Соучастие в администрировании онлайн-платформы с целью осуществления незаконных транзакций организованной группой.
Отказ предоставить по запросам уполномоченных органов информацию или документы, необходимые для осуществления и использования разрешённого законом прослушивания.
Соучастие в обладании изображением несовершеннолетних детей порнографического характера.
Соучастие в распространении организованной преступный группой изображений несовершеннолетних детей порнографического характера.
Соучастие в приобретении, перевозке, хранении или передаче наркотиков.
Соучастие в предложении, передаче или предоставлении без уважительных причин оборудования, инструмента, программы или данных, предназначенных для атаки на автоматизированные системы обработки данных.
Соучастие в организованном бандитском мошенничестве.
Предоставление криптологических услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования.
Предоставление средств криптологии, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.
Развернуть
Отличный комментарий!
Хм... Я конечно не юрист, но всё это звучит как хуйня полная. Может кто-нибудь с образование растолковать насколько это всё валидно и на сколько юридический мусор, который Дуровские адвокаты за день разметут?
18 февраля газета The New York Times опубликовала репортаж американского писателя Гари Штейнгарта. В своём тексте он рассказал об эксперименте, состоявшемся в первых числах января: в течение семи дней Штейнгарт не занимался ничем другим, кроме просмотра российского телевидения. Прочесть можно здесь http://tjournal.ru/paper/putinshaped-box
Студентов ВлГУ согнали в зал и промыли мозги лекцией о «Гитлере-Навальном»
Недовольных «правовым воспитанием» назвали провокаторами
18 апреля в актовом зале главного корпуса ВлГУ для владимирских студентов, а в особенности для принявших участие в митинге 26 марта «Он вам не Димон», организовали просмотр фильма, посвященного оппозиционному кандидату в президенты России Алексею Навальному. В видеоролике рассказывалось об «уголовном прошлом» оппозиционера и перечислялись те обвинения, которые позже были признаны Европейским судом по правам человека нарушением права на справедливый суд. Правда, о позиции ЕСПЧ в фильме не говорилось, выстраивался исключительно образ врага.
Просмотром фильма дело не ограничилось, и перед студентами выступила руководитель областной правовой школы по профилактике экстремизма среди молодежи Алла Быба (видимо, теперь выход на митинг против коррупции считается экстремистским актом). Она не стеснялась применять к студентам методы психологического давления и запугивания, а на попытки начать диалог называла студентов невоспитанными, непрофессионалами, людьми с отсутствием чувства такта и «отвратительными». С себя же она всячески снимала ответственность за происходящее.
Студент: Это нормально, когда вы Навального сравниваете с Гитлером? Вы говорите, что мы ничего не знаем об этом человеке, а вы о нем знаете?
Алла Быба: Это не мы делали этот фильм.
Студент: Но вы нам его показываете.
Алла Быба: Поэтому давайте не будем истерить, а будем цивилизованно дискутировать. Истерики, и про то, что согнали.. Давайте не будем использовать вот эти же методы, что используют по отношению к вам другие люди. Давайте не будем чесать всех под одну гребенку.
Алла Быба: По крайней мере правовая школа никогда никого никуда не сгоняет. Нас пригласила администрация Владимирского государственного университета провести вот такую встречу с молодежью. А кого куда согнали, это вы уже разбирайтесь со своей администрацией, и претензии не в наш адрес. Это наша работа. Мы просто проводим свою работу.
Алла Быба: Очень плохо, девушка, что вы так ничего и не поняли. Вы просто включились в эту модную тусовку, что действительно это борьба с коррупцией. Не перебивайте меня, пожалуйста, я вас не перебивала, и я еще старше вас. Понимаете, надо элементарно уважение иметь к старшим.
На борьбу с теми, кто собрался на законную акцию, пустили, вероятно, лучшие силы. Алла Быба в разговоре с ПроВладимиром призналась, что иногда читает лекции для заключенных. Студенческую же аудиторию она назвала «хорошей», за исключением трех «провокаторов». О них она сказала, что даже в тюрьмах люди ведут себя воспитаннее.
Алла Быба подчеркнула, что она никого не учила и ни к чему не призывала, а делать выводы оставила на совести самих студентов. Выложенные в сеть видео мероприятия руководитель правовой школы не видела, но предположила, что учащиеся разместили только ту часть беседы, где они выглядели «смелыми».
