რატომ დაგცინიან Pentester-ები ანუ რა უნდა ვიცოდეთ Windows-სისტემების Name resolution თავისებურებების შესახებ?

როგორც სათაურიდან ჩანს, ამ სტატიაში ვისაუბრებთ Name Resolution-ზე Windows სისტემებში. თუ რატომაა მნიშვნელოვანი ეს ყველაფერი და როგორ აგვარიდებს სტატიიდან მიღებული ცოდნა წარმატებულ შეტევებს ჩვენს Active Directory-ინფრასტრუქტურის წინააღმდეგ, გავიგებთ შემდგომი ტექსტიდან...

დავიწყოთ საფუძვლებიდან. Windows ოპერაციულ სისტემებში Name Resolution რექვესტები მუშავდება შემდეგი პრიორიტეტიზაციით:

1. hosts ფაილი (%SYSTEMROOT%\System32\drivers\etc\hosts)
2. DNS სერვერი
3. LLMNR - იშიფრება როგორც Link-Local Multicast Name Resolution
4. NBNS/WINS - NetBIOS Name Service ასევე ცნობილია როგორც Windows Internet Name Service

პირველი ორი პუნქტი თუ ყველა IT-სპეციალისტისთვის ცნობილია, მესამე და მეოთხე პუნქტების შესახებ ბევრს არც კი სმენია. სამართლიანობისთვის უნდა ითქვას, რომ "how to"-ების ეპოქისთვის ტიპიური მოვლენაა სიღრმეებში არჩასვლა.

მაშ ასე, LLMNR ეს არის Name Resolution პროტოკოლი IPv4 და IPv6-ისთვის, რომელიც გაჩნდა Windows Vista და Windows Server 2008-ში და ამ პროტოკოლის თანახმად ჰოსტები აკეთებენ multicast-მიკითხვებს (queries) და პასუხობენ (responses) unicast-ით  UDP 5355 პორტზე. თვალსაჩინოებისთვის Command Prompt-ში შეგიძლიათ აკრიფოთ შემდეგი ბრძანება:

netstat -ano | findstr :5355

და რადგან LLMNR პროტოკოლი დეფოლტად ჩართულია Windows-სისტემებში, ხოლო თქვენ ის არ გაგითიშავთ, დაინახავთ, რომ dns client-ის სერვისი უსმენს UDP 5355 პორტს ყველა IPv4 და IPv6 მისამართიდან (IPv6-იც გათიშეთ რა! უბრალოდ გათიშეთ, დამიჯერეთ! 😇).

რაც შეეხება NBNS/WINS პროტოკოლს, ის საკმაოდ ძველი პროტოკოლია და მუშაობს მხოლოდ ipv4-ით, Destination IP მისამართი არის ქსელის IPv4 Broadcast მისამართი, იყენებს UDP 137 პორტს.

LLMNR და NBNS/WINS პროტოკოლები ორივე დეფოლტად ჩართულია Windows-სისტემებში და თამაშში შემოდიან მაშინ, როცა სტანდარტული DNS სერვისი მიუწვდომელია. ამ შემთხვევაში გვაქვს შემდეგი პროცესი:

• LLMNR და NBNS/WINS პროტოკოლების მეშვეობით კლიენტი უგზავნის multicast (LMNR) ან broadcast (NBNS/WINS) მესიჯებს და ეკითხება  მთლიან ქსელს იმ რესურსის შესახებ, რომელიც აინტერესებს. პროტოკოლები თავშივე ითვალისწინებენ, რომ კლიენტი ენდობა მთლიან შიდა ქსელს და ღებულობს პასუხს ნებისმიერი შიდა ქსელში მოპასუხე რესურსიდან, როგორც სანდოს.
• რომელიღაც ჰოსტი შიდა ქსელიდან (მაგალითად, შემტევის ჰოსტი) პასუხობს ჩვენს რექვესტს და გვეუბნება ჩვენს მიერ მოთხოვნილი ჰოსტის Destinatin IP-მისამართს

1. მსხვერპლი უკავშირდება File Share სისტემას სახელად fileserver, რომლის სახელის დაწერისას შეცდომა დაუშვა და დაწერა fileservwr.
2.  DNS-სერვერმა ვერ იპოვა თავისთან fileservwr ჩანაწერი, რის შესახებაც ამცნობა მომთხოვნ კომპიუტერს (სურათზე Victim).
3. კომპიუტერმა რადგან ვერ მიიღო პასუხი, აგზავნის LLMNR, NetBIOS-NS query-ის.
4. შემტევი უსმენს ქსელის ტრაფიკს (სურათზე Attacker) და პასუხობს მსხვერპლის კომპიუტერს, რომ ის არის fileservwr-ი.

შემტევი კომპიუტერი უსმენს Broadcast-ს და პასუხობს ყველა LLMNR, NetBIOS-NS query-ის, რათა მოიპოვოს მომხმარებლის სახელი და პაროლის hash-ი. ამ ოპერაციის განსახორციელებლად არსებობს ბევრი ხელსაწყო და ერთ-ერთი მათგანია SpiderLabs-ის Responder-ი.

შემტევი თავის კომპიუტერზე უშვებს Responder-ს შემდეგი ბრძანებით:

responder -I eth0

(eth0 ამ შემთხვევაში არის ინტერფეისი, რომელიც უსმენს Broadcast-ში LLMNR, NetBIOS-NS query-ებს):

მსხვერპლის კომპიუტერზე მივაკითხოთ file share-ს fileserwr:

მსხვერპლის ოპერაციულ სისტემაზე ამოხტება Windows Security Prompt-ი:

და როდესაც მსხვერპლი შეიყვანს ლეგიტიმურ მომხმარებელს და პაროლს (ჩვენს შემთხვევაში მომხმარებელია superadmin), რა თქმა უნდა, superadmin-ის მომხმარებელი და პაროლის NTLMv2 ჰეშის მნიშვნლობა მოხვდება შემტევის კომპიუტერზე, როგორც ქვემოთ მოცემულ სურათზეა:

ჰეშის მნიშვნელობის მაგივრად, რომ ღია ტექსტად ნახოს მსხვერპლის მიერ შეყვანილი superadmin-ის პაროლი, შემტევი გამოიყენებს მაგალითად, HashCat-ს.

ძვირფასო ადმინებო, თუ გინდათ, რომ მორიგ შეღწევადობის ტესტზე არ გახდეთ Pentester-ების დასაცინები, ორივე პროტოკოლი უნდა გათიშოთ.

LLMNR პროტოკოლის გათიშვა

LLMNR-ის გათიშვა შესაძლებელია ჯგუფური პოლიტიკებიდან:

1. ვხსნით GPMC.msc ჯგუფური პოლიტიკების კონსოლს;
2. გადავდივართ Computer Configuration -> Administrative Templates -> Network -> DNS Client ჩანართზე;
3. Turn Off Multicast Name Resolution პარამეტრს ვაყენებთ Enabled მდგომარეობაში

NBNS/WINS პროტოკოლის გათიშვა

1. ncpa.cpl -ით ვხვდებით Control Panel\All Control Panel Items\Network Connections -ში
2. ვირჩევთ ქსელის ადაპტერის TCP/IPv4 Properties
3. ვაჭერთ ღილაკს Advanced, ვირჩევთ ჩანართ WINS-ს და ვირჩევთ Disable NetBIOS over TCP ოპციას და OK

საქმეს ართულებს ის გარემოება, რომ NBNS/WINS პროტოკოლი ცალ-ცალკე უნდა გათიშოთ ყველა ინტერფეისისთვის.

საბედნიეროდ, შესაძლებელია Powershell-ის მეშვეობით, გავაკეთოთ აღნიშნული ოპერაცია ყველა ინტერფეისისთვის ერთდროულად:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
  Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" '
  -Name NetbiosOptions -Value 2 -Verbose}

შევინახოთ აღნიშნული სკრიპტი disableNetbios.ps1 სახელით, ხოლო ჯგუფურ პოლიტიკებში ეს სკრიპტი Startup Script-ებში ჩავსვათ:

Computer Configuration -> Policies -> Windows Settings ->Scripts ->Startup->PowerShell Scripts

... და IPv6 გათიშეთ. დიდი ბიჭები ხართ უკვე 😋

Passwordless Authentication - გზა თავისუფლებისკენ, თუ გზა ტყვეობისკენ?

