Результаты поиска по запросу «

найдены мертвыми экс топ-менеджер

»
Запрос:
Создатель поста:
Теги (через запятую):



LabianLabian

mp4 гифки ...политика 

Кадры со сьемок второго Джокера

Развернуть

Отличный комментарий!

Я было подумал это очередь в посольство для голосования...
Citi_Zen Citi_Zen18.03.202419:34ссылка
+1.8
В Берлине это, я этот угол на всю жизнь запомнил, чуть насмерть не замерз там
ratcatcher89 ratcatcher8918.03.202419:37ссылка
+24.6
ха-ха, так всё таки замерзаете без газа то.
gemafall gemafall18.03.202419:59ссылка
+82.1
Комментарии 4118.03.202419:08ссылка75.4
8l8i88l8i8

Жириновский ...политика 

Вот вы все ругаете Жириновского, а он, как пишут издания, две недели скрывал коронавирус... и разносил его по Госдуме. Человек ещё никогда так много для народа России не сделал, как за последнее время.,политика,политические новости, шутки и мемы,Жириновский,шаблон комикса про жириновского, жирик,
Развернуть

Отличный комментарий!

Вот поэтому Пыня теперь вообще никому не доверяет, даже своим придворным министрам
John_Wheels John_Wheels 15.02.202202:33 ссылка
+17.2
Интересно, как быстро он свихнётся от того, что к себе никого ближе, чем на 10 метров не подпускает?
yoburg yoburg 15.02.202202:34 ссылка
+5.2
Уже
Доктор Жесть Доктор Жесть 15.02.202202:38 ссылка
+58.2
Комментарии 3815.02.202200:06ссылка191.4
loki64loki64

иммиграция беженец съёбилизация трактор Франция ...политика 

Беженство во Франции(получил со второй попытки)

Здравствуй, уважаемый реактор.

V |:|!í ! ! Mí i.'iíi i ! i! ; ¡ '/////A ШШг тШшк W/nífWi//и: a /h W W mi Pill ÉiÉÉÉÉ №?ï. K fî:l ГГ-:;:М : UmttUl -V'.Wjlí д . .\ч - r r ■а 12570952695,политика,политические новости, шутки и мемы,иммиграция,беженец,съёбилизация,трактор,Франция,страны

На реакторе бытует мнение, что получить убежище в Европе, если ты гражданин России практически не реально, это не совсем так. Это крайне сложно, но возможно. Моя краткая история.

Я покинул территорию России, через неделю после начала войны вместе с женой и кошкой. Прилетел в...Азербайджан.

Из позитивных факторов, это страна не является безопасной по классификации Франции, так что вы можете просить убежище, если проезжаете через нее. Иначе, вы должны просить убежище в стране в которую въехали в первую очередь. 3 месяца я собирал документы, чтобы податься на шенгенскую туристическую визу не из страны гражданства. Во Францию я летел через Турцию транзитом. Уже на паспортном контроле в аэропорту Парижа, нам пытались отказать во въезде. Примерно 5 минут я пререкался, с сотрудницей, в итоге бронь обратных билетов убедила нас пропустить через границу.

В аэропорту нас встретили мои родственники(мать у которых я и поселился на первое время.

Теперь о процедуре. Ее нужно начать как можно скорее. Во Франции все для "людей". Вы должны позвонить по определенному номеру и уведомить что хотите подать на убежище. Как это сделать не франкоговорящему человеку, я не знаю. Возможно сотрудники по телефону понимают английский(я на нем плохонько но говорю). По этому телефону практически невозможно дозвонится из-за количества просителей. Я проживаю в регионе Yonne, полтора - два часа от Парижа. Первичную подачу документов нам назначили в...Дижоне. Этот город также находится в 2 часах от места моего первичного проживания. Как в него попасть не имея своей машины, или денег(у меня были), я не представляю. 

На машине отчима, через несколько дней отправляемся в Дижон. В этот город нам придётся кататься и выкидывать деньги много много раз. При первичном обращении вам нужно зарегистрироваться в префектуре и организации SPADA. SPADA должна оказывать помощь беженцам, на самом деле крайне бесполезная организация, которая умудрилась потерять мое дело, через несколько месяцев.

Фотаем достопримечательности и бегаем по бюрократическим местам.