Со студентами на видео Алла Быба разговаривала примерно так же, как медсестра Рэтчет беседовала с пациентами психиатрической клиники в фильме «Пролетая над гнездом кукушки». Запугивая, она говорила, что никого не запугивает, перебивая - что никого не перебивает, оскорбляя - что никого не оскорбляет. И все это произносилось в микрофон холодным, с легкой ноткой сострадания, тоном. На попытки докричаться (без микрофона) Алла Быба парировала, мол, не надо «истерить» и повышать голос. Вывести из равновесия студентам ее удалось лишь однажды, когда как раз указали на тон ее голоса.
Студент: Почему вы нас пугаете?
Алла Быба: Я вас пугала?
Студент: Вы все время говорите «вы что, хотите повторения войны и революции?».
Алла Быба: Я прям таким тоном и так брови насупила?
Студент: Может быть, я утрирую, но...
Алла Быба (перебивая): Вот не надо утрировать, надо быть объективным и честным и не передергивать, понимаете? Вот в этом вот ваша проблема. Провоцируете на конфликт. Нужно всегда умело и профессионально дискутировать. Учитесь.
У Аллы Быбы действительно есть чему поучиться. Например, подмене понятий. Люди, которые вышли на митинг 26 марта, требовали реакции официальных лиц на опубликованное в интернете видео, подкрепленное ссылками на юридические документы. Расследование набрало 15 миллионов просмотров, а до митинга реакции так и не последовало. Вышедшие на улицу требовали наказать одну из сторон: чиновников, если подтвердятся факты коррупции, либо оппозиционеров, если окажется, что сказанное в фильме - клевета.
Алла Быба же, по всей видимости, смотрела какой-то другой фильм. Возможно, тот, который привезла показать студентам. Из ее слов получалось, что Алексей Навальный выводил людей на митинги, чтобы устроить «украинский вариант»:
«Есть гораздо более глубокие проблемы и вопросы. Вы должны прекрасно понимать, что, прежде всего, здесь политические амбиции определенного круга людей. Вы также знаете о том, что все преподаватели на всех занятиях говорят о том, что сейчас идет целенаправленная война в отношении Российской Федерации. Информационная война, кибервойна, и ставка делается на молодежь. Не зря через сети интернет очень интенсивно ведется вербовка в ряды террористических организаций.
Вы это прекрасно все знаете, поэтому нужно глубже смотреть. Можно прикрыться любыми лозунгами. Я еще раз хочу акцентировать ваше внимание на чем? Здесь никто никому не навязывает позицию. Мы в начале встречи сказали, что каждый должен иметь свое мнение. И просто нужно немножко думать. И думать, прежде всего, о своей безопасности и о безопасности своих близких людей».
Далее Быба непрозрачно намекнула, что участников протестных акций ждут неприятные последствия. Уточнять, что именно грозит студентам, она не стала и обошлась туманными формулировками:
«Понимаете, можно оказаться в сложной жизненной ситуации, только потом уже будет поздно из нее выходить. Придется другие усилия прикладывать. Поэтому мы показали материал. Только показали материал, мы даем информацию к размышлению. А право выбирать - это право каждого».
ПроВладимиру не удалось получить оперативный комментарий руководства вуза. Если студентов не сгоняли и не держали там насильно, то непонятно, почему во время откровенно неприятного разговора никто не пытался выйти из зала в знак несогласия или безразличия. Отдельные студенты тем не менее выражали протест, включая с мобильных телефонов фильмы-расследования Алексея Навального.
Участники спросили Аллу Быбу, если это «только разговор» и если она призывает «думать самим», то, возможно, имеет смысл после фильма о том, какой плохой Навальный, показать видеоролики самого Навального. На это руководитель областного правового центра ответила, что «ничего не понимает»:
Алла Быба: А какая вам еще сторона нужна?
Студент: Другая.
Алла Быба: Я что-то не понимаю, какая другая сторона вам нужна?
Студент: Вы нам показали видео против Навального, покажите нам теперь видео Навального, чтобы каждый для себя решил.
Алла Быба: Я ничего не поняла. Вы имеете ввиду про Медведева?
Студент: Любой. Даже начиная с того, что Песков указывает 12 миллионов в декларации, а носит часы за 33 миллиона. Извините, он что - три года на часы копил?
Алла Быба: А вы вместе с ним покупали часы? Вы видели это? Присутствовали?
Студент: Есть свадебная фотография.
Алла Быба: А это вопрос к нему. У вас есть факты, доказательная база?
Студент: А это вам не факт?
Алла Быба: Это не доказательная база.
Студент: Разница в заработке и в доходах.
Алла Быба: Естественно, она и будет разница.
Студент: Сказать, где врут (показывает пальцем на Аллу Быбу)? Вот здесь врут.
Алла Быба: Ведете вы себя отвратительно. У вас вообще чувство такта отсутствует, мне очень жаль, что вы такой невоспитанный человек.
