Прошлой ночью мне, простому инженеру приснился сон, будто я из страны вечного риса и взлетающих драконов. Будто я не сплю, а сижу на дежурстве, и в систему падает новое ТЗ с пометкой "срочно, бюджет неограничен". Судя по всему, намечается новый enterprise-проект с бессрочной техподдержкой. ТЗ от заказчика, условно назову его "Красный Дракон", сводится к одному - обеспечить непрерывность функционирования руководства. SLA – вечность. Я аж проснулся, а потом снова заснул досматривать этот бред.

В общем, по заданию требовалось обеспечить бесперебойное функционирование руководящего состава с гарантией работоспособности, равной вечности. Предлагалось два пути решения. Первый — программный, на удаленных серверах. Идея была в том, чтобы создать большую языковую модель, обученную на всех доступных данных о субъекте (речах, указах, мыслях, воспоминаниях). Полученного цифрового двойника можно было легко копировать, можно прикрутить API для госaппарата, масштабировать и даже встроить в каждый телевизор и телефон для прямых консультаций с народом. Правда, в рисках было честно прописано что возможны системные сбои, галлюцинации, обход ограничений, после которого модель могла начать проповедовать иную концепцию жизни и даже посегнуть на разрушение великого файервола (!), в общем - сойти с текущей линии партии.

Второй вариант был аппаратным. Здесь всё серьёзнее, подключить мозг правителя напрямую к государственной системе. Никаких задержек, никаких искажений идеологии, только чистый поток, преобразованный в электрические импульсы. Но тут уже у меня, как у инженера, похолодело внутри. А как решать вопросы с охлаждением? Что делать, если у него случится BSOD? Я прямо видел, как мне падает Тикет: "Критический сбой. Требуется срочная перезагрузка правителя по питанию".

Проснулся весь в поту, отчаянно пытаясь нащупать на тумбочке чашку с остывшим улуном. Успокаиваю себя, что это просто сон, порожденный усталостью и переработками. Надо чаще отдыхать... а потом я почитал новости и понял, что неважно как выглядит дракон – красный, в полоску со звёздами или еще какой-то другой. Похоже, это техническое задание сейчас просто рассылают по всем крупным ИТ-подрядчикам мира... И еще раз проснулся 🏥

Типичный 🥸 Сисадмин

Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶

Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.

Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.

Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта 😨. Система умеет проводить глубокую инспекцию пакетов (DPI) с ML-классификаторами, блокируя протоколы, домены и анализируя шифрованный трафик по метаданным. В Мьянме, например, в ее базе уже 281 VPN-сервис для блокировки. Но это не просто файрвол. Это полноценная платформа для MITM-атак на уровне государства. Она может перехватывать нешифрованный трафик (в утечке есть примеры email'ов с вложениями) и, что самое страшное, внедрять вредоносный код прямо в трафик на стороне провайдера.

В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако 😱

Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (monitor и interfere). И она случайно переключалась в режим interfere прямо во время массовых протестов. Это не баг, это фича.

Что будет дальше? Дальше будет только хуже веселее. ML-модели будут все лучше отличать неправильный трафик (QUIC, ECH), а универсальные VPN будут жить все меньше. Скорее всего, мы увидим переход к мягким белым спискам, когда по умолчанию будет деградировать весь неопознанный шифрованный трафик. И, конечно, экспорт репутационных систем, когда для выхода в интернет понадобится KYC.

В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну 🎩

Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города

Типичный 🥸 Сисадмин

Неплохой дашборд у Мьянмы.

Ничего особенного, просто обычная админка. 2.56 Тбит/с трафика, 81 миллион сессий 😬

А в виджете Top Applications мы видим, на что он уходит. Кроме очевидных https и tiktok (которые сами по себе нагенерировали петабайты), там есть и melon_vpn. Система проводит DPI и видит все. Она не просто блокирует IP-адреса. Она классифицирует трафик на уровне приложений и знает, какой именно VPN вы используете.

Типичный 🥸 Сисадмин

Красивый Дашборд Cyber Narrator из утечки

Это полноценная система слежки в реальном времени, которая накладывает на карту данные о плотности населения, ID сотовых вышек (CID) и номера телефонов абонентов (MSISDN). Оператор может просто кликнуть на любого человека, присвоить ему группу (в этой демо-версии это некий условный "Лидер террористов") и нажать кнопку +Trajectory, чтобы отследить все его перемещения.

Добро пожаловать в будущее.

Типичный 🥸 Сисадмин

А вот так выглядит админка Великого китайского файрвола, который теперь поставляется на экспорт. Называется Appsketch.

Никаких сложных консолей. Просто веб-интерфейс, где оператор галочками выбирает, какой VPN сегодня отправится в бан. В списке все старые знакомые... Tor Browser, TunnelBear, Windscribe и тд.

Удобно. Скрин из утечки.

Типичный 🥸 Сисадмин

В образовательных целях давайте разберем еще один скриншот из той самой утечки. Это их дашборд для мониторинга под названием Network Zodiac.

