Уже год, как в домашних сетевых хранилищах My Cloud от WD зияет дыра



В популярных домашних сетевых хранилищах My Cloud от компании Western Digital обнаружена уязвимость (CVE-2018-17153), она позволяет атакующему обойти механизм аутентификации и создать административную сессию, привязанную к его IP-адресу.

UPD Опрос показывает, что почти каждый четвертый читатель Хабра находится буквально в шаговой доступности от уязвимого устройства.

Ремко Вермелен, исследователь в области информационной безопасности, обнародовал все детали уязвимости в популярных устройствах Western Digital My Cloud. На этот шаг эксперт пошел тогда, когда компания после нескольких его обращений не устранила брешь и 15 месяцев спустя.

Вермелен проинформировал производителя о проблеме еще в апреле 2017 года, но компания какой-то момент по неизвестной причине в прервала контакты с исследователем. Обычно «белые» хакеры дают компаниям 90 дней на закрытие обнаруженной уязвимости, однако в нашей истории ожидание явно подзатянулось.



Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, предварительно установив Cookie «username=admin», чтобы система предоставила административный доступ в обход запроса пароля. Следующим шагом требуется выполнить POST-запрос «cmd=cgi_get_ipv6&flag=1», что приведет к генерации сессионного ключа и обеспечит продолжение сеанса с возможностью обращения к другим скриптам с правами администратора. Успешная атака дает полный контроль над настройками устройства, а также возможность читать, записывать и удалять любые данные, хранимые на устройстве.



Эксперт пишет, что проблема была найдена им в ходе реверс-инжиниринга бинарных файлов CGI. Он воспроизвел уязвимость на модели My Cloud WDBCTL0020HWT с прошивкой версии 2.30.172, но предполагает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, похоже, используют одно и то же уязвимое ПО.

Пользователям настоятельно рекомендуется ограничить доступ к web-интерфейсу MyCloud списком доверенных адресов, а также деактивировать функцию доступа из публичных сетей (Settings->General->Cloud Access). «Из коробки» режим Dashboard Cloud Access отключен, но атака возможна и из локальной сети.

Безопасность данных на сервере от 1 419 рублей! Бэкапируй выгодно!



Организовать резервное копирование просто:
  1. Выберите серверы или другие устройства с критичными системами, которые нуждаются в бэкапировании — защите информации;
  2. Пришлите нам на sales@activecloud.ru данные, о том что вы хотите бэкапировать и вы получите выгодное предложение, а так же возможность протестировать услугу;
  3. В рамках акции наши эксперты настроят вам бэкап, а так же целый месяц вы сможете пользоваться им бесплатно (при заключении договора на 6 мес.)



Наши сервисы позволяют бэкапировать:
  • Виртуальные машины в облаке ActiveCloud;
  • Виртуальные машины в облаке другого провайдера;
  • Локальные виртуальные и физические серверы;
  • Рабочие станции и ноутбуки;
  • Мобильные устройства;
  • Данные, хранящиеся в Office 365.
backup.activecloud.ru

Надежное хранение данных 1С



Где хранить 1С?
Сегодня хотелось бы поговорить о бухгалтерии, ведь без нее не обходится ни одна компания. Не секрет, что самой популярной программой для ведения бухгалтерии признана программа 1С: Предприятие. Где содержать свою рабочую программу — в офисе или за его пределами, в России или за границей?

Офис или за его пределами
Важная бизнес-информация даже небольших компаний часто привлекает конкурентов, хакеров и даже недобросовестных сотрудников, желающих нажиться за счет выкупа и шантажа. Форс-мажорные ситуации тоже не исключение. Размещая данные вне офиса, Вы представляете доступы к программе 1С только уполномоченным сотрудникам. А еще Вы получаете стабильный удаленный доступ к серверу 1С из разных локаций. Командировки, деловые встречи, удаленная работа, внезапный контроль сотрудников и дел из любого удобного места, где есть Интернет.