რა არის passwordless autentication (უპაროლო აუტენტიფიკაცია) და რატომ გაჩნდა მასზე მოთხოვნა? 

ბევრ თქვენგანს, შესაძლოა, ერთი და იგივე პაროლი გაქვთ სხვადასხვა რესურსებზე, როგორებიცაა Facebook, Linkedin, Gmail, Live.com... და ასევე იგივე პაროლს იყენებთ კორპორატიულ კომპიუტერზე აუტენტიფიკაციისას ან/და კორპორატიულ რესურსებზე წვდომის მისაღებად. ერთის მხრივ, ერთი პაროლის დამახსოვრება ადვილია, მაგრამ მეორეს მხრივ, საკმარისია ბოროტმოქმედმა მოიპოვოს თქვენი რომელიმე ერთი ექაუნთის პაროლი და ის შეძლებს დანარჩენ ექაუნთებზე წვდომის მოპოვებასაც.

ექსკურსი ისტორიაში

ოდითგანვე, იმისათვის, რომ ადამიანებს დაემტკიცებინათ საკუთარი ვინაობა სხვებისთვის, გამოიყენებდნენ ზეპირსიტყვიერ პაროლებს ან ძნელად გაყალბებად ბეჭდებს. ავტომატური აუტენტიფიკაცია ფიზიკური მოწყობილობის საშუალებით, ჯერ კიდევ, ძველი ეგვიპტედანაა ცნობილი და წარმოადგენს გასაღებს, რომელიც აღებს კლიტეს. დიდი ალბათობით, ავტომატური პაროლით მართვადი კლიტეს შესახებ ყოველმა ჩვენგანმა პირველად შეიტყო, ისეთი ზღაპრიდან, როგორიცაა "ალი-ბაბა და 40 ყაჩაღი". "სეზამ, გაიღე" პაროლის მეშვეობით ხდებოდა ლოდის გაჩოჩება, რომლითაც იყო დაცული გამოქვაბულის შესასვლელი.

აუტენტიფიკაციის სისტემის ელემენტები 

მიუხედავად იმისა, აუტენტიფიკაციის სისტემა არის კომპიუტერული თუ არა, მასში მონაწილეობენ: 

1. ადამიანი ან ადამიანთა ჯგუფი, ვინც უნდა გაიაროს აუტენტიფიკაცია. ნებისმიერი, ვინც იცის პაროლი.
2. ასევე გვჭირდება განმასხვავებელი ნიშან-თვისება, რომელიც გამოარჩევს ამ ადამიანს ან ადამიანთა ჯგუფს სხვებისგან. სხვა სიტყვებით - აუტენტიფიკატორი. ზემოთხსენებულ ზღაპარში ესაა სიტყვები "სეზამ გაიღე".
3. პატრონი, რომელიც არის პასუხისმგებელი აუტენტიფიკაციის სისტემის ფუნქციონირებაზე. ზღაპარში  - 40 ყაჩაღი.
4. აუტენტიფიკაციის მექანიზმი. ზღაპარში  ჯადოსნური მექანიზმი, რომელიც რეაგირებს სიტყვებზე. კომპიუტერულ სისტემებში ესაა პროგრამული უზრუნველყოფა, რომელიც ამოწმებს პაროლის ან ციფრული სერტიფიკატის ნამდვილობას.
5. დაშვების მართვის მექანიზმი. ზღაპარში ესაა მექანიზმი, რომელიც აჩოჩებს გამოქვაბულის შესასვლელის წინ მდებარე ლოდს სწორი პაროლის წარმოთქმისას. მაგალითად, ონლაინ გადახდის სისტემებში ესაა მექანიზმი, რომელიც გასრულებინებთ ტრანზაქციას.

რის გამო დავიწყეთ ამბის მოყოლა?

დღევანდელი ამბავი ეხება ჩვენს მიერ განხილული აუტენტიფიკაციის სისტემის ელემენტებიდან მეორეს - აუტენტიფიკატორს. რატომ არის პაროლი კარგი/ცუდი აუტენტიფიკატორი კომპიუტერული სისტემებისთვის? ამ კითხვას რომ გავცეთ პასუხი, უნდა ვიცოდეთ, თუ როგორ ინახება კომპიუტერულ სისტემაში ჩვენს მიერ დარეგისტრირებული პაროლი.

არც თუ ისე შორეულ წარსულში, პაროლები სისტემაში ინახებოდა ღიად (დაუფარავად) ერთ-ერთ ფაილში, დავარქვათ მას პაროლების ფაილი. როდესაც შემტევებმა დაიწყეს ადვილად ამ პაროლების ფაილზე წვდომის მოპოვება, დაცვის მხარემ მოიგონა პაროლების ამ ფაილში არა ღიად შენახვა, არამედ ჰეშირებულად (Password Hash). hash-ფუნქცია არის ისეთი მათემატიკური ოპერაცია, რომელიც სხვადასხვა ზომის შემომავალ ინფორმაციას გარდაქმნის ყოველთვის ერთნაირი ზომის hash-მნიშვნელობად. მაგალითად, გამოვიყენოთ ეს საიტი, და ვნახავთ, რომ სიტყვა Pa$$w0rd -ის SHA256  ჰეშის მნიშნელობა ყოველთის იქნება: 97c94ebe5d767a353b77f3c0ce2d429741f2e8c99473c3c150e2faa3d14c9da6 ჰეშირების უპირატესობა ისიცაა, რომ ის ერთმიმართულებიანია ანუ ჰეშიდან პაროლი ღია ტექსტად (Plain text) ვერ უნდა მიიღოთ. თუმცა შესაძლებელია წინასწარ დავჰეშოთ პაროლების დიდი მოცულობა და მივუსადაგოთ მათ შესაბამისი ჰეშ მნიშვნელობები (ვისაც გაინტერესებთ მოიძიეთ ინფორმაცია Rainbow Tables-ის შესახებ). აქვე გაფრთხილებთ, რომ ზემოთხსენებულ საიტზე არ შეიყვანოთ თქვენი რომელიმე მოქმედი პაროლი, რადგან ის დიდი ალბათობით ამ საიტის მეპატრონის Rainbow table-ში შეინახება 😉.

 ჰეშირებული პაროლების წინააღმდეგ შემტევმა მხარემ მოიგონა კლავიატურის ლოგერები (keylogger). კლავიატურის ლოგერის საწინააღმდეგოდ დაცვის მხარემ მოიგონა ოპერატიული მეხსიერების დაცვა. შემტევებმა დაიწყეს ქსელში ტრაფიკის მონიტორინგი მომხმარებელი/პაროლის დასაჭერად... ქვემოთ მოვიყვან მომხმარებლის Credentials-ებზე შეტევისა და დაცვის ევოლუციას ერთ სურათად (რა თქმა უნდა, არა ყოვლისმომცველს):

        

პაროლის სიგრძის შესახებ რეკომენდაციები შეგვიძლია წავიკითხოთ, მაგალითად NIST (National Institute of Standards and Technology)-ის საიტზე. ბოლო განახლება არის დათარიღებული 03-02-2020 -ით. იქ ვკითხულობთ: "NIST now recommends a password policy that requires all user-created passwords to be at least 8 characters in length..." რაც ნიშნავს, რომ მომხმარებლის მიერ შექმნილი პაროლი უნდა შედგებოდეს მინიმუმ 8 სიმბოლოსგან. შესაბამისად, 8-სიმბოლოიანი პაროლი აკმაყოფილებს NIST-ის რეკომენდაციებს. თუ რამდენად შორსაა 8-სიმბოლოიანი პაროლით დაცვა რეალური დაცვისგან, მივხვდებით მაშინ, როდესაც შემდეგ სტატიას წავიკითხავთ. სტატიაში ნათქვამია, რომ 8-სიმბოლოიანი (რთული) პაროლის გადარჩევით (Brut-force) თანამედროვე 8 ვიდეობარათისგან შემდგარ კლასტერს შეუძლია 48 წთ.-ში პაროლის ღია ტექსტით გამოტანა. კერძოდ, Nvidia RTX 4090 გრაფიკულ ბარათებზეა საუბარი. ამიტომ, იმ პიროვნებას, ვინც ორგანიზაციაში პასუხისმგებელია ინფორმაციულ და კიბერუსაფრთხოებაზე ჭირდება არა მხოლოდ სტანდარტების ცოდნა, არამედ სიახლეებსაც უნდა ადევნებდეს თვალყურს...