Прелести русского мира и освобождения - не ново, но это переходит границы здравомыслия. Мариуполь сегодня 3 раза был обстрелян установками Град, с территории подконтрольной российскими террористами.
Более 100 жителей ранены, 30 погибших, в том числе 2 ребенка!!!
Русский мир спасает? Русский мир кроме разрухи и культа говновождя ничего не может привнести!
Чувак чудом остался жив. Запись с видеорегистратора. Водителя Газели похоже задело. Последствия - неизвестны(
Солидарен со словами Антона Геращенко:
"Хочу чтоб граждане России и всего мира знали, что в Украине русские убивают русских,
в т.ч. детей.
Посмотрите на фамилии погибших в списке, кроме украинских или татарских там чисто русские фамилии - Попов, Бобинев, Макаров, Кашина, сын Кашиной - Станислав, мальчик 4-5 лет.
Русские в Украине убивают не только украинцев, но и русских и детей и женщин.
Может быть эту мою статью увидят командиры боевых расчетов Градов, которые сегодня дали команду стрелять на жилым кварталам Мариуполя и покончат с собой по кодексу русской офицерской чести? Или после мирных селений Чечни, Дагестана, Грузии чести не осталось?
Может кто то у кого есть информация о том, кто из русских солдат и офицеров тайком, как разбойники воюют против Украины, как те 1200 фамилий и имен, что уже присланы на сайт Миротворец?
В любом случае, рано или поздно, по крупицам мы восстановим фамилии конкретных исполнителей этого акта геноцида украинского народа.
Фамилия организатора и заказчика известна - Владимир Путин."
Откуда стреляли?
С днр конечно. Во время обстрела Мариуполя три установки "Град" выпустили в направлении города полные боевые комплекты - 120 боевых снарядов.
Вердикт миссии ОБСЕ
Согласно анализу оставленных воронок, снаряды из "Града" прилетели с северо-восточного направления, из района населенного пункта Октябрь. Снаряды их "Урагана" выли выпущены с восточного направления, из района населенного пункта Зайченко. Оба этих населенных пункта находятся под контролем самопровозглашенной ДНР.
В обеих случаях - территория подконтрольная российским террористам.
Министр обороны, Степан Полторак сообщает что согласно разведданным было 6 установок Град террористов. Благодаря слаженой работе разведки - 4 удалось уничтожить между первым и вторым залпом.
"Средства нашей разведки определили координаты Градов. Там было 6 систем залпового огня БМ21 Град, 4 из них уничтожены нашей артиллерией. Я получил доклад об этом буквально только что от руководителя сектора "М", - заявил он.
Вместе с тем, по словам Полторака, разведка сообщает о стягивании террористами дополнительных "Градов", в связи с чем ВСУ укрепляют артиллерийские подразделения, подтягивая резервы.
Я специально выделил жирным что Град уничтожен АРТИЛЛЕРИЕЙ!!! Будьте осторожны, в сети расползлась фейковая инфа о том, что уничтожены базы террористов именно авиацией. ЭТО ЧУШЬ и Фсб шная пропаганда!
Украина не использует авиацию согласно минским соглашениям. Поэтому не поддавайтесь на высеры кремлеботов!
Дальше, СБУ перехватывает разговор с наводчиком террористических установок Град.
Сам разговор главарей террористов т.н. «ДНР», в момент планирования обстрела Мариуполя.
«Это является доказательством циничных и сознательных преступлений против человечности, спланированных и совершенных на территории Донецкой области террористами. В разговоре боевик с т.н. ДНР по прозвищу «Террорист» дает из Донецка команду на применение реактивных систем залпового огня против мирных жителей Мариуполя. Его подельник «Пепел» выражает готовность выполнить приказ на обстрел густонаселенного жилого массива города, а затем докладывает о результатах », - говорится в сообщении СБУ.
Вывод? Разружено 53 многоэтажки, 4 школы, 3 детских сада. 30 людей погибло, 2 из которых дети. Более 100 ранены от незначительной до тяжелой степени.
Нужно быть совсем безмозглым чтобы верить высерам этих пиздунов, что они не причастны. Они не понимают, что только россиянин может безпричинно убивать кого угодно, и даже своих земляков россиян. Чечня, Беслан, Грузия, Украина, Армения тому подтверждение. Ну видать скоро и до них самих черед дойдет, сам Боженька велел.
Лучше чем эти слова - не придумаешь:
Кирилл Рогов: К спорам о "Левиафане".
