база наемников

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.

Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19

Вот элитного посёлка «Жуковка»:

Вот клиенты в Барвихе, включая местный Альфа-Банк:

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:

Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:

Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):

Ещё через 5 дней я решил поинтересоваться результатами проверки информации:

на что мне ответили, что всё исправили:

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:

и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.

Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.

И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.

Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e

Ответ на сюжет НТВ

Молодое поколение чеченских террористов

ссылка на гифку

В соцсетях появилось видео, размещенное в Instagram сыном Шаа Турлаева (советник Кадырова), на котором ребенок лет 8–9, одетый в форму сотрудника Росгвардии, стреляет из ручного противотанкового гранатомета в сторону гор, после чего кричит: «Ахмат — сила! Аллаху акбар!»

На груди у него нашивка с фамилией «Межидов». Судя по всему это сын Хусейна Межидова, командира 249-го отдельного специального моторизованного батальона «Юг» ордена Жукова. Недавно Кадыров вручил Хусейну Межидову медаль «За отличие в охране общественного порядка» на мероприятии, посвященном 15-летию батальона.

Видео со стрельбой в такой же обстановке публиковал и Межидов-старший. На нем такая же форма, как и на мальчике. В посте он сообщил, что происходило все на территории войскового стрельбища отдельного специального моторизированного батальона «Юг».

Шаа Турлаев в 2010 году был объявлен в федеральный и международный розыск по подозрению в причастности к заказному убийству депутата Госдумы Руслана Ямадаева в Москве, также он был заказчиком покушения на мэра дагестанского Хасавюрта Сайгидпаши Умаханова. Австрийская прокуратура называла его причастным к убийству экс-охранника Рамзана Кадырова Умара Исраилова в Вене. В 2014-м оперативники отчитались, что установить местонахождение Турлаева «не представляется возможным», и его данные исчезли из базы розыска МВД РФ. Однако Кадыров его не скрывает: в 2018 году Турлаев попал на видео с Кадыровым.

https://www.znak.com/2021-07-01/v_chechne_rebenok_v_forme_rosgvardii_vystrelil_iz_granatometa_so_slovami_ahmat_sila

Информация The Bell похожа на правду

Потребовали они, блядь

Правительство России в четверг утвердило Концепцию технологического развития до 2030 года, в которой потребовало от ученых резко увеличить количество изобретений, а от бизнеса — в кратчайшие сроки создать с нуля производство в наукоемких и высокотехнологичных отраслях.

Согласно документу, уже через 7 лет Россия должна обладать «собственной научной, кадровой и технологической базой критических технологий», а также почти полностью обеспечить себя продукцией, которая традиционно импортировалась из развитых стран.

Речь идет о чипах, микроэлектронике, высокоточных станках, робототехнике, беспилотниках, а также лекарствах, медицинском и телекомоборудовании. К 2030 году 75% внутренних потребностей экономики в этих товарах должно обеспечиваться отечественным производством.

В 1990-е годы из-за «фронтальной либерализации экономики» произошла «дезинтеграция» научно-технологической системы, была «утрачена возможность реализации крупных научно-технологических и промышленных проектов», а экономика перешла к модели к модели «импорт технологий в обмен на сырье», говорится в стратегии.

С середины 2000-х годов, согласно документу, снова стартовал процесс «ускорения технологического развития» и была предпринята попытка заново интегрироваться в мировое научное пространство. Но результатов она не принесла: доля российских изобретений в мире с начала 2000-х годов рухнула вдвое, до 0,9%, а число занятых в научной сфере сократилось на четверть, признают авторы документа.

«Российская экономика остается в критической зависимости от импорта продукции микроэлектроники, биоинженерии, ряда других высокотехнологичных товаров и услуг», — констатирует правительство.

Эта зависимость. согласно концепции, должна быть ликвидирована в ближайшие годы в условиях санкций и технологической изоляции. Так, количество предприятий, использующих инновации, к 2030 году должно увеличиться на 60%, а число патентов на изобретения от российских ученых — в 2,4 раза.

В прошлом году, согласно подсчетам ВШЭ, заявители из РФ подали 18970 патентных заявок на ноу-хау — минимальное количество за 13 лет доступной статистики. По сравнению с 2016 годом число российских изобретений рухнуло на 30%, а если сравнивать с 2010-м годом — почти в 2 раза.

Для реализации амбициозных планов, согласно концепции, правительство намерено запустить не менее 10-15 научно-производственных мега-проектов. «В качестве первоочередных мега-проектов следует выделить производство линейки гражданской авиатехники, включая беспилотные авиационные системы, разработку и производство средне- и высокооборотных дизельных двигателей, станков и робототехники, оборудования для производства сжиженного природного газа, турбин, микроэлектроники, малотоннажной химии и фармацевтических субстанций», — говорится в документе.

Цель — достижение «технологического суверенитета», подчеркивается в стратегии. Причем, добиваться его власти планируют без существенных инвестиций. В прошлом году госрасходы на гражданскую науку были урезаны впервые за 6 лет — с 626,6 до 569 млрд рублей. И их заметного увеличения в бюджет не заложено: 597,2 млрд рублей в 2023 году и 580,7 млрд в 2024-м (данные ВШЭ).

для важных переговоров

Талибан запретил женщинам разговаривать..

...с другими женщинами. С августа в Афганистане ввели запрет на «женский голос»в общественных местах, теперь женщинам запрещено публично друг с другом общаться или слушать тех, кто этот закон нарушает.Ранее талибы уже ввели ряд запретов для женщин: им нельзя учиться, путешествовать без мужчины, публично общаться. Женщинам также запрещено посещать парки, заниматься спортом, плавать. Закрыты салоны красоты и женские приюты, а закон, направленный на защиту женщин от насилия, был отменен.

Итоги сво