Результаты поиска по запросу «

пирамида управления

»
Запрос:
Создатель поста:
Теги (через запятую):



РаввинРаввин

ставки Беларусь ...политота 

1ХВЕТ 2U* ЛИНИЯ v live v PROMO v КАЗИНО ^ LIV ^ > А > Т ¿¡. Политика. Беларусь .¿. Политика. Австралия ,Д. Политика. Великобритания Политика. Гс > <$14Д4ч07м34с Беларусь. Президент Беларуси Александр Лукашенко уйдет с должности до 01.09.2020 ВРЕМЯ НАЧАЛА 23:00 @) 2 Поиск -г 1 Событие
Развернуть

Отличный комментарий!

Блет зная свою удачу если я поставлю 5к на то что не уйдет, это будет ультимативно надёжным спонсорством в гос переворот.
Sonny Sonny19.08.202009:14ссылка
+35.7
Лол, тут при любой удаче тебя наебут. Это сайт наёбщиков.
Vladislavis Vladislavis19.08.202009:40ссылка
+38.2
Комментарии 2719.08.202000:37ссылка58.2
Tangerine_KirinTangerine_Kirin

Борис Акунин ...политика 

Росфинмониторинг внес писателя Бориса Акунина (Григория Чхартишвили) в реестр "террористов и экстремистов"

политика,политические новости, шутки и мемы,Борис Акунин

ПЕРЕЧЕНЬ ТЕРРОРИСТОВ И ЭКСТРЕМИСТОВ (ВКЛЮЧЁННЫЕ) Национальная часть Организации Физические лица 1. АЛИЕВ САИДАБРОН ДЖАЛОЛОВИЧ*, 11.04.1970 Г.р., С. ЯККАТУТ КУЙБЫШЕВСКОГО РАЙОНА РЕСПУБЛИКИ ТАДЖИКИСТАН; 2. АЛИЕВ КАМАЛ ХАНМУРЗАЕВИЧ*, 26.05.1993 Г.р., С. ХАМАВЮРТ ХАСАВЮРТОВСКОГО РАЙОНА РЕСПУБЛИКИ

Ранее писателя сняли с продажи в связи с его позицией слитой "пранкерами"
Развернуть

Отличный комментарий!

Запад опять русскую культуру отменяет.
psys psys18.12.202319:31ссылка
+68.3
Комментарии 1918.12.202316:38ссылка38.8
VoVaKaVoVaKa

песочница политоты ...политика 

Житель Кубани получил 4 года за слова про взрыв в архангельском ФСБ.

Житель Кубани получил 4 года за слова про взрыв в архангельском ФСБ
Москва. 7 июля.
INTERFAX.RU - Южный окружной военный суд вынес приговор жителю Кубани Петру Белякову за комментарии с положительной оценкой терроризма в соцсети, сообщает пресс-служба суда.

Его комментарии касались взрыва в областном управлении ФСБ в Архангельске в 2018 году.
Развернуть
Комментарии 007.07.202114:00ссылка0.6
GoliardGoliard

песочница политоты мобилизация могилизация ...политота 

хз как оформлять

ул. Поклонная. 17. Москва 121170 21.09.2022 № \\n.AQ79 Н1 № от Об обеспечения взаимодействия с военными комиссариатами на региональном уровне Во исполнение Указа Президента Российской Федерации от 21.09.2022 № 647 «Об объявлении частичной мобилизации в Российской Федерации», в соответствии с

 "С завтрашнего дня представители военкоматов будут дежурить на стационарных постах ГИБДД, сообщают наши источники. ГИБДД будет производить остановку автомобилей под управлением лиц мужского пола, после чего их будут направлять к представителям военкоматов. На внутригородских дорогах будут дежурить мобильные группы. 

Вряд ли они прям завтра организуются, зная их, но будьте готовы к этому"
https://t.me/guberniaband/4620
https://t.me/NetGulagu/3353

Развернуть
Комментарии 1621.09.202223:32ссылка5.4
Prince FlorizelPrince Florizel

силовики пытки длиннопост ФСИН ФСБ много букв ...политика 

В продолжение темы пыток во ФСИН, ФСБ и прочего мусорского насилия

силовики,пытки,политика,политические новости, шутки и мемы,длиннопост,ФСИН,Федеральная служба исполнения наказаний,ФСБ,много букв

Основатель правозащитного проекта Gulagu.net Владимир Осечкин написал открытое письмо Путину, где рассказал, что международная группа независимых экспертов и журналистов располагает значительным объёмом данных, файлов видеоархива ФСИН, секретного видеоархива ФСБ/ФСИН, тысячами файлов с грифами "Секретно" и "ДСП (для служебного пользования)" полностью раскрывающими всю картину того как работали «пыточные конвейеры» в российских колониях, как пытки и изнасилования использовались в оперативных целях ФСИН и управлением «М» ФСБ для вербовки осуждённых в качестве негласных агентов.

