Результаты поиска по запросу «
модель паровоза
»
Вторжение в Украину 2022 политика
Отличный комментарий!
Как сказал Александ Невзоров: путину удалось наебать весь мир, рассказами о том, что якобы у него есть армия, показывая мультики про ракеты, которые "летят и плавятся, тысячу махов в секунду".
Сейчас Китай и Турция охуевают от того, как это путину удалось так жёстко наебать весь мир. (Охуевают и делят карту россии между собой).
Сейчас Китай и Турция охуевают от того, как это путину удалось так жёстко наебать весь мир. (Охуевают и делят карту россии между собой).
Shane Walsh28.02.202210:58ссылка "Единственное чему солдат действительно очень хорошо научили - это изумительно жалостно плакать при попадании в плен и врать про то, что он думал, что он на учениях" - Глебыч красавчик как всегда... "В общем зря показал путин свою армию в деле.. ой как зря"
умное голосование выборы выборы 2021 Путин-хуйло длиннопост длиннотекст политота
Умное голосование. Списки и кандидаты
Привет реакторчане-жители РФ. По причине того, что в вашей стране банятся все источники умного голосования, а не все люди достаточно компетентны и мотивированы, что бы выискивать ссылки самостоятельно выкладываю их сюда в текстовом формате. Благо я вне железного занавеса и на хую вертел преступный режим, а как оказалось в комментах под постом http://polit.reactor.cc/post/4927747 - жители рф боятся выкладывать сами, т.к. это может стать причиной уголовного преследования. Возможно бросание ссылки на ноунейм для широких масс развлекательный сайт будет более безопасно, тем более в посте отсутствуют ссылки, которые могут распознаваться ботами, а так же текст, а списки я залью картинками, что конечно усложнит поиск, но возможно поможет с безопасностью. Все взято с гуглодоков предоставленных реакторчанами в лс.Сразу же просьба к тем у кого сохранился доступ/скрины - проверьте правильные ли это списки, я читал, что создается много фейков.И наконец ответ на вопрос "зачем я это делаю?" - чем меньше у хуйла и его партии власти, тем меньше пуль будет выпущено по моим согражданам.
Дума:
РЖД дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой информационная небезопасность политика
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
В поисках
Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
6. Внутренние сервисы
Различные системы управления табло на перронах :-)
Некий терминал, но внутри модифицированный дебиан.
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Развёрнута профессиональная система видеонаблюдения.
Нашёл презентацию по вокзалам.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».
Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два.
Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Кстати, Евгений Игоревич, с повышением!
Источник
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
В поисках Немо владельца системы
Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt![4r G A He3amnmeH0 | 10 4/cgi/url_redirect.cgi?url_name=mainmenu © System © Summary [J»l Java iKVM Viewer v1.69.26 [1 .4] - Resolution 1024 X 768 - FPS 9 Virtual Media Record Macro Options User List Capture Power Control Exit © FRU Reading © Hardware Informatioi Vttuare ESXi 6.0.0](//img0.reactor.cc/pics/post/%D0%A0%D0%96%D0%94-%D0%B4%D1%8B%D1%80%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-6421376.png "РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность")
![4r G A He3amnmeH0 | 10 4/cgi/url_redirect.cgi?url_name=mainmenu © System © Summary [J»l Java iKVM Viewer v1.69.26 [1 .4] - Resolution 1024 X 768 - FPS 9 Virtual Media Record Macro Options User List Capture Power Control Exit © FRU Reading © Hardware Informatioi Vttuare ESXi 6.0.0](http://img0.reactor.cc/pics/post/%D0%A0%D0%96%D0%94-%D0%B4%D1%8B%D1%80%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-6421376.png "РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность")
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)![4r O A He3aiiii/iuieHO | 10 131 M0X3 j Main Menu Cl Overview Cl Basic Settings Cl Network Settings l'C3 Serial Settings LCl Port 1 1Operating Settings LCl Port 1 Cl Accessible IP Settings 1-^3 Auto warning Settings l-Q E-mail and SNMP Trap ;-Q Event Type ] Digital 10 |-Q DIO Settings 1 Cl DIO](//img0.reactor.cc/pics/post/%D0%A0%D0%96%D0%94-%D0%B4%D1%8B%D1%80%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-6421378.png "РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность")
![4r O A He3aiiii/iuieHO | 10 131 M0X3 j Main Menu Cl Overview Cl Basic Settings Cl Network Settings l'C3 Serial Settings LCl Port 1 1Operating Settings LCl Port 1 Cl Accessible IP Settings 1-^3 Auto warning Settings l-Q E-mail and SNMP Trap ;-Q Event Type ] Digital 10 |-Q DIO Settings 1 Cl DIO](http://img0.reactor.cc/pics/post/%D0%A0%D0%96%D0%94-%D0%B4%D1%8B%D1%80%D0%B0-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-6421378.png "РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность")
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Нашёл презентацию по вокзалам.
macroscop
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».
Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два.
Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Кстати, Евгений Игоревич, с повышением!
Источник
https://habr.com/ru/users/LMonoceros/ - UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Премию дадут?
