СМИ на эту тему: http://www.rian.ru/science/20101227/314002441.html

Пострадавший: http://sinodov.livejournal.com/630907.html

Информация о такой утечке — недостоверна. При таких акциях может иметь место обычная (но, профессиональная) дезинформация.

Но я, по ряду признаков, оцениваю риск реализации этого взлома как высокий, и считаю нужным донести до вас эту информацию. Лучше немного перебдеть.

* Что такое код CVV

CVV - Номер проверки кредитной карты. Кредитные карты Visa, MasterCard, American Express и Discover используют номер проверки для уменьшения риска в случае совершения сделок в отсутствие кредитной карточки (таких, как операции через Интернет или заказ по почте). Код проверки – это свидетельство того, что при совершении операции карточка находится физически у лица, делающего заказ.

Номер проверки состоит из трёх- или четырехзначного кода, отпечатанного на оборотной стороне карт Visa, MasterCard и Discover или выгравированного на лицевой стороне карты American Express. Эти кредитные компании используют номер проверки с 1990 г.

Visa

трехзначный номер проверки - CVV2

У этой карточки номер проверки CVV2 состоит из трёх последних цифр, отпечатанных на оборотной стороне карты в окошке для подписи владельца.

MasterCard

трехзначный номер проверки CVC2

У этой карточки номер проверки состоит из трёх последних цифр, отпечатанных на оборотной стороне карты в окошке для подписи владельца.

Если вы не использовали CVV, риск меньше, но не нулевой. Всегда подключайте мобильный банк, что бы СМС-ками получать уведомления о движении денег по вашему лицевому счету.

Если у вас есть какие-то сомнения — относится ли это к вам, или вы хотите уточнить какие-то детали, пишите нам на mail@cadmus.ru.

Защитили компьютеры от новой и, пока не закрытой, уязвимости

Павел Гришин — Mon, 27 Dec 2010 3:00:00 +0300

Продолжаем про безопасность работы в интернете :)

Сети наших клиентов стали еще немного безопаснее: мы научили системы защиты противодействовать очередной разновидности атаки через интернет. Почему надо «учить» компьютерные системы написано ниже.

В новости информационной безопасности 22 декабря попала информация о новой уязвимости в программе Internet Explorer, которую, как правило, используют в офисах. Используют её в офисах именно по той причине, что, в отличие от других аналогичных программ ( Chrome, FireFox, Opera), ей можно легко и просто автоматически управлять с сервера сразу на всех компьютерах в локальной сети.

На практике уязвимость выглядит примерно так: вы попадаете на специально приготовленный сайт (ну, например, по ссылке от кого-то), вирус через «дырку» попадает на ваш компьютер и получает какие-то права на управление компьютером, ну и затем работает дальше уже по своему усмотрению (утаскивает ваши пароли, рассылает спам и прочее).

Полноценная защита компьютера этой уязвимости — это соответствующее обновление автором (Микрософт) своей программы, но ведь нам-то надо еще суметь защититься до момента выхода обновления. Сейчас, например, уязвимость уже актуальна в течение 10 дней, а обновление вряд ли выйдет ближайшие пару недель, и чтобы не допустить возможности реализовать эти атаки на компьютеры внутри сетей наших клиентов, мы исследуем проблему и, по возможности оборудования, подкручиваем защитные сетевые баррикады наших клиентов. Для нас это важно, т.к. плюс ко всему сейчас в разгаре предновогодняя суета, и вероятность попасть на сайт с уязвимостью довольно высока даже у бдительного человека. Ну и плюс ко всему как раз в это время никому не нужны поломки компьютера, т.к. отчеты, итоги, дедлайны, да и сам новый год.

Как правило, мы считаем количество атак и поглядываем за этим параметром, и практика показывает, что внедрение такого метода решения проблем весьма и весьма хорошо влияет на этот параметр. Таким образом, проблема заражения компьютеров возникает значительно реже, а, следовательно, мы, решая проблему заранее и централизованно на сервере, затем не тратим существенно большее время на лечение отдельных компьютеров.