ზემოთ ვახსენეთ, რომ ყველა სისტემაზე ერთი და იგივე პაროლის გამოყენება არ ვარგა. საშუალო ინტერნეტ-მომხმარებელი ათეულობით სისტემაშია რეგისტრირებული და ამას ემატება კორპორატიულ სისტემებშიც პაროლების შეცვლაზე ზრუნვა... ადამიანის მეხსიერება არ არის გათვლილი იმაზე, რომ ამდენი გასხვავებული პაროლი დავიმახსოვროთ. გამოსავალი შეიძლება იყოს პროგრამების ისეთი კლასის გამოყენებაში, როგორიცაა პაროლების მენეჯერები (Keepass, Enpass, Lastpass, 1password, Google Password Manager და ა.შ.). ამ პროგრამების მუშაობის პრინციპი შემდეგია: თქვენ აყენებთ პროგრამაში შესასვლელ რთულ პაროლს (Secret-ს) და მხოლოდ ამ პაროლის დამახსოვრება გიწევთ, ხოლო სხვა დანარჩენ პაროლებს ეს სისტემა ინახავს თავის ბაზაში (თქვენს მიერ დაყენებული პროგრამაში შესასვლელი პაროლის მეშვეობით) დაშიფრულად. თუ ანალოგია გნებავთ ეს იგივეა, რაც გასაღების ჩამკეტიანი სეიფი, რომელშიც საიდუმლო დოკუმენტებს ინახავთ. სეიფი ეს არის პაროლების მენეჯერი, საიდუმლო დოკუმენტები - თქვენი სხვადასხვა ექაუნთების პაროლები, ხოლო გასაღები - პროგრამაში შესასვლელი პაროლი.

სხვა გზა, რომელიც ჩვენი მომხმარებლის 100%-თან მიახლოებულ დაცვას გვაძლევს ეს არის Multifactor Authentication (MFA). MFA მოიაზრებს შემდეგ ფაქტორებს:

• იმას, რაც მხოლოდ ჩვენ უნდა ვიცოდეთ ანუ პაროლს;
• იმას, რაც გაგვაჩნია (ტელეფონი, კომპიუტერი, ფიზიკური თოქენი, პროგრამული უზრუნველყოფა, როგორიცაა Microsoft Authenicator, Google Authenticator და მრავალის სხვა);
• იმას, რანიც ვართ ანუ ბიომეტრიულ მონაცემებს (თითის ანაბეჭდი,  თვალის, სახის ამოცნობა...);

MFA-თი მომხმარებლის დაცვის საშუალებას დღეს გვაძლევს ყველა მნიშვნელოვანი ინტერნეტ-სერვისი.

... და მივუახლოვდით დღევანდელი სტატიის თემას, რომელსაც უპაროლო აუტენტიფიკაცია ქვია. პაროლების სათანადოდ და დაცულად შენახვა, საკმაოდ რთული ამოცანაა. ისტორიაში ცნობილია უამრავი შემთხვევა, როდესაც ცნობილი კორპორაციების მომხმარებელთა და მათი პაროლების მონაცემებმა გაჟონა (Facebook, Linkedin...). მომხმარებლების პაროლების დაცვაზე საზრუნავად 2012 წლის ივლისში ცნობილმა კორპორაციებმა (PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, და Agnitio) შექმნეს ალიანსი, რომლის სახელია FIDO Alliance და ამ ალიანსს შეუერთდნენ მრავალი სხვა კომპანიებიც, როგორიცაა Google, Microsoft, Apple... FIDO ეს არის ღია სტანდარტი, რომელიც დაფუძნებულია ასინქრონულ კრიპტოგრაფიაზე და მთავარი არსი მდგომარეობს იმაში, რომ აუტენტიფიკაცია ხდებოდეს არა სადღაც სერვერზე ცენტრალიზებულად, არამედ უშუალოდ მომხმარებლის მოწყობილობაზე. 2016 წლის თებერვალში სტანდარტმა ჰპოვა განვითარება და ცნობილია, როგორც FIDO2 სტანდარტი.

დღეს FIDO2 სტანდარტით სერტიფიცირებული და სტანდარტის საკუთარი იმპლემენტაციის მქონე შემდეგი პროდუქტებია ცნობილი:  Microsoft-ის Windows Hello, Windows Business Hello, Apple Face ID, Apple ID, Google-ის Login Service, Passkeys-ის Apple-ის და Google-ის იმპლემენტაცია, კომპანია Yubico-ს პროდუქტები...

უდავოდ, Passwordless აუტენტიფიკაციას აქვს დიდი უპირატესობები, არ გვიწევს პაროლების დამახსოვრება და აუტენტიფიკატორად გამოიყენება ჩვენს მფლობელობაში არსებული მოწყობილობა ან მასზე გაშვებული პროგრამული უზრუნველყოფა, თუმცა არ უნდა დაგვავიწყდეს, რომ ჩვენს მფლობელობაში არსებულ მოწყობილობას ყავს მწარმოებელი, ხოლო პროგრამულ უზრუნველყოფას - დეველოპერი. ეს ნიშნავს, რომ პაროლზე უარის თქმით თქვენ ნდობას უცხადებთ მწარმოებელს ან/და დეველოპერს... ზოგიერთი თქვეგანი იტყვის, რომ ურჩევნია ისევ და ისევ გამოიყენოს პაროლების მენეჯერი და ქონდეს გააქტიურებული სხვადასხვა სერვისებზე MFA, რაც თანაბრად ანაწილებს Credentials-ების შენახვაზე პასუხისმგებლობას მომხმარებელსა და სერვისის მომწოდებელს შორის... მაგრამ ანაწილებს კი? განვიხილოთ მაგალითი: Microsoft-ის ან Google-ის ონლაინ ექაუნთის შექმნისას პაროლი ინახება სერვისის მომწოდებლის სერვერებზე, ხოლო Microsoft ან Google Authenticator-ის მწარმოებელიც სერვისის მომწოდებელია. აკონტროლებთ რამეს? 😉

თუ როგორ ინახავდა მომხმარებლების პაროლებს (და ღმერთმა იცის როგორ ინახავს ეხლა) კომპანია Facebook-ი იგივე Meta, ამ სტატიიდან გაიგებთ... 2012 წელს ფეისბუქის 200-დან 600 მლნ. მომხმარებლის პაროლი ღია ტექსტად იყო ხელმისაწვდომი ამავე კოპანიის 20 ათასამდე თანამშრომლისთვის 😨

ვფიქრობ, რომ Passwordless Authentication-ი MFA-ს უფრო მარტივი ალტერნატივაა იუზერის გადმოსახედიდან თუ ვიმსჯელებთ. მაშ, Passwordless Authentication  - გზა თავისუფლებისკენ, თუ გზა ტყვეობისკენ? 😉

თქვენ როგორ ფიქრობთ?

არ ესაუბროთ უცხო ადამიანებს ან გითამაშიათ თუ არა ონლაინ თამაშები?

 

ფიშინგისგან და თაღლითობისგან ერთადერთი 100%-იანი დაცვის წესი, რომელიც ბავშვობიდანვე ვიცით: "უცხო ადამიანებს არ ვესაუბროთ" არის.

მოგვივიდა წერილი ელ. ფოსტაზე,  სადაც გვამცნობენ, რომ დიდძალი მემკვიდრეობის პატრონი გავხდით, ან ლატარეაში მოვიგეთ თანხა, ან წერილი გავს ფეისბუქიდან ელ. ფოსტაზე მოსულ შეტყობინებას, სადაც ისეთ რაღაცას ვკითხულობთ, რომ ეგრევე ბმულზე გადავდივართ... თაღლითის ამოცანაა ჩვენში გამოიწვიოს ცხოვრების ჩვეული რიტმის დარღვევა და გვაიძულოს გავაკეთოთ ქმედება, რომლითაც "ვიწყებთ საუბარს უცხო ადამიანთან". ბმულებზე გადასვლა ეს იგივეა, რაც "უცხო ადამიანთან საუბრის წამოწყება".