SasnyiSosok13.01.202117:19ссылка Аванс: его жизнь.
Оплата: его не посадят.
Оплата: его не посадят.
Хермоус Мора13.01.202117:19ссылка
боевой кот мурз нытьё ваты Война в Украине многобукв политика
Искал медь, а нашёл золото. Очередное нытьё пидораса Мурза, но аргументированное. Кроме последнего пункта, где влажные надежды, его можно читать что бы чисто поржать.
Увы, нет времени сейчас на какие-то пространные комментарии по ходу боевых действий, которые я обычно пишу лонгридами в ЖЖ, так что напишу здесь кратко простую и очевидную фундаментальную вещь. В нескольких частях.
Чтобы переходом от радости по поводу взятия Артёмовска, если оно успеет случиться до Последующих Событий, к собственно Последующим Событиям порвало на кусочки поменьше читательских шаблонов. Хочется хотя бы немного снизить шансы на скатывание общества в стадию массового общественного одобрения событий а-ля февраль 1917-го, хотя именно в эту сторону нас тащат выдающиеся таланты нашего военно-политического руководства.
Повторюсь, вещи буду писать простые, совершенно очевидные. И тем не менее, большинством не осознаваемые.
I.
Уже 100+ лет оборона, когда она есть и работает, стоит на трёх вещах - опытных кадрах среднего звена, работающей связи, позволяющей им руководить войсками, то есть в первую очередь на кадрах этой связи, на связистах, и на артиллерии, то есть, опять же, на опытных умелых артиллеристах.
"Что мне прицелы, сынок!" (с)
В свою очередь, наступательная операция складывается из, условно, "фазы вложений", когда вы несёте потери, прорывая оборону противника, если вы, конечно, её прорываете. Потери вы несёте, при прочих равных, как правило, куда большие, чем обороняющийся противник, и "фазы получения прибыли", когда прорывы фронта реализуются в быстро захлопывающиеся котлы, в которых остаются те самые кадры, на которых у противника строилось всё то, что вы с таким трудом прорывали. Их гибель или плен в котле - это и есть главный "доход" операции. Успевает враг сбежать, вытянуть войска из "котла", хотя бы и бросив тяжёлую технику, - результаты операции становятся сомнительны, потому что вы свой трудно восполнимый ресурс в виде людей положили, а противник, попотрошив как следует ваши наступающие части, свалил.
Кто помнит, на финальной стадии взятия Лисичанска я писал в ЖЖ именно об этом. Сбегут оттуда "ценные военспецы противника" - фронт потом надолго стабилизируется в районе Северска, потому что наши, измотанные боями за Северодонецк, Лисичанск и прочие взятые населённые пункты, столкнутся с противником, которому будет на что "сесть" обороняться не только в плане каких-то укреплений, но и в плане связи и артиллерии.
Что будет означать сейчас взятие Артёмовска? То, что противник считает исчерпанным оборонительный потенциал этого района. Командование ВСУ не устраивает соотношение потерь наступающих и обороняющихся, и оно, вполне возможно, действительно уже выводит из города наиболее ценные части, ценные кадры, заменяя их мобиками и "теробороной". Задача которых суррогатов - дать уйти, привестись в порядок и встать на новые позиции новых оборонительных линий тем, кто дальше будет потрошить очередных "штурмующих".
Россия получит руины города и его окрестностей, море пиара и победоносных реляций. А потом...
II.
А потом начнётся боевое применение ВСУшниками тех резервов, которые они накапливали всё то время, пока мы свои резервы, плохо подготовленные и управляемые, расходовали в "штурмах" на фронте от Угледара до Кременной.
Всё то время, пока ВС РФ воевали прошедшим летом, осенью и зимой чересполосицей ВС РФ, "барсов", "ахматов" и различных ЧВКашников, ВСУ учились полноценно воевать "большими батальонами", бригадами, а потом и корпусами, которые они сейчас создают в тылу и обкатывают за то время, которое им купила оборона Артёмовска.
ВС РФ свои самые острые "танковые клинья" оболомали в самом начале войны и в ходе "деэскалации", потом старательно добивали их в менее масштабных, но не менее шизоидных массовых мероприятиях. Уже летом на фронт массово потянулись с хранения старые Т-72, началась расконсервация антикварных Т-62, "лысые" ранние Т-72 и Т-80, приходящие в качестве пополнения в танковые части Республик стали обычным делом. Разумеется, боевые потери соответствовали уровню защищённости машин...
Впрочем, не в одних танках дело и не в них в первую очередь, не в железе. Терялся, стачивался тот личный состав с нашей стороны, который ещё мог стать мотострелковым "плечом" этих "танковых клиньев". Терялись на "штурмах" опытные разведчики, сапёры.
Вообще, слово "штурм" стало индульгенцией на любое блядство. Отсутствие нормальной разведки, подготовки, обучения личного состава, на любые потери, в том числе потери техники. Продолжение "мясных штурмов" позиций противника на огромном фронте плохо обученными войсками в ситуации острого дефицита артиллериского БК ради взятия Артёмовска - это преступление, с последствиями которого мы скоро обязательно столкнёмся.
