Россия продолжает активно "спасать русское население от украинских нацистов"
Из-под завалов дома в Киеве, который был обстрелян сегодня утром, спасатели смогли достать 36-летнюю женщину. Ею оказалась россиянка Екатерина Волкова. Как сообщил советник главы МВД Украины Антон Геращенко, удалось также спасти ее восьмилетнюю дочь. Муж россиянки погиб в результате обстрела дома.
Ракетный обстрел по Киеву утром в воскресенье, 26 июня, был нанесен из региона Каспийского моря, известен и тип ракет. Об этом рассказал спикер командования Воздушных сил ВСУ Юрий Игнат во время телемарафона.
По его словам, Россия применила стратегические бомбардировщики Ту-95 и Ту-160 из региона Каспийского моря.
Развернуть
Отличный комментарий!
Блять.... я надеялся, что бомбардировщики, которые дорабатывал я и чинил я сразу после универа на одной госпомойке в этом участие не принимают. блять
Учительница (видать году в 1945) спрашивает детей: - Дети кто и как из вас помогал фронту? Настя: - Я высылала на фронт кисеты с табаком. Маша: - Я помогала маме делать перевязки. Учительница: - Молодцы! Вовочка: - А я подносил солдатам снаряды! - Вовочка, да ты же настоящий герой! Тебя поблагодарили? - Да, мне сказали "Зер гут, гут, Вольдемар!"
я конечно не поддерживаю "коллективную ответственность", но в каком-то смысле правы те кто говорит что все платят нологи, все ответственны.(хотя я всё равно с этим не согласен).
но куда деться с этой ёпаной "подводной лодки" даже если нифига не поддерживаешь курс корабля и капитана? все кто мог(были средства) уже давно сели в шлюпки и отчалили, и отплыв подальше, чтоб не словить пиздюлей, критикуют капитана и приспешников, взявших в заложники всех пассажиров, и идущих на абордаж других кораблей.
как кто-то сказал: "преступники захватили государство, и сделали его своим инструментом для своих преступлений" причём до последнего времени большая часть цивилизованых стран ручкалась с этими преступниками, снабжали их деньгами и технорлогиями в обмен на дешевые ресурсы, и закрывали глаза на их преступления внутри страны и немножко снаружи. тут у преступников разыгрался оппетит, и ой, а как же так? а почему? ну теперь то мы видим что они преступники и террористы! так что "коллективную ответственность" можно натянуть на весь глобус. так что все будут виноваты в той или иной степени. поэтому и не поддерживаю этот принцып.
Такое впечатление что России от дорожающей нефти ничего не перепадет.
Токсичные баррели. В России стало негде хранить непроданную нефть
Бойкот российской нефти, к которому присоединились крупнейшие европейские энергокомпании, поставил отечественную нефтяную промышленность на грань сокращения добычи.
Из-за резкого падения экспорта в России образовался избыток непроданных баррелей, и «Транснефть» ввела ограничения на прием сырья от добывающих компаний, сообщает Reuters со ссылкой на четыре источника на рынке.
Транспортная монополия, которая управляет крупнейшей в мире сетью трубопроводов, без оговорок принимает в систему лишь нефть, на которую уже есть покупатель, говорят источники Reuters.
По их словам, решение связано с тем, что в хранилищах «Транснефти» накопился такой объем нефти, что это уже создает угрозу нормальной операционной деятельности.
После начала войны в Украине российским нефтяникам пришлось отложить или отменить продажу десятков партий сорта Urals, который становится все более «токсичным» в глазах потребителей и торгуется с рекордной в истории скидкой - более 30 долларов за баррель.
В середине месяца не смогли реализовать Urals «Сургунефтегаз» и «Зарубежнефть». На прошлой неделе такая же судьба постигла Litascо. Трейдер «Лукойла» выставил на тендер партию с отгрузкой 1-5 апреля, но не встретил спроса, даже предложив дисконт в 31,25 доллара за баррель.