უცხო ნომრიდან ზარზე პასუხის გაცემა დღეს ნორმალურად ითვლება, თუმცა მე გირჩევთ, რომ შეძლებისდაგვარად არ უპასუხოთ უცხო ნომრიდან შემოსულ ზარს, თუნდაც იმიტომ, რომ შესაძლოა ეს იყოს ნაცნობი 🙂

თუ თქვენი ცხოვრება ისეა მოწყობილი, რომ უცხო ნომრებიდან ზარებზე პასუხი აუცილებლობაა, მაშინ ეცადეთ არარელევანტური ზარები თავიდანვე გათიშოთ და ამით დაზოგოთ დრო, ნერვები და ა.შ. 

ზარი უცხო ნომრიდან ჩემს ტელეფონზე:

- გამარჯობათ, მე ვარ სოფო კვლევითი კომპანია "ისეტისგან" (თუ გინდ NASA-დან), ვატარებთ კვლევას ონლაინ თამაშებთან დაკავშირებით (ჯერ იწყებენ თითქოს უწყინარი კითხვებით, შემდეგ დამოკიდებულია იმაზე, თუ რამდენ ინფორმაციას გასცემს მსხვერპლი საკუთარ თავზე);

- გამარჯობათ, სოფო, ტელეფონის ნომერი, რომელზეც რეკავთ საიდან გაქვთ? (მცდელობა პირიქით გავიგოთ რაც შეიძლება მეტი ინფორმაცია დაუპატიჟებელ სტუმარზე);

- მონაცემთა ბაზიდან. 

- მონაცემთა ბაზა საიდან გაქვთ? (აშკარად, კითხვების დასმა უფრო მომწონს, ვიდრე პასუხების გაცემა)

აქ პაუზა (ხვდება რო რაღაც სხვაგან მიდის საუბარი);

- უბრალოდ მონაცემთა ბაზიდან მაქვს.

- მოიცათ, სოფო, ეს მონაცემთა ბაზა საიდან გაქვთ? ვიღაცამ ხო გადმოქცათ თავისით ხო არ გაჩნდა? (შერლოკ ჰოლმსი მე-80 "ლეველი")

- აუბრალოდ ბაზამ მომცა, არავის მოუცია. (ღმერთი არ წამს აშკარად)

- მოიცათ, მონაცემთა ბაზა, სულიერი არსებაა, რომ მოგცათ? კარგით, ვის ურეკავთ იცით? ანუ ტელეფონის ნომრის მფლობელი ცნობილია თქვენთვის?

- არა, უბრალოდ ბაზიდან მაქვს (ეტყობა სოფოს ყველა მეუფე ნიკოლოზის იუთუბ-არხის გამომწერი გონია);

- კარგით, კვლევის დამკვეთი ვინ არის? (მოვინდომე ეხლა...)

- არ არის დამკვეთი. უბრალოდ კვლევაა იმის შესახებ გითამაშიათ თუ არა ონლაინ თამაშები და სტატისტიკისთვისაა საჭირო.

- მოიცათ, ვის ურეკავთ არ იცით, კვლევის დამკვეთი, თქვენივე  სიტყვებით, არ არსებობს. რანაირი კვლევაა?

- უბრალოდ სტატისტიკისთვის ვადგენთ რამდენს უთამაშია ონლაინ თამაში. გითამაშიათ თუ არა ოდესმე ონლაინ თამაშები და მეტი არაფერი?

- სოფო, თავს შევიკავებ კითხვაზე პასუხისგან და დაგემშვიდობებით, ხო მაქვს უფლება? (სოფომ ოფლი შეიწმინდა)

- დიახ, რა თქმ....

აქ ზარი გავთიშე, რადგან სოფოს პასუხი ისევე გვაინტერესებს, როგორც ლაპლანდიაში ადამიანის უფლებების მხრივ მდგომარეობა.

დიდი ხანია ბლოგისთვის ვერ მოვიცალე და მადლობა სოფოს და კვლევით კომპანია "ისეტს" შთაგონებისთვის.

მორალი:

უპონტობის პონტად ქცევას ჩალიჩი ეწოდება. © ხალხური

როგორ გავხდეთ ინტერნეტ-თაღლითობის მსხვერპლი?

 

ცოტა უცნაური სათაურია სტატიისთვის, თუმცა ყველა გვასწავლის თუ როგორ არ უნდა გავხდეთ კიბერდამნაშავის მსხვერპლი და მე მგონია, რომ თუ გვეცოდინება როგორ უნდა გავხდეთ მსხვერპლი, უფრო გაგვიადვილდება თავის დაცვა ინტერნეტში.

წესი #1: თუ გინდათ გახდეთ ინტერნეტ-თაღლითობის მსხვერპლი, ადვილად უნდა გიპოვონ ინტერნეტში და ამიტომ სოც. ქსელებში აუცილებლად მიუთითეთ რაც შეიძლება მეტი ინფორმაცია თქვენს შესახებ: ტელეფონის ნომერი, სად მუშაობთ (მუშაობდით), რა პოზიციაზე მუშაობთ, ვისთან იმყოფებით ქორწინებაში, ვინ არიან თქვენი მეგობრები, რა ჰობი გაქვთ... და ეს ყველაფერი გახადეთ საჯარო ანუ არასდროს არც კი შეიხედოთ თქვენი Account-ის პროფილის პარამეტრებში, კერძოდ, Privacy and Security-ში.

წესი #2: მობილური ტელეფონის ძირითადი ნომერი, რომლითაც ხართ დარეგისტრირებული სხვადასხვა მესენჯერებში, სოც. ქსელებში, ფინანსურ ინსტიტუტებში და ა.შ. გქონდეთ საჯაროდ ხელმისაწვდომი რაც შეიძლება მეტ ადგილას.

წესი #3: წინა 2 წესის დაცვისას აუცილებლად ან მოიგებთ ლატარეაში დიდ თანხას და მის ასაღებად მცირე გადარიცხვას მოგთხოვენ საბანკო ანგარიშის "იდენტიფიკაციისთვის", ან მეგობარს სასწრაფოდ დაჭირდება თანხა და ჩარიცხვას გთხოვთ, ან ლაშას მამა გარდაიცვლება და თანხა გაგიხდებათ დასადები, ან სადამდეც ინტერნეტ-თაღლითის ფანტაზია და კვალიფიკაცია გაწვდება, ის ქმედება გექნებათ შესასრულებელი...

მეტი წესი აღარ გვინდა, მოდით ერთ პრაქტიკულ მაგალითს მოგიყვებით ჩემი გამოცდილებიდან. თუ ოდესმე შესულხართ, mymarket.ge-ზე, პირველი რასაც შეხვდებით, შემდეგი Popup ბანერია:

  დამაინტერესა, თუ რით თევზაობენ ინტერნეტ-თაღლითები mymarket-ზე და გადავწყვიტე მეც მეცადა ბედი. განვათავსე განცხადება და განცხადების განთავსებიდან სადღაც 2-3 კვირაში WhatsApp-ში მეწვია კლიენტი ყაზახეთიდან. უფრო სწორად ყაზახეთის ნომრიანი "ბათუმში მცხოვრები" ინტერნეტ-თაღლითი. მოკლედ რომ აღვწერო, დიალოგი მიმდინარეობდა შემდეგნაირად: "გამარჯობათ, მე გაწუხებთ თქვენი განცხადების თაობაზე, ხომ არ გაგიყიდიათ? შეგიძლიათ სხვა ქალაქში გამოაგზავნოთ ჩემი ხარჯებით?" რა თქმა უნდა დავთანხმდი. მცირე ბლა ბლას შემდეგ, შემდეგი ეტაპია, როდესაც თანხა "გადაიხადა" და გვეკითხება ჩაგვერიცხა თუ არა თანხა (სად ჩაგვერიცხა? როგორ ჩაგვირიცხა? 😂) რა თქმა უნდა, არაფერი ჩაგვირიცხა და შესაბამისად ჩვენც ამას ვეუბნებით, რაზეც პასუხად ინტერნეტ-თაღლითი გვიგზავნის ბმულს, ჩემს შემთხვევაში ეს იყო:

https://mymarket.paysq[.dot]online/......... (შეგნებულად არ მომყავს ფიშინგური ბმული)

