четверг, 26 мая 2022 г.

Advanced Persistent Threat - это про искусство нападения и защиты

Buzzword из трех слов Advanced Persistent Threat уже лет десять мучает индустрию своим разным прочтением разными экспертами.
Для меня три буквы APT обозначают набор техник, которыми меня или мою организацию будут ломать. Для хакеров это набор каких-то утилит, каких-то алгоритмов, каких-то тактик их применения и также уровень экспертизы людей, которые будут эти утилиты и техники и тактики применять. Существует целые группировки таких людей, которые пользуются определенным набором утилит и схем нападения. И именно по этим двум факторам и различают группировки: какие утилиты и техники и как они используют. Мы понимаем, что невозможно знать все утилиты в мире и все техники атак в мире и все ИТ приложения в мире. Именно поэтому APT группировки часто специализируются только на определенной индустрии: кто-то хорошо ломает финансовые учреждения, кто-то промышленные, кто-то медицинские или государственные. Связано это с тем, что в каждой из индустрий нужно серьезно разбираться в деталях ее работы.


Серьезным подходом к классификации техник и тактик хакеров стало появление базы MITRE ATT&CK. Это самая успешная попытка записать в единую базу все известные техники и тактики хакеров. MITRE также классифицировали этапы их работы, которые также в литературе называют kill chain или cyber-attack lifecycle: подготовка утилит и ресурсов, проникновение, закрепление в сети, горизонтальное перемещение и эксплуатацию найденных критичных данных и ресурсов. И сегодня именно на основе этой базы знаний мы все делаем выборку конкретных техник и тактик хакеров конкретной APT группировки. Существует еще термин кампания (вторая буква именно а) - по сути это проект, когда хакеры подготавливают определенный набор инструментов (например, поддельных сайтов) фокусируются на определенные типы компаний (например, на финансовые) и занимаются применением своих знаний и утилит против этой группы компаний. Обычно каждая компания заканчивается выводом денег, как это сделал Cobalt и Lazarus c банками, кражей или уничтожением данных, как это было в Росавиации или даже остановкой предприятий, как это было с Rutube. На слуху чаще всего атаки вымогателей, когда компании хакеры шифруют все данные и просят выкуп как это было с компанией Garmin, которая заплатила 10 миллионов долларов за то, чтобы получить доступ к своим же данным, или норвежской компанией Norsk Hydro, которая отказалась платить и потратила 25 миллионов долларов на восстановление ИТ инфраструктуры в 40 странах мира.

Что же делать безопаснику: нужно ли ему знать все техники и тактики хакеров всего мира? Ведь мы только что решили, что это невозможно )

К счастью для нас, существуют типовые хакерские техники, которые используют хакеры всего мира. Это и типовые способы проникновения в сети и типовые способы закрепления в сети и типовые способы повышения привилегий и перемещения внутри сети. Да, этих способов тоже много, но установив средства контроля за этими техниками мы решаем задачу обнаружения злоумышленников. Злоумышленники тоже не стоят на месте - они постоянно придумывают техники обхода межсетевых экранов, систем предотвращения атак, песочниц и антивирусов. И поэтому защитники выстраивают многоэшелонированную защиту, иногда даже несколько средств защиты от одной и то же угрозы, чтобы хакер попал хотя бы в одну из ловушек.

Обычно продукты по безопасности сравнивают как раз по числу техник и тактик, которые может обнаружить система защиты.

Для продукта Positive Technologies Network Attack Discovery список методик защиты выглядит так


Основная проблема мира безопасности, что в компании есть деньги на устройства защиты, но нет людей, которые понимают что эти устройства защиты вообще делают или хотя бы что за информацию они пишут на экране и еще реже люди знают как на это надо реагировать. Именно поэтому существует анекдот, что девушка установила на компьютер антивирус, он ей нашел 12 вирусов, она подумала и удалила антивирус.