Текст письма: 

Президенту РФ В.В.Путину (лично, С.В.Савельеву не пересылать) 

ПРЕДЛОЖЕНИЯ и ИНИЦИАТИВЫ

Владимир Владимирович, добрый день. Есть разговор. 

Комитет против коррупции и пыток Gulagu.net и международная группа независимых экспертов и журналистов располагают значительным объёмом данных, файлов видеоархива ФСИН, секретного видеоархива ФСБ/ФСИН, тысячами файлов с грифами "Секретно" и "ДСП", которые устанавливают в полном объёме следующее: 

 - оперативные подразделения Управления М ФСБ России, ФКУ ГУОДОП ФСИН (Управление "Л" ФСИН = филиал М ФСБ) и Главного оперативного управления ФСИН, а также региональные структурные подразделения не только знали, но и курировали всю ВКР (один из видов ОРМ/ОРД) - т.н. "внутрикамерную разработку", в том числе использовали капо (садисты-извращенцы-содомиты) в качестве конфидентов и негласной агентуры, которые совершили в отношении подследственных, подсудимых и осуждённых сотни насильственных преступлений, пыток, изнасилований (ст.117,132,285,286 УК), истязаний, а также сотни принуждений к даче показаний с применением пыток (ч.2 ст.302УК РФ); 

 - оперативные службы ФСИН и ФСБ на протяжении длительного периода времени с помощью уникальных оперативных возможностей скрывали созданные ими пыточные конвейеры и злоупотребляли своими монополиями на проведение ОРМ на территории УИС; 

 - оперативные службы ФСИН и ФСБ собрали компромат и завербовали целый ряд сотрудников надзирающих прокуратур, ОНК, внедрили своих "бывших" сотрудников в аппараты УПЧ и т.п. с целью блокировки нормальной деятельности всего государственного аппарата и сокрытия пыточных конвейеров и сотен фактов пыток и принуждений к самооговорам (ярким примером вербовки по линии "М" ФСБ является прокурор Саратовской области Сергей Филипенко, которого сейчас врио начальника СЭБ ФСБ России С.С.Алпатов пытается через АП перевести прокурором в Лен.область для кураторства пыточного конвейера там); 

 - целый ряд высокопоставленных полковников и генералов ФСИН и ФСБ де-факто совершили Конституционный переворот и поставили свои личные цели и возможности выше Конституции РФ и Конституционных прав граждан; 

 - Организованное преступное сообщество, в которое входит целый ряд бывших и действующих высокопоставленных сотрудников ФСБ России и ФСИН при помощи подконтрольных им недобросовестных предпринимателей с использованием необоснованных ограничений распределили гос.контракты на поставку для ФСИН электроники, ПО, и т.п. на общую сумму более 10,000,000,000 рублей по заведомо завышенным ценам; 

 - Члены ОПС, используя оперативные возможности ФСБ и ФСИН, продвинули по внутритюремной иерархии в лидеры преступного мира своих конфидентов и негласных агентов, с помощью которых организовали массовые и систематические вымогательства денежных средств в якобы "общак", который де-факто обналичивался и передавался в объёме более 150,000,000 рублей коррумпированным сотрудникам ФСБ и ФСИН; 

 - с целью сокрытия серии своих тяжких и особо тяжких преступлений, члены ОПС из числа недобросовестных сотрудников ФСБ и ФСИН сфальсифицировали и сфабриковали ряд заказных уголовных дел в отношении независимых правозащитников координаторов Gulagu.net Владимира Осечкина (спец.операция М ФСБ и ГОУ ФСИН с инсценировкой якобы смерти М.В.Шнейдермана (план-легенда есть в нашем распоряжении), экс-координатора Gulagu.net Бориса Ушакова (конфидент Татьяна Козлова, завербованная в учреждениях УФСИН по Москве, по план опер.разработки и плану-легенде оговорила Ушакова Б.П. в изнасиловании); координаторов правозащитной организации "Сибирь правовая" Дмитрия Камынина и Владимира Тараненко. 

