Перфекционизм безопасников не знает границ.

Вот так выглядит профессиональный подход к утилизации дисков. Вместо того чтобы уничтожать железо физически, коллега собрал стенд для массовой перезаписи. Внутри Supermicro, HBA-контроллер на 16 портов, несколько бэкплейнов и мощный БП.

Это позволяет безопасно (например, по стандарту DoD) очищать десятки дисков одновременно, после чего их можно, теоретически, использовать повторно или усилить утилизацию молотком.

Типичный 📠 Сисадмин

Оптимизация расходов 😬

Типичный 🥸 Сисадмин

RKN победил Ookla. Осталось забанить ping и пойти отдыхать 😮

С 30 июля 2025 года сервис Speedtest от Ookla официально заблокирован на территории РФ. Роскомнадзор внёс домен speedtest(.)net и связанные ресурсы в реестр запрещённых, ссылаясь на угрозу для телекоммуникационной инфраструктуры и национальной безопасности.

Согласно позиции регулятора, Speedtest "собирает и передаёт" чувствительные данные о маршрутизации, конфигурации узлов и скорости соединений. Эти данные якобы могут быть использованы иностранными разведками для "анализа уязвимостей" внутри Рунета 👮

Вместо зловредного спидтеста, настоятельно рекомендуют отечественный аналог «ПроСеть».

По заявлениям разработчиков, он ничем не уступает зарубежным сервисам. Ну разве что интерфейсом, скоростью отклика, стабильностью, удобством API, геораспределением серверов и нормальной статистикой 🚪

P.S.
Нвдеюсь, следующим шагом не будет блокировка traceroute, а то слишком уж много он знает...

Типичный 🎹 Сисадмин

Землетрясение магнитудой 8.8 и цунами не смогли уронить интернет. А твой скрипт смог бы 😬

Днём у восточного побережья РФ произошло мощнейшее землетрясение магнитудой 8.8-8.9, которое вошло в шестерку самых сильных за всю историю наблюдений. Сейсмическое событие вызвало цунами, из-за которого правительства стран Тихоокеанского региона объявили эвакуацию и выпустили предупреждения.

Но самое интересное то, как на это отреагировала глобальная IT-инфраструктура. А практически никак. Несмотря на масштабы катастрофы, ни один из трех крупнейших облачных провайдеров (AWS, Azure и Google) не сообщил о сбоях в своих региональных дата-центрах.

Подводные кабели, которые являются кровеносной системой интернета, также продемонстрировали устойчивость. Один из Ростелекомовских кабелей (Петропавловск-Камчатский – Анадырь), проходил в непосредственной близости от эпицентра, но сообщений о его повреждении не поступало. Множество других кабелей, лежащих южнее, также работают.

Получается, природа со всей своей мощью не смогла уронить интернет. Но то, что не под силу землетрясению и цунами, с легкостью сделает один новый закон РКН о блокировках 😶

Типичный 🥸 Сисадмин

Google закрыла опасную дыру в Chrome

Вышел экстренный апдейт Chrome 138 для всех платформ (Windows/macOS/Linux/Android). Патчит уязвимость high-risk в компоненте Media Stream (обработка аудио-видео). Тип бага — use-after-free — классика для взлома браузеров. Атак в дикой природе пока не зафиксировано.

Важно:
— Другие Chromium-браузеры (Edge, Brave, Vivaldi) ещё уязвимы — обновлений нет;
— Opera 120 застряла на древнем Chromium 135 (апрельским!), но хотя бы закрыла CVE-2025-6558;
— Opera 121 (Chromium 137) в разработке — ждать недели.

Типичный 🥸 Сисадмин

Когда смотришь fail2ban и видишь в логах 100 000 неудачных попыток входа за час. И одну удачную.

Твой социальный кредит обнулен 😬

Типичный 😱 Сисадмин

#предложка
Есть такой профессиональный парадокс. Можно потратить час, объясняя Галине Петровне из бухгалтерии, почему у нее Ехель сломался, и это нормально, это не ее работа. Но когда приходит разраб и не может настроить компилятор или не знает, что такое сетевой порт, то иногда просто что-то сгорает внутри.

И это не единичный случай. В сети полно историй. Как администратор баз данных, которая просит установить Excel на второй монитор. Или старший разраб, который не знает, как пользоваться Git. Или веб-разработчик, который меняет MX-записи в DNS, а потом удивляется, почему перестала работать почта, ведь он просто поменял настройки DNS.

Иногда такое вызывает когнитивный диссонанс, хотя понимаю что тут глубокая абстракция, пробел в образовании и разные миры.

Типичный 🎹 Сисадмин

Кыргызстан вводит госмонополию на интернет-трафик 😢

Пока мы обсуждали, как в Британии под предлогом защиты детей вводят тотальную верификацию, а в Европе готовы доплачивать за суверенную техподдержку, в Кыргызстане пошли дальше. С 15 августа там вводится годовая государственная монополия на весь международный интернет-трафик. Единым оператором станет госкомпания ElCat.

Технически это будет выглядеть так, ElCat становится единственным шлюзом для импорта и транзита трафика. Всех остальных операторов обязали в течение двух месяцев передать свои контракты на внешние каналы госмонополисту. Для усиления мощностей ElCat передали 100% акций другого крупного провайдера, Aknet, который обслуживает почти все университеты страны. Сама ElCat уже владеет более 3000 км ВОЛС с выходами на Казахстан, Узбекистан, Китай и стыковкой с московской М9.

Официальная цель, как всегда, благая, говорят об улучшение управления, повышение качества связи, и укрепление цифрового суверенитета. Критики предсказывают обратное, обещая рост цен, ухудшение доступа к контенту и тотальный контроль над информацией.

