Моральный парсинг трафика 🧱
В Госдуме прошел круглый стол, результаты которого выглядят как ТЗ на постройку локального филиала Матрицы. Обсуждают создание единого надзорного органа по поиску деструктивного контента... типа советского Главлита версии 2.0. С точки зрения сетевой архитектуры, это попытка свести весь нынешний разрозненный зоопарк блокировок в единый монолитный бэкенд. Фактически предлагается создать абсолютный контролирующий узел, который будет работать как высший арбитр трафика😱
Если посмотреть на эти инициативы глазами сетевого инженера, становится страшно от предполагаемого вычислительного оверхеда. Предлагают законодательно закрепить термин (целомудрие), вычистить нецензурную лексику из соцсетей, запретить аниме и тд. Чтобы реализовать такие требования технически, обычного парсинга SNI или блокировки по IP-адресам уже не хватит. Железу ТСПУ потребуется тотальный MitM-перехват всего зашифрованного трафика с наложением аудио-отпечатков, OCR-распознаванием картинок и нейросетевым семантическим анализом😶
Производство контента тоже хотят перевести на жесткий корпоративный пайплайн. Предлагается вернуть институт предварительной цензуры кино, чтобы силовики вычитывали сценарии до начала съемок👮♂️ . А блогеров хотят нормативно обязать пропагандировать традиционные ценности, принудительно раскатывая на лидеров мнений условные GPO-политики.
Походу мы наблюдаем логичное завершение эпохи свободного информационного обмена. Глобальная сеть на наших глазах окончательно перепроектируется в государственный интранет. В этой новой архитектуре технический аптайм ресурса становится абсолютно неважным, на первое стремиться выйти его идеологическая валидность👾
Типичный🥸 Сисадмин
В Госдуме прошел круглый стол, результаты которого выглядят как ТЗ на постройку локального филиала Матрицы. Обсуждают создание единого надзорного органа по поиску деструктивного контента... типа советского Главлита версии 2.0. С точки зрения сетевой архитектуры, это попытка свести весь нынешний разрозненный зоопарк блокировок в единый монолитный бэкенд. Фактически предлагается создать абсолютный контролирующий узел, который будет работать как высший арбитр трафика
Если посмотреть на эти инициативы глазами сетевого инженера, становится страшно от предполагаемого вычислительного оверхеда. Предлагают законодательно закрепить термин (целомудрие), вычистить нецензурную лексику из соцсетей, запретить аниме и тд. Чтобы реализовать такие требования технически, обычного парсинга SNI или блокировки по IP-адресам уже не хватит. Железу ТСПУ потребуется тотальный MitM-перехват всего зашифрованного трафика с наложением аудио-отпечатков, OCR-распознаванием картинок и нейросетевым семантическим анализом
Производство контента тоже хотят перевести на жесткий корпоративный пайплайн. Предлагается вернуть институт предварительной цензуры кино, чтобы силовики вычитывали сценарии до начала съемок
Походу мы наблюдаем логичное завершение эпохи свободного информационного обмена. Глобальная сеть на наших глазах окончательно перепроектируется в государственный интранет. В этой новой архитектуре технический аптайм ресурса становится абсолютно неважным, на первое стремиться выйти его идеологическая валидность
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱90🍌31🗿18😁10💔5👀5👍4😈4🌚2❤1🤯1
Тут Microsoft обновила базовый пакет безопасности для Windows Server 2025 и запретила sudo 🫡
Тут Microsoft выкатила обновленный пакет базовых настроек безопасности. И не успели виндовые админы порадоваться удобной линуксовой фиче, как
Следом досталось древнему легаси. Запуск Internet Explorer 11 через COM-объекты (например, скриптами
Подготовку к торжественным похоронам NTLM перевели в активную фазу. Пока древний протокол не выпилили полностью, но во всех политиках врубили тотальный расширенный аудит. Входящий трафик, аутентификация в домене, исходящие запросы к удаленным серверам - контроллеры домена теперь будут маниакально логировать каждый момент.