Как решать эту проблему?
  1. Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
  2. Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
  3. Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.
Среди безопасников есть те, кто занимается бумажной волокитой: соответствием требованиям государственных и отраслевых регуляторов. Есть те, кто занимается реальной безопасностью: созданием центров управления безопасностью SOC, команд реагирования CIRT и другими задачами. И третий тип - кто контролирует безопасность на уровне бизнеса, поддерживая business continuity согласно BCP/DRP. За границей это должность вице-президента по безопасности. В России пока что еще не распространенная должность. Обычно у этих сотрудников должен быть как минимум сертификат CISSP и от 10-15 лет работы в индустрии по специальности. 

воскресенье, 22 мая 2022 г.

Часто используемые хакерами уязвимости 2021 года

На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/ 
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.

В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.

Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.

CVEВ каком ПО обнаруженаНазвание уязвимостиТип уязвимостиБазовая оценка CVSS
CVE-2021-27101Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27103Accellion FTA
Подделка запроса на стороне сервера9,8
CVE-2021-27104Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27102Accellion FTA
Remote code execution (RCE)
7,8
CVE-2021-26855 Сервер Microsoft ExchangeProxyLogonПодделка запроса на стороне сервера9,8
CVE-2021-26857,

CVE-2021-26858,

CVE-2021-27065
Сервер Microsoft ExchangeProxyLogon
Remote code execution (RCE)
7,8
CVE-2021-44228Библиотека Apache Log4j2
Remote code execution (RCE)
10,0
CVE-2021-28799QNAP NAS
Remote code execution (RCE)
9,8
CVE-2021-34527 Диспетчер печати WindowsPrintNightmare
Remote code execution (RCE)
8,8
CVE-2021-34473 Сервер Microsoft ExchangeProxyShell
Remote code execution (RCE)
9,8
CVE-2021-34523 Сервер Microsoft ExchangeProxyShellПовышение привилегий9,8
CVE-2021-31207 Сервер Microsoft ExchangeProxyShellОбход аутентификации7,2
CVE-2021-40444Модуль MSHTML в Internet Explorer
Remote code execution (RCE)
7,8
CVE-2021-21972 VMware(обнаружена экспертом Positive Technologies Михаилом Ключниковым)
Remote code execution (RCE)
9,8

Для сравнения мировые организации
Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях

Самые частые уязвимости используемые хакерами по их версии
CVE
В каком ПО обнаружена
Vulnerability Name
Type
Apache Log4j
Log4Shell
Remote code execution (RCE)
Zoho ManageEngine AD SelfService Plus
 
RCE
Microsoft Exchange Server
ProxyShell
Elevation of privilege
Microsoft Exchange Server
ProxyShell
RCE
Microsoft Exchange Server
ProxyShell
Security feature bypass
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE

 
Atlassian Confluence Server and Data Center
 
Arbitrary code execution
VMware vSphere Client
 
RCE
Microsoft Netlogon Remote Protocol (MS-NRPC)
ZeroLogon
Elevation of privilege
Microsoft Exchange Server
 
RCE
Pulse Secure Pulse Connect Secure
 
Arbitrary file reading
Fortinet FortiOS and FortiProxy
 
Path traversal

И также важно знать про эти уязвимости,
CVE
Vendor and Product
Type
Sitecore XP
RCE
ForgeRock OpenAM server
RCE
Accellion FTA
OS command execution
Accellion FTA
Server-side request forgery
Accellion FTA
OS command execution
Accellion FTA
SQL injection
VMware vCenter Server
RCE
SonicWall Secure Mobile Access (SMA)
RCE
Microsoft MSHTML
RCE
Microsoft Windows Print Spooler
RCE
Sudo
Privilege escalation
Checkbox Survey
Remote arbitrary code execution
Pulse Secure Pulse Connect Secure
Remote arbitrary code execution
SonicWall SSLVPN SMA100
Improper SQL command neutralization, allowing for credential access
Windows Print Spooler
RCE
QNAP QTS and QuTS hero
Remote arbitrary code execution
Citrix Application Delivery Controller (ADC) and Gateway
Arbitrary code execution
Progress Telerik UI for ASP.NET AJAX
Code execution
Cisco IOS Software and IOS XE Software
Remote arbitrary code execution
Microsoft Office
RCE
Microsoft Office
RCE

Что это означает для вас? Нужно проверить эти уязвимости на вашем периметре и установить патчи. Чем быстрее, тем лучше.