 Помимо этого в рамках у/д в отношении координаторов Gulagu.net и "Сибири правовой" были реализованы оперативные комбинации силами Управления "М" ФСБ и ГОУ ФСИН по вербовке программиста Gulagu.net Антона Фёдорова (его показания уже зафиксированы и стали предметом будущих публикаций) и при его соучастии 16 января 2020 года оперативники уничтожили социальную сеть Gulagu.net, ликвидировав более 100,000 мнений, постов и разоблачений/заявлений о конкретных фактах пыток, коррупции и иных преступлений. 

 Помимо ОРМ высокопоставленные генералы ФСИН и ФСБ с помощью фальшивых документов инициировали и продавили через РКН и МосГорСуд заведомо незаконную блокировку соц.сети для родственников заключённых и независимых правозащитников Gulagu.net в 2021 году. Также в рамках этих у/д оперативники ФСБ и ФСИН принуждали Бориса Ушакова к оговору Владимира Осечкина, а Владимира Тараненко - к передаче ключей-паролей от канала "Сибирь правовая" оперативникам ФСИН с целью ликвидации этого правозащитного канала, содержащего изобличающие оперативников данные в причастности к организации пыток в учреждениях ГУФСИН по Кемеровской области. 

 Де-факто высокопоставленные полковники и генералы ФСИН и ФСБ атаковали патриотов своего народа, волонтёров, принципиальных, скромных и бедных людей, которые рисковали своими жизнями, чтобы спасти других и остановить пытки в России. Ни один из объектов атаки не был связан с спецслужбами иностранных государств, действовал в интересах защиты прав человека и с целью наведения законности и порядка в УИС. Указанные выше факты и данные со всей очевидностью устанавливают, что вместо реального контрразведывательного обеспечения деятельности ФСИН и всей УИС, руководство и оперативники Управления М ФСБ и ГОУ ФСИН создавали условия для совершения сотен насильственных и коррупционных преступлений, преступлений против половой неприкосновенности, против личности и против правосудия, создав пыточные конвейеры, в которых в том числе сотни невиновных принуждались к самооговорам. 

 В октябре 2021 года после огласки конкретных преступлений в пыточной ОТБ-1 УФСИН по Саратовской области репрессиям со стороны этого ОПС подвергся и белорус Сергей Савельев, который разоблачил пытки в ОТБ-1 и показал всему миру ужасы и кошмары происходящего там. Этого молодого человека подвергали пыткам и избиениям, его заставляли 5 (!!!!) лет работать бесплатно в штабе ОТБ-1 в качестве секретаря начальника Отдела безопасности ОТБ-1 С.В.Мальцева без зарплаты, без оформления и начислений для пенсий и т.п., с 7 утра и до 22 вечера без выходных и отпусков, это рабский труд! И вместо извинения перед Савельевым - Ваши подчинённые объявляют его в розыск, очевидно преследуя его именно за разоблачение пыточного конвейера. 

 Владимир Владимирович, как же так получилось, что на обращения к Вам, к директору ФСИН, на мои заявления отвечал... тот самый Сергей Савельев, который получал указание от руководства ОТБ-1 готовить и. направлять в мой адрес заведомо недостоверные отписки? Почему все обращения с требованием остановить пыточные конвейеры спускались в то самое учреждение и там готовились отписки с целью сокрытия пыточного конвейера? На каком уровне в России согласованы эти преступления против человечества и против человечности? Вы устали? Вы не контролируете своих подчинённых? Вы сами не читаете наш сайт и не владеете объективной информацией? Вас держат Ваши же генералы и полковники за недотёпу и водят Вас за нос? Или Вы в курсе этих методов "пожёстче" и Вы лично санкционировали пытки в России? 

 Ваши, именно ваши спецслужбы завербовали и нейтрализовали многих наших коллег-правозащитников, ваши спецслужбы пытались заглушить голос патриотов и верующих людей, которые пытались внутри периметра остановить пыточные конвейеры и содомию, извращения и изнасилования. ФСБ и ФСИН выдавили нас из страны, добились закрытия Рабочей группы по защите прав заключённых при ГосДуме РФ. 

А теперь читайте очень внимательно следующие 2 абзаца, читайте так, как не читали никогда ничего ранее. Это не угроза, это констатация фактов. Gulagu.net и международные СМИ продолжат публикации и разоблачение пыточного конвейера. До этого мы показали лишь каплю в море. Масштабы пыток, коррупции, бесчеловечного обращения и убийств поражают воображение и мир это увидит и будет это знать вне зависимости от воли причастных к этим массовых преступлениям. 