Столкнёмся, когда ВСУ введут в бой свои подготовленные части, способные работать на совершенно ином уровне скорости и качества принимаемых решений, нежели наши. Свежие резервы, способные быстро прорывать оборону и дальше двигаться в прорыв, обходя и охватывая наши части. Делая это быстро, поддерживая надёжную закрытую связь и адекватное управление в реальном времени.
III.
Не успел я дописать вторую часть, как мне упал в личку вопрос про первую - "Но Мурз. По твоей логике у нас Харьковская область и Херсон ахуеть перемоги".Увы, нет. Оговорка "при прочих равных" важна. В Харьковской области "прочих равных" не было. "Расходную" часть операции противник свёл к минимуму, потому как имел перед собой множество участков с плохо организованной обороной недостаточно оснащённых частей - и плотность войск низкая, никакая практически, и тяжёлым вооружением они не оснащены нормально и не обучены воевать нормально в условиях наступления противника. Про связь, особенно связь в среднем звене - молчу, всё уже сказано в известном большом тексте про "Азарты".
В итоге противник рванул вперёд, обходя и стараясь окружить тех, кто, из частей, стоявших в глубине, успевал развернуться для арьергардных боёв. Держите город? Ну отлично, мы его окружим. Быстро. И что вы будете делать? Правильно. Вы отойдёте, чтобы не попасть в список "доходов".
В итоге сколько бы не вели относительно успешных арьергардных боёв БТГры 144-й мсд, 3-я мсд и другие отдельные части, общее управление нашими войсками, потерянное с первого дня вражеского наступления, им приходилось отходить. Где-то - достаточно медленно, но всё равно - скорость отхода самых стойких в одном месте, она, при маневренной войне, в прямой зависимости от скорости бега самых нестойких в тех местах, где войска побежали. Потому что противник, имея адекватное общее управление и прорвавшись там, где смог, начинает атаковать во фланг и тыл тех, кто ещё держится. И им приходится отступать. Причём чем позже, тем с большими потерями в людях и технике, так что см.выше - именно "500-е" и их общее количество определяют то, насколько долго смогут сдерживать противника те, кто устоял.
Итог "Изюмской перегруппировки" - противник, потратив минимум ресурсов на прорыв, получил в качестве трофея не только пример успешного массированного наступления, вдохновивший укропов, но и массу брошенной техники.
Эта картина ОЧЕНЬ сильно отличается от многомесячного прогрызания эшелонированной укроповской обороны нашими войсками под Артёмовском.
Что же касается сдачи Херсона, то, с одной стороны, плацдарм на правобережье необходимо было удерживать и, ГЛАВНОЕ, расширять в то самое время, когда об этом никто не думал и сил на это не выделялось. Потому что форсирование Днепра в будущем обещает стать куда более кровавым мероприятием, чем любые жестокие бои за удержание и расширение плацдарма, на которое расширение просто не было сил, учитывая операции на других фронтах.
С другой стороны, отсутствие, отсутствие понимания необходимости всего этого в тот момент, когда это понимание было критично, делало бои за собственно сам Херсон так себе идеей. То есть ответ на вопрос "Надо ли было удерживать Херсон?" Звучит, на самом деле, как "Херсон можно и нужно было удержать, но не с этим военно-политическим руководством". С этим мы бы получили дикие потери при переправе людей и снаряжения на правый берег и последующее избиение переправившихся там без малейшей надежды на то, что это всё закончится как в Сталинграде.
Так что нет, ни Изюм, ни Херсон - не есть примеры успешного оборонительного сражения "на истощение".
IV.
Итак, с какими силами и средствами мы пришли к тому моменту, когда противник уже даже не в апреле, а, возможно, уже в конце марта собирается ввести в бой переформированные и перевооруженные на западную даже не технику, а на современную западную модель войны, части, численно и качественно сильно превосходящие то, чем он сделал Изюм?
Во-первых, наше командование сточило практически всю хоть как-то обученную пехоту в "мясных штурмах" последних месяцев на фронте от Угледара до Кременной. Если летом "штурмы" проводились с артподдержкой остатками хоть как-то подготовленной опытной пехоты, где был ещё какой-то младший комсостав, то теперь всё куда печальнее.
Вот заполненному российскими мобиками подразделению объясняют, что утром оно идёт на штурм. "Возьмите побольше гранат". А мобики в ответ - "Да мы ими пользоваться не умеем. Ни разу не метали даже на полигоне". Чем заканчиваются потуги загнать неподготовленных, не уверенных в себе людей, на штурм? Правильно. Угрозами расстрелов и массовыми "СОЧами" - люди даже не жить хотят, они хотят хоть какой-то шанс выжить. Тенденция предсказуемая, пока не очень распространённая, но уже "на пороге".
Недавно виделся с сослуживцем по давним временам, который занимается тренировкой мобилизованных на штурмовку, на слаживание с боевой техникой, с танками. Сначала отлегло и порадовался - ну хоть где-то занимаются, хоть где-то сумели подготовку к боевым вынести за боевые. А потом выяснилось, что слаживаться-то особо нечем - нет портативных раций для командиров штурмовых групп, работающих в диапазоне танковых раций Р-123 и Р-173. Отдал человеку 3 штуки Р-169П1-01 (будет в отчётах как доберусь до них, не только их выдал).