Также рекомендую посмотреть отчет какие решения используют компании.

Классы решений, которые действительно способны обнаружить злоумышленника в сети, использует только каждая четвертая компания: Sandbox ― 28% опрошенных, решения класса NTA ― 27%.


Оцените свою внешнюю поверхность атаки

Множество взломов за последние месяцы было через открытые наружу сервисы. Давайте посмотрим статистику, какие же сервисы у компаний открыты. А вдруг они открыты и у вас? )

По отчету компании Positive Technologies статистика открытых служб (включая нестандартные порты) выглядит так


Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения

Также компания Positive Technologies оценила и наличие уязвимых сервисов среди всех найденных служб. 

Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.

По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Следующая по частоте - открытые в паблик интерфейсы систем управления сетевых устройств.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
И следующие по частоте открытые сервисы - аналитические системы и доступы к данным. Этих доступов вообще не должно быть в паблике. И тут даже не может быть каких-то оправданий к ИТ службе.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно. 
В общем делаем вывод, что ИТ службе нужно проверять не только ИТ, но и устройства Operation Technologies (OT).

Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye


Не забываем про старый добрый Shodan, который показывает открытые сервисы. 

Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.

И естественно вы можете это делать сами сканером безопасности.

Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.

И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.


 

суббота, 16 апреля 2022 г.

Состояние рынка VPN шлюзов в России на апрель 2022 года


Заказчики остались без подписок и поддержки для иностранных устройств и софта компаний Fortinet, Cisco, Palo Alto Networks, Juniper, внутри которых были шлюзы VPN. Часть устройств полностью перестало работать. В связи с этим на мероприятии AM Live мы обсуждали насколько быстро можно перейти на российские VPN и удовлетворяют ли они требованиям заказчиков. 

По нашему опросу больше 55% пришедших участников искали себе новые средства удаленного доступа, включая доступ по TLS и 39% site-to-site VPN. Павел Коростелев из Кода Безопасности считает, что в настоящее время повезло тем заказчикам, у которых уже был русский VPN, в частности это государственные заказчики.

Александр Веселов из Солар подсветил, что проблема еще усугубилась тем, что проблемно перейти на русские устройства VPN из-за их подорожания в 2 раза. А у большинства заказчиков бюджеты были заложены заранее. Андрей Шпаков из S-Terra объяснил, что подорожало железо, и это связано с нарушением цепочек поставок и отсутствием новых аппаратных платформ на рынке в принципе и приходится еще и возить через третьи страны аппаратные платформы. Множество платформ сегодня делается на основе тайваньского оборудования компании Lanner и его сейчас трудно привезти.

Павел Луцик указал на то, что вдобавок к тому, что перестали работать VPN шлюзы, у работающих шлюзов были отозваны TLS сертификаты и это вызвало трудности с перевыпуском и быстрым переподключением у многих заказчиков. Сейчас по идее нужно переходить на сертификаты подписанные русским центрами сертификации, но для этого русские центры сертификации должны быть прописаны в браузеры. А это еще одна трудность и кому-то нужно договориться с производителями браузеров и с компанией Microsoft, чтобы добавить еще и в Windows корневой центр сертификации.

Павел Великов из Cross Technologies поделился, что часть производителей смогли быстро предоставить виртуальные версии VPN и заказчики смогли решить задачу удаленного подключения к офису достаточно быстро. Он видит, что часть заказчиков еще пытается держаться за иностранных поставщиков, а часть уже переходит на русские решения.

Андрей Шпаков и Павел Луцик рассказали, что все заказчики привыкли уже к VPN шлюзам в составе устройств UTM/NGFW и им приходится ставить вместо одного устройства сразу несколько решений. Также заказчики привыкли к второму фактору на базе смс в мобильные устройства а таких сертифицированных решений не существует. Сейчас приходится использовать VPN отдельно и UTM отдельно, что неудобно, поскольку часто нужно знать имя пользователя не только при аутентификации на VPN шлюзе, но и при написании правил межсетевого экранирования.