 Мы наглядно покажем "секретную" работу, все эти хитрые "план-легенды", планы по опер.разработке, все эти манипуляции и хитрости, в том числе с тайным и заведомо незаконным доступом к телефонам адвокатов и представителей иностранных государств во время посещения заключённых, мы покажем как сотрудники ФСИН выбрасывали в окна убитых заключённых и имитировали их суициды, и от этого ужаса даже у вас, Владимир Владимирович, будут шевелиться волосы на спине и подмышками. Вы в прошлом работали в разведке и знаете немало про оперативную работу, и с учётом вашего опыта вы должны понимать, что ваши подчиненные из ФСБ и ФСИН совершили когда-то фатальную ошибку, сначала пытаясь вербовать нас, независимых правозащитников, а потом начиная манипулировать обысками, процессуальными возможностями и ОРД в качестве мести за наш отказ быть стукачами и марионетками. Мы русские и с нами Бог, мы верим в добро и знаем, что СИЛА - В ПРАВДЕ. Ваши подчинённые из Управления М ФСБ и ФСИН пытались нас уничтожить, но напоролись на обычного русского мужика и его семью, и это будет иметь необратимые последствия для всех оборотней и предателей своей страны и своего народа, в жизни бумеранг всегда возвращается и он уже в дороге. 

 В соответствии с вышеизложенным ПРЕДЛАГАЕМ ДОБРОВОЛЬНО: 

 1. Отказаться от уголовного преследования Сергея Владимировича Савельева, который разоблачил пыточный конвейер в ФКУ ОТБ-1 УФСИН России по Саратовской области и раскрыл десятки фактов страшных изнасилований, пыток и принуждений к даче показаний с применением пыток, превышений должностных полномочий и злоупотреблений со стороны руководителей УФСИН, ОТБ-1 и отдела "М" УФСБ по Саратовской области; 

 2. Отказаться от заведомо незаконной блокировки сайта правозащитного проекта Gulagu.net и вернуть нам весь массив данных социальной сети Gulagu.net с данными более 18,000 зарегистрированных пользователей и более чем 100,000 постами, открытыми письмами и заявлениями, опубликованными пользователями, в том числе координаторами Gulagu.net о конкретных фактах пыток и коррупции за период с 2011 по 16.01.2020 года (данные файлы похищены и незаконно находятся у оперативников Управления "М" ФСБ России - Насушкин Ю.А., Конин А.А., Паршин А.А. и пр.); 

 3. Отказаться от незаконного заказного уголовного преследования в отношении координаторов Gulagu.net и "Сибири правовой", освободить Ушакова Бориса Павловича, Тараненко Владимира, Камынина Дмитрия, извиниться перед ними за заказные аресты и оказание на них физического и психологического давления; 

 4. Прекратить работу псевдоправозащитного проекта gulag-info с участием завербованных оперативниками М ФСБ и ГОУ ФСИН подментованных Дроздова А., Солдатова Д., которые по заданию оперативников М ФСБ и ГОУ ФСИН дают заведомо ложные показания против нас, имтируют якобы правозащитную деятельность и регулярно публикуют информацию по поручению оперативников М ФСБ И ГОУ ФСИН, ДЕЙСТВУЯ В КАЧЕСТВЕ КОНФИДЕНТОВ И НЕГЛАСНЫХ АГЕНТОВ (данный "проект" был создан с целью дискредитации Gulagu.net и введения родственников заключённых в заблуждение, сепарирования аудитории и спецоперации/опер.комбинации с целью дискредитации народного правозащитного движения Gulagu.net, подмены и создания "двойника"; 

 5. Организовать проверку и расследование силами Генпрокуратуры РФ и ГСУ СК России в отношении целого ряда некомпетентных оперативников и руководителей М ФСБ и ГОУ ФСИН, которые злоупотребляли служебным положением, соучаствовали в фальсификации доказательств против правозащитников, принуждали десятки заключённых и бывших заключённых, их родственников подписывать присланные с Лубянки проекты заявлений и подготовленные оперативниками 2 отдела 2 направления Управления М ФСБ России заведомо подложные показания (2019-2020г) с целью фальсификации доказательств обвинения против основателя Gulagu.net Владимира Осечкина и его коллег и родственников; 

 6. Уволить из администрации президента РФ, ФСБ, ФСИН, НТВ, т/к "Россия" и РЕН-ТВ всех причастных к информационной атаке и кампании по дискредитации Gulagu.net, кто все эти годы используя бренд "Россия" и возможности гос.структур пытался уничтожить независимый волонтёрский правозащитный проект Gulagu.net, который лишь пытался добиться от властей РФ пресечения заведомо незаконной практики применения пыток; 