Другая вроде бы отрадная новость - батальоны и полки донбасских "мобиков", кто выжил, собирают в бригады, дают артиллерию. Техники нет, получаются "мотострелки на автотранспорте". Из средств связи - уже упомянутые портативные Kirisun'ы, закупленные министерством обороны без запасных АКБ, без базовых станций, без ретрансляторов (насколько я понимаю, вести об имеющихся где-то в регулярных частях ВС РФ ретрах - это наиболее адекватные начальники связей "на местах" подсуетились и купили, благо гражданское оборудование). В целом - повторяется история с "Азаратами", просто в миниатюре, с меньшим размахом, на меньших фондах, так сказать. Ходят, кстати, упорные слухи, что давно рекламируемый "Азарт-2" будет уметь DMR сразу же, в первой прошивке, что, может быть, сравняет его по юзабилити с Р-324 от "Радиотехники", но, опять же, афтары - где базовые/возимые станции и ретрансляторы с длинным плечом для ваших "Азартов"? Ну хотя бы самолёты-ретрансляторы в нужных количествах, способные обеспечить маневренные боевые действия на сложном ландшафте.
Итог, помимо снарядного голода, который продолжается уже без малого полгода, наверное (и конца-края ему не видно) печален.
У нас мало войск, мы не можем вывести части в тыл целиком, на обучение, пополнение и переоснащение, да и переоснастить их уже особо нечем - танки, поступающие на пополнение с хранения, старые и часто неисправные, впереди - массовое применение вообще антикварных Т-62. БМП заканчиваются и всё чаще в их роли малоуспешно применяются МТЛБ.
Артиллерия, помимо собственно снарядного голода, испытывает жуткий голод нормальных свежих стволов - пушки уже изношены, нарезы "слизаны" большим настрелом. Кто и как занимается этим вопросом, напрямую связанным с масштабами потребностей в БК, - не знаю (чем свежее стволы - тем точнее огонь - тем меньше нужно снарядов на поражение целей).
Ну и БПЛА. Увы, у нас они в доступном для фронтовых командиров сегменте представлены, в основном, китайским ширпотребом, средствами "тушить" который противник постарается свои наступающие части в большом количестве оснастить.
V.
Потерпите немного, две части осталось, эта, в которой опишу, как будет атаковать противник, и №VI, в которой будет описано, что можно попытаться сделать со всем этим.
Противник, как уже было сказано, свои накапливаемые резервы не просто "пересаживает на новую западную технику", это как раз вторая проблема. Первая проблема - наиболее продвинутые и умелые командиры противника учатся работать в совсем другом темпе операций, принимать быстрые и правильные решения, имея постоянную устойчивую связь и постоянный поток данных о ситуации вокруг. Наличие такой структуры управления куда страшнее любых "Абрамсов" и "Леопардов" самих по себе, потому что такая структура будет всё время поворачивать их к вам лбом и не давать отстать от них пехотному сопровождению с БПЛА. Так что влажные мечты о массовом уничтожении "Абрамсов" из РПГ-7 "в узявимые места" останутся влажными мечтами.
На каком именно из наименее заполненных войсками участков фронта противник нанесёт главный удар, я не знаю и знать, по понятным причинам, не могу.
Противник в курсе, что огромный "Запорожский фронт" от Угледара до Васильевки весьма жидко прикрыт войсками в первой линии, что "Сватовский фронт" неравномерен. Могут, кстати, ударить и по флангам того выступа, который образуется при захвате Артёмовска, хотя для этого понадобится активное использование грунтовых дорог, но и приз в этом случае хорош - или "Вагнерам" придётся обороняться в котле, или придётся оставить с таким трудом взятый город и соседние позиции.
Бесконечные полосы бетонных надолб без войскового заполнения укреплений за ними, без хорошо управляемой артиллерии на позициях за ними - бесполезная трата времени и сил (но при этом да, титанический просто попил бабла. Когда в 2014-м году Украина что-то такое строила на границе с РФ, принято было небезосновательно смеяться над этим). И противник это хорошо понимает. И растрата наших уже даже не подготовленных, а просто резервов в бесконечных "штурмах" полностью отдаёт инициативу в руки противника.
V-доп.
Отдельным неприятным обстоятельством следует признать массовую передачу укропам новейшего и довольно эффективного решения, запускаемого с ПУ "Хаймарсов" - GLSDB. Это - авиационная планирующая "бомба малого диаметра" с раскладным крылом, поставленная на двигатель от запланированных на утилизацию старых ракет этой системы и запускаемая с земли. Ракетный двигатель закидывает бомбу на ту высоту и примерно ту скорость, с которой её мог сбросить самолёт, далее - по изначальному плану. Итог - очень дешёвая (а это важно при массовом использовании) система с дальностью в 150 км, включая возможность ударов по морским целям. Это то самое, кстати, чего не хватает нам - занести управляемую авиабомбу в зону вражеского ПВО без использования самолёта. До свидания, спокойный тыл на направлении удара. Вот прям ещё большее "до свидания", чем при "Хаймарсах". Нагрузка на наших "стерегущих небо" вырастет очень здорово, что у них с возможностью отслеживать и поражать SDBшки на подлёте - не знаю, не спрашивал. Насколько я понял, в не столь давних ударах по Марику противник это оружие успешно опробовал и будет готовить массовое применение на направлениях ударов.