Еще одной трудностью по мнению Павла Великова является требование законодательства передавать ключи шифрования из рук в руки и это по сути вызов реальности, где люди находятся все по домам и им трудно так передавать ключи технически. В итоге из-за того, что российские производители делали устройство под требования российского законодательства, то они были ограничены и не могли в принципе реализовать некоторые необходимые фичи, такие как удобную двухфакторную аутентификацию, удобное распределение ключей, удобный API для интеграции с другими устройствами, что уже сделано иностранными производителями, которые не ориентировались на русские стандартны сертификации. При этом Павел Луцик из КриптоПро поделился тем, что их решения хорошо интегрируются с решениями класса MDM и NAC.

Павел Коростелев считает, что TLS шлюзы, которые публикуют приложения через браузер приносят много достаточно функционала ZTNA, поскольку контролируют что делать пользователь. 

Павел Коростелев считает, что сертифицировать клиент VPN по требованиям ФСТЭК и ФСБ одновременно практически нереально. И в итоге общий вывод, что сделать UTM c VPN сложно потому, что сложно сертифицировать одновременно VPN+МСЭ+СОВ. И в итоге производители вынуждены делать две ветки продуктов - для сертификации, чтобы соответствовать требованиям регуляторов и для заказчиков, которым удобство важнее, чем сертификат.

Получается, что и добавить такой функционал как compliance или допустим digital experience monitoring (DEM) тоже в сертифицированные клиенты невозможно. И это удел только несертифицированных решений.

Павел Луцик подсказал, что пока что для защиты неконфиденциальной информации можно пользоваться иностранной криптографией. Также в КИИ нет требований по использованию сертифицированной криптографии, кроме тех кто подключается к ГосСОПКА.

По схеме применения производители выделили две схемы применения для удаленного доступа: с программным клиентом и с подключением через браузер к VPN шлюзу. Павел Коростелев при этом считает, что есть три подхода, где самый правильный вариант подключения - выдать ноутбук корпоративный с VPN, второй вариант - экстремальный - поставить прямо на домашний компьютер пользователя, и еще гибридный вариант, когда выдается USB флешка с загружаемой операционкой. Клиентские приложения сегодня есть у российских производителей под Linux, MacOS, iOS, Android и Windows.

Когда мы перешли к вопросу интеграции вендора с вендором, то выяснилось, что у всех разные протоколы и стандартный IPSEC даже если и реализован, то возникают вопросы с передачей ключей шифрования. Инфотекс, например, создал свой протокол IPlir, который считает удобным для использования.

Александр Веселов поделился опытом работы со всеми производителями VPN и ситуация выглядит так, что до 10 Гбит/с у большинства производителей есть решения. Есть у некоторых аппаратные реализации, которые могут выдать до 40 Гбит/с. Сложности возникают при большом числе клиентов VPN и там приходится ставить уже несколько VPN шлюзов. Попытка поставить балансировщики упирается в поддержку ГОСТ алгоритмов. Компания Ростелеком-Солар проводит внутренние тестирования для выбора VPN шлюзов на оборудовании IXIA и стоит обратиться к ним, чтобы подобрать устройство с необходимой производительностью.

На пропускную способность VPN шлюза сегодня влияет
- размер пакета и размер транзакции
- количество новых сессий
- количество одновременных сессий
- количество правил журналирования
- количество правил фильтрации, если там есть межсетевой экран
Так много факторов, что тестирование производительности не так просто осуществить, особенно если это разные производители и разные функции реализованы у каждого.

На мой взгляд самое простое - референс, то есть пойти к компании, которая уже использует оборудование VPN и посмотреть какие устройства у него стоят и какую производительность они обеспечивают.

Все сказали, что самое трудное - это сроки сертификации. Я сам тратил на сертификацию производства TippingPoint и Proventia на каждый по 3 года и такой срок конечно уменьшает пользу - ведь пользоваться устройством трехлетней давности, лишь потому что оно сертифицированное заказчик чаще всего не хочет, да и не может, потому что за это время даже оборудование уже устаревает. И на мой взгляд это стоит обсуждать на ТК26.