М

 ms Conseil Déoarteme fn mai et juin, célébrez le tf 0#Aâ<t<r>«nt Q P«* I « cv tf « fl 1,политика,политические новости, шутки и мемы,иммиграция,беженец,съёбилизация,трактор,Франция,страны

(Администрация)

y * _ . n J*/' L A y 2 / J i I # ' <T* V / / / / ;/ » « / î / £ / V £ № J _ ' ^ V - y* .*» A • N _ ✓ t'' V \ \ V 1 • k \ \ ' / » 9 K i 23; *» \ a№ A \ MV >» \ . t K I w W i 1

птпшптт тпиштщ шитптшп птиппппт ШЩ1ШПШШ тшшпщпи. Шитая/ MHnmiiii i ',политика,политические новости, шутки и мемы,иммиграция,беженец,съёбилизация,трактор,Франция,страны

В первый приезд, по факту мы только еще раз уведомили о своем намерении. Во второй приезд нам должны были снять отпечатки пальцев. Мы просидели в очереди 3 часа, чтобы в конце нас уведомили, что аппарат сломался и сегодня больше не принимают. 4 часа на дорогу в обе стороны и цена за бензин которая во Франции около 1.8 евро за литр. На 3 приезд наконец нас официально зарегистрировали, выдали временные документы и даже назначили пособие в размере 300 евро в месяц на семью в месяц. Так же можно встать в очередь на предоставление общежития.

 \ V \ \ ' V \ \ 1 \ \ \ \ \\\Лл \\\ V \ \\ЧЛ\\\ \\\\v;чЛ 4V л\\\\4 ' \ \\\\ \ \ \ \ \ I ' \ I \ ; ' \ i \ \ . \ i г■. I •V\\\\ \\\\\\\\\\v A\\\V |||1ш л\ A\VWA\nVv\\\\ \aa\\\W Л N\\\\ Л\\\\ \\w\\v\\V i \ \ \ ■ N ' \ \ » \ \ \ Д\\\\\\\\\\\\ \\ш\ m\\ \i' i И

(Бумажка о том что вы проситель убежища.)
После чего вам дается один месяц для того чтобы отправить письменное объяснение(на специальном бланке который вам выдали) в OFPRA, чтобы вы прояснили кто вы такой и чего вообще хотите. На основании чего я просил - в Калининграде я был волонтером в организации Навального. И волонтер это очень громко сказано, скорее участник движения, я ходил на все митинги, а также жертвовал средства организации, а также задержанным в ходе этих митингов. Как вы знаете организацию признали экстремисткой и начались преследования участников движения. Естественно описал всю ситуацию, а также мои опасения по поводу войны, а также наличие близких родственников во Франции(спойлер им по фигу на это). 

В сентября нас вместе с женой нас вызвали на раздельный допрос в OFPRA в Париже. К слову деньги которые вам назначили вам выдают на специальную карточку активную только в продуктовых магазинах. Вы не можете с этой карточки купить билет на поезд. Как добраться до Парижа? Это ваши проблемы. Снова пришлось воспользоваться магией телепортации родственников. Без родственников с деньгами я также теоретически смог бы добраться - я провез наличными евро через границу без проблем.

Вместе с другими просителями я с женой ждали своей очереди. Контингент просителей в основном состоял из сериала Нетфликс. Было также несколько Грузинов, семья Армян, и семья Украинцев, это на примерно 50 человек. 

Вас вызывают в отдельную допросную комнату, вас там ждет переводчик и допрашивающий сотрудник. Естественно все записывают. Также отбирают ВСЕ документы. Оба паспорта, свидетельство о браке, рождении и так далее. Если отказываетесь, говорят что это сильно уменьшает ваши шансы. Женщине которая допрашивала меня было пофигу на войну, преследования в России и так далее. Она пыталась найти любые нестыковки в вашем рассказе. Одна из таких "нестыковок" я перепутал дату обнуления Путина. Так же OFPRA утверждала, что в России не использовалась система распознавания лиц, до вы не поверите апрельских митингов Навального 2021 года. При том что система испытывалась еще  в 2018 на чемпионате по футболу.

Беседовали мы 2.40 минут. Со мной говорили дольше всего. В среднем человека допрашивали 40-60 минут. Я любитель поболтать на политические темы :)

После чего вызвали мою жену, ее эта женщина довела до слез. Да, они очень сильно прессуют людей. Мне тоже на допросе было очень не комфортно, я чувствовал себя очень не уверенно, что было ошибкой. Не буду томить - через 8 месяцев ожидания мне отказали.

Россия безопасная страна. Отправлять мужиков на убой это ее право, вы не Навальный чтобы дать вам убежище и вообще мы вам не верим. Это при тех законах что приняла Россия за два года. 