Дырявый Print Spooler, через который ломали сети годами, загнали в жесткие рамки с обязательной аутентификацией по Kerberos. Также под блокировку попали уязвимые ключи Windows Hello (подверженные старой атаке ROCA), их теперь просто отклоняют при логине. Ничего революционного, скорее методичное закручивание гаек по всем фронтам.
Типичный🥸 Сисадмин
Тут Microsoft выкатила обновленный пакет базовых настроек безопасности. И не успели виндовые админы порадоваться удобной линуксовой фиче, как
sudo официально дропнули. Команду настоятельно рекомендуют отключать на всех серверах и контроллерах домена. Т.к. хацкеры быстро научились использовать её для обхода UAC и повышения привилегий. Поигрались в Linux в родной экосистеме, и хватит.Следом досталось древнему легаси. Запуск Internet Explorer 11 через COM-объекты (например, скриптами
CreateObject("InternetExplorer.Application")) теперь жестко заблокирован. Сам браузер давно мертв, но его компоненты всё ещё активно используются вирусописателями как вектор атаки.Подготовку к торжественным похоронам NTLM перевели в активную фазу. Пока древний протокол не выпилили полностью, но во всех политиках врубили тотальный расширенный аудит. Входящий трафик, аутентификация в домене, исходящие запросы к удаленным серверам - контроллеры домена теперь будут маниакально логировать каждый момент.
Дырявый Print Spooler, через который ломали сети годами, загнали в жесткие рамки с обязательной аутентификацией по Kerberos. Также под блокировку попали уязвимые ключи Windows Hello (подверженные старой атаке ROCA), их теперь просто отклоняют при логине. Ничего революционного, скорее методичное закручивание гаек по всем фронтам.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁38🔥13😭8❤5👍3
Безопасное уничтожение корпоративных данных по методичкам из 2005 года 😂
Сотрудник решил аппаратно уничтожить данные на списанных SSD компании. Взял дрель и сурово просверлил корпус ровно по центру... как деды учили делать с HDD, чтобы раздробить блины.
План был надежен как швейцарские часы. Вот только он не учел, что внутри современных 2.5 SSD плата с чипами памяти занимает от силы четверть пространства. Сверло идеально прошло через пустоту. Данные абсолютно целы, диск полностью рабочий, корпоративные секреты готовы к передаче третьим лицам😱
Типичный🥸 Сисадмин
Сотрудник решил аппаратно уничтожить данные на списанных SSD компании. Взял дрель и сурово просверлил корпус ровно по центру... как деды учили делать с HDD, чтобы раздробить блины.
План был надежен как швейцарские часы. Вот только он не учел, что внутри современных 2.5 SSD плата с чипами памяти занимает от силы четверть пространства. Сверло идеально прошло через пустоту. Данные абсолютно целы, диск полностью рабочий, корпоративные секреты готовы к передаче третьим лицам
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁193❤10🌚9🫡5🏆4🔥3👍1😈1
🎥 Вебинар по DevOps: Docker образы. Микросервисы
На вебинаре вы узнаете:
1. Как работает Docker и почему он стал стандартным контейнером?
2. Docker-образы: создание, настройка, оптимизация и безопасность.
3. Как Docker помогает в построении микросервисной структуры?
4. Лучшие практики работы с Docker-образами в DevOps и CI/CD процессах.
5. Ошибки при создании Docker-образов и как их избежать.
6. Демонстрация на одних примерах: сборка и деплой микросервисов с Docker.
В результате вебинара вы:
1. Поймёте, как эффективно работать с Docker-образами.
2. Узнайте, как собирать и модифицировать контейнеры для микросервисов.
3. Получите практические навыки работы с Docker в собственных проектах.
4. Освоите ключевые подходы к развертыванию и масштабированию контейнеризированных приложений.
👉 Для участия зарегистрируйтесь: https://otus.ru/lessons/devops-praktiki-i-instrumenty
🎁 Все участники вебинара получат специальные условия на полное обучение курса "DevOps практики и инструменты"
На курсе вы пройдёте путь от концепции до конкретных инструментов: Terraform, Ansible, Docker, Kubernetes, Prometheus, GitLab CI и других. Программа построена практикующими инженерами и сочетает теорию с применением знаний в реальных сценариях.
