Лучше звоните

Настала зима...

В России могут полностью запретить покупку криптовалют и владение криптовалют

Как сообщает «Интерфакс», власти обсуждают «два диаметрально противоположных подхода к регулированию в России криптовалют». Первый подход заключается в легализации бирж, второй — в полном запрете покупки цифровых валют.

Председатель думского комитета по финансовому рынку Анатолий Аксаков заявил, что в 2022 году нужно будет определиться с выбором. Он напомнил, что Госдума уже приняла в первом чтении законопроект о налогообложении криптовалют.

Депутат добавил, что есть очень жёсткие подходы, которые заключаются в том, чтобы полностью запретить приобретение и владение криптовалют. Также есть подход, предполагающий легализацию криптообменников и бирж для того, «чтобы всё было прозрачно, понятно регулирующим органам».

По мнению Аксакова, майнинг следует внести в Общероссийский классификатор видов экономической деятельности (ОКВЭД), чтобы взимать с добытчиков цифровой валюты налоги, а также предоставлять им электроэнергию по цене для промышленных потребителей:

Напомним, согласно законопроекту о налогообложении криптовалют, налогоплательщик может быть оштрафован, если не сообщил или предоставил неверные данные об операциях и остатках криптовалюты. Размер санкции составляет 10% от наибольшей из сумм сокрытых поступлений или списаний.

При этом за нарушение срока представления информации предполагается штраф в размере 50 000 рублей. В случае невключения в налоговую базу прибыли или доходов от операций с использованием цифровой валюты в проекте закона прописан штраф в размере 40% от суммы неуплаченного налога в части таких операций.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.

Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19

Вот элитного посёлка «Жуковка»:

Вот клиенты в Барвихе, включая местный Альфа-Банк:

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:

Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:

Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):

Ещё через 5 дней я решил поинтересоваться результатами проверки информации:

на что мне ответили, что всё исправили:

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:

и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.

Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.

И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.

Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e

Петербург в поддержку Хабаровска:

ссылка на гифку

Вынесен приговор блогеру МШ по делу о гостайне.

Блогера МШ (Андрея Пыжа) приговорили к пяти годам колонии за незаконное получение сведений, составляющих гостайну. Он был арестован в августе прошлого года. С учетом времени, которое он провел в СИЗО, половину срока он уже отбыл.

37-летний Пыж вел канал Urbanturizm, где рассказывал о заброшенных местах и закрытых территориях. По словам источников в правоохранительных органах, его дело связано с перевозкой в Украину засекреченных данных о московском метрополитене и подземных транспортных сооружениях

«Ему вменяется провоз на территорию Украины данных, связанных с линиями метрополитена в Москве, а также подземными транспортными сооружениями мобилизационного предназначения, которые охраняются законом и правоохранительными органами РФ. Эти сведения относятся к гостайне»,— сообщал ТАСС со ссылкой на источник..

Другой инсайдер утверждал, что за блогером следили «уже давно». У Пыжа после задержания были изъяты некие материалы, которые проверяли по делам о терроризме и экстремизме.

Пыж с 2018 по 2020 год собирал материалы и готовился к съемкам ролика про режимный объект «Метро-2», что и стало причиной его уголовного преследования, пишет Telegram-канал Baza.

Метро-2 — якобы некая таинственная сеть подземных транспортных сооружений в Москве, про которую ходит много слухов.

Ранее утверждалось, что Пыж перевез в Украину документы, составляющие государственную тайну в России. Он мог сделать это для своего видеоблога.

Также стоит отметить, что у мужчины двойное гражданство — России и Украины.

Пыж не признавал свою вину, а его адвокат Алексей Хальзов говорил, что дело против него не связано с YouTube-каналом.

Девушка Пыжа Александра Кельнер в беседе с «Ридусом» ранее предположила, что правоохранительные органы могли им заинтересоваться в связи с его видео, в котором он рассуждал о политической ситуации в Белоруси. В ролике он говорил, что в стране проходят массовые митинги, «народ пакуется, разгоняется» и «градус накала страстей довольно высок».

Источник: Ридус

22 года назад утонула подводная лодка «Курск»

Путин рассказывал об утонувшей лодке с садистской улыбкой маньяка, а вдов моряков назвал «десятидолларовыми шлюхами». Именно тогда началось воспитание телевизором «нового человека», который через 22 года приехал на танках в Украину.

Кратко, но важно.

1. Сентябрь горит, Александр плачет, но Путин не смог поступить иначе...

Светлана Тихановская планирует выступить в Совбезе ООН и Совете Европы.

Ее представители сообщили, что запланированы выступления Тихановской на заседании Совета Безопасности ООН 4 сентября и Парламентской Ассамблее Совета Европы 8 сентября.

По данным представителей Тихановской, она уже провела 10 бесед лично и по телефону с министрами иностранных дел разных стран от Франции до Канады и 7 бесед с лидерами (президентами и премьер-министрами) европейских стран от Ирландии до Польши, включая главу правительства Европейского Союза Урсулу фон дер Ляйен.

Примечательно и то, что Песков сообщил, что Путин и Лукашенко встретятся в Москве до середины сентября.