Россия или заграница
Заграница привлекает своей удаленностью от глаз российских органов, некой психологической защитой. Тем не менее, придется столкнуться с рядом вопросов:
— Оплата сервера, которую скорее всего придется осуществлять с личного счета.
— Использование VPN, без которого можно проследить путь до места расположения сервера.
— В международных дата-центрах могут храниться только обезличенные персональные данные согласно ФЗ №152 «О персональных данных».
— Техническая поддержка на иностранном языке.

В России все эти вопросы снимаются, а сервер может также безопасно храниться в отечественном дата-центре среди тысяч единиц другого оборудования.

Важно! Где бы не хранились бухгалтерские данные, надо придерживаться золотого правила. Всегда, всегда, всегда делать резервные копии. А настройка автоматического резервного копирования поможет избавиться от рисков потери данных.


rackstore.ru/arenda-servera-1c.html

План тестирования облачного хранилища TuchaBackup

TuchaBackup – это не только надежное резервное хранилище данных, но и простота в настройке и использовании. Тем не менее, мы обратили внимание, что не всегда при заказе тестового периода клиент знает, как максимально эффективно проверить работу сервиса и с чего начать. На самом деле, все очень просто, и мы составили поэтапный план тестирования и использования TuchaBackup. Итак, вы получили реквизиты доступа, что дальше?
Для подключения вам понадобится FTP-клиент. Рекомендуем FileZilla, он довольно простой.
1. Запустите программу и введите реквизиты доступа, которые мы вам прислали:
  • в поле Host введите имя сервера;
  • в поле Username – имя учетной записи;
  • в поле Passwords – пароль.


2. Нажмите QuickConnect. Вот и все, облачное хранилище готово к использованию. :)


3. Чтобы загрузить файлы в хранилище, найдите их в левом окне (в нем отображаются папки с вашего компьютера) и перетащите в правое (здесь вы увидите содержимое хранилища). Если в будущем вам понадобится восстановить файлы из хранилища, перетащите их в обратном направлении.


Обратите внимание, если в следующий раз вы захотите добавить в хранилище эти же файлы или другие, но с таким же названием, система спросит, как быть: перезаписать с заменой (Overwrite), переименовать (Rename), не копировать (Skip).


4. В нижней части рабочего пространства можно выбрать для отображения файлы, которые копируются в настоящий момент (Queued files), успешно скопированные (Successful transfers), и файлы, с копированием которых возникли сложности (Failed transfers).


5. Если вы хотите настроить автоматическое резервное копирование, рекомендуем вам использовать одну из таких программ:
  • для ОС Windows: CobianBackup, Handy Backup, Exiland Backup, Fbackup – кстати, недавно мы готовили развернутый обзор этой темы;
  • для ОС Linux: Backup-manager, BackupPC или скрипты rsync и rdiff-backup.

План тестирования VPS-конструктора TuchaFlex+. 1С в облаке

Переводить в облако бизнес или нет, вот в чем вопрос. В отличие от шекспировской версии, ответ на него куда проще – протестировать облачное решение и сравнить его с локальным. Тест – это просто, бесплатно и обратимо. :) О том, как пошагово протестировать облачный веб-хостинг, VPS-конструктор или виртуальное бэкап-хранилище, смотрите здесь: https://tucha.ua/tags/test/

Сегодня по пунктам разберем перенос в облако программы 1С с существующими базами данных.

Статьи по теме безопасности

Статьи по теме безопасности
 
Рассуждения о безопасности любой системы бесполезны без рекомендаций по практическому решению вопросов. Исходя из этого, мы разбили данную статью на две основных части: проблема и решение.

Вступление. Инфраструктура как услуга


Прежде всего, отметим, что опасения некоторых компаний по отношению к облачным технологиям объясняются тем, что облака появились на рынке сравнительно недавно по меркам традиционного бизнеса (если брать скорость эволюции ИТ, то технология уже вполне зрелая). Соответственно, существует некоторое количество мифов, объясняемых недостаточной осведомленностью клиентов о сути облачных сервисов и наличием большого количества не вполне достоверной информации. Однако, при верном подходе, хорошем понимании технологии и взвешенном выборе поставщика облачные сервисы способны обеспечить большую надежность и защищенность, нежели существующая в компании инфраструктура. Но, обо всём по порядку. Начнем с теории.