Я был в депрессии. Шанс при подаче апелляции примерно 20%. Это нам также подтвердил адвокат, к которому мы обратились. После отказа вам возвращают ваши документы, а также вам дается один месяц чтобы подать апелляции. При возвращении паспортов обычным письмом, было потеряно мое свидетельство о браке. И мы около двух месяцев добивались его возвращения. 

Буквально за месяц до получения отказа, я увидел пост Ивана Жданова в телеграмме, о том что в связи с тем что многие сотрудники сбежали в разные страны, они готовы выслать официальное письмо о том что волонтер состоял в организации, если ты сможешь им это подтвердить...

Я связался с командой Жданова, они потребовали подтверждение. Фото с митингов их не устроило. Предоставить выписку о донатах я не мог по очень простой причине. Я не оплачивал российский телефон за ненадобностью, на который должны были приходить смс для входа в интернет банк. А также сам счет в банке, так как снял с него все деньги. Спасло то, что я оплачивал помощь задержанным на местную Калиниградскую карточку и сохранил номер карточки в текстовом документе. Таким образом они смогли либо найти меня, либо просто поверили в мою ситуацию. 

Жданов выслал мне официальное письмо.

ANTI-CORRUPTION FOUNDATION * The Anti-Corruption Foundation. Non-profit Organization fbk@fbk.info I www.fbk.info 13.04.2023 № Фонд борьбы с коррупцией (ФБК) — некоммерческая организация, которая была создана в 2011 году Алексеем Навальным для расследований, раскрытий и пресечений коррупционных

При подаче апелляции вы можете обратится к бесплатному адвокату. С ожидаемым качеством адвоката. В ассоциации помощи беженцам нам уточнили, что если у бесплатного адвоката будет много дел, он просто прокосячит сроки подачи апелляции и мы пойдем нафиг. Уже перед судом я увидел качество работы бесплатных адвокатов - прямо перед судом они расспрашивали просителей, о чем вообще будет дело за 5 минут до суда. 

Платный адвокат тоже был не слишком хорош, половину текста апелляции я написал для него сам, переводя через CHATGPT, но главный плюс что он провел всю процедуру в срок, приложил все документы и доказательства. Размер дела у бесплатных адвокатов - 2-3 листика, у моего огромная папка, со всеми новостями из России, документами, моими объяснениями и так далее. 

Весь этот шик обошелся в 3600 евро моих накоплений на двоих с женой. Одному было бы дешевле в два раза и больше толку. Жене все равно отказали. 

И так перед судом я собрал огромное количество новостей из французской прессы, а также переводы из России. Аргументированно ответил на всю чушь(отказ), что мне отправили из OFPRA. 

Что я не волонтер, что в России безопасно, что меня ни как не могли бы найти и так далее.

К слову в июле 2023 в CNDA вышло официальное обращение. Теперь ха ха ха, если вы получили официальную повестку в России и вас вот вот отправят на войну, если вы сможете телепортироваться во Франции, вам таки официально дадут убежище. Как это провернут - это ваши проблемы. Нет повестки, нет убежища. Чтобы вы понимали до этого отказывали даже с повесткой.

Я также сильно напирал на войну, что я на четверть украинец. Делал абсолютно бессмысленно, в моем решении ни слова про войну.

В августе 2023 нас вызвали на заседание суда в конце сентября. Это был хороший знак, потому что значительный процент апелляций отклоняют еще до суда. Также было указанно, что будет публичное заседание. Есть 3 градации в этом суде как я узнал. Решение принимает единоличный судья - скорее всего вам кранты, вас вызвали чисто формально. Второе - 3 судьи, уже намного лучше. И третье - расширенное заседание, с кучей официальных лиц разной важности.

Заседание было в Париже, целый район отдан под суду. Мы встретились с адвокатом и стали ждать заседания. Адвокат предупредил, что дела рассматривают очень быстро от 5 до 15 минут, скорее всего нам даже с женой не дадут говорить. Как он ошибался. В итоге не говорил адвокат. Он говорил меньше 3 минут. Жена сказала два предложения. Меня опять допрашивали больше часа. 

Мне назначили специальное заседание, с представителем ООН по делам беженцев во Франции, представителем государственного совета Франции. Узнал я это уже постфактум. Переводчиком в этот раз у меня был мужчина Чеченец(очень приятный мужик, он переводил на много качественнее, чем женщина переводчица из первого заседания). 

