Коммунисты окончательно слились
Источник: https://www.rbc.ru/politics/03/11/2018/5bdd2f379a79475e80a6580d?from=main
Источник: https://www.rbc.ru/politics/03/11/2018/5bdd2f379a79475e80a6580d?from=main
Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).
История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.
Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.
Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).
Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.
Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.
Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19
Вот элитного посёлка «Жуковка»:
Вот клиенты в Барвихе, включая местный Альфа-Банк:
В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать.А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:
«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:
Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:
Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:
Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):
Ещё через 5 дней я решил поинтересоваться результатами проверки информации:
на что мне ответили, что всё исправили:
Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:
и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:
Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:
И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.
А теперь — простым языком для людей, которые не поняли, что всё это значит.
Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.
Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.
И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.
Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e
В настоящее время полицейские задержаны
В Уфе разгорается крупный скандал в местной полиции. По данным ГТРК Башкирии, там начальник полиции Уфимского района, начальник Карамаскалинского района и руководитель отдела по вопросам миграции УМВД в состоянии алкогольного опьянения всю ночь насиловали девушку-дознавателя, которая оказалась дочерью высокопоставленного сотрудника Росгвардии.
В сообщении отмечается, что инцидент произошел в ночь с 29 на 30 октября в здании Отдела по вопросам миграции Отдела МВД России по Уфимскому району. Трое вышеперечисленных начальников полиции устроили там застолье и после употребления алкоголя мужчин потянуло на женщин.
Один из них пригласил девушку-дознавателя в кабинет под предлогом решения каких-то служебных вопросов. Однако там вместо заявленных целей, начальники вступили с подчиненной в интимные отношения. Все это продолжалось до утра. После этого 23-летняя девушка написала заявление в СК.
По данному факту изнасилования в СКР возбудили уголовное дело. Следователи задержали всех фигурантов дела и провели в их кабинетах обыски. Сейчас проводятся дальнейшие следственные действия, направленные на выяснение всех обстоятельств совершенного преступления. Решается вопрос и об избрании задержанным меры пресечения.
При этом, как сообщает портал ProUfu.ru, отец потерпевшей является высокопоставленным чиновником Росгвардии.
Суд в Москве оштрафовал журнал New Times и его главного редактора Евгению Альбац на 22 млн и 250 тысяч рублей за несвоевременное предоставление в Роскомнадзор данных о зарубежном финансировании. Об этом 26 октября написало само издание.
По мнению адвоката Альбац Вадима Прохорова, решение суда, скорее всего, повлечет ликвидацию New Times.
Еженедельник «Новое время» выходил с 1943 года. В 2007 году его переименовали в New Times. В декабре 2016 года печатное издание еженедельника исчезло из розничной продажи, а в 2017 году Альбац заявила, что у New Times больше не будет бумажной версии, но сайтиздания работает.
В ноябре 2017 года в России приняли закон о статусе иностранного агента для СМИ. По этому закону иностранными агентами могут признать СМИ, которые которые получают финансовую помощь от иностранных государств или организаций. Позже Минюст России признал учредителя издания — некоммерческая организация (НКО) «Фонд поддержки свободной прессы» иностранным агентом.
10 мая 2018 года прокуратура Москвы запросила у New Times сведения об источниках и размерах финансирования за последние полтора года, а также информацию о расходовании 5,4 млн рублей, которые перечислил «Фонд поддержки свободной прессы». Руководителей журнала также обязали предоставить прокуратуре документы и данные, что New Times соблюдает закон о СМИ.
Источник: https://rtvi.com/news/sud-oshtrafoval-zhurnal-new-times-i-evgeniyu-albats-na-22-mln-rubley/
P.S. Имхо, дело явно чисто политическое, тем более, что оно возникло сразу же после большого и довольно успешного интервью Алексея Навального на Эхо Москвы. Возможно это и была "последняя капля".
Предполагаемый «отравитель Скрипалей» Анатолий Чепига (Боширов) оказался связан с разведчиком, взломавшим почту Демократической партии США.
Таких провалов российская разведка еще не знала. Агентов ГРУ раскрывают одного за другим, причем раскрывают не иностранные спецслужбы, а простые журналисты и блогеры.
Уровень конспирации агентов оказался ниже нуля. К примеру, один из «солсберийских туристов» Александр Мишкин, на гражданке более известный как Александр Петров, свою жену и дочерей регистрировал на Хорошевском шоссе в Москве по адресу штаб-квартиры Главного управления Генштаба (бывшее ГРУ, так его по привычке и называют). Его «товарищ по фитнесу» Анатолий Чепига, он же Руслан Боширов, был прописан на Кировоградской улице столицы в компании других таких же разведчиков. Имея мирные с виду профессии, свои автомобили многие агенты также регистрировали по адресу воинских частей, в каких они служат. Вроде как для конспирации, а оказалось – наоборот. Так их ничего не стоит вычислить.
Взять, например, Ивана Ермакова, которого ФБР объявило в розыск по обвинению во взломе серверов Демократической партии США.
Имя хакера нашлось среди автовладельцев из ГРУКак выяснил «Собеседник», несколько месяцев назад человек с таким именем и датой рождения приобрел внедорожник «Вольво XC90» и в качестве места жительства скромно указал воинскую часть ГРУ на Комсомольском проспекте. Ну чтоб никто не догадался, who он есть.
В ГИБДД зарегистрирован и мобильный телефон Ермакова, который совпадает с данными справочного интернет-портала Phonenumber. Именно свой личный номер и имя Иван указывал в качестве контакта на сервере «Авито» при продаже, например, почти нового iPhone 7 «без сколов и дефектов».