მოცემულ ბმულში მეორე დონის დომენი არის paysq[.dot]online, რომელსაც აკონტროლებს ინტერნეტ-თაღლითი და რომელზეც მას აქვს განთავსებული ფიშინგური ბმული. ბმულზე გადასვლის შემდეგ ხედავთ:

რა თქმა უნდა ყურადღებიანი თვალი ბევრ გრამატიკულ შეცდომას დაინახავს და ეჭვს შეიტანს ინტერნეტ-თაღლითის სიტყვებში, რომელიც გვთავაზობს დავაჭიროთ ღილაკს "მიიღეთ თანხები"-ს და შევიყვანოთ იმ ბარათის მონაცემები, რომელზეც გვინდა, რომ თანხა ჩაგვერიცხოს (საინტერესოა, აქამდე გვეუბნებოდა, რომ ჩაგვირიცხა თანხა, ეხლა კი ჩვენ უნდა ჩავირიცხოთ 😂). დაიმახსოვრეთ, ყოველთვის, როდესაც თქვენი ბარათის მონაცემები შეგყავთ სადმე, ამ ქმედებით თქვენი ბარათის ანგარიშიდან თანხების გაცემას აავტორიზირებთ. თუ არ ენდობით რესურსს, არ შეიყვანოთ არავითარი ფინანსური ინფორმაცია, გადაამოწმეთ უფრო გამოცდილ ადამიანებთან (იმის გამო მაინც, რომ მერე მათ გამოცდილებას დააბრალოთ😁). მოდით, დავაჭიროთ ღილაკს "მიიღეთ თანხები"-ს და გადავიდეთ საკმაოდ ნიჭიერად გაკეთებულ ონლაინ გადახდის ფორმაზე:

თქვენი ბარათის მონაცემების შევსებისას წარმატებით შეუერთდებით ინტერნეტ-თაღლითებისგან დაზარალებულთა არმიას, რადგან თქვენი პლასტიკური ბარათის მონაცემები უკვე ინტერნეტ-თაღლითის ხელთ აღმოჩნდება.

მორალი:

"ვერ დაიჭირავ ჩარიცხვას, თუ ვინმემ არ ჩაგირიცხა" - შოთა არარუსთაველი

PS. უფრო თვალნათლივ, რომ დაინახოთ თუ რა მოგივათ ბარათის მონაცემების შეყვანისას, წარმოიდგინეთ ამერიკის ბანკის ბოსტონის ფილიალის მეანაბრის მდგომარეობა შემდეგი 1-წუთიანი ვიდეოდან.

MS Edge 98 ვერსია ანუ საბოლოოდ ნახვამდის TLS 1.0 და 1.1

სტატია განკუთვნილია IT პროფესიონალებისთვის, რომლებიც გადააწყდნენ პრობლემებს Chromium Based ბრაუზერებით TLS 1.0 და 1.1 პროტოკოლებით დაცული ვებსაიტების (ვებსერვერების, ვებაპლიკაციების) მიკითხვისას, მას შემდეგ რაც Chromium-Based ბრაუზერები განახლდა 98 ვერსიაზე.

როგორც მოგეხსენებათ, მათ შორის ჩემი წინა სტატიიდან Microsoft Edge, როგორც ინტერნეტ-ბრაუზერების ზოოპარკის დასასრულის დასაწყისი, Chromium-ი ყველაზე პოპულარული ინტერნეტ-ბრაუზერია, რომელსაც როგორც ბაზას იყენებს Google Chrome, Microsoft Edge და სხვები.

Chromium-მა 79 ვერსიაში TLS პროტოკოლის 1.0 და 1.1 ვერსიები განსაზღვრა, როგორც დაუცველი და TLS 1.0 და 1.1-ით დაცული საიტების მიკითხვისას ვხედავდით წარწერას Not Secure.

84 ვერსიაში თუ საიტი არ იყო დაცული TLS 1.2-ით, ასეთი საიტების მიკითხვისას მთელ გვერდზე ჩანდა გაფრთხილება ვებგვერდის დაუცველობის შესახებ, თუმცა ძველი TLS 1.0 და 1.1 ვერსიების პროტოკოლის მხარდაჭერის ჩართვა შესაძლებელი იყო IT ადმინისტრატორების მიერ 97 ვერსიის ჩათვლით.

ყველაფერი შეიცვალა 98 ვერსიაში, რომელშიც პრინციპულად შეუძლებელია TLS 1.0 და 1.1-ით დაცულ საიტებთან კავშირის დამყარება. მაგ: https://tls-v1-0.badssl.com:1010/ ან https://tls-v1-1.badssl.com:1011/

მოგეხსენებათ, ხშირად ორგანიზაციები იყენებენ მემკვიდრეობით მიღებულ ე.წ. legacy-პროგრამულ უზრუნველყოფას, რომელზეც ჩამოკიდებულია სერიოზული ბიზნეს-პროცესები. TLS 1.0 და 1.1-ით დაცულ ვებსაიტებზე მიკითხვა შესაძლებელია ძველი ნაცნობი Internet Explorer-ით, რაც შეიძლება განვიხილოთ დროებით გამოსავლად, რადგან Microsoft-ი აპირებს ამ ბრაუზერის გაქრობას Windows 10/11 ოპერაციულ სისტემებიდან ამა წლის 15 ივნისიდან. ვინერვიულოთ?

არა, არ უნდა ვინერვიულოთ. Microsoft Edge-ს აქვს ჩაშენებული IE Mode, რომლის საშუალებით შეგვიძლია კონკრეტული საიტების სია გავწეროთ ბრაუზერში, რომ ამ საიტზე მიკითხვისას Microsoft Edge-ში გააქტიურდება არა ბრაუზერის ძრავი Blink-ი (Chromium), არამედ ბრაუზერის ძრავი Trident, რომელზეც დაფუძნებულია Internet Explorer-ი. ამ რეჟიმის გააქტიურებისას Microsoft Edge-ს Address Bar-თან გამოჩნდება ნაცნობი Internet Explorer-ის ლოგო:

საიტების სია, რომლებიც უნდა ჩაიტვირთოს IE Mode-ში შესაძლებელია ჩამატებულ იქნეს Edge-ის Address Bar-ში შემდეგ მისამართზე გადასვლით: edge://settings/defaultBrowser და Allow sites to be reloaded in Internet Explorer mode სიაში კონკრეტული URL-ების ჩამატებით.

იმისათვის, რომ ადვილად შეძლოთ Microsoft Edge-ზე გადასვლა, შეგიძლიათ იხელმძღვანელოთ Proven tools to accelerate your move to Microsoft Edge ბმულზე გადასვლით.

მადლობა ვის? Microsoft Edge-ს და IE Mode-ს 🙂

და ბოლოს, ტრადიციული სიბრძნე:

ერთი ბრაუზერის პრინციპი ჩვენი ყველაფერია! Ⓒ არალუციუს ანეუს სენეკა

ინვესტიცია NASDAQ-სა და NYSE-ზე განთავსებულ საჯარო კომპანიების აქციებში ანუ გამდიდრების ისტორიული შანსი საქართველოს მოქალაქეებისთვის

 

შესაძლოა, სათაური ხმამაღლა ჟღერდეს, მაგრამ ნამდვილად ასე მგონია, რომ 2021 წლის 6 დეკემბერს საქართველოს მოქალაქეებმა მიიღეს გამდიდრების ისტორიული შანსი. ზოგადად, ქვეყნის მოსახლეობის სიღარიბის მთავარ მიზეზად 21-ე საუკუნეში მიმაჩნია წვდომის უქონლობა ფინანსურ ინსტრუმენტებთან, რომელთა საშუალებით ადამიანს შეუძლია ფული დააბანდოს მსოფლიოს მოწინავე საჯარო კომპანიებში (Public Companies). მარტივად, რომ ვთქვათ, ვინმე რაჟდენ სეფერთელაძეს, რომელიც ცხოვრობს პირობითად ჩოხატაურში, საქართველოს ბანკის კლიენტია, აქვს იაფფასიანი სმარტფონი და ამ სმარტფონში დაინსტალირებული აქვს საქართველოს ბანკის მობაილ ბანკის აპლიკაცია, გაუჩნდა შანსი გახდეს ისეთი კომპანიის თანამეწილე, როგორიცაა, მაგალითად, Microsoft Corporation-ი. ეხლა კი შევეცდები მარტივი ქართულით ავხსნა, თუ რატომ არის რაჟდენისთვის ისტორიული შანსი 2021 წლის 6 დეკემბერს მომხდარი მოვლენა.