В общем, я уверен что они не читали половину моего дела. Они думали, что мне 40 лет, при том что в моем деле много раз указана дата рождения и что мне 30. Их абсолютно не интересует война в России, так как у меня нет повестки. Они множество раз повторили мне фразу, что мне будет безопасно вернуться в Россию. Обвиняли меня в неправдивости. Ловили на любых нестыковках. Как итог примерно через 30 минут они меня довели. Я на них наорал. Я знал, что я прав, был уверен в этом, знал что судя по тону суда и куда все это идет мне все равно откажут и решил не сдерживаться. Высказал им, что пока они сидели на жопе ровно и спонсировали Путина покупкой ресурсов, гражданское общество России забивалось палками и резиновыми дубинками поставленными ЕС. Как Евросоюз не помог Украине предотвратить войну, как они цинично смотрят на все это со стороны и продолжают покупать ресурсы. Как Путин стал невыездным в ЕС только после начала горячей фазы войны. Что оппозиция предупреждала, что этот мудак будет шантажировать весь мир, если не принять меры раньше. 

Один из 3 судей был сразу на моей стороне, он задавал правильные наводящие вопросы и  подталкивал меня. Единственный кто не обвинял меня в обмане, или в том что мне будет безопасно вернутся. Еще один, большую часть заседания сидел молча, кроме момента когда я рассказывал как росгвардия гоняла нас на митингах и это по факту армия против населения. Его это заинтересовало, он спросил есть ли у меня доказательства, я сказал что фото были приложены к делу. Ну и президент суда. Первые 20 минут он сидел в ноутбуке, думаю читал мое дело, а потом валил, валил и валил меня. После моего наезда на суд, он не много ослабил хватку. После заседания, мой адвокат сказал, что ему показалось, что я смог убедить президента. Как итог так и оказалось, решение принимается в течении 3 недель- месяца. Я получил максимальный статус, который делает меня резидентов Франции и дает карточку об этом на 10 лет. После того как я проживу во Франции 5 лет, этот статус выдается пожизненно. Жене формально отказали в решении, но так как мне присвоили полноценные статус, а не вспомогательную защиту, ей также дали те же права. 

Délibéré après l'audience du 22 septembre 2023 à laquelle siégeaient : - M. Meslay, président ; - M. Le Cour Grandmaison. personnalité nommée par le haut-commissaire des Nations unies pour les réfugiés ; - M. Blémont, personnalité nommée par le vice-président du Conseil d'Etat. Lu en audience

Рассмотрено после судебного заседания от 22 сентября 2023 г., на котором заседали: - г-н Меслей, президент; - г-н Ле Кур Гранмезон, лицо, назначенное Верховным комиссаром Организации Объединенных Наций по делам беженцев; ” Блемон, личность, назначаемая вице-президентом Государственного совета.

По поводу того чем я сам занимаюсь. Вместе с женой мы делаем визуальные-новеллы, датинг симы с взрослым контентом для стима. Я никогда не пиарился на реакторе, так как в них нет русского языка(писатель американец). 

О жизни во Франции, расскажу уже в других постах. 

Спасибо, буду рад ответить на вопросы.  
Развернуть

Отличный комментарий!

Тут должен вылезти янс и сказать: ну вот видите как просто! любой кто захочет может без проблем уехать во Францию!
koka koka03.12.202317:40ссылка
+71.0
Комментарии 7903.12.202315:58ссылка86.2
Good_ManGood_Man

РЖД дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой информационная небезопасность ...политика 

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.

11! i 1 * \Æ ■ 1 1 У ■ |L m A Ш ■ 1 Ши/ I * 1 / ■V,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.

Всё началось с гипотезы


В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!

:erOS Win Box ^ admin@192. 5.1 (MikroTik) - WinBox (64bit) v6.47 on hAP ac lite (mipsbe) Session Settings Dashboard •O O Safe Mode f Quick Set x CAPsMAN ^ Interfaces X Wireless Bridge 1= PPP ^ Switch *n Mesh H IP f Q MPLS Routing $2’ System f ^ Queues ^ Rles Log it RADIUS ^ Tools E5l


То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.

В поисках Немо владельца системы


Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os

Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…

За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.