Продолжаем наблюдать за глобальным трендом. Методы разные, цель одна... полный контроль над потоком информации.

Всё это удобно, спору нет. Теперь, чтобы что-то заблочить в стране, понадобится всего одно правило в iptables. Главное не перепутать DROP с ACCEPT 😬

Типичный 🎹 Сисадмин

В России 31 июля в подписан закон, вводящий штрафы за целенаправленный поиск или просмотр контента, признанного экстремистским.

В основе лежит уже существующая инфраструктура. У операторов связи стоят комплексы DPI от Cisco, Huawei, Procera и Sandvine, а поверх всего этого работает государственная надстройка ТСПУ (технические средства противодействия угрозам) от Роскомнадзора, специально заточенная, в том числе, под фильтрацию VPN-протоколов. Параллельно функционирует система СОРМ-3. Операторы обязаны устанавливать оборудование, которое логирует все, от IP- и MAC-адресов до IMEI и переписки.

Самый интересный момент в том, как система будет определять намеренность и целенаправленность поиска, ведь в законе это четко не прописано. Технически, это могут быть алгоритмы, которые анализируют регулярность запросов (например, несколько уточнений подряд на одну и ту же тему), IP-историю пользователя и сам факт доступа к сайтам из черного списка. По сути, создается скоринговая модель, где каждый неправильный клик повышает ваш рейтинг подозрительности 🤔

Вдруг опечатался в поисковом запросе и запрос попал не в тот лог ⚰️

Типичный 🥸 Сисадмин

О публичных прокси, туннелях и экономных пользователях.

Действия одного бросают тень на всех. Для любой системы мониторинга все участники становятся частью грязного пула, виновным по ассоциации. Добавьте сюда обязательное логирование, продажу данных, слабые протоколы и постоянные утечки DNS и получается инструмент самодискредитации.

Типичный 🥸 Сисадмин

Неудачное ограбление: хакеры внедрили 4G Raspberry Pi в банковскую сеть

Хакеры UNC2891 провели атаку на банк, подбросив в его офис мини-компьютер Raspberry Pi с 4G-модемом. Устройство подключили к тому же коммутатору, что и ATM-система, получив прямой доступ к внутренней сети. Их целью был контроль над сервером переключения банкоматов и аппаратным модулем безопасности, где хранятся криптоключи.

Чтобы не засветиться, злоумышленники использовали bind mount — системный приём в Linux, который «привязал» вредонос к папке под видом системного процесса LightDM. Даже продвинутые утилиты не видели подвоха — вредонос мимикрировал под легальный процесс. Настоящий детектив начался, когда Group-IB заметили подозрительные подключения к неизвестному устройству каждые 10 минут — это и раскрутило цепочку событий.

✉️ Помимо Pi, был взломан почтовый сервер, который и держал связь с внешним миром. Оба устройства общались через промежуточный сервер мониторинга, и именно он стал слабым звеном.

Типичный 🥸 Сисадмин

🤔 ИБ-специалисты тонут в данных об угрозах, но не могут их использовать

Тут наткнулся на свежий отчет от Google Cloud и Forrester, и он в очередной раз подтвердил то, о чем мы с вами и так догадывались. Большинство ИБ-отделов (если в организации они вообще есть 🎩) по всему миру просто тонут в данных, а реальной пользы от этого мало.

По их данным, 61% IT-руководителей признают, что их команды перегружены потоком информации об угрозах. У 60% не хватает квалифицированных людей, чтобы это всё анализировать. 72% организаций признаются, что их подход к кибербезопасности преимущественно реактивный. То есть ИБ-отделы не предотвращают, а тушат пожары по факту.

Интересный момент про производственный сектор. Именно там больше всего боятся пропустить реальную угрозу из-за информационного шума. Стандартные IT-инструменты плохо подходят для анализа OT-окружений (АСУ ТП, SCADA), а уязвимости там могут быть куда критичнее.

Что касается самих угроз, то на первых местах фишинг и шифровальщики. Но вот на третье место уже вылезли AI-инъекции, далее атаки на цепочки поставок.

Получается прикольная кулстори, когда купили SIEM-систему за стопицот миллионов, настроили тысячу алертов, а в итоге сидим и не знаем, за что хвататься. А реальная угроза в это время спокойно проходит мимо, потому что она не попала ни в один из наших умных дашбордов.

Типичный 🎹 Сисадмин

🥸 Грядет FreeBSD 15, и эта версия принесет долгожданную возможность установить графическое окружение прямо из инсталлятора. Довольно крутой шаг.

Сейчас, после установки FreeBSD, пользователь оказывается в голой текстовой консоли, и ему предстоит вручную настраивать интернет, ставить драйверы, иксы и само DE. Этот процесс отпугивает даже опытных пользователей, не знакомых со спецификой BSD. В новой версии в текстовом инсталляторе bsdinstall появится опция выбора минимальной установки KDE Plasma. Это не новый графический установщик, а просто чекбокс в существующем текстовом интерфейсе, который позволит после перезагрузки получить готовый графический логин, а не мигающий курсор.

Хотя выбор KDE в качестве единственного варианта может показаться спорным (многие предпочли бы что-то более легковесное вроде Xfce), но без вариантов - это крутой шаг. FreeBSD наконец-то догоняет своих братанов по BSD-семейству (OpenBSD по умолчанию ставит FVWM, а NetBSD ctwm).

Типичный 🥸 Сисадмин

Когда доступ в коммутатор нужен, а консольника нет.

🥸 @montajniklvs