Стэнд-элончик

Jun. 9th, 2016 09:42 am
leo_sosnine: (Default)
[personal profile] leo_sosnine
В связи с выходом на работу инструктором ЦИССП решил вести проф. бложек, преимущественно для скубентов, а то несолидно как-то.

http://lpine.org/2016/06/new-mime-multipart-technique-to-avoid-seg-detection/

Пинайте ногами, критикуйте, в т.ч. за кривоту употребления английских артиклей с которыми я до сих пор до конца не разобрался и эта тема находится в ту-ду листе уже годы.

Бложек я решил, таким образом, реанимировать, планирую причесать немного дезигн, ну и серт прикрутить для тлс бровсенга.

Следующие посты, давно запланированные, но никогда не написанные, про проблемы детекции ДГА, про Драйдекс, ну и прочий инфобез и корпоративная Америка.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2016-06-09 02:43 pm (UTC)
From: [identity profile] ulrith.livejournal.com
>серт прикрутить для тлс бровсенга

надеюсь это будет моднявый letsencrypt

Date: 2016-06-09 02:51 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Он чем-то лучше допустим стартссл?

Date: 2016-06-09 02:54 pm (UTC)
From: [identity profile] ulrith.livejournal.com
Автоматическими обновлениями, например

Date: 2016-06-09 02:56 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
ну это малоактуально

раз в год-два уж можно жопу оторвать

Date: 2016-06-09 02:45 pm (UTC)
From: [identity profile] vovney.livejournal.com
Верно говорят, кто не умеет чо то делать — идет учить!!!!))))

Date: 2016-06-09 03:30 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Спасибо, Вовней! А что делать -- кушать-то хоцца!

Date: 2016-06-09 03:42 pm (UTC)
From: [identity profile] vovney.livejournal.com
Ггггг

Date: 2016-06-09 02:49 pm (UTC)
From: [identity profile] vovney.livejournal.com
Now, let’s say that an email with a malicious attachment has a .zip extension. You can’t really block it on your SEG as you would end up in a false positive hell as too many regular folks send zipped documents to each other, therefore your manual rules are of no use here.

С чего это? Спокойно просматриваются архивы:
а) незапароленные
б) запароленные, но БЕЗ шифрования содержимого
После просмотра спокойно режем ВСЕ любые расширения, из которых может что-то запуститься.

А это не только весь список:
Js,Scr,Exe,Jse,Msi,Vbs,Vbe,Wsf,Wsh,Ocx,Cmd,Bat,Ps1,jar.
Но и в дополнение весь список расширений хотя бы из дефолтного SRP списка

Date: 2016-06-09 03:00 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Ну это речь про мануальные правила

Кроме этого полностью на открытие архивов до такого-то колена полагаться нельзя, т.к. не будешь же ты блокировать .doc файлы по расширению

Date: 2016-06-09 03:04 pm (UTC)
From: [identity profile] vovney.livejournal.com
Ниже написал же)
doc нет, а остальное - легко. это на шлюзе.

а что пройдет дальше - заметит антивирь уже на внутренних релеях почты.
что и там пройдет - отловится антивирем в конечной точке или SRP.

хотя все равно страшно)))

Date: 2016-06-09 03:13 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Антивирь чаще не заметит, чем да.

Драйдекс запускает длл-ку с расширением тмп из юзерпрофайла при помощи рундлл32.ехе. Многие модуля Драйдекса которые я отловил в Апреле до сих пор почти никем не детектируются на вирустотал.

Date: 2016-06-10 07:40 am (UTC)
From: [identity profile] anonim-legion.livejournal.com
А вы их посылали в drweb, kaspersky и прочим?