VI.
Мой любимый раздел - "Что делать?"
Начну я его с самого простого но и, одновременно, самого сложного. Надо понимать, что перед нами. Честно себе самим об этом сказать.
Перед нами, этой весной и летом, будет испытание, из которого страна или выйдет другой страной, а потом и другим, куда более могучим и более разумно устроенным, государством, или не выйдет, канет в бездну нового "февраля 1917-го".
Или после этого кризиса страна полностью встанет на военные рельсы с императивом "По чётным векам - Берлин, по нечётным - Париж", или после этого кризиса страны у нас не будет.
Если ожидаемое украинское весеннее наступление, с применением как свежих резервов, так и новых средств ведения войны (см. п. V-доп.), закончится только нашими отступлениями и невнятным бормотанием о "перегруппировках", то "февраль-17" с последующим крушением страны станет неизбежен. И, даже если откуда-то вырулят новые большевики, в чём я сильно сомневаюсь, итоги "смуты", которые будут подведены спустя несколько лет даже в самом оптимистичном исходе не сулят ничего хорошего.
Мораль - надо драться, причём не тупо умереть, а умереть, если придётся, максимально изобретательно, с максимальным ущербом для врага. А ещё лучше -выжить и погнать потом врага на Запад, к хозяевам.
И первое, что может в этом помочь - понимание всей серьёзности и сложности ситуации, которое многие почему-то принимают за паникёрство. Граждане! Повторю в сотый раз, для дебилов. Был бы я паникёром, я бы спятисотился идти на Дебаль в 2015-м, однако ж нет, мы повели людей, половина из которых только сутки как была в армии, повели в ночь по старой генштабовской карте, довели, встали на назначенные позиции и выполняли задачи, двигаясь дальше по городу. О того из наших, кто был там раньше нас, я бы послушал про "паникёра" в свой адрес, но пока не слышу.
Ситуация будет ОЧЕНЬ СЛОЖНАЯ, КРИТИЧЕСКАЯ. Надо готовиться максимально тщательно, не заламывать руки, когда начнётся тотальный пиздец, понимать, что и как можно сделать. Атмосфера будущих событий очень точно передана в книге и в фильме "Они сражались за Родину", посвящённом летнему отступлению и оборонительным боям РККА на южном фланге в 1942-м году. Так что.
1. Надо учить людей. При любой возможности, в любых урывках времени, как только получается. Учить в первую очередь тактической медицине, во вторую - современному бою в роли пехотинца, простейшим вещам, хотя бы просто АК и ПК. Дальше - по специальности. Думаю, из автоматов и пулемётов пострелять придётся даже тем, у кого их "калашматы" всю войну простояли в оружейках. Отдельно постараться в обучении именно пехоты всё-таки научить ценить групповое вооружение и умело пользоваться им - АГСы, СПГ, "Утёсы". ПТУРов, тем кто умеет, не дадут, их просто столько нет уже. Разумеется, люди должны и учиться сами. Ещё одна важная вещь, которой надо людей учить - ориентирование на местности и подготовка к нему. Чтобы не было такого что "выходили из окружения и заблудились".
2. Связь и управление. Мы не просто так тащим сейчас по КЦПНовской линии массу комплектов "Комбо Телевизора" (кажется, после постов про это комбо, завод-производитель нас снабжает уже "с конвейера"). Задача - сделать управление, как по радиосвязи, так и по другим каналам, максимально стойким к кризисным ситуациям.
Ну и да, мы продолжаем закупать и затаскивать связь батальонными и дивизионными комплектами, сотнями станций, со всем необходимым в комплекте, обучать людей работе с техникой, если не умеют. Группа Вовы Грубника, на которую сейчас приходится основная доля завоза связи, пашет в Донецке ударными темпами, причём тоже не только и не столько уже на поставку именно "железа", сколько именно на обучение им пользоваться.
Если у нас мало бронетехники и сильно больше её не будет ещё долго, значит устойчивость наших войск в обороне придётся в большей степени обеспечивать артиллерии, РСЗО и миномётам с дефицитом БК и обученных людей, плюс уже имеющаяся необходимость контрбатарейной борьбы.
VI-2.
Соответственно, цифровая радиофикация крупных военных "организмов" Грубником и К в ДНР идёт "от арты и управления" вниз и в сторону пехоты.
КЦПН в свою очередь, помимо просто продолжения поставок самих станций, уже притащил и интеграционное решение, которое будем разворачивать. Решение, позволяющее соединять в единые радиосети комплексы с разным шифрованием, сопоставимым по степени криптостойкости - на более-менее постоянной основе, не сопоставимым - на кратковременной. Решение серийно выпускающееся, которое я хотел внедрить у вояк ещё в 2018-м, но не сложились условия. Теперь сложились, на днях покажу, что это за "чудо", позволяющее от скрещивания ужа и ежа получать полтора метра колючей проволоки. ("Чуду" традиционно много лет, и оно широко внедрено у гражданских.)