Интересное видео с примером работы «тестового» вируса немного ниже. На нем некто демонстрирует, что на текущий момент компьютер полностью обновлен (на момент 20 декабря – видно в часах), человек в черном окне запускает специально подготовленный сайт с уязвимостью, и затем открывает его в Internet Explorer. При нажатии кнопки ooops на сайте открывается калькулятор. Такого быть не должно т.к. браузер не умеет открывать калькулятор, а значит, запустил калькулятор из браузера тот тестовый вирус.

Описание уязвимости доступно на английском языке https://www.microsoft.com/technet/security/advisory/2488013.mspx.

Ссылка любопытным специалистам на хороший разбор уязвимости: http://www.breakingpointsystems.com/community/blog/ie-vulnerability/.

Обучение подответственных пользователей

Павел Гришин — Tue, 23 Nov 2010 3:00:00 +0300

Бывают пользователи, которые умеют работать с одной-двумя программами, но которые не понимают что такое файлы, папки, панель задач, и прочих тонкостей из основ современной компьютерной грамотности.

Вот один из таких забавных случаев:

Эта картина была обнаружена случайно: пользователь попросил помочь с форматированием документа в Word-е. По Консультанту++ в панели задач становится понятно, что пользователь по профессии гуманитарий.

В процессе работы (за пару лет, кстати), он перетаскивал на панель задач папки, которые там со временем заняли все место. С тем, чтобы просто их убрать, он не справился, но научился увеличивать размер всей панели задач, вытягивая ее вверх.

Конечно, это проблема лежит на плечах системного администратора, т.к. производительность пользователя с этой ситуации падает, а задача системного администратора в том числе в том, чтобы сотрудник смог работать максимально эффективно при тех знаниях и на том оборудовании, которые в его распоряжении.

Эта проблема имеет решение: надо либо учить пользователя работать с панелью задач, либо настраивать и блокировать возможность управления панелью задач. Тут не существует универсального решения, а в некоторых местах мы даже создаем разные групповые политики: под опытных пользователей с большим количеством возможностей по настройке системы, и под слабых, где зафиксировано довольно много параметров, которые пользователи не могут изменять сами.

Единственное, что можно здесь посоветовать — не упускайте эти вещи, и, по возможности, обучайте пользователей.

Дело о неработающей АТС на базе Asterisk PBX

Павел Гришин — Tue, 2 Nov 2010 3:00:00 +0300

С этим случаем пришлось столкнуться уже не в первый раз, поэтому я решил осветить ее небольшой заметкой. Утром наша служба поддержки пользователей сообщила мне о проблеме, с которой столкнулись уже несколько сотрудников одного нашего клиента: не работают телефонные аппараты — нет гудка.

Тот факт, что проблема возникла одновременно у нескольких сотрудников, указывал на то, что источником проблемы служила VoIP АТС, которая была реализована в виде FreeBSD + Asterisk.

Залогинившись в консоль Астериска сразу стало ясно, что тут что-то не так: постоянно вываливались сообщения вроде таких:

# tail -n 100000 /var/log/asterisk/messages | grep "Peer '182'"
[Nov  2 10:34:03] NOTICE[824] chan_sip.c: Peer '182' is now Lagged. (2701ms / 2000ms)
[Nov  2 10:34:13] NOTICE[824] chan_sip.c: Peer '182' is now Reachable. (695ms / 2000ms)
[Nov  2 10:35:16] NOTICE[824] chan_sip.c: Peer '182' is now Lagged. (2699ms / 2000ms)
[Nov  2 10:35:41] NOTICE[824] chan_sip.c: Peer '182' is now Reachable. (623ms / 2000ms)
[Nov  2 10:37:46] NOTICE[824] chan_sip.c: Peer '182' is now UNREACHABLE!  Last qualify: 1692
[Nov  2 10:37:57] NOTICE[824] chan_sip.c: Peer '182' is now Reachable. (693ms / 2000ms)

Величина qualify — это временная задержка ответа клиентом на SIP сообщение от сервера, и по умолчанию, если она больше двух секунд, то клиент считается недоступным для вызовов.