დავიწყებ პირადი ისტორიით. 24 წლის ასაკში, როდესაც წავიკითხე თეოდორ დრაიზერის "სურვილის ტრილოგია", რომელიც შედგება 3 ნოველისგან: "ფინანსისტი", "ტიტანი", "სტოიკი", სადაც მოთხრობილია მთავარი გმირის ფინანსისტ ფრენკ ალჯერნონ კაუპერვუდის ცხოვრების ისტორია, რომლის პროტოტიპიცაა ჩარლზ ტაისონ იერქსი (Charles Tyson Yerkes) - ამერიკელი ფინანსისტი, რომელმაც თავის მხრივ, დიდი როლი ითამაშა ჩიკაგოსა და ლონდონში საზოგადოებრივი ტრანსპორტის განვითარებაში... და აი ამ გმირის, კაუპერვუდის წყალობით დავინტერესდი ფინანსებით და მომცა ბიძგი, რომ გავრკვეულიყავი საფონდო ბირჟის არსში, ფინანსურ ინსტრუმენტებში და ა.შ. ვისაც კითხვა არ გიყვართ და ფინანსების თემაზე უფრო თანამედროვე რაიმე სერიალი გაინტერესებთ, გირჩევთ Showtime-ის "მილიარდებს" (Billions), სადაც საკმაოდ ნიჭიერადაა ნაჩვენები თანამედროვე აშშ-ს ფინანსური და პოლიტიკური ცხოვრება. მთელს სერიალს გენერალურ ხაზად დაყვება მილიარდერი რობერტ აქსელროდისა და პროკურორ ჩაკ როადსის დაპირისპირება. სადღაც სხვაგან წავედი... მე ხომ ერთი ჩვეულებრივი აიტიშნიკი ვარ და 2019 წლის იანვარში, როდესაც მე, ჩვეულებრივი აიტიშნიკი, ვუყურებდი CES-2019-ზე (Consumer Electronics Show) AMD-ს CEO-ს დოქტორ ლიზა სუს (სუსი არაფერ შუაშია 😀)  გამოსვლას, რომელიც აღვიქვი Intel-ის ნახევრადგამტარების ბიზნესში ლიდერობის ხანგრძლივი ეპოქის დასრულებად. დავინახე შესაძლებლობა, რომ გამომეყენებინა შანსი და შევმხტარიყავი AMD-ს სწრაფად წინ მიმავალ ფინანსურ ელმავალზე ანუ უნდა მეყიდა AMD-ს აქციები. 2019-წლის იანვრისთვის AMD-ს აქცია 19$-ის ფარგლებში ივაჭრებოდა და ერთადერთი ჩემთვის ცნობილი საშუალება (მადლობა ინფორმაციისთვის ჩემს კოლეგას ხაზინის დეპარტამენტის უფროსს) რომ შემეძინა აქციები, იყო Galt & Taggart - ში საბროკერო ანგარიშის გახსნა (მინიმალური დეპოზიტი 1000$ იყო)... რა თქმა უნდა, ეს თანხა ხელთ არ მქონდა... ცნობისათვის დღეს AMD-ს აქციები 150$-ის ფარგლებში ივაჭრება, ანუ 1000$-ის დაბანდებისას დღეს 7000$-ი იქნებოდა.

ეხლა რა ხდება 2021 წლის 6 დეკემბრიდან, თუ რაჟდენ სეფერთელაძესავით ხარ საქართველოს ბანკის კლიენტი და გაქვს შენს სმარტფონში მობაილ ბანკის აპლიკაცია, პირდაპირ აპლიკაციაშივე არეგისტრირებ საინვესტიციო ანგარიშს (რაც 6 დეკემბერსვე გავაკეთე), შემდეგ მოგდის email-ზე დასტური, რომ ანგარიში შეიქმნა, შეგიძლია საქართველოს ბანკის ანგარიშიდან შეიტანო თანხა (მხოლოდ აშშ დოლარი) საინვესტიციო ანგარიშზე და დაიწყო აქციებში ინვესტირება...

ეხლა ერთი მომენტი. რა განსხვავებაა ინვესტირებას და ბროკერობას კაპიტალის განიავებას შორის. ინვესტორს და ბროკერს შორის გასხვავება არის ვაჭრობის ოპერაციების სიხშირეში. ინვესტორი აწონ/დაწონის დააბანდებს თანხას კომპანიაში (აქციების შეძენით) და 1, 3, 5 ან X წლის შემდეგ დაითვლის ამონაგებს (ძალიან პრიმიტიულად, კომპანიის კვარტალურ ამონაგებს უნდა ადევნო თვალი, მუდამ ამ კომპანიაზე და მის კონკურენტებზე სიახლეებს უნდა ეცნობოდე...). დამოუკიდებელი ბროკერი (ჟღერს დედისერთა ფაშისტივით) სავაჭრო პლატფორმაზე ვაჭრობის საათებში იყიდის/გაყიდის ბევრჯერ სხვადასხვა ფინანსურ ინსტრუმენტებს მანამ, სანამ არ დაუმთავრდება ანგარიშზე თანხა. უფრო მარტივად: ინვესტორი, რომ გეიმერი იყოს, სტრატეგიებს ითამაშებდა ისეთს, როგორიცაა Sid Meier's Civilization და 72 სთ-ს თამაშის (არაგადაბმულად) შემდეგ გახდებოდა ძლიერი იმპერიის მმართველი. დედისერთა ბროკერი რომ გეიმერი იყოს, ითამაშებდა შუტერს და ძალიან მალევე მოკლავდნენ (თამაშში) 😆 მოკლედ, იმის თქმა მინდა, რომ დაანებეთ ფორექსებს და ათას სისულელეებს თავი. სწრაფად გამდიდრება არ ხდება. ეს არის ხანგრძლივი პროცესი. როგორც ხე არ იზრდება 24 საათში, ასევე ვერავინ ვერ გამდიდრდება 24 სთ-ში. ვისაც სასწაულების გჯერათ, კეთილი იყოს თქვენი მობრძანება მეუფე ნიკოლოზის იუთუბ არხზე 😇.

ეხლა მოვიხმოთ არითმეტიკა. ინვესტირება 1$-დან არ დაიჯეროთ, ეს უნიჭო პიარშიკების უნიჭო ხრიკებია. კარგ პროდუქტს აფუჭებთ პოტენციური მომხმარებლების თვალში ამ პროდუქტის პიარშიკებო! რა გზავნილს აძლევთ ბომჟ-ინვესტორებს, ვისთვისაც განკუთვნილია ეს პროდუქტი? ატყუებთ? ტყუილზე დაფუძნებული პიარი ხომ უნიჭობაა?! ამ შესანიშნავი პროდუქტის პიარშიკებს ბომჟ-ინვესტორებმა თითი დავუქნიეთ მივაჯვით და შეგვიძლია გავაგრძელოთ: ერთეული ან ათეული დოლარებით ინვესტირებას აზრი არ აქვს მიუხედავად იმისა, რომ საუბარი ე.წ. წილადობრივ აქციებზეა. მოდით დავითვალოთ: 

• საინვესტიციო ანგარიშის გახსნის, მასზე თანხის შეტანის ან გამოტანის საკომისიო არის 0$ - ეს არის დიდი პლიუსი.
• ოპერაციის ჩატარება ანუ აქციების ყიდვა/გაყიდვა 0.02% (დოკუმენტში არასწორად უწერიათ 0.02$ - იხილეთ სტატიის ბოლოს PPPS.) მინიმუმ 1$ - რაც ადამიანურ ენაზე ნიშნავს, რომ 5000$ და ნაკლები თანხით ოპერაციის ჩატარებისას საკომისიო არის 1$, ხოლო 5000$-ზე მეტ თანხაზე 0.02% (2 მეათიათასედი) ანუ 10000$ ოპერაციის ჩატარებისას საკომისიო 2$ იქნება. აბა ინვესტირება 1$-დანო? ისევ დავუქნიოთ თითი მივაჯვათ პროდუქტის პიარშიკებს!
• ასევე საინვესტიციო ანგარიშის ყოველთვიური მხარდაჭერის საკომისიო (Account monthly maintenance fee) არის 0.01% (ერთი მეათიათასედი) - მინიმუმ 2$. რაც ნიშნავს, რომ 10000$-დე თანხაზე იქნება ყოველთვიურად 2$, ხოლო 10000$-ზე უფრო მაღალ თანხაზე იქნება 0.01% (ერთი მეათიათასედი). აბა ინვესტირება 1$-დანო? ისევ დავუქნიოთ თითი მივაჯვათ პროდუქტის პიარშიკებს! 