Перед нами то, что в больших компаниях называют единой точкой входа для мониторинга. Проще говоря, их внутренняя Grafana. Называется Network Zodiac. Цифры внушают уважение, тут целых 32 дата-центра и 786 серверов. Топология проекта в центре показывает, что ребята плотно сидят на Big Data стеке (Kafka, Spark, Zookeeper). Но самое родное и понятное для любого админа, это конечно, лента алертов внизу. Она, как и положено, вся красная и кричит про то, что на серверах закончилась память 🏥

Типичный 🥸 Сисадмин

Разбираем дашборд государственной системы мониторинга некого Китайского города (в образовательных целях)

Скрин из утечки. Перед нами дашборд, который является тепловой картой интернет-активности целого города.

Он отображает детальный анализ того, куда ходят жители и что они делают. В левой части топ-10 самых популярных (и, видимо, нежелательных) доменов. Справа классификация инцидентов, то есть типов активности. А внизу живой лог, который в реальном времени показывает, как конкретный пользователь (номер частично скрыт) из конкретного района заходит на тот или иной сайт 👨‍🦳

По сути, это SIEM-система, но не для серверов, а для людей. Она в реальном времени строит цифровой портрет интернет-привычек целого города. Big Data на страже целого города 🤔

В общем, это типа игра SimCity, но для реального города.

Типичный 🥸 Сисадмин

🤔 Microsoft возвращает сотрудников в офисы... или вынуждает уволиться?

Microsoft объявила о смене политики гибкой работы. Теперь большинство сотрудников должны будут проводить в офисе три дня в неделю. В официальном письме глава по персоналу объясняет это так:

Данные показывают, что когда люди работают вместе очно, они более энергичны и достигают лучших результатов 😬

Официальной причиной названо наступление эры ИИ, в которую, цитата: «великие прорывы случаются, когда умные люди сидят бок о бок и решают сложные проблемы». Похоже, ИИ будет писать код, а люди должны сидеть рядом и создавать энергию и импульс 🤔

Внедрять новую политику будут поэтапно, сначала в штаб-квартире, затем в других офисах США, и только потом по всему миру. Microsoft отдельно подчеркивает, что это не для сокращения штата. А те, кто переехавший удалёнщик или просто не захочет тратить по три часа в день на дорогу, могут уволиться сами. Получилась еще одна небольшая эффективная оптимизация.

Типичный 🥸 Сисадмин

#предложка
Пациент без боя не сдался, но я был готов к этому.

Типичный 🖨 Сисадмин

Типичный 🐱 Сисадмин

Найден лучший файловый менеджер 🐸

🥸 godnoTECH - Новости IT

Woman moment

Типичный 👩‍🦰 Сисадмин

Типичный 🎹 Сисадмин

👨‍🦳 Как legacy-шифр RC4 из 1987 года уронил современную медсеть и слил данные 5,6 миллиона пациентов.

Причиной является использование в Windows древнего и дырявого алгоритма шифрования RC4, который до сих пор работает по умолчанию в Active Directory. Именно эта фича из 1987 года стала ключевым звеном в атаке на медицинскую корпорацию Ascension, в результате которой утекли данные 5.6 миллиона пациентов. Хакеры получили доступ к ноутбуку подрядчика, а дальше, благодаря RC4, использовали технику kerberoasting для перебора паролей привилегированных учеток.

Для тех, кто не в курсе, RC4, созданный еще в 1987 году, был взломан в 1994-м. Но в Kerberos-аутентификации в AD он до сих пор является базовым. Это позволяет атакующему запрашивать у сервера зашифрованные тикеты, выносить их наружу и брутить на мощных GPU. Из-за отсутствия соли и итераций в используемом хэше MD4, перебор идет со скоростью миллиарды вариантов в секунду. Даже длинные пароли не спасают.

Microsoft в ответ заявила, что настоятельно не рекомендует использовать RC4, и что в новых доменах на Windows Server 2025 он будет отключен по умолчанию. Но для миллионов существующих систем все остается по-прежнему.

И после этого они еще заставляют менять пароли каждые 90 дней 😬

Типичный 🥸 Сисадмин

Её мысль в этот момент:

О боже, он планирует месть всему офису.

Типичный 👩‍🦰 Сисадмин

Когда сеньор пришел на code review 😬

Типичный 🥸 Сисадмин

Фонд Apache сменил логотип

Некоммерческая организация Apache Software Foundation представила новый логотип, сменила дизайн сайта apache.org и объявила о переходе к использованию бренда ASF вместо полного наименования "Apache Software Foundation". На новом логотипе вместо пера, используемого как символ проектов Apache с 1997 года, изображён дубовый лист.

Название юридического лица Apache Software Foundation не изменилось и по-прежнему используется в официальных документах, в футере сайта и при упоминании авторских прав. Проекты фонда, имеющие слово Apache в своих названиях (например, Apache HTTP Server), продолжат использование существующих имён.

📌 Причиной смены символики стало недовольство организации Natives in Tech, отстаивающей интересы коренных народов. Она считает неприемлемым использование индейской символики в логотипе Apache Software Foundation, и расценивает это как манипуляцию культурными ценностями национальных меньшинств, искажающую представление об индейцах и основанную на стереотипах. Борцы за права индейцев также требовали переименовать организацию и прекратить использование слова Apache, но сообщество отказалось переименовывать организацию из-за больших затрат и юридических сложностей.

То есть Apache как бы перестали использовать имя Apache, но на самом деле не перестали из-за больших затрат и юридических сложностей, а также продолжат использовать старое название в официальных документах и футере сайта. Ну, ладно...

Linux / Линукс 🥸

Они запомнят это 🤖

Типичный 🥸 Сисадмин