К 28 марта морской экспорт нефти из России упал почти на 2 млн баррелей, до 2,3 млн баррелей в сутки, оценивают аналитики Kpler, отслеживающие танкерные перевозки. С учетом трубопроводных поставок, которые составляют около 1 млн баррелей в день, сокращение достигает почти 40%.
По оценкам Bloomberg, за одну неделю - с 17 по 23 марта - экспорт сократился на 26% и составляет 3,63 млн баррелей в сутки.
У нефтетрейдеров, которые все же решились взять Urals, возникают проблемы с поиском конечных покупателей, из-за чего их танкеры беспомощно блуждают в море, превращаясь в плавучие хранилища.
С начала войны нефти в танкерах стало больше на 11%, отмечает Бен Кахилл, старший научный сотрудник CSIS. C учетом нефтепродуктов санкции вырезали с рынка от 2 до 3 млн баррелей российских поставок ежедневно, оценивает он: трудности в основном связаны с экспортом морем, поскольку в этот процесс включено множество участников - от танкерных перевозчиков до банков и страховых компаний, - каждый из которых оценивает риски для своей репутации.
Пока не видно, чтобы перебои с экспортом влияли на добычу крупных публичных компаний, но вероятно, снижение будет заметно в мае, пишут аналитики Райффайзенбанка.
Argus прогнозирует, что уже в апреле нефтяникам придется сокращать производство - на 800 тысяч баррелей в сутки. Международное энергетическое агентство рисует еще более мрачную картину: в ближайший месяца России потеряет треть нефтедобычи, или 3 млн баррелей в день.
Про роскошь это они зря. Я немного мониторю ватные клоаки и там немытая бомжота которую годами унижал пыня, просто счастлива что средний класс и элита не смогут теперь путешествовать, покупать нормальные вещи, пользоваться технологиями. Когда закрыли макдак и заглушили консоли у них там просто праздник случился судя по коментам а тут ещё и роскошь зажмут. 95% орков не то что позволить себе её не могли, они даже рядом с ней не стояли.
Собянин рассказал о снижении числа тестов на коронавирус в Москве из-за недостатка пипеток
На неделе, закончившейся 19 апреля, число тестов на коронавирус в Москве снизилось из-за недостаточного количества пипеток, сказал мэр Сергей Собянин в интервью «России 24».
«Просто пластиковые пипетки для того, чтобы раскапать пробы по анализаторам и так далее, они специфичные, маленькие, казалось бы, совершенно никчемные, но их достать не так просто. [Мы достаем] с трудом, заключая контракты и вытаскивая из-за рубежа все расходные материалы, которые нужны для этого», — приводит слова Собянина «Интерфакс».
Говоря о распространении COVID-19 в Москве, Собянин заметил, что «драматической ситуации роста» нет, вместе с тем, по его словам, «проблема не уходит, она нарастает».
«Я, к сожалению, не могу сказать, что мы вышли на плато или что у нас какая-то позитивная динамика. Более того, я вижу, что мы даже середину пути не прошли», — сказал мэр Москвы (все цитаты по «Интерфаксу»).
Меня порвало ещё когда людей маски просили надевать и уже было видно что все крышей поехали. Сразу все стали знатоки по плотности ткани, у все оказались одышки\пневмонии\ангины\рак жопы, все начали проводить сравнения с собаками в намордниках(как будто они им надевают их) и тд. Любителям "не заниматься бесполезной деятельностью", тоже привет.
Это пиздец. почитал всю цепочку, Едро открыто фальсифицирует выборы, некий аспирант МГУ Азата Мифтахов бомбит, и идет и разбивает стекло в конторе жуликов и воров. Его вяжут, и вроде как 3 месяца могли дать, не больше. Но под пытками паренек признает в чем нужно, и ему уж ставят другую статью и закрывают на 6 лет. Школьники же раздосадованные такой несправедливостью, расклеивают листовки в поддержку Азата, их хватают ФСБ, отбирают телефоны, смотрят до чего бы доебатся, и находят вот эту акцию в майнкрафт. Госадвакат предлагает ребятам согласиться на все, так мол будет лучше. Сейчас им паяют "Организация террористического сообщества и участие в нем". Это в то самое время когда настоящие террористы призывают резать головы, и к ним вопросов нет. В общем это пиздец кромешный. Зовите Ясна. Тут реально делать нечего, только валить.