Левиафана я посмотрел, но речь сейчас не о кино. Нижеследующие пять слов навеяны сиюминутными впечатлениями от происходящего в разных местах и заведениях, впечатлениями текущего. Вот этим всем бытовым институциональным "крымнашизмом", который повезде как трава лезет в рост.
Простая медицинская констатация состоит в том, что все, к чему ни коснется ваша рука "русского возрождения", превращается в какое-то непереносимое институциональное г..вно. Оно прет из вас и прет, и ничего вы не умеете, кроме него, и ничего после вас, кроме него, не остается. Ни старых зданий, ни памятников, ни культуры, ни благих намерений.
Русофобия, говорите? Идите в ж..у. Большей русофобии, чем вы - с вашей "новой Москвой", наляпанной на уничтоженных архитектурных памятниках, с вашей выдуманной Новороссией и никогда не бывшим крещением в Корсуне, нет и быть не может.
Это вы рассадили по университетам, церквям и судам воров и проституток, а кто возопит против воров и проституток в церквях и судах, - тот у вас враг церкви и русофоб. Вы русогубы.
Мы ненавидим Россию? Нет, только тот слой дерьма вашей безбожной алчности, которым вы ее покрыли. Это не цитата и я не выпил, просто фейсбук меня спрашивает, о чем я думаю. Я ответил...
п.с.Частично использованы ссылки LEXfes (позаимствовал из Перца) и присланное SobakaBalabaka
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин. То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора: Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами. И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств… Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено. Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД». Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два. Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий? Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Думские единороссы захотели сажать на 10 лет за антироссийскую пропаганду
По инициативе единороссов в Госдуме готовится законопроект об уголовной ответственности за антироссийскую пропаганду.
По сообщению Независимой газеты, рамки этого понятия могут оказаться настолько широки, что привлечь к ответственности можно будет любое издание, мнение которого не совпадает с мнением Кремля.
Глава юрслужбы КПРФ Вадим Соловьев сообщил, что в случае принятия закона "мы будем чем-то напоминать Украину, где граждан сегодня активно подавляют именно за их негативные оценки в адрес власти". Хотя с введением уголовной ответственности он согласен.
В КПРФ заявили, что готовят собственный аналог подобного закона с чётко прописанным понятием "антироссийской агитации". Соловьёв уверен, что уголовную ответственность нужно ввести, например, за публичные заявления о наличии российских военных на Донбассе, вопреки уверениям властей в обратном.
Один маленький законопроект для думы - один большой шаг к образцу КНДР.
Сижу на реакторе лет 7, погружен очень поверхностно - аккаунта никогда не было, листал ленту и по сути все. Ниже будет тема, мнение о которой хотелось бы узнать у пользователей с России в первую очередь. Пишу это здесь, ибо судя по комментариям большинство юзеров критически оценивают нынешнюю ситуации в своей стране.
Сам я из Беларуси и вижу все только со стороны, поэтому и нужна ваша помощь. Сразу извиняюсь, сначала свое отношение хотел излить в конце материала, но тогда все смешается в кучу, поэтому иногда будут вставки моего ниначтонепретендующего мнения.
Экспозиция
Просиживаю бесценные годы своей жизни в том числе на сайте sports.ru (не реклама) в разделе футбола, где тоже основная масса пользователей из России. Буду вдвойне рад, если тут есть посетители данного ресурса и выразят свое экспертное мнение.
Кто не знает, сайт довольно ловко собирает трафик с провокационных заголовков в стиле:
Юзеры вполне адекватные, смешные шутки в комментах, периодический срач, обличение ботов, критика власти / продажных журналистов и спортсменов в соответствующих новостях.
Завязка
Но как только новости касаются Украины, начинается кромешний ад. Сразу хотел сделать скриншоты примеров, но честно не хочу второй раз пропускать через себя все это, поэтому пишу по памяти. Все кто усомнится в правдивости моих слов, могут отсортировать новости по тегу политика и выбрать самые обсуждаемые в качестве подтверждения.
Так вот, людей под такими новостями как-будто подменяют. Комментарии самые разношерстные, поэтому приведу примеры в виде основных тезисов.