В связи со всем этим ещё раз напоминаю о необходимости соорудить вот такое волонтёрское сообщество по узкой теме оптимизации обеспечения энергопитания "в полях" для войск внештатными средствами. Я тащить эту тему не потяну, а она очень важна!
3. По БПЛА. Акела уже озвучивал вроде бы, что противник, готовя наступление, обязательно плотно прикроет его средствами защиты от обычных коммерческих коптеров. Соответственно, нужны
а. решения, снижающие эффективность хотя бы уже известных вариантов "глушилок". Они есть, закупаются, завозятся, применяются. (см. ролики с ночных бомбёжек укров в Спорном)
б. аппараты другого класса, причём серийные и не где-то на показах и "Форумах "Армия", а на передовой. Тоже работа идёт.
Есть и кое-какие задумки на тему того, как валить вражеские БПЛА, оснащённые примерно аналогичным оборудованием, которые стали появляться на фронте.
4. Маскировка, рассредоточение, маневр.
Учитывая то, насколько большим и, временами, даже подавляющим будет преимущество противника в огневой мощи и, в особенности, в средствах быстрого, оперативного воздействия на вторые и третьи эшелоны войск, будут крайне важны средства маскировки и умение рассредотачиваться и при этом управляемо маневрировать в условиях плотного наблюдения со стороны противника. Опять же "Народная сеть", запущенная и повсеместно развиваемая Грубником и К, может дать только материальную часть - сами маскировочные комплекты. Умение их применять - чтение руководств+практика.
5. Тактика.
Очень важно своевременно дать людям понимание того, что им нужно делать, чтобы противник как можно больше "вложил" в свой "наступ" и как можно меньше получил в "доходной" части мероприятия. Когда зимой 2021-2022 годов копали с нашим миномётчиком, сделавшим своим целеуказанием известное видео "Экстракшен-2. Судный день", новый батальонный КНП (а копать надо было тихонько, в зимнем утреннем тумане, пока враг не видел), много говорили об этом и сошлись на том, что одним из хороших пособий может быть "Волоколамское шоссе" и опыт тов. Момыш-Улы. Так что читаем, вникаем, кто не читал. Кто читал - перечитываем.
6. Новая волна мобилизации.
Будьте к ней готовы, граждане, которых ещё не призвали. Ходят разные слухи, почему её до сих пор нет, вплоть до того, что не во что одеть людей, зимней формы нет. Вот, мол, наступит весна, можно будет в летнюю одеть, она, типа, есть. Но это слухи. Как бы там оно ни было, когда масштаб жопы станет очевиден, новая волна будет. Так что потенциально попадающие под неё - пройдите диспанцеризацию, мало ли какие болячки, от которых надо будет иметь с собой запас таблеток, обязательно проверьтесь у стоматолога, "сделайте зубы", если найдутся с ними проблемы. Ну и читайте полезную литературу, по возможности - проходите курсы такмеда, он может понадобиться раньше любых стрелковых навыков и тактики. Читайте хотя бы просто НСД по основному спектру пехотного вооружения и по групповому, по тактике хотя бы основное.
В общем...
P.S Сурс на первое сообщение(они подряд идут)
Отличный комментарий!
Ебать это конченые люди. «Мы или проебём всё или захватим Берлин или Париж» «либо я умру девствеником либо перебу всех участниц конкурса мисс вселенная»
Ну и второе, что тоже подтверждает полное отсутсвие мозгов у подобных индивидов, он видит эту войну через призму великой отечественной, забывая что на самом деле это Вторая мировая, что тогда был совок с его населением и территорией, что был лендлиз, что противник был Германия всего, а теперь весь цивилизованный мир. И ещё много чего они просто отказываются понимать. Конченые сука люди
Ну и второе, что тоже подтверждает полное отсутсвие мозгов у подобных индивидов, он видит эту войну через призму великой отечественной, забывая что на самом деле это Вторая мировая, что тогда был совок с его населением и территорией, что был лендлиз, что противник был Германия всего, а теперь весь цивилизованный мир. И ещё много чего они просто отказываются понимать. Конченые сука люди
avito монополия монополизация реклама это точно не панорама не панорама политика
Госдума приняла в первом чтении законопроект о создании единого оператора цифровых рекламных конструкций, который в том числе станет монополистом в сфере размещения объявлений физических лиц в интернете.
https://www.cnews.ru/news/top/2022-07-18_vlasti_reshili_monopolizirovat
Государственная дума приняла в первом чтении законопроект о создании в России единого оператора цифровых рекламных конструкций и объявлений (ЕОЦРКО). Документ представляет собой поправки в закон «О рекламе», его автором выступает депутат Артем Кирьянов.