👉 Повысить свои навыки: https://otus.ru/lessons/devops-praktiki-i-instrumenty
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
На вебинаре вы узнаете:
1. Как работает Docker и почему он стал стандартным контейнером?
2. Docker-образы: создание, настройка, оптимизация и безопасность.
3. Как Docker помогает в построении микросервисной структуры?
4. Лучшие практики работы с Docker-образами в DevOps и CI/CD процессах.
5. Ошибки при создании Docker-образов и как их избежать.
6. Демонстрация на одних примерах: сборка и деплой микросервисов с Docker.
В результате вебинара вы:
1. Поймёте, как эффективно работать с Docker-образами.
2. Узнайте, как собирать и модифицировать контейнеры для микросервисов.
3. Получите практические навыки работы с Docker в собственных проектах.
4. Освоите ключевые подходы к развертыванию и масштабированию контейнеризированных приложений.
👉 Для участия зарегистрируйтесь: https://otus.ru/lessons/devops-praktiki-i-instrumenty
🎁 Все участники вебинара получат специальные условия на полное обучение курса "DevOps практики и инструменты"
На курсе вы пройдёте путь от концепции до конкретных инструментов: Terraform, Ansible, Docker, Kubernetes, Prometheus, GitLab CI и других. Программа построена практикующими инженерами и сочетает теорию с применением знаний в реальных сценариях.
👉 Повысить свои навыки: https://otus.ru/lessons/devops-praktiki-i-instrumenty
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
🗿6👀3❤2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
😱98😁31👀10😭5🫡3
Forwarded from Всратый монтаж 👹
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
☃96🔥19🎄3❤1😱1
На просторах сети всплыл шикарный обучающий материал, детально разбирающий архитектуру тех самых ТСПУ (но материал не самый свежий). И с инженерной точки зрения это весьма масштабный и грамотно спроектированный комплекс. Если кому лень смотреть пятичасовой видос на ютубах, то читаем ниже
Физически система состоит из нескольких сущностей... аппаратных байпасов, балансировщиков на базе мощных чипов Tofino (переваривающих до 3.2 Тбит/с) и самих серверов фильтрации. Железо под DPI-ноды выбрано грамотное... платформы на 24-ядерных Xeon Gold с сотнями гигабайт оперативки. Ставятся эти коробки в разрыв операторского линка, причем продумано несколько схем установки. Идеальный для товарища майора вариант - это когда до CGNAT, где системе видны серые IP конкретных абонентов, но можно воткнуть и после, разбирая уже транслированный белый трафик провайдера
Вся магия происходит на балансировщиках. Чтобы система DPI могла нормально разбирать сессии на седьмом уровне модели OSI, ей нужно видеть пакеты в обе стороны. Балансировщик берет на себя выравнивание асимметричного трафика, раскидывая его по конкретным ядрам фильтров на основе хеша от IP-адресов и портов. Сами фильтры работают на прошивках EcoFilter и EcoDPI, получая списки блокировок из центральной системы управления через изолированный ГОСТовый VPN Континент. И да, в настройках есть встроенная опция деградации протоколов (от 0 до 100), которая позволяет изящно увеличивать процент дропнутых пакетов
Интересна и защита от падений самого ТСПУ. Разработчики понимали, что их серверы будут ложиться под нагрузкой или кривыми апдейтами, поэтому запилили немного отказоустойчивости. Если фильтр не отвечает на keepalive-пакеты или дропает больше 20% сессий от перегруза, балансировщик автоматически пускает трафик в обход без флапа линков у провайдера. А если в стойке тупо пропадает питание, срабатывает оптическое реле в пассивном байпасе, аппаратно замыкая линию связи напрямую. То есть, если ТСПУ умирает, интернет не пропадает, он просто становится кристально свободным как юные годы
По итогу получился вполне себе серьезный программно-аппаратный конвейер. Со своей подсистемой мониторинга (умеют даже деградацию оптики на SFP-трансиверах смотреть), продвинутым CLI и двойным резервированием. Этот глобальный бэкенд сформировал поверх сетей провайдеров еще одну параллельную, централизованно управляемую инфраструктуру гигантских масштабов. Изучая эти логи, понимаешь, что плясать с бубном с этим на уровне любительских прокси будет всё сложнее, потому что по ту сторону работает очень качественный сетевой инжиниринг... было бы любопытно взглянуть на самые свежие разборы с новыми фичами ТСПУ, но увы.