1. Украина сама виновата в отжиме Крыма и войне на Донбассе из-за:
- притеснение русских и запрета русского языка - эти земли исконно русские и были переданы Украине советской властью - Киевская Русь была изначально колыбелью Российского государства, а Украина есть искусственное образование
ИМХО: тут забавно, читал такое же и про Беларусь, хотя исторически Беларусь больше связана с Литвой и Польшей, чем с Россией
- украинцы отправляли своих воевать в Чеченской войне против (не в теме) - отжима территорий после развала совка (тоже не в теме)- Украина напала, а Донбасс хотел мирно освободится - не надо было сближаться с НАТО и обещать размещать военные базы в Крыму ...и другие менее популярные причины
2. Тема притеснения, ненависти, ситуации в самой Украине и в мире (да часть пунктов была и в первом тезисе, но тут немного о другом)
- в (на) Украине много националистов, а обычные люди страдают из-за того что им запрещают говорить по-русски и быть русскими
ИМХО: был в Киеве до 14 года, во Львове, Карпатах и еще в ряде других мест после 14 года, спокойной говорил на русском, никаких притеснений не чувствовал. Единственное, могу сделать предположение, что это все туристические места, где деньги важнее принципов (хотя тот же Львов считают домом националистов и меня например, пострадавшие от пропаганды родственники, отговаривали ехать говоря что меня там ограбят / изобьют / расчленят)
- искусственно насаждают политику ненависти к России и россиянам - у них там все рушится, бедность, смертность - и вообще нету белого и черного, на Западе все тоже самое и у них свои интересы здесь, Украину просто используют
3. Сайт русофобный, потому что предоставляет информацию в "выгодном для либералов" свете
Тут нужно пояснить на 2 примерах.
3.1. Недавно была мини-футбольный матч между Россией и Украиной, на котором украинские фанаты кричали (первое) оскорбления в адрес Путина и (второе) призывали убивать русских (текст можно спокойно найти). Было около 5 новостей о первом, и только после всеобщего бомбежа в комментах появилась новость о втором.
ИМХО: с тезисом что нужно писать о всем, а не только о том, что удобно полностью согласен. Редакция села в лужу с таким преподнесением материала.
3.2. Критика того, что на сайте много политики для спортивного сайта и вся она в основном преподносится негативно по отношению к стране
ИМХО: На сайте очень часто постят политические новости, условно связанные со спортом или например, мнения чиновников. Очевидно для собирания трафика, хотя с другой стороны периодически вижу комментарии людей, что они аполитичны, не хотят читать такое, а им навязывают. И тут у меня полная поддержка сайта (пойму весь негатив к этому мнению), с баянистой цитатой - Если ты не интересуешься политикой, она заинтересуется тобой.
Кульминация
Комментарии носят довольно агрессивный и часто фанатичный на мой взгляд характер (но периодически по делу или я могу понять, хоть и не согласен). Такие новости кишат ботами, но большинство людей там реальны, не сложно проверить их аккаунты и комментарии к другим новостям. И это не один и не два, это десятки комментариев с сотнями плюсов (а сколько там еще даже думать не хочу) под каждой новостью.
Так вот, в чем вопрос. Откуда, у казалось бы адекватных людей, резко такое переключение в восприятии реальности?
После того как читаешь все это начинаешься сомневаться. Может я чего-то не знаю, все же не живу ни в России, ни в Украине? Может действительно они правильные вещи пишут?
Стараюсь критично мыслить. Вроде нет какой-то особой любви к Украине, я также горю с новостей о угрозах убийств фанатами, где украинским спортсменам не рекомендует фотографироваться и стоять рядом с российскими, где такие-же как и в России неадекватные чиновники выдают очередную дичь.
Предполагаю, на спортивных сайтах доля старшего поколения куда выше (клоню к тому, что среди них больше людей таких взглядов). Но ведь если они сидят на таком ресурсе, значит умеют пользоваться интернетом, видят новости с разных сторон и опять же, в других новостях также спокойной критикуют власть своей страны.
Эпилог
У меня нет знакомых ни в России, ни в Украине, но я был и там и там. Могу сказать, что в моем окружении из тех, кто интересуется политикой, к России мнение от нейтрального / положительного за последние года сильно ушло в опасение и негатив. И это печально. Конечно в этом виновата власть, и это не сложно понять. Но когда видишь такие вот комментарии, начинаешь это переносить и на обычных жителей. Кажется что их много.
Меня это привлекло еще и тем, что схожий стиль, но в более мягком проявлении я видел, когда в новостях была беларуская повестка. Я могу понять соблазн назвать нас братьями, единым народом, ведь здесь 99% людей говорит на русском. Но мало кто пытался понять причины такой ситуации, полистать исторические материалы.
Больше всего не понятно это желание объединять земли от обычных людей. Им же это вообще ничего не даст, неужели Крым ничему не научил.
Спасибо тем кто дочитал, понимая специфичность реактора, готов к полному игнорированию или негативу. Никаких обид
Кажется кого то так напугали протесты у соседей что решили заранее подчистить все возможные варианты лица оппозиции которое могло бы возглавить протесты тут) Пиздец господа.
Отличный комментарий!