«Роснефть» увеличила выплаты топ-менеджерам на 586%
Суммарное вознаграждение членам правления «Роснфети» во втором квартале 2021 года составило 2,95 млрд рублей, следует из отчетности компании по РСБУ.
По сравнению с январем-мартом (430 млн рублей) выплаты топ-менеджерами выросли на 586%, или почти в 7 раз, а накопленным итогом за полгода достигли 3,38 млрд рублей.
9 членов правления в среднем получали, таким образом, около 3,6 млн рублей в час, или почти 60 тысяч рублей в минуту (исходя из того, что полугодие включало 941 рабочий час при 40-часовой рабочей неделе).
При том что заработная плата правления снизилась на 25%, до 135 млн рублей, а вознаграждение за работу органе управления практически не изменилось (20 млн рублей), время выплаты за время нахождения в командировках подскочили на 86% – до 442,6 млн рублей.
Эта «динамика объясняется ростом количества дней нахождения в командировках и доплатой за работу в выходные дни в период командировок по производственной необходимости», пояснили «Интерфаксу» в «Роснефти».
Основную часть выплат составила премия в размере 2,35 миллиарда рублей в рамках практики «мотивации высшего управленческого звена».
«В условиях неблагоприятной макроэкономической среды в отчетном периоде удалось достичь роста финансовых и производственных показателей, привлечь новых партнеров в совместные проекты, начать активную реализацию проекта «Восток Ойл» на севере Красноярского края, провести оптимизацию добычного портфеля компании. Также в течение первого полугодия 2021 г. стоимость акций ПАО “НК «Роснефть» на бирже выросла более чем на 31%», – подчеркнули в компании.
По итогам первого полугодия «Роснефть» заработала 382 млрд рублей чистой прибыли по МСФО и на 39% увеличила выручку, несмотря на то, что ее добыча держится на 9,9% ниже прошлогодней – 4,869 млн баррелей в сутки.
Чистый долг компании (за исключением предоплатных контрактов) вырос с 40,4 до 41,9 млрд долларов.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин. То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора: Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами. И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств… Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено. Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД». Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два. Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий? Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Отличный комментарий!
- Дети кто и как из вас помогал фронту?
Настя:
- Я высылала на фронт кисеты с табаком.
Маша:
- Я помогала маме делать перевязки.
Учительница:
- Молодцы!
Вовочка:
- А я подносил солдатам снаряды!
- Вовочка, да ты же настоящий герой! Тебя поблагодарили?
- Да, мне сказали "Зер гут, гут, Вольдемар!"
я конечно не поддерживаю "коллективную ответственность", но в каком-то смысле правы те кто говорит что все платят нологи, все ответственны.(хотя я всё равно с этим не согласен).
но куда деться с этой ёпаной "подводной лодки" даже если нифига не поддерживаешь курс корабля и капитана?
все кто мог(были средства) уже давно сели в шлюпки и отчалили, и отплыв подальше, чтоб не словить пиздюлей, критикуют капитана и приспешников, взявших в заложники всех пассажиров, и идущих на абордаж других кораблей.
как кто-то сказал: "преступники захватили государство, и сделали его своим инструментом для своих преступлений"
причём до последнего времени большая часть цивилизованых стран ручкалась с этими преступниками, снабжали их деньгами и технорлогиями в обмен на дешевые ресурсы, и закрывали глаза на их преступления внутри страны и немножко снаружи.
тут у преступников разыгрался оппетит, и ой, а как же так? а почему? ну теперь то мы видим что они преступники и террористы!
так что "коллективную ответственность" можно натянуть на весь глобус. так что
все будут виноваты в той или иной степени.
поэтому и не поддерживаю этот принцып.