А вот объявление о продаже фитнес-браслета Jawbone UP (товар №107624) из-за того, что размер L оказался великоват, разведчик зачем-то разместил на неработающем сайте forleisure.ru «Все для отдыха в России и за рубежом, инвентарь, путевки, охота и рыбалка», который можно открыть только в сохраненной копии. Сайт был зарегистрирован перед выборами президента США, и при всей массе размещенных там объявлений каждый день на него заходят меньше сотни человек. Как будто это и не объявления вовсе, а передача зашифрованных посланий.
кстати
Судя по базам ГИБДД, если несколько лет назад сотрудники ГРУ перемещались на стареньких отечественных ВАЗах, то теперь чуть не через каждый год покупают себе дорогие иномарки, раскрывая тем самым свое драгоценное инкогнито.
Но не стоит обвинять секретных агентов в провале из-за тяги к роскоши. Вот, например, в каком доме был прописан в Мурманской области Алексей Моренец до того, как его, офицера ГРУ, поймали с шифровальным оборудованием в Нидерландах этой весной:
Тут поневоле начнешь «родину любить».
Одновременно телефон Ивана Ермакова нашелся и на другом неработающем сайте – yougorod.com, где собрана адресно-телефонная база российских компаний в больших и малых городах страны. Даже сохраненную копию этого сайта сложно прочесть – строчки там наползают одна на другую, но если их выделить и скопировать в любой текстовый редактор, то можно прочесть название фирмы, ее адрес, имя представителя, время работы и контактные телефоны.
Нюанс в том, что ни таких фирм, ни адресов, ни людей на самом деле не существует.
Номер телефона разведчика обнаружился в категории «Водное хозяйство и водоканалы в Алагире». Он указан в контактах ЗАО «Вард», зарегистрированного в осетинском Ногире, на улице Островского, д. 6, кв. 159. В Ногире нет такой улицы. И «Варда» тоже нет. И Станислава Харитоновича Никитина, указанного главным контактным лицом ЗАО, тоже не существует (телефон «Никитина» зарегистрирован вообще в Смоленской области).
Вся остальная информация с сайта – тоже фейк. Ее там много. И много категорий: «Химчистки в Куруше», «Цирки в Каменке», «Кладбища в Горках-10»… Самая интригующая – «Взрывные работы в Москве».
В качестве дополнительных телефонов – некоторые из них действительно реальны – удалось найти номера сразу нескольких сотрудников ГРУ. Точнее, тех людей, которые либо были прописаны в его воинских частях, либо регистрировали там авто. Например, Павел Александрович А., чей синий БМВ, как и «Вольво» Ермакова, поставлен на учет по адресу: Комсомольский проспект, 20, согласно yougorod.com, занимается строительством «аквапарков и бассейнов в Виллози».
Нашлась на сайте работа и для провалившегося в Солсбери Героя России Анатолия Чепиги (Боширова), которого британцы подозревают в отравлении Скрипалей. Его телефон там упомянут в числе дополнительных контактов фирмы «Огурец (РКК)», расположенной в уральском Катав-Ивановске, на несуществующей Малиновой улице. Ну хотя бы не на Голубой.
Можно было бы решить, что все это розыгрыш, но сайт yougorod.com зарегистрирован 5 мая не где-то в Урюпинске, а на сервере предоставляющей платные услуги хостинговой компании Hetzner Online в Германии (стране НАТО, между прочим). Причем с тем же IP-адресом связано еще несколько фейковых сайтов («Кружки и секции в России» и т.п.), так что «розыгрыш» влетает в приличную еврокопеечку. Мало того, номинальным собственником сайтов является кипрская компания Protectservice Ltd., которая скрывает имя настоящего владельца тоже не за спасибо. Да и заходят на этот фейк-сайт ежедневно по три тысячи человек.
– Если на этом сайте – зашифрованная информация, то шифр использован весьма банальный, – пояснил «Собеседнику» один из специалистов по криптографии. – Со времен шифра Цезаря (где одна буква просто заменялась на другую, которая отставала от нее на несколько позиций в алфавите) криптография все-таки шагнула далеко вперед. Но в данном случае, видимо, как в рассказе Эдгара По «Похищенное письмо», решили не привлекать внимание такими сложностями. Обошлись без «Энигмы» и компьютерных паролей. Несведущий человек все равно не поймет, что означают непонятные адреса, какие из телефонов действующие и при чем здесь вообще разведка.
Мы решили поинтересоваться напрямую у офицеров ГРУ, не является ли этот сайт закодированным списком членов разведывательной сети. Или, может, это ЦРУ на них досье копает? Но телефон Анатолия Чепиги оказался отключен. Зато номер того самого Ивана Ермакова, отвечающего за «водное хозяйство в Алагире», неожиданно отозвался. Правда, раскалываться его владелец не стал. Как настоящий разведчик.
– Иван Сергеевич Ермаков?
– Да, я. Но вы что-то ошибаетесь. Вы кто, простите? Что хотите?
– Интервью. Ведь это вы разведчик, которого американцы обвиняют в кибер-атаках?
– Как ваша фамилия, еще раз? Это какая-то ошибка. И вообще, меня зовут по-другому, – сказал Ермаков и повесил трубку.
Из системы «Российский паспорт» информация об этом человеке тоже оказалась вроде как удалена. А что вы хотите? Хотя неуклюжая, а все-таки конспирация!
Источник: https://sobesednik.ru/politika/20181022-geroya-rossii-chepigu-prevratili-v-ovosh
Отличный комментарий!