И еще одна трудность была отмечена коллегами: системы управления. Удобство - это то, над чем сейчас нужно работать, чтобы заказчики были довольны.

Отзывы от слушателей по итогам мероприятия и вообще по используемым ими российским криптошлюзам выглядят вот так


Запись доступна ниже

По результатам конференции я выяснил, что в будущем производители ждут
- подорожания аппаратных платформ;
- множества запросов на виртуальные решения;
- ужесточения законодательства по использованию русского оборудования и софта;
- прихода подделок на основе opensource;
- интеграции криптошлюзов и NGFW;
- появление SD-WAN как новой фичи шлюзов.





вторник, 5 апреля 2022 г.

Что такое DFIR и как обнаруживать хакера в сети по поведению


Positive Technologies Network Attack Discovery выполняет полную запись трафика в сети. Эта запись может быть использована для доказательства хакерской деятельности и для разбора атаки (Network Forensic). Технические эксперты Positive Technologies занимаются расследованием и минимизацией влияния инцидентов (DFIR) и созданием на основе этой экспертизы своих продуктов. Правила в продукте Network Attack Discovery, позволяют выявлять атаки. При использовании этого продукта ни один хакер не может уйти от возмездия, неважно кто это: собственный сотрудник, подключившийся удаленно хакер или перемещающийся автоматически сетевой червь. Продукты класса NTA и NDR полноценно показали себя в защите корпоративных сетей. Обсуждение как работает продукт и живая демонстрация пройдет в онлайне 5 апреля в 14:00. Регистрация

среда, 22 декабря 2021 г.

Открылся музей криптографии в Москве

Совершенно уникальный музей открылся в Москве. У меня получилось его посетить 21 декабря 2021 года. Адрес сайта https://cryptography-museum.ru/ Адрес фактический Ботаническая ул. 25, с. 4. На такси лучше ввести адрес Академика Комарова 1Г

Чувствуется, что все сделано с любовью. Дизайнеры очень постарались. Фантазия неимоверная: много реально работающих стендов. Есть даже стенды, где работает распознавание речи. И авторы смогли продемонстрировать посетителям и азы криптографии и историю этой науки и даже найти множество реальных устройств, которые использовались и в России и в мире.


Музей занимает целое трехэтажное здание и демонстрации есть даже в подвале. Я провел полных полтора часа и реально даже устал, уверен что не все удалось даже посмотреть. Так что рекомендую заказать экскурсовода, чтобы не просто читать все подряд, а сфокусироваться на основных историях из мира криптографии. 

Множество стендов объясняющих азы криптографии подойдет школьникам. Я помню как в 6 классе мы увлекались шифром простой замены и писали друг другу записки на основе готовых таблиц замены и, думаю, что школьникам зайдет информация об их разновидностях.


Оформление просто чудесное. 

Есть возможность интерактива, где можно слушать запись, смотреть видео, нажимать самому на различные кнопки и отвечать на вопросы. 

Комната, где показаны основные алгоритмы шифрования. В ней по-моему просто сделать фотографию уже приобщиться к миру криптографии. Ну, собственно, это я и сделал.

Есть и юмор, вот, например, книжки где можно вспомнить свой пароль )


Непонятное для меня рабочее место. Без экскурсовода не разобрался. 


На входе задаемся простыми вопросами и затем ищем ответ!


Множество оборудования было рассекречено и показано на публике впервые.


И также есть комнаты, где показана информаци об основных столпах науки об информации: Шеннон, Котельников и другие.


Приведены реальные примеры шифрблокнотов, секретных кодов из реальной практики.


Пример реальной комнанты для связи с США.


Приведены основные постулаты криптографии


И конечно самые частые персоны этой науки Алиса и Боб получили свою стену и там важно остановиться и обдумать информацию.

Настоящая шифровальная машина Энигма 

Описание различных подходов к шифрованию




Демонстрация как работает шифровальная машина механическая - движущаяся!


















И даже схема алгоритмов фейсбука наличествует на стене




Остальное смотрите в музее! Советую!