გამოდის, რომ რაჟდენ სეფერთელაძემ 100$-ით NASDAQ: GOOGL -ის წილადი აქციები, რომ შეიძინოს (შარშანდელი აქციების ზრდა Alphabet Inc Class A აქციებს ქონდათ თითქმის 70%)

 და ელოდებოდეს წლის ბოლოსთვის 50%-იან ზრდას ანუ 100$ წლის ბოლოს 150$-ი გახდება (რა თქმა უნდა ეს ინფორმაცია რაჟდენს კი არა, სერგეი ბრინსაც არ აქვს, მაგრამ დავუშვათ) და ამ 150$-დან 24$ (2$ x 12 თვეზე) ყოველთვიური ანგარიშის მხარდაჭერის საკომისიო ექნება გადასახდელი და 1$ Alphabet Inc Class A ფასიანი ქაღალდების ყიდვისას საკომისიოც გადაიხადა. გამოდის, რომ რაჟდენს 100 დოლარის ინვესტირებისას 25$  საკომისიო ექნება გადასახდელი ანუ 125 დოლარი ჩასადები და თუ წლის ბოლოსთვის რაჟდენის პროგნოზი გამართლდა და აქციების ღირებულებამ 50%-ით მოიმატა, მას დარჩება 150$-125$ (წლის ბოლოს დაბანდებულ გაზრდილ თანხას მინუს ინვესტირებული თანხა (100$) და საკომისიოები (25$)). ეს მაგალითი გვეუბნება, რომ რაჟდენის ქონება წლის ბოლოსთვის გაიზარდა (150-125)/125 = 20%-ით. ვხედავთ, რომ ასეული დოლარის თანხების დაბანდებაც საკმაოდ სარისკოა. სადღაც, 300$-დან და უფრო უკეთესი 500$-დან ინვესტირება უკვე ინვესტირებას გავს. პლიუსები ის არის, რომ მყარ ვალუტაში ახდენთ თანხის ინვესტირებას და ამონაგებიც მყარ ვალუტაშია. მოკლედ, ინვესტირება არ არის აბსოლუტური ციფრების შესახებ, არამედ არის პროცენტული მაჩვენებლების შესახებ. მოთმინება და მომავლის ხედვა ეს არის ის, რაც გმართებთ ინვესტირებისას (არითმეტიკაზე აღარ ვსაუბრობ). და დაიმახსოვრეთ, თქვენ აძლევთ კომპანიას კაპიტალს, რომ მან აწარმოოს პროდუქტი/მომსახურება, შექმნას დოვლათი, მიიღოს მოგება და შედეგად თქვენი დაბანდებული თანხა გაიზრდება ღირებულებაში. არსაიდან დოლარები არ ჩნდება (ფედერალური რეზერვის გამოკლებით 😉) ეს უნდა გესმოდეთ. ინვესტირება შეგიძლიათ მხოლოდ Nasdaq-სა და NYSE საფონდო ბირჟაზე განთავსებულ კომპანიებში. დამერწმუნეთ იქ თითქმის ყველა წამყვანი კომპანიაა, რომლების შესახებ ოდესმე რაიმე გსმენიათ.

წარმატებებს გისურვებთ გამდიდრებაში!

PS. პიარშიკებს კიდევ ტყუილად ვუქნევდით თითებს ვაჯვამდით ბომჟ-ინვესტორები. მათ დასახულ მიზანს მიაღწიეს - ჩვენ დავინტერესდით მათი პროდუქტით (და კიდევ მაინტერესებს აქამდე თუ წაიკითხავენ და იუმორის გრძნობა თუ აქვთ ნიჭიერ პიარშიკებს).

PPS. აქ წესით მადლობებს ვუხდით ყველას, ვინც 2021 წლის 6 დეკემბრის მოვლენის ახდენაში მიიღო მონაწილეობა და თუ გაინტერესებთ სად ინახავს რაჟდენ სეფერთელაძე საკუთარ სენსიტიურ ფაილებს, წაიკითხეთ ამ ბმულზე განთავსებულ ვიდეოს ქვეშ ჩემი კომენტარი😉

PPPS. ინფორმაციის დაზუსტების მიზნით, მივმართე ოფიციალურ Facebook-გვერდს და აღმოჩნდა, რომ მე ვერ გავიგე სწორად  0.02$-თან დაკავშირებით პროცენტი რომ მეგონა 0.02$-ია მართლაც. საქართველოს ბანკის საინვესტიციო პლატფორმაზე მხოლოდ 2 საკომისიოა:

1. ყიდვა/გაყიდვის საკომისიო - მინიმუმ $1.0  განხორციელებულ ტრანზაქციაზე (ან ყოველ გაყიდულ/ნაყიდ აქციაზე $0.02). თუ თქვენ მიერ შეძენილი/გაყიდული აქციების რაოდენობა 50-ზე ნაკლებია, მაშინ ყოველ განხორციელებულ ტრანზაქციაზე საკომისიო $1.0-ია, ხოლო თუ თქვენ მიერ შეძენილი/გაყიდული აქციების რაოდენობა აღემატება 50-ს, მაშინ ტრანზაქციის საკომისიო გამოითვლება შემდეგი ფორმულით: აქციების რაოდენობა * $0.02. მაგალითად თუ თქვენ იყიდით 55 ცალ აქციაზე, ამ ტრანქაქციაზე საკომისიო შეადგენს 55*$0.02=$ 1.1.  
2. ყოველთვიური მომსახურების საკომისიო - მინიმუმ $2.0 თვეში (ან პორტფელის ღირებულების 0.01%). თუ თქვენი პორთფელის ღირებულება ნაკლებია $ 20,000-ზე, მაშინ ყოველთვიური მომსახურების საკომისიო შეადგენს $2.0-ს, ხოლო თუ თქვენ საინვესტიციო ანგარიშზე პორტფელის ღირებულება აღემატება $20,000-ს მაშინ ყოველთვიური საკომისიო გამოითვლება შემდეგი ფორმულით: თქვენი პორტფელის ღირებულება * 0.01%. მაგალითად თუ თქვენი პორტფელის ღირებულება შეადგენს $25,000-ს, თქვენი ყოველთვიური საკომისიო იქნება $25,000*0.01%= $2.5

ასევე გაეცანით ბმულს.

დათვური სამსახური ანუ თხზულება იმის შესახებ, რომ Microsoft-ის default კონფიგურაციებით მუშაობა, როგორც წესი, არ ვარგა

 დღეს მსურს შემოგთავაზოთ მოკლე პოსტი იმის შესახებ, თუ რამდენად მიაჩვია Microsoft-მა მომხმარებლები, რომ Default-კონფიგურაციით დაინსტალირებული Microsoft-ის ოპერაციული სისტემები, სერვისები, ყველაფერი... რაღაცნაირად და მუშაობს. ხოდა სწორედაც რომ ეს "რაღაცნაირად" მუშაობა არ ვარგა. უნდა გავერკვეთ სერვისში და დავაკონფიგურიროთ ისე, რომ სწორად იმუშაოს. არ აქვს მნიშვნელობა თუ რომელ ოპერაციულ სისტემას იყენებ. ყველაზე დაცული არის ის სისტემა, რომელიც იცი თუ როგორ უნდა დაიცვა.

ეხლა კი განვიხილოთ კონკრეტული 2 მაგალითი, როდესაც Microsoft-ის მიერ Default-ად შემოთავაზებული გზით ბრმად სიარული, იწვევს ისეთი მითების გავრცელებას, როგორიცაა "Windows-ი დაუცველი სისტემაა, ძმა, ლინუქსი დააყენე". 