Date: 2016-06-10 12:45 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
У нас есть специальный человек, отвечающий за анти-вирусы

Он посылал, когда было желание

С моей т.з. бессмысленное занятие, они перепаковывают его по 100 раз на дню, ещё и апдейтят, детекция сигнатурами почти бесполезна

Date: 2016-06-09 02:57 pm (UTC)
From: [identity profile] vovney.livejournal.com
Остается только блядство с макросами в ms office

Date: 2016-06-09 03:23 pm (UTC)
From: [identity profile] kuigoroj.livejournal.com
Сделай поиск по жж "удолил меня из скайпа".

Date: 2016-06-09 03:24 pm (UTC)
From: [identity profile] vovney.livejournal.com
Што такое опять?

Date: 2016-06-09 03:30 pm (UTC)
From: [identity profile] kuigoroj.livejournal.com
Што-што, как всегда - ленишься. Сделай.

Date: 2016-06-09 04:05 pm (UTC)
From: [identity profile] kuigoroj.livejournal.com
*вздохнув*

Тебе зачем фразу в кавычках дали?

Date: 2016-06-09 04:21 pm (UTC)
From: [identity profile] kuigoroj.livejournal.com
Плохой сервис плохого поисковика.

Date: 2016-06-09 05:37 pm (UTC)
From: [identity profile] iadminko.livejournal.com
Снимаю шляпу, Лео.
Как у тебя на всё хватает времени и терпения, я удивляюсь.

Date: 2016-06-09 06:46 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Времени не хватает, а терпение это есть

Date: 2016-06-09 11:23 pm (UTC)
From: [identity profile] d43.livejournal.com
>a security consultant from Russia

Наверное, лучше "Russia-born security consultant" или "originally from Russia, now living in ...", а то может показаться (если не дочитать до конца), что вы based in Russia.

А вообще, поздравляю! Сам уже много лет веду блог с technical ramblings на темы OS X/Linux/web-dev на английском. Контент у меня попроще, но, тем не менее, регулярно кто-то приходит из поисковиков, комментит, ставит ссылки. Бывает, подваливает толпа с каких-нибудь форумов или Hacker News, и пост начинает жить своей жизнью. Меня это все радует; для меня это такой способ сказать сообществу "спасибо".

Date: 2016-06-10 01:11 am (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Спасибо! Я бы больше писал, но это корпоративный мир, не всё можно выносить на публику, приходится делать отдельную работу по абстрагированию от специфичных деталей.

ЗЫ завтра поправлю про рашу
Edited Date: 2016-06-10 01:13 am (UTC)

Date: 2016-06-10 07:02 pm (UTC)
From: (Anonymous)
Очень много запятых.
Особенно - в первых двух абзацах.
Тяжело читается.

Могу посоветовать выбрать пример для подражания - кого-то, чей стиль вам нравится, и писать в таком стиле.


Date: 2016-06-10 07:06 pm (UTC)
From: (Anonymous)
Хочу ещё добавить, что в первом абзаце - всего 3 предложения.
И они занимают 9 строк.
Это никуда не годится.

Date: 2016-06-10 07:18 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
типа, писать попроще?

Date: 2016-06-10 08:06 pm (UTC)
From: (Anonymous)
Ну, "попроще" - не совсем то слово.
Скорее - находить нужные слова и ёмкие формулировки.

И нужно избегать сложносочинённых предложений.
Это же стандартная рекомендация, независимо от языка.

Также, английский текст не должен быть переводом с русского.
Попробуйте, например, посчитать к-во запятых в среднем англоязычном тексте, и сравните с русским.

Думаю, что при желании вы нагуглите кучу материала на тему стиля написания технических и околотехнических текстов.

Date: 2016-06-10 08:16 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com
Пока неохота с этим париться, если прогресс пойдёт то по мере прогресса буду с этим разбираться

Находить слова и формулировки это хлеб писателей, а я не люблю этим заниматься, увы

Date: 2016-06-11 02:25 am (UTC)
From: [identity profile] sensoscope.livejournal.com
Контент отличный, спасибо. Язык тяжеловат, но по дороге поправится.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

leo_sosnine: (Default)
leo_sosnine

November 2024

S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 9th, 2025 12:24 am
Powered by Dreamwidth Studios