Статьи

Heartbleed рядом
10.04.2014

Уязвимость в OpenSSL CVE-2014-0160, опубликованная 7 апреля и получившая наименование Heartbleed, позволяет удаленному атакующему читать фрагменты оперативной памяти уязвимого процесса. Что это значит на практике? Мы проверили 1000 IP-адресов одного из ЦОД Беларуси. Приведем скриншот прочитанного блока памяти одного из уязвимых серверов (обратите внимание на наличие полей Cookie, login, password). Фактически удаленный анонимный злоумышленник может получить имена,…

Построение бессерверных филиалов (часть 3). Что если расширить WAN-каналы или применить QoS?
08.04.2014

Как мы выяснили в предыдущей части, чтобы уменьшить время отклика (ART – Application Response Time), нужно для трафика соответствующих приложений: — сократить время ожидания в буфере; — свести к минимуму потери пакетов.    Увеличение пропускной способности каналов Что если просто увеличить пропускную способность WAN-каналов – расширить «трубу»? Очевиден выигрыш: во-первых, сокращается время ожидания, поскольку буфер освобождается быстрее;…

И снова Heartbleed: размер ущерба?
22.03.2014

Многие организации уже спустя несколько часов после того, как CVE-2014-0160 (Hearbleed) была опубликована, поспешили сообщить, что их информационные системы более не подвержены уязвимости. И если информационные системы, которые не были подвержены уязвимости (к примеру, использовали OpenSSL  ver. 0.9.8 ) заведомо не пострадали от HeartBleed, этого нельзя со всей уверенностью сказать о системах, которые использовали уязвимую версию библиотеки. Масло в огонь…

Как скомпрометировать веб-приложение? История атаки (часть 2)
14.03.2014

В предыдущей части блога был рассмотрен один из возможных сценариев атаки на target.by. В качестве возможного вектора атаки на веб-приложение выбран open source «движок» для управления рекламой, размещенный в домене *.target.by. Вообще говоря, в домене *.target.by мог бы размещаться любой «движок» – важно, что это не уникальная разработка, а коробочное решение. Поскольку информация об уязвимостях коробочных веб-приложений публична, злоумышленник,…

Как скомпрометировать веб-приложение? История атаки (часть 1)
24.02.2014

Не открою ничего нового, если скажу, что опубликованное в интернете веб-приложение всегда под угрозой. Считается, что реализовать данную угрозу сможет лишь злоумышленник с высокой квалификацией, а сама атака будет сложной и дорогостоящей, поэтому невозможной. Но это правда, лишь тогда, когда приняты верные шаги по защите веб-приложения, что, в общем, редкость. В реальной жизни на компрометацию одного из веб-приложений доменной зоны…

Как добавлять новые сервисы и при этом не усложнять инфраструктуру
12.02.2014

Построение бессерверных филиалов (часть 2). Проблемные точки при работе через WAN
03.02.2014

Рассмотрим взаимодействие между центральной площадкой и региональным подразделением. И если сотрудники подразделения сообщают «Всё тормозит!», то разберёмся: как и где возникают проблемы. На этом пути существуют проблемные точки, обусловленные конкуренцией за ресурсы: — разницей скоростей LAN и WAN в центре; — разницей скоростей LAN и WAN в подразделении; — разницей скоростей WAN в центре и в…

Построение бессерверных филиалов (часть 1)
10.01.2014

 Цель — консолидация Рассмотрим организацию, обладающую сетью удаленных подразделений, которые раскинулись по территории нашей необъятной страны. Пусть есть центральная площадка и N удаленных площадок (здесь N=5 или N=105 – не принципиально). Зачем этой организации консолидировать все ресурсы на центральной площадке и формировать бессерверные подразделения? Что может не устраивать в существующей схеме? С другой стороны, какие опасности таит консолидация, какие…

VDI. Сценарии применения
26.11.2013

Думаю, что не буду далек от истины, когда скажу, что тема виртуализации занимает значительную часть в спектре технологий для построения ЦОД. Причем, изначально основной упор делался на виртуализацию вычислительных систем (попросту, виртуализация серверов). И многие администраторы до сих пор воспринимают ее как единственную “истинную” виртуализацию. Однако рынок как всегда не стоит на месте. Думаю, что попробовав все “плюшки”, получаемые от…

Миграция виртуальных машин между ЦОД. Проблемы и решения
04.11.2013