პირველი მაგალითი ეხება ყველას, ვისაც ოდესმე Windows-ოპერაციული სისტემა დაუინსტალირებია. როდესაც აინსტალირებთ Windows-სისტემას, პირველ მომხმარებელს აქვს პრივილეგირებული უფლებები (Administrators ჯგუფშია). ამ მომხმარებელს შეუძლია მაუსზე ორი კლიკის დაჭერით დააინსტალიროს არა მხოლოდ ჩვეულებრივი და ანტივირუსული, არამედ ვირუსული (😎) პროგრამული უზრუნველყოფაც 😉. მართალია, Windows Vista-ში და შემდგომ Microsoft-ის ოპერაციულ სისტემებში არის ისეთი დაცვის მექანიზმი, როგორიცაა User Account Control შემოკლებთ - UAC, რომლის მეშვეობით პროცესები ეშვება Users-ჯგუფის შესაბამისი უფლებებით, იმ შემთხვევაშიც კი, თუ მომხმარებელი Administrators ლოკალური ჯგუფის წევრია - ძალიან რომ გავამარტივოთ, ასეა. მექანიზმი გულისხმობს შემდეგს: Local Security Authority (LSA) სერვისი ქმნის პრივილეგირებული მომხმარებლისთვის ორ logon-სესიას სხვადასხვა წვდომის token-ით. პირველი Token-ი ასახავს მომხმარებლის ყველა ჯგუფის წევრობის პრივილეგიებს, ხოლო მეორე Token-ი ფილტრავს მომხმარებლის პრივილეგირებული ჯგუფების წევრობას და მომხმარებელი სტანდარტული User-ის მსგავი უფლებებითაა (მოკითხვა ყველას ვინც UAC-ს თიშავთ და XP-ის დროინდელ Security-ში ცხოვრობთ ✌). თუ საჭიროა პროცესის დასტარტვა მომხმარებლის სრული უფლებების Token-ით, საჭიროა UAC Elevation-ი, რომელსაც Application Information (Appinfo) სერვისი განაგებს. აქვე ვახსენებ ამ უსაფრთხოების მექანიზმიდან ერთ გამონაკლისს: UAC მექანიზმი არ ეხება builtin administrator მომხმარებელს (რომელიც default-ად Disabled არის ანუ ზოგჯერ Microsoft-ის Default კონფიგურაციაც არ ნიშნავს ცუდს 😉), builtin administrator-ის logon-სესიას მხოლოდ ერთი Token-ი აქვს და ყველა პროცესი უმაღლესი პრივილეგიებით ეშვება (ხსენებაში არ იყო SU-777-DO და RO-777-OT სახელმწიფო სერიის ნომრები, როცა ჩემი "შესტით" SID-500 ნომრით დავდიოდი და არავინ იყო ჩემი გამჩერებელი 😎🤣). ე.ი. Windows-ადმინებისთვის Runas Administrator არის დაახლოებით იგივე, რაც ლინუქსის ადმინებისთვის sudo. 

საუბარი იქითკენ მიმყავს, რომ როდესაც Windows-ის ინსტალაციისას გააკეთებთ პირველ logon-ს პირველ ექაუნთში, შექმენით იქვე სტანდარტული მომხმარებელი და ამის შემდგომ სტანდარტული მოხმარებლიდან იმუშავეთ, ხოლო როდესაც დაგჭირდებათ ადმინის პრივილეგიებით პროცესის დასტარტვა, runas administrator და მიუთითეთ პირველად შექმნილი (member of local Administrators Group) მომხმარებლის Credentials-ი. ამ მარტივი წესის დაცვით 80% უბედურებას აიცილებთ თავიდან (პარეტოს პრინციპი).

ეხლა მაგალითი მეორე, რომელიც Domain Administrator-ებს დააინტერესებთ. ნოემბერში Microsoft-მა გამოუშვა უსაფრთხოების პატჩები CVE-2021-42287 და CVE-2021-42278 მოწყვლადობების დასახურად. ვისაც არ უყვარს ბევრი კითხვა და მზა რეცეპტებს ჯერდება: მთავარი არსი მდგომარეობს იმაში, რომ ამ ორი მოწყვლადობის კომბინირებით ჩვეულებრივ მომხმარებელს აქვს შესაძლებლობა "გავიდეს დამკაში" ანუ მოიპოვოს Domain-ზე სრული პრივილეგიები (impersonation of domain controller). ეს რომ არ მოხდეს, ADUC კონსოლში (dsa.msc) დომენის Properties-ში გადადიხართ Atribute Editor-ზე, ეძებთ ms-DS-MachineAccountQuota-ს და Microsoft-ის დეფოლტად მითითებული 10-იანის მაგივრად წერთ 0-ს ან/და აინსტალირებთ ყველა domain controller-ზე ნოემბრის უსაფრთხოების პატჩებს (KB5008102 და KB5008380).

ეხლა კი ოდნავ ვრცლად და წყაროების მითითებით:

ამა წლის 10 დეკემბერს კიბერუსაფრთხოების ენთუზიასტმა ჩარლი კლარკმა გამოაქვეყნა CVE-2021-42287 და CVE-2021-42278 მოწყვლადობების გამოყენების შესახებ კვლევა, რომლის თანახმად არაპრივილეგირებული მომხმარებლით მიიღო სრული წვდომა მთელ დომენზე.

CVE-2021-42278

მოგეხსენებათ, რომ Active Directory-ს სქემაში User-ის და Computer-ის sAMAccountName ატრიბუტი იმით განსხვავდება, რომ კომპიუტერის ატრიბუტი შეიცავს ბოლოში $-ის სიმბოლოს (Group Managed Service Account-ს დავანებოთ ამჯერად თავი 😉). ნოებრის პატჩამდე არ არსებობდა sAMAccountName ატრიბუტის შემოწმების არანაირი მექანიზმი იმისა, იყო თუ არა ბოლოში $-ის ნიშანი და default კონფიგურაციის თანახმად რიგით Domain User-ს აქვს პრივილეგია შეცვალოს 10 კომპიუტერის (ms-DS-MachineAccountQuota =10) ატრიბუტი და როგორც ამ მანქანების Owner-ს, შეუძლია ასევე sAMAccountName ატრიბუტის ცვლილებაც.

CVE-2021-42287

დომეინში Kerberos პროტოკოლით აუტნტიფიკაციისას, Key Distribution Center (KDC) სერვისიდან, რომელიც Domain Controller-ზეა, ხდება Ticket-Granting-Ticket (TGT) და შემდგომ Ticket-Granting-Service (TGS)-ის გამოთხოვა.

მაგალითად, თუ დომეინ კონტროლერის SAM account name-ია DC1$, CVE-2021-42278-ის თანახმად, Domain User-ს შეუძლია შექმნას ახალი machine account-ი და შემდეგ შეუცვალოს მას SAM account name-ი DC1-ზე ($ სიმბოლოს გარეშე ბოლოში). მოითხოვოს DC1-ით TGT, შემდეგ გადაარქვას სახელი machine account-ს და გამოითხოვოს TGS-ი, უკვე ხელთ არსებული TGT-თ.

TGS-ის გამოთხოვისას KDC სერვისი განახორციელებს DC1-ის ძებნას დომეინში და როდესაც ვერ იპოვის (რადგან გადავარქვით TGT-ის მიღების შემდეგ სახელი), განახორციელებს ხელახალ ძებნას, ოღონდ ბოლოში $ სიმბოლოს დამატებით ანუ DC1$-ით. რადგან ამ სახელით არსებობს დომეინ კონტროლერი, KDC-ი გასცემს TGS-ს DC1$-ის ანუ დომეინ კონტროლერის პრივილეგიებით. ამგვარად, ზემოთხსენებული მოწყვლადობების გამოყენებით რეგულარული Domain User-ით შესაძლებელია Domain Admin-ის პრივილეგიების მიღება. 

პრაქტიკა ვისაც აინტერესებს, დაიჭით სტატია ჰაბრზე, 

მორალი:

თუ არა გინდა, რომ დაგიძახონ:

"ბანძი ადმინი - შტერიძე გია",

მიეც დომეინში შენს მომხმარებლებს

ბევრად ნაკლები პრივილეგია!

Ⓒ - ჯუზეპე ადმინი