Зависла Телега на отправке? Спонсор этого картизола - packet drop 40%, изящно примененный в соседней стойке
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍119❤16😭14👍10🔥3🤔2
Блокировка Telegram назначена на апрель, готовим резервные каналы. Окончательное решение 😗
Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах апреля. Как мы уже обсуждали ранее, уголовное дело против Дурова было не просто так... это железобетонный юридический бэкенд, развязывающий руки РКН. Теперь все пазлы сошлись... текущее удушение медиафайлов оказались лишь нагрузочным тестированием ТСПУ перед генеральным выпиливанием.
Для IT-индустрии наступает момент истины, и это точно не повторение 2018 года. Сейчас на магистралях стоят аппаратные балансировщики и серверы с эвристическим анализом. Если в апреле Телегу начнут глушить насмерть, параллельно врубят максимальную паранойю на обнаружение обфусцированного трафика. То личные VLESS, Shadowsocks и кастомные туннели рискуют отвалиться по сигнатурам или аномалиям просто потому, что ТСПУ перейдет в режим... дропать всё нераспознанное зашифрованное😡
Поэтому вопрос корпоративных перекатов встает остро. Оставлять критичные алерты, ботов и рабочие чаты в руках магистральных фильтров и надеяться на авось... это на любителя😬 . В связи с этим практический вопрос - каков ваш план на апрель? Matrix, Mattermost или Jabber? Или руководство тянет переводить процессы в VK Teams и МАХ ⚰️ ? На чем будем держать связь, когда закроется синее окно?
Типичный🥸 Сисадмин
Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах апреля. Как мы уже обсуждали ранее, уголовное дело против Дурова было не просто так... это железобетонный юридический бэкенд, развязывающий руки РКН. Теперь все пазлы сошлись... текущее удушение медиафайлов оказались лишь нагрузочным тестированием ТСПУ перед генеральным выпиливанием.
Для IT-индустрии наступает момент истины, и это точно не повторение 2018 года. Сейчас на магистралях стоят аппаратные балансировщики и серверы с эвристическим анализом. Если в апреле Телегу начнут глушить насмерть, параллельно врубят максимальную паранойю на обнаружение обфусцированного трафика. То личные VLESS, Shadowsocks и кастомные туннели рискуют отвалиться по сигнатурам или аномалиям просто потому, что ТСПУ перейдет в режим... дропать всё нераспознанное зашифрованное
Поэтому вопрос корпоративных перекатов встает остро. Оставлять критичные алерты, ботов и рабочие чаты в руках магистральных фильтров и надеяться на авось... это на любителя
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯62😭16🌭4❤3😁3🙏3💔2🗿2🔥1
Типичный Сисадмин
Блокировка Telegram назначена на апрель, готовим резервные каналы. Окончательное решение 😗 Инсайды недельной давности оказались не первоапрельской шуткой... решение о полной блокировке Telegram принято окончательно. Рубильник планируют дернуть в первых числах…
Читая все эти новости со ссылкой на «источники, близкие к ведомствам», не стоит забывать про старую добрую политтехнологию... типа вброс термометра. Вместо того, чтобы сразу выкатывать жесткий релиз - кидают в инфополе слив через подконтрольные медиа и сидят, парсят реакцию.
Если реакция будет слишком бурной, то всегда можно сдать назад, выкатить какого-нибудь говорящего человека с лицом в те же СМИ, который скажет, что это всё слухи, вы что, поверили ТГ-каналам? Официальной позиции нет. Расходимся.
А если тишина, то значит, что почва подготовлена, можно дропать трафик. Так что полюбому где-то кто-то мониторит, параллельно решая, катить этот патч в прод или пока оставить на тестовом стенде.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔66💯28👍5❤2🌭2🏆2🗿2🌚1