Под единым оператором понимается лицо, «осуществляющее установку и эксплуатацию цифровых рекламных конструкций, создание и эксплуатацию информационного ресурса размещения информации на цифровых рекламных конструкциях и электронных досках объявлений в сети интернет с учетом требований обеспечения национальной безопасности в целях обеспечения равных условий распространения цифровой рекламы и предотвращения распространения недостоверной информации, создания условий для контроля за рекламой, размещаемой на цифровых рекламных конструкциях, а также информацией, размещаемой в электронных объявлениях физических лиц в данной информационном ресурсе и в иных целях».
ЕОЦРКО будет определен Правительством. Им может быть российская организация, доля владения иностранных лиц в котором не превышает 25%. Указанная организация должна будет входить в группу компаний, являющуюся системообразующей организацией российской экономики, осуществляющей деятельность рекламных агентств и выступающей собственником цифровых рекламных конструкций на объектах наружной рекламы и в объектах транспортной инфраструктуры. Кроме того, указанная группа компаний должна иметь исключительные права на программу для ЭВМ, обеспечивающую функционирование информационного ресурса размещения информации на цифровых рекламных конструкциях и электронных досках объявлений.
ЕОЦРКО должен будет обеспечить взаимодействие с государственными информационными системами, включая единый портал гос услуг (ЕПГУ) (РЕКЛАМА ЧЕРЕЗ ГОСУСЛУГИ БЛЯТЬ?!). По требованиям Роскомнадзора, ФСБ, Службы внешней разведки (СВР) и Федеральной службы охраны (ФСО) указанный оператор должен будет обезличивать, блокировать, удалять, уничтожать персональные данные физических лиц и вносить изменения в сведения, содержащиеся в его информационном ресурсе, а также предоставлять упомянутым органам доступ к соответствующим данным.
Монополия на размещение объявлений в интернетеФизические лица обязаны будут размещать электронные объявления о реализации товаров и услуг в электронной форме в информационном ресурсе ЕОЦРКО. Предпринимательскую деятельность по размещению электронных объявлений физических лиц о реализации товаров и услуг на территории России может осуществляться только ЕОЦРКО. Иным лицам будет запрещено осуществлять указанную деятельность.
Перечень таких лиц будет утверждать Минцифры, в том числе по представлениям ЕОЦРКО. Упомянутые требования в том числе будут распространяться на социальные сети, организаторов обмена информацией в интернете (ОРИ) и владельцев сервисов размещения электронных объявлений физических лиц, принадлежащих иностранным лицам и осуществляющих свою деятельность на территории России.
Лица, которым будет запрещено вести предпринимательскую деятельность по размещению электронных объявлений физических лиц, должны будут разместить сообщения, информирующие всех лиц, которые ранее размещали через них свои объявления, о создании информационного ресурса ЕОЦРКО.
Также указанные лица должны будут на безвозмездной основе разместить в информационном ресурсе ЕОЦРКО сведения, необходимые для регистрации физического лица в информационном ресурсе ЕОЦРКО, а также предоставить по запросу ЕОЦРКО всю необходимую информацию. Денежные средства за оказание указанными лицами услуг по размещению объявлений, которые не были размещены из-за создания информационного ресурса ЕОЦРКО, должны быть возвращены.
Второй законопроект об онлайн-сервисах объявленийРанее Госдума в первом чтении уже приняла другой законопроект, направленный на регулирование деятельности онлайн-площадок объявлений (классифайдов). Документ предполагает, что иностранцы не смогут владеть более чем 20% в классифайдах, чья посещаемость в России составляет более 10 млн пользователей в месяц.
В первую очередь, оба документа затронут крупнейший в России классифайд — Avito. Он принадлежит голландской инвестиционной компании Prosus, которая, в свою очередь, принадлежит южноафриканскому холдингу Naspers. Касательно нынешней инициативы в пресс-службе Avito отметили, что «непродуманные инициативы, подобные законопроекту о едином операторе досок объявлений, могут в одночасье привести к разрушению целой интернет-отрасли».
«Совершенно не понятно, какова необходимость в таком поспешном и радикальном регулировании индустрии, когда перед ней стоят задачи сохранения рабочих мест, развития сервисов для населения и удержания ИТ-талантов, — заявили в Avito. — Конечно, это вызывает неудомение и разочарование у всех участников отрасли, которые помогали и помогают развивать экономику России».
Федеральная антимонопольная служба (ФАС) будет направлять в ЕОЦРКО требования о предотвращении и прекращении размещения социальной рекламы на цифровых рекламных конструкциях, которые должны быть исполнены в течение одного рабочего дня. ЕОЦРКО должен будет безвозмездно предоставить доступ иным лицам к своему информационному ресурсу для осуществления контроля со стороны ФАС. В иных случаях ЕОЦРКО вправе взимать плату за доступ к своему информационному ресурсу.
Для установки и эксплуатации цифровой рекламной конструкции на транспортных средствах, участках земли и объектах недвижимости, находящихся в государственной или муниципальной собственности, без проведения тендеров заключаются договора с ЕОЦРКО сроком на 30 лет. Если владельцем объекта, на котором размещаются цифровые рекламные конструкции, выступает публично-правовая компания, в котором доля государства превышает 50%, то она также может без проведения тендера заключить договор с ЕОЦРКО сроком 30 лет.
(С 26:30)
Отличный комментарий!