— Сроки согласовываются, но два президента вчера условились, что это состоится в ближайшие недели. Соответственно, в течение пары недель точно встреча состоится, — сказал представитель Кремля.

Стоит также отметить, что прогнозы о самовольной передаче власти подтверждаются, однако Лукашенко явно стремится это сделать на своих условия без привлечения реальной оппозиции, а вот фиктивной -- вероятно, если вообще не пророссийской. Лукашенко заявил, что в Беларуси нужно выстроить систему, которая бы не была завязана на президенте

«Я считаю, что, несмотря на то, что у нас несколько авторитарная система устройства общественной жизни, тем не менее, президент оберегает и охраняет суды. Но это личностный момент, а надо сделать так, чтобы работала система, не завязанная на личности, в том числе Лукашенко. 

Поэтому, я думаю, в новой Конституции мы достойно отразим систему устройства наших судов, исходя из нашего с вами опыта работы за последнюю четверть века. Но ответственно: вносите предложение - распишитесь за это предложение».

Лукашенко высказался и про белорусские суды

«Многие хотят — и в самом судейском сообществе — некой независимости. Хотя я готов с кем угодно спорить, что самый независимый суд — в Беларуси. Пусть никто не смеется».

2. С информационным суверенитетом Беларуси покончено за три недели. 

К настоящему моменту практически вся медиаповестка белорусских государственных СМИ синхронизирована с (про)кремлевскими. Все события комментируют те же говорящие головы. Все основные месседжи идентичны на ежедневной основе. Все основные пропагандистские нарративы – одинаковые.

Вот десятка основных:

⚡️Протесты организованы, координируются Западом, применяются методы «цветных революций». Польша, Литва и другие западные страны (США, Великобритания, Чехия и пр.) дестабилизируют Беларусь. Nexta и другие Телеграм-каналы контролируются и управляются спецслужбами Польши и других западных стран.

⚡️Агрессивный Запад вмешивается в белорусские внутренние дела, хочет подорвать белорусско-российские отношения и использовать страну как антироссийскую площадку.

⚡️НАТО усиленно наращивает свой военный потенциал у границ Беларуси, прежде всего на территории Польши, может организовать военные провокации, в том числе с использованием истребителей. Варшава желает взять Беларусь под свой контроль, как минимум – оторвать Гродненскую область.

⚡️Светлана Тихановская, белорусская оппозиция, Координационный Совет – западные марионетки, они стоят на антироссийских позициях.

⚡️Белорусская оппозицизия планирует разорвать всяческие связи с Россией, вытеснить русский язык, обратить белорусов в лоно Белорусской Автокефальной церкви.

⚡️Исторический бело-красно-белый флаг – коллаборационистский / профашистский / пронацистский.

⚡️Суверенитет Беларуси и ее развитие возможно лишь в тесном союзе с Россией. Россия защитит Беларусь от воинственного Запада любыми способами.

⚡️Так называемые «мирные протесты» не являются таковыми. Зачастую протестующие находятся под алкогольным и наркотическим опьянением, имеют уголовное прошлое. Сторонники оппозиции угрожают чиновникам и правоохранительным органам.

⚡️Страны Евросоюза и США сами страдают он массовых беспорядков и полицейского насилия (Берлин, Мальмё и др.), но предпочитают замалчивать это и вмешиваться в белорусские дела.

⚡️Новости о чрезмерном применении силы силовиками и пытках – фейковые.

Ко всему прочему, Кремль поставил редактором "Комсомолки" своего пропагандиста. В беларусской "Комсомолке" новый главный редактор - Марина Бунакова, бывший глав.ред. из отделения в Хабаровске.

Чтобы понять, что это новый ход Путина, не нужно много ума, достаточно беглым взглядом окинуть, что писала "Комсомольская правда" в Хабаровске, в котором уже долгое время происходят протесты. Там и хвалебные оды местным депутатам, и игнорирование происходящего, а про вчерашний протест в Беларуси, так и вовсе восхваление местных карателей, разоблачение польских кукловодов и классика а-ля "протестующих тут пару сотен".

Российским пропагандистам кажется, что они крайне хитры и изобретательны, но у беларусского народа на их трюки иммунитет, выработанный 26 годами правления безумного узурпатора, за которые мы видели всё и даже больше, чем вы в России можете представить.

3. Баррикады же были! Коктейль же бросали! Что значит -- три недели назад? Что значит -- ни одного ожога? Баррикады из мусорных контейнеров легко отодвигались? Да вы просто оправдываете насилие, вот! (Вспомнили риторику помощника Лукашенко?).

Беларуские военные находили тайники с прутами и кольями, а ещё мешки с камнями, покрышки и горючие жидкости, которые заготовили участниками акций протеста

Так сказал начальник главного управления идеологической работы Минобороны Леонид Касинский.

«За последние несколько недель беларуские военнослужащие, выполняя задачи по обеспечению безопасности, обнаружили множество тайников. В них находились заготовленные пруты, заостренные колья, а на крышах жилых домов — покрышки, мешки с камнями и горючие жидкости. Кто-то потом говорит, что это все было для мирных протестов», — сказал Касинский. 