О А Не защищено | 192/ .40/1одт.а5р ☆ е : ве^лгсо Просмотр Настройки Выход ИзоОражение 2 0 2 1 -0 з в 1РС355803,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

Вот некоторые из найденных сервисов с паролями по умолчанию:

1. Камеры наружного наблюдения — подавляющее большинство.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Ещё камеры
X А Не защищено 10. 12/1одт.азр Просмотр Настройки Выход вешлво Изображение Информация Могпжюп,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

4r G A HG3ammuGHO | 10 134/viGw/viGWGr_indGx.shtml?id = 11 * e AX\Sa AXIS P1346 Network Camera View size (f>© Stream profile | Motion JPEG V,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не

(r O A He3ainmuGHO | 10. 80 GË ☆ -i 0 vfe S5120FD-DN IP Camera HD POWERING ACTIONABLE INTELLIGENCE* Video stream [i______vj > Manual trigger: Digital output 1 on ¡off | Zoom and Focus 1 — I Zoom l +J I — | Focus 1+J Zoom speed lov Focus speed lo v 0 Clientsettings >_ Configuration

☆ Е5Г О А Не защищено | 10 О асИуесат 224/сп/у1еУ7емпс1ех.а5р О Просмотр Ф Настройки Конфигурация видеопотока : [ Приоритет по каналу у| Канал : Осн.1,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не

ittp ://' S fdoc/page/preview.asp - Ç rioncK... X|L*I ON Live View Playback Picture Application Configuration,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Даже офисы внутри

192. 60/view/index.shtml AX IS- AXIS 216FD Network Camera Live View I Set Video format | Motion JPEG v,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

2. Ip-телефоны и FreePBX сервера также большое количество.

защищено | 10. 1/servlet?m = mod_data&p=account-register&q=load Yealink Выход из системы Используется пароль по умолчанию, его необходимо изменить! easy / IPmatika powered by Yealink Статус Аккаунт Сеть DSS Функции Настройки Контакты Безопасность Статус регистрации Активная линия Лейбл

4r O A HG3ammuGHo | 10. 3/index.html ••• IRMATIKA onfiguration Settings Network Print Log Settings retwcrk Applications 'hone Settings IP NAT Settings >ial Plan Settings peed Dial Settings rovisionmg Settings IP Accounts Account 1 Account 2 'all Settings Account 1 Account 2 Ludio


3. IPMI серверов:

Asus
4r O A HG3ammuGHO 192 51/indGx.html ASMB8,kvm 6 American Megatrends Ina Dashboard FRU Information Server Health Configuration Remc Dashboard Dashboard gives the overall information about the status of the device and remote serve Device Information Firmware Revision: 1.13 Firmware Build
Dell (их подавляющее большинство)
A He 3aiMHLUGH0 | 10. 5/indGx.html?ST1 = Integrated Dell Remote Access Controller 8 Enterprise / Thermal Console Attached Media vFlash Service Module Job Queue Properties Summary Details System Inventory System Summary Server Health Virtual Console Preview y Batteries y Temperatures

root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin
Supermicro
G A Hg 3amnmeHO | 10 i/url_rGdirGct.cgi?url_namG=mainmenu System Server Health Configuration Remote Control Virtual Media Maintenance © System © FRU Reading © Hardware Information © System Firmware Revision: 03.65 Firmware Build Time : 12/16/2017 BIOS Version: 3.1 BIOS Build Time: 06/06/2018
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
4r G A He3amnmeH0 | 10 4/cgi/url_redirect.cgi?url_name=mainmenu © System © Summary [J»l Java iKVM Viewer v1.69.26 [1 .4] - Resolution 1024 X 768 - FPS 9 Virtual Media Record Macro Options User List Capture Power Control Exit © FRU Reading © Hardware Informatioi Vttuare ESXi 6.0.0

4r G A He samnLLiGHO | oktsrv.rzd.dpo/ovirt-engine/ Welcome to oVirt OPEN VIRTUALIZATION MANAGER Version 4.3.7.2-1 .el7 Portals Administration Portal VM Portal U.S. English v Downloads Console Client Resources CA Certificate moVirt for Android Not Logged In oVirt Technical Reference

Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
4r O A He3aiiii/iuieHO | 10 131 M0X3 j Main Menu Cl Overview Cl Basic Settings Cl Network Settings l'C3 Serial Settings LCl Port 1 1Operating Settings LCl Port 1 Cl Accessible IP Settings 1-^3 Auto warning Settings l-Q E-mail and SNMP Trap ;-Q Event Type ] Digital 10 |-Q DIO Settings 1 Cl DIO