Инфраструктура как услуга (IaaS) – это модель обеспечения удаленного доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов (облачной инфраструктуре) с возможностью самостоятельно им управлять. Данной модели присущи, в частности, два аспекта: кластеризация и виртуализация. Именно их в рамках нашей темы мы рассмотрим более подробно.

Кластеризация серверов – это объединение N серверов в единый аппаратный комплекс, работающий для выполнения общих приложений и представляющийся конечным пользователям единым целым. Благодаря
Читать дальше →

Бэкапы и восстановление данных в облаке

Бэкапы и восстановление данных в облаке ✅
Запись вебинара



Как всегда мы делимся записью прошедшего мероприятия, которое было посвящено хранению данных. О том, как решить вопрос безопасного резервирования, архивации и восстановления информации при помощи конкретных инструментов, рассказали приглашенные эксперты компании Microsoft.

Вебинар по безопасному хранению данных

На очередном вебинаре в рамках экспертного клуба RackStore, мы рассмотрим вопрос сохранности и восстановления данных. Надежное хранение информации является нерешенной проблемой для сотен тысяч компаний в России.

Как защититься от потери информации?
Какие сценарии выбрать в зависимости от целей и типов данных?
На что способно облако в вопросе хранения и восстановления данных?
Эти и многие другие вопросы будут освещены на вебинаре. Приглашенные эксперты — специалисты компании Microsoft, которые расскажут и покажут, как настраивать сценарии платформы Azure, рассмотрят гибридные решения и BackUp-функционал на конкретных примерах.

Кому будет интересен вебинар:
  • Техническому директору
  • Руководителю ИТ-отдела
  • Разработчикам крупных проектов
  • Специалистам по безопасности
  • Руководителю компании

events.webinar.ru/448549/backup

это больше, чем Backup

O backup на чистоту
Истории о том, что своевременные бэкапы спасают ситуацию, когда кажется, что все потерянно — чистая правда. Есть множество примеров, когда наличие резервных копий решают все проблемы. К сожалению, существует и абсолютно противоположная практика, а именно:
  1. Все пропало, а бэкапов попросту нет.
  2. Резервные копии есть, но крайне устаревшие.
  3. Backup делается автоматически, за качеством работы программы никто не следит. Слетели настройки, произошел сбой, ПО само обновилось, бэкап перестал работать. Получаем результат из пункта 2.
  4. Все пропало вместе с бэкапом, т.к. копии хранились на том же диске, где и оригинальные данные.

Решение существует. Мы знаем как сделать, чтобы все работало правильно!

Backup в облаке Microsoft
Облачный Backup — может быть многофункциональным инструментом, который не только безопасно реплицирует и архивирует файлы, папки, базы данных, виртуальные и физические серверы, приложения и службы, а также способен работать по индивидуально настроенной схеме, используя разные сценарии для различных типов данных с возможностью разграничения прав доступа.

Мы предлагаем решение на базе Microsoft Azure Backup, которое отличается высокой надежностью и широким функционалом.

Преимущества облачного бэкапа Azure Backup:
  • Доступность сервиса 99,9 % гарантирована SLA
  • Неограниченный объем для хранения данных
  • Масштабирование хранилища под любые задачи
  • Конфиденциальность и разграничение возможности доступа
  • Шифрование данных при их передаче и хранении
  • Сохранность данных – 3 копии в одном дата-центре, возможность дополнительной георепликации
  • Удобный и знакомый для Windows-администраторов интерфейс управления
  • Инкрементальное резервирование данных
  • Не нужно приобретать специализированное дорогостоящее ПО
  • Хранение копий до 99 лет

dk@rackstore.ru