Я также напомню, что сам кидал не раз пример того как власти сами приносили упосянтные "революционные компаненты к митингам или создавали провокационную ситуацию, вроде той, где стоял строительный мусор и пролукашистская машина. Тем временем, справедливык и частные, отзывчивые и гуманные силовики...

«Крумкачы» приглашают на матч против команды «Динамо-Минск». Игра состоится 1 сентября при открытых трибунах.

Лучшее, что сейчас можно сделать для Сергея и Паши, это посетить матч. Берите с собой семью и друзей и приходите в 16:00 на стадион СОК «Олимпийский». 

4. Никто не работает!

Вице-премьер Юрий Назаров рассказал, какие убытки понес Белорусский металлургический завод из-за отключения печей.

— Когда внешние силы прорвались на наш завод БМЗ и остановили на два часа технологическую операцию по загрузке печей, мы оценили это в порядка 1,5 млн рублей. Это большие деньги, — цитирует вице-премьера БелаПАН.

Да-да, напомню, что на одном только МТЗ работает около 16.000 человек, а на митинг выходят 28-54 тысячи человек. То есть, большую часть составляют рабочие, которые прикинули и предприятия, и валюту? 

Работу всех трех печей на предприятии приостанавливали 17 августа. С 20 августа работники БМЗ собирались бастовать, но пока предприятие работает в обычном режиме.

-- Так а работать надо завтра или нет?! Я Беларусь поддержать хочу, вообще-то, уже начальству звоню!... Ну и что, что я не белорус?!

Так вот... Завтра первый день осени и первый день новой акции. Далее текст плана:

​​❗️1 СЕНТЯБРЯ — ПУСТЬ НЕ РАБОТАЕТ ВООБЩЕ НИКТО❗️

Две недели в Беларуси продолжается противостояние между народом и властью. Настроение мечется от «мы победили» до «у нас ничего не получится».

Забастовки — главная надежда протестов — становятся всё малочисленнее. Если неделю назад бастовали крупнейшие предприятия, а президенту открыто кричали «Уходи», то сегодня людей запугивают и по одному забирают в милицию.

❗️Но если государство ломает дух протестов, значит мы должны его поддержать. Иначе нас отловят и задушат по одному. А власть продолжит упиваться своей безнаказанностью.

Наше оружие — солидарность.
Как проявить солидарность с бастующими, кроме поддержки деньгами?
Бастовать самим!

_1 сентября проводим самую КРУПНУЮ и МАССОВУЮ забастовку_
⛔️ПУСТЬ НЕ РАБОТАЕТ ВООБЩЕ НИКТО⛔️

План действий:
_ Если вы собственник бизнеса (кафе, магазин, сфера услуг, предприятие) — не работайте 1 сентября. Предупредите своих работников и клиентов, что в этот день вы не работаете. Объясните, что так вы выражаете солидарность всему забастовочному движению.
_ Если вы наемный работник — возьмите отпуск за свой счёт. Поговорите с начальством и не выходите на работу.
_ Если вы студент — не идите в университет.
_ Если вы работник завода или предприятия — БАСТУЙТЕ! Хотя бы один день. Проведите собрание, устройте митинг на территории, поговорите с коллегами, устройте «итальянскую забастовку». За один день никого не уволят, но вы покажете, как много среди вас несогласных.

⛔️ Пусть в этот день не работают бары, закроются спортзалы и цветочные магазины. Покажем власти, что государство — это и есть мы. И если мы не работаем, то останавливается вся страна.

Сейчас президент летает на вертолёте и обсуждает всё, что угодно кроме главных вопросов:
_ Выборы грубо и нагло сфальсифицированы, а власть нелегитимна.
_ Тысячи мирных людей избиты, а виновные до сих пор не наказаны.

Они надеются, что мы все остыли, а проблемы начали забываться.
Но это не так. Давайте покажем, свою решительность, поддержим бастующих и поднимем дух всей страны. Раскидайте это сообщение по чатам, расскажите друзьям.

❗️ДАВАЙТЕ НАПОМНИМ ВЛАСТИ, КТО ЗДЕСЬ ВЛАСТЬ❗️

P.s.

Призываю активно дополнять вас. Если кого-то интересует мое самочувствие, то все хорошо: семья выпустила пар, было высказано много моральной поддержки от родственников, друзей и тех, с кем даже контакт годами не поддерживали, а также готовность увезти, спрятать, поставить подпись где надо и т.п., а из всех, кто остался зол на меня -- только бабушка, а вот мать, отчим, отец, брат, педагоги, тетя, дядя, братья и т.п. за меня активно заступаются и открыто гордятся, так что моральный шторм прошел и в доме моем спокойно. Даже медики звонили знакомые, говорили, что очень благодарны за то, что я указал на противоречие с эвтаназией, где только государство решает когда тебе умирать из-за монополии на смертную казнь. Понимаю только, что завтра я буду получать массу вопросов от педагогов, в том числе и провластных, но это мелочи и я к ним готов. Спасибо, реактор, за поддержку, письма и активное желание помочь. Вы правда замечательные)