10 128 Firmware Version: V4016 USR -IOT Experts- Be Honest, Do Best! Current Status Local IP Config Expand Function Mise Config Module Name Current IP Address MAC Address Remote IP/TX/RX-1 -2 -3 -4 -5 TX Count/RX Count parameter USR-TCP23 2-304 10 .228 d8-b0-4c-e9-3c-09 10CH -31 / 0
5. Системы управления ИБП
О А Не защищено 10. 11 F:T*I\I Powering Business Worldwide Powerware 9130 2000 - Savelovskiy ИБП Свойства ИБП 5 Управление ИБП Еженедельный график Параметры отключения Журналы и уведомления Измерения Журнал событий Системный журнал Уведомление по электронной почте Настройки Сеть

4r O A HG3ammuGHo | 10. >0/lsi.html RICHCOMM Login Usenadmin Operation Authorization:Manag UPS Information :’9|H c> Current Status c Remote Control System Setting Network Settings SNMP Setting User Setting IPPOWER Setting Para Setting c c c c c In Voltage:234.0V Frequency:49.9HZ Out

6. Внутренние сервисы

192. 15 Дирекция пассажирских обустройств Логин Пароль АВТОРИЗАЦИЯ ☆ е : Перейти на АСУУВ: Выберите из списка ^,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


4г О А Не защищено | 10. :88/tractionsubstract¡on?¡ds=651 &archivetime=08¿sessionid=0041000001080864 12.29 05:03:46 Москва-Пассажирская-Октябрьская дд.мм. ☆ 5Г 0 « |_Т_||_Г_| ' Москва-1оварная-Октяорьская - Mocki _ I__J I__J _ Пассажирская-Октябрьская •••••••••••• S Активация Windows


Что-то похожее на мониторинг состояния систем обеспечения здания.
О А Не защищено | 10 10 Осн. здание ББЦ ГРЩ ИБП ИТП Вентиляция Настройки Аварии История Основное здание 1 этаж Вентиляция П1 Работа Авария 13.9°С П2 Работа Авария 18.5°С П4 Работа Авария 0°С П5 Работа Авария 26.7°С П6 Работа Авария 19°С П6* Работа Авария 20.6°С У1 Работа Авария 11.2°С

Система управления кондиционированием и вентиляцией
4r О A Не защищено | 10. 0.2 Д CPK-M2 • Состояние о Состояние системы о Состояние СРК-М2-У о Состояние подключения о Состояние ОКВ о Сост входов выходов о Просмотр журнала • Настройки общие СРК-М2 о Лата, время, периоды, ротация • Настройки связи о Сеть IP Ethernet о RS4S5 MODBUS мониторинг

Различные системы управления табло на перронах :-)

Эта самая красивая
4г О А Не защищено 10 :3/агтсГ|р?5е55ютс1=0 ^РМ Мониторинг Систем Информирования Пассажиров С* Остановочные пункты: Спб - Москва 59 /39 Волхов Мост 0 Волхово 0 О Вышний Волочек 5 Гряды 0 Дубцы 0 Ф Завидово 2 /2 фКлин 2 ф Колпино 2 /2 Ф Крюково 8/8 О Лихоборы 2 Москва-Пассажирская-

Некий терминал, но внутри модифицированный дебиан.

Таких нашёл около 20
(г О А Не защищено | 10. QJdaMasK Кассир Адмиш Регистратор Мминистрато Управлениесервер Пароль <8> login as: root $ root@ 5 password: Linux damask 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64 Last login: Mon Feb 4 21:13:51 2019 from root@damask:~# cat /etc/*release*

Кстати, аптайм у него почти год:

16:33:40 up 333 days, 27 min, 2 users, load average: 0,42, 0,35, 0,33 USER TTY FROM LOGIN© IDLE JCPU PCPU WHAT kiosk ttyl - ll$eB20 333days lldays 0.02s /bin/sh /usr/bin/startx root pts/0 10. E I1t22 2.00s 0.08s 0.00s w rootQdamask:~#



6. Сетевое оборудование

4r О A Не защищено | 10 03 T Fortis ► Main ▼ Basic Settings ▼ Ports Main Device name ▼ Events Device location PSW1.3 Ufa Port FE#1 FE#2 FE#3 FE*4 GE#1 GE*2 Link Up Up | Up | Up Up Up PoE On On Off Off dg = The main; • Device • Device • C’ontai


Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.

Не полный кусок лога по прокси.

Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) < HttpProxy (proxy server) Jotik HttpProxy (proxy server) □Proxy (proxy server) Ikrotik НщЯ^^ргоху server) Mikrotik


Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

И все же кто же хозяин?


Думаю, что уже все и так догадались.

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

Это здец. Сеть просто в решето.

Причём это устройства по всей РФ.