Первая мысль была о проблемном l2-свитче, но попинговав VoIP-шлюзы ICMP пакетами стало ясно, что IP, а, следовательно, и все протоколы уровнями ниже IP, в том числе Ethernet, работают хорошо. Но при работе в консоле, ощущалась некоторая «вязкость», похожа на медленный канал или перегруженную операционку. Команда top показала следующую картину:

la=1, т.е. скорее всего какой-то один процесс все время ждет какой-то ресурс.
CPU user~90%, т.е. какой-то процесс съедал все процессорное время.
Плюс ко всему был виден скачущий interrupt.

Стало очевидным, что виноват все-таки демон Asterisk-а. Повысив уровень сообщений, стало видно, что на сервер идет атака брутфорсом, но с такой интенсивностью, что больше похожа на DOS-атаку:

[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139"<sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"137" <sip:137@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"137" <sip:137@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password
[Nov  2 10:03:33] NOTICE[824] chan_sip.c:
Registration from '"139" <sip:139@89.*.*.*>' failed for '173.203.92.194' - Wrong password

Файрвола на сервере не было, поэтому, чтобы заблокировать атаку была использована команда:

#route add 173.203.92.194/32 192.168.0.200

Нуль-роут — сетевой маршрут в никуда. Wiki: Null_route

Любой пакет, отправленный на адрес 173.203.92.194 попадает в нуль-роутинг.

Нагрузка на процессор тут же упала, что решило проблему с недоступностью телефонной связи как сервиса, но входящий трафик не исчез — а он, как оказалось, перегружал роутер, которым управляет провайдер, а также продолжал создавать нагрузку на сетевую карту на АТС.

Звонок провайдеру, который заблокировал это направление трафика, решил проблему полностью.

Заключение

Ситуация, увы, типичная — некий американский сервер взломали, посадили туда бота и терроризируют чужие серверы. Атаки такого рода, как правило, проводят по ночам, что бы нагрузка была незаметна администраторами, хотя их хорошо фиксируют наши системы мониторинга.

Какого-то универсального средства против такой DOS-атаки не существует — таких ботов пишет неопытная молодежь, и чуть почуяв, что можно заработать какие-то копейки — без головы бросаются ломать сервер. Вот пример того, зачем подбирают пароль на сервер:

Итак, инцидент был решен, но, как водится, дело надо было довести до конца:

Внедрение Fail2Ban — при высокой частоте неудачных авторизаций удаленный клиент отправляется в нуль-роут. Это сделает этот хост неинтересным для атак брутфорса.
Более «тонкая» настройка мониторинга сервиса.
Сообщение об инциденте (abuse) в Internet Crime Complaint Center, администратору сети (noc) и администратору сервера (webmaster), которого нашел по ns серверам сайтов на этом IP.

Замена взорванных конденсаторов на материнской плате

Алексей Андреянов — Mon, 25 Oct 2010 4:00:00 +0300

Сегодня мне попал в руки вот такой девайс:

Вскрытие показало, что пара кондеров уже не те, что были раньше. Один даже оросил поверхность крышки своими внутренностями.

Недолго думая, открутив все, что могло откручиваться и разобрав неттоп, я снял кондеры небольшим, но уже видавшем виды паяльником.

А потом поразмыслил, что кондеры нужно не только снять, но и заменить. Из того что было с собой были отобраны 2 кандидата 1000х16В, конечно это не те 1500х16В которые стояли, но по великому совпадению их способностей хватит для нормальной работы цепей питания. Подумав еще немного о параметрах импульсного сопротивления и прочего, посмотрев на фирму того что уже было внутри. Подумав о том, что хорошо бы зашунтировать все керамикой, я впаял оба эти кондера и собрал все обратно в корпус.

Первое включение показало, что пациент скорее жив, чем мертв.

Сразу же был снят дамп прошивки. В результате недолгой работы внутренности нагрелись до порядка 50-60 градусов. Это, конечно, не является хорошей средой для электролитических конденсаторов, но, учитывая степень миниатюризации и плотность компоновки, можно считать такую среду нормой.

Конечно, хорошо бы было поставить туда хорошие кондеры Low-ESR можно даже с емкостью по более, да и зашунтировать все пленкой или керамикой. Да еще и в блоке питания проделать те же операции. Как говорится не предела совершенству.

И если хочешь иметь что-то первого класса за разумные деньги, будь готов брать в руки напильник и ровнять углы