Эм...я что-то не понимаю в экономике и тп, но разве монополии не должны быть запрещены изначально. Это ведь буквально зашифровано в аббревиатуре ФАС?
Zашквар космонавтика как тебе такое Илон Маск аналоговнет политика
Космическая гонка объявляется оконченной: В Белгороде показали уникальный аппарат для колонизации Марса
На выставке «Парад профессий» в Белгороде представлен уникальный аппарат, созданный местным аграрным университетом. Посетители парка им. Ленина, в котором проходила выставка, могли увидеть устройство, внешне похожее на космический аппарат. Создатели сообщили, что он способен брать пробы грунта. Белгородцы обратили внимание, что механизм также отмечен буквами Z и V.
«Программа колонизации Марса Белгородского аграрного университета им. Горина», — гласила табличка возле уникального устройства.
Также на выставке представители Белгородского правоохранительного колледжа рассказали школьникам, как собрать автомат. По сообщениям местных СМИ, всего «Парад профессий» собрал больше 3 тыс. школьников
Отличный комментарий!
Интересно, а на чем эта хуета до Марса-то долетит? На пердячем паре, вестимо.
Товарищ Огилви16.05.202217:40ссылка Мне больше интересно че это там у нее сзади такое. Уж больно на ДВС похоже.
Starrigger16.05.202217:49ссылка он фотонный, отвечаю
щас щас щас16.05.202217:57ссылка
песочница политоты Война в Украине Вторжение в Украину 2022 политика
Доброго времени суток.
Это пост-напоминание о том что в данный момент жопа светит большинству из нас. Будь это смерть, увечья или жизнь в аналоге Северной Кореи, где гречка без нихрена будет праздником. Возможно пришло время всё же начать делать что-то? Подписывать петиции, расклеивать листовки, ходить на митинги итп. Давать понять властям что вы не согласны с этой войной, с этими издержками, жертвами, крахом экономики и международной изоляцией. Ведь это нужно не только украинцам, правда?
Всем удачи.
*Те кому не безразлична ситуация в Украине и есть финансовые возможности- могут поддержать украинскую армию через благотворительную организацию "Повернись живим" (Вернись живым).
https://savelife.in.ua/
Переводы из-за границы возможны через платформу FONDY
https://pay.fondy.eu/s/1stPBTgMbWTY
Эти средства идут на обеспечение солдат на передовой транспортом, планшетами, тепловизорами, комплексами наблюдения, и другими техническими решениями для сохранения жизни солдат.
Это пост-напоминание о том что в данный момент жопа светит большинству из нас. Будь это смерть, увечья или жизнь в аналоге Северной Кореи, где гречка без нихрена будет праздником. Возможно пришло время всё же начать делать что-то? Подписывать петиции, расклеивать листовки, ходить на митинги итп. Давать понять властям что вы не согласны с этой войной, с этими издержками, жертвами, крахом экономики и международной изоляцией. Ведь это нужно не только украинцам, правда?
Всем удачи.
*Те кому не безразлична ситуация в Украине и есть финансовые возможности- могут поддержать украинскую армию через благотворительную организацию "Повернись живим" (Вернись живым).
https://savelife.in.ua/
Переводы из-за границы возможны через платформу FONDY
https://pay.fondy.eu/s/1stPBTgMbWTY
Эти средства идут на обеспечение солдат на передовой транспортом, планшетами, тепловизорами, комплексами наблюдения, и другими техническими решениями для сохранения жизни солдат.
историк пророк политика
2004: Рыжков vs. Жириновский
Рыжков: Слова одного чиновника царской России - "Мне дела нет до России, у меня есть царь" - вот девиз новой власти! Им дела нет до России. У них есть царь.
Жириновский: Царь был пожизненный! А президент - избираемый!! Ко-ко-ко!!! В восьмом году его не изберут!
Рыжков: Я считаю, что будет просто тупое оболванивание людей, полная цензура на телевидении и массовые фальсификации выборов. Я, как историк, знаю одно - в Росси всегда вертикаль власти и "твердая рука" кончались хаосом, войной и разрухой.
Беларусь сливы политика
Я даже ничего отдельно говорить не буду. Просто посмотрите видео.
Партизанский привет!
Операция "Жара"♨️продолжается.
#метеосводка №12
Взломаны сервера ДООРД - Департамент обеспечения оперативно - розыскной деятельности МВД, где хранятся аудио записи прослушки мобильных разговоров.
Как оказалось, менты активно пишут "своих",- такова плата за лояльность режиму. В нашем распоряжении терабайты записей с чувствительной для режима информацией. Есть дикие вещи.
Сегодня публикуем первую часть: Беларусь, 21-й век, охота на людей. (❗️)
Если у кого-то из карательной системы оставались иллюзии, что вам удастся уйти от ответственности, то мы их развеем. Все ваши преступные приказы, сомнения, страхи, разговоры с любовницами у нас в руках. Чем больше мы приоткрываем внутреннюю кухню режима, тем яснее понимание, какие мрази нас пытаются загнать в повиновение. Режим должен быть уничтожен!
#началоконца#супраціў
Отличный комментарий!