Например, вот это вокзал Уфы
А Не защищено | 10.. 3/сп/у1е\уег_тс1ех.а5р О Просмотр Ф Настройки Конфигурация видеопотока : [ Приоритет по каналу у| Канал : |,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная
Антропово Костромской области
РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Развёрнута профессиональная система видеонаблюдения.

Нашёл презентацию по вокзалам.

macroscop
1С 100:8080 тасгоБсор \УеЬ-Клиент Масгозсор Название конфигурации: Анапа. Текущее состояние: Сервер активен.. Время запуска: 04.11.2020 12:36:25. Версия сервера: 2.0.94,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и

Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

Как же так получилось?


Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.

root@debian3:~# nslookup 8 1 0.in-addr.arpa,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…

Получилась вот такая картина:

Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например
Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?

Möv \ л/ V V/\v hk Л- Iw kîT4 vi lr>-—^>jC,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


У меня лично есть всего три варианта ответа на этот вопрос:

1. У Вас исходно плохая команда.

Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

СЫН МАМИНОЙ ПОДРУГИ,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Стоимость уязвимости


«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».
Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.

Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.

Рандомно выбранная из списка установленных модель стоит ~13к рублей.

Ве\л/агс1 В2710РМР Производитель: BEWARD Макс, разрешение видеокамеры: 1920x1080 ИК-подсветка: Да 12 900 Р Бесплатная доставка, 1 -3 дня Есть самовывоз Оплата наличными курьеру Арсенал-СБ ★★★★★ 408отзывов В магазин,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная


А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.

Гипотетическому злоумышленнику потребуется:

Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два.
Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.

Двигаемся дальше.

Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.

А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…

Кажется счёт уже уходит за миллиарды…

Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».

Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.

General Dial Out Status Traffic Connect To: vpn .mythtime .xyz User: u: 1 Password Profile Keepalive Timeout Use Peer DNS u^M37 default-encryption 60 □ Dial On Demand □ Add Default Route Default Route Distance: 1 Allow: 0 mschap2 0 mschapl 0 chap 0 pap OK Cancel Apply Enable Comment


Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…

Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os

Кстати, Евгений Игоревич, с повышением!

14.12.2020 14:20:00 ЖД Транспорт / Новости Заместителем генерального директора РЖД стал Евгений Чаркин Решением совета директоров Евгений Чаркин, ранее занимавший должность директора по информационным технологиям ОАО «РЖД», назначен заместителем генерального директора компании. Об этом сегодня


Источник

А ВОТ И Я «notivat on.mi,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность
Развернуть

Отличный комментарий!

Сама статья: https://habr.com/ru/post/536750/
Good_Man Good_Man13.01.202116:54ссылка
+7.8
https://habr.com/ru/users/LMonoceros/ - UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Good_Man Good_Man13.01.202117:18ссылка
+8.5
Премию дадут?
SasnyiSosok SasnyiSosok13.01.202117:19ссылка
+1.4
Аванс: его жизнь.
Оплата: его не посадят.
Хермоус Мора Хермоус Мора13.01.202117:19ссылка
+48.3
Комментарии 27613.01.202116:54ссылка151.2
Красный КомиссарКрасный Комиссар

Казахстан Назарбаев ...политика 

1995 год: Назарбаев обещает уйти после окончания срока полномочий в 2000 году. Детей в политике не будет, наследственности тоже.

2022 год:
> Назарбаев лидер нации
> Оставил преемника
> Самая бедная из дочерей владеет состоянием в 600 миллионов $

> Дочь возглавляла сенат, была заместителем премьер-министра и председателя парламент РК

https://vk.com/video-179195823_456239281

Развернуть
Комментарии 1909.01.202221:09ссылка61.9
DonHenaroDonHenaro

мобилизация ...политика 

И они туда же?!

Вариант на случай, если границы совсем закроют.
^ РИА НОВОСТИ 14:03 29.09.2022 <•> 2124 Вернувшиеся с МКС российские космонавты приземлились в Казахстане Спускаемый аппарате российскими космонавтами совершил посадку в степи Казахстана,мобилизация,политика,политические новости, шутки и мемы
Развернуть

Отличный комментарий!

NikolosMopsik NikolosMopsik29.09.202218:53ссылка
+32.5
Комментарии 1629.09.202218:24ссылка82.6
OlegYchOlegYch

Беларусь протесты суицид ...политика 

Хроника суицидов в Беларуси за время протестов

15 августа
Константин Шишмаков - найден повешенным
Член избирательной комиссии, отказался подписывать протокол.
Беларусь,страны,политика,политические новости, шутки и мемы,протесты,суицид

Более подробно тут https://meduza.io/feature/2020/08/19/v-belarusi-nashli-mertvym-29-letnego-direktora-muzeya-konstantina-shishmakova

22 августа
Никита Кривцов - найден повешенным
Беларусь,страны,политика,политические новости, шутки и мемы,протесты,суицид

Более подробно тут http://polit.reactor.cc/post/4477059
и тут:



18 сентября
Сергей Радченя - облил себя бензином и поджег у РУВД, на данный момент в критическом состоянии
Беларусь,страны,политика,политические новости, шутки и мемы,протесты,суицид

Более подробно тут https://nashaniva.by/?c=ar&i=259302&lang=ru


19 сентября
Станислав Чур - найден повешенным во время обеденного перерыва
Один из бастовавших рабочих Минского электротехнического завода имени Козлова
Беларусь,страны,политика,политические новости, шутки и мемы,протесты,суицид

Более подробно тут https://euroradio.fm/ru/na-minskom-zavode-kotoryy-bastoval-v-avguste-pokonchil-s-soboy-rabochiy


21 сентября
Неизвестная девушка пыталась спрыгнуть с балкона в "Квартале Перемен"
Беларусь,страны,политика,политические новости, шутки и мемы,протесты,суицид

Более подробно тут https://news.tut.by/society/701174.html


PS Тяжело сказать сколько из этих случаев вызвано режимом, сколько инсценировано карателями, сколько будет впереди.
В 2016-м году Беларусь была на девятом месте в мире по количеству самоубийств на душу населения, после России, Литвы, Казахстана и нескольких микрогосударств, на одно место выше Южной Кореи - https://en.wikipedia.org/wiki/List_of_countries_by_suicide_rate



Развернуть
Комментарии 3221.09.202016:25ссылка21.5
Kasyan666Kasyan666

Вторжение в Украину 2022 Россия Великобритания белки ресторан общепит кулинария пропаганда ебанутым нет покоя Европа ...политика Знаменитости Общественные деятели Ольга Скабеева сливной бачок скабеева 

Скабеева рассказала, что из-за голода в Великобритании начали есть бе́лок

 

В своей программе Ольга Скабеева рассказала, что «в некоторых ресторанах Британии из-за нехватки питания будут подавать бе́лок, потому что их много в парках».

 

Развернуть

Отличный комментарий!

оригинальная новость была в том, что в британии есть завезённые серые белки, которые вытесняют местных рыжих. В статье было сказано, что нужно бороться с серыми, а то через десять лет рыжих не отсанется. И сказано, что в принципе, их можно готовить и есть.
Так что тут журналист изнасиловал журналиста
4one 4one09.03.202315:50ссылка
+38.2
Комментарии 6109.03.202314:55ссылка34.5
vinovino

Вторжение в Украину ...политика 

Развернуть

Отличный комментарий!

"пригласил свою бывшую", если это так, то та самая картинка просчитался_но_где.jpg

Типа если она все еще находилась в рф во время "приглашения", то за ней почти наверняка следили, ну, и результат в таком случае предсказуемый.
Badger Badger19.02.202421:17ссылка
+41.9
Комментарии 9019.02.202419:57ссылка44.4
RekolitRekolit

цик выборы 2024 разная политота ...политика 

ЦИК нашла «вызывающие удивление» ошибки в подписях за Надеждина

Рабочая группа ЦИК продолжает проверку подписных листов Надеждина и Малинковича; в некоторых нашли подписи «людей, которых на этом свете уже нет». О замечаниях претендентам расскажут 5 февраля

Зампред комиссии Николай Булаев предложил пригласить их на заседание рабочей группы в понедельник, 5 февраля, чтобы показать «результаты проверочных процедур и представить им протоколы о тех замечаниях».

РБК обратился за комментарием к Борису Надеждину.

«Гражданская инициатива» не имеет фракции в Госдуме; для регистрации кандидатом в президенты политику нужно собрать минимум 100 тыс. подписей в свою поддержку, при этом не более 2,5 тыс. в одном субъекте. 31 января Надеждин сообщил, что сдал в ЦИК 105 тыс. подписей. По данным его предвыборного штаба, всего на территории России собрали 201 тыс. подписей, из которых отобрали более половины.

Майонез
политика,политические новости, шутки и мемы,цик,выборы 2024,разная политота
Развернуть
Комментарии 3202.02.202415:20ссылка26.0
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме найдены мертвыми экс топ-менеджер (+1000 картинок)