 7. Выпустить на федеральном канале фильм-расследование о пыточном конвейре, о соучастниках пыточного конвейера и о спруте внутри ФСБ и ФСИН, которые все эти годы разворовывали бюджет РФ (выделенный для реформы ФСИН), похитили более 10,000,000,000 рублей и подвергли пыткам сотни и сотни наших сограждан, убили более 10 человек и довели до суицида ещё более 50 человек, в котором раскрыть роль правозащитного проекта Gulagu.net и лично Владимира Осечкина, который действовал и действует независимо и в интересах своего народа и защиты прав человека; 

 8. Всех фигурантов и причастных опросить/допросить с применением полиграфа, в том числе и нас (Д.В.Пшеничного, В.В.Осечкина, С.В.Савельева), об известных нам фактах преступлений, описанных выше (мы не скрываемся и готовы давать во Франции показания следователям Европейских правоохранительных органов и журналистам, нам нечего скрывать); 

 9. Провести полное и всестороннее расследование как по факту убийства Пшеничного Валерия Анатольевича в пресс-хате СИЗО-4 УФСИН по СПб и Лен.области, так и по факту последующей фальсификации и обрезки файлов (обрезаны даты, время и номер камеры видеонаблюдения) видеоархива сотрудниками УОДОП УФСИН по СПб и ЛО и отдела "М" УФСБ с целью сокрытия от следствия фактов причастности к пыткам и убийству конфидентов и негласных агентов из числа капо-разработчиков и сотрудников УФСБ/УФСИН, привлечь всех виновных к уголовной ответственности; 

 10. Поручить Генеральному прокурору РФ и Председателю СК России лично провести проверки по всем обращениям В.В.Осечкина (их более 200) за период 2014-2021 года по фактам Grand-коррупции в ФСИН и ФСБ, по фактам многомиллиардных хищений, десятков эпизодов причастности недобросовестных сотрудников (члены ОПС) ФСБ и ФСИН к афёрам, срыву ГосОборонЗаказа, закупкам тысяч коммутаторов, маршрутизаторов и компьютеров иностранного производства с подложными наклейками Made in Russia, устаревшей техники по заведомо завышенным ценам, а также по фактам убийств и пыток более 100 заключённых, объединить их проверку и расследование по ним в одно производства, создать СЛЕДСТВЕННО-ОПЕРАТИВНУЮ ГРУППУ ИЗ ЧИСЛА СОТРУДНИКОВ СКР, оперативников ФСО России, ГУСБ МВД И ГУУР МВД России, исключив вмешательство в деятельность СОГ сотрудников ФСБ и ФСИН; 

 11. Избрать соответствующие меры пресечения в отношении генералов ФСБ и ФСИН Алпатова С.С., Гнедова Е.В., Рудого А.А, Шмидко А.А., Емельянова Н.С., Насушкина Ю.М., Конина А.А., Демьянишникова С.А., и иных лиц из ФСБ и ФСИН, которые могут попытаться покинуть Россию и избежать соответствующей ответственности; 

 12. Опросить следователя ГСУ СК по Москве Кондратенко М.А. о причинах проведения обыска 09.09.2015г. по адресам проживания и регистрации Осечкина В.В., о причинах допросов Осечкина В.В., а также как о причинах отказа от уголовного преследования Осечкина В.В. (не было сонований) в 2015-2016 году, так и о тех должностных лицах Управления М ФСБ России, которые оказывали давление на следователя по особо важным делам СУ по ЮЗАО ГСУ СК России по Москве с целью проведения обысков с участием корреспондентов РЕН и НТВ 09.09.15г. в рамках спецоперации по дискредитации Gulagu.net и Владимира Осечкина по незаконным и фальшивым основаниям, а также опросить Саксина Виталия Владимировича (в настоящее время - Заместитель руководителя Главного следственного управления Следственного комитета Российской Федерации по городу Москве - руководитель отдела по расследованию преступлений, совершенных должностными лицами правоохранительных органов) о его агентурной работе на Упаравление "М" ФСБ России, о его роли в организации обысков 09.09.15г. дома у Осечкина В.В. и реализации заказа оперативников М ФСБ против В.В.Осечкина, расспросить Саксина В.В. о причинах такой "благодарности" со стороны М ФСБ и его повышения до уровня зам.руководителя ГСУ СК России и тесного сотрудничества с М ФСБ в обмен на указанные выше заведомо незаконные действия; 

 13. ПРИНЯТЬ БЕЗВОЗМЕЗДНУЮ ПОМОЩЬ и указать нам адрес отправки непосредственно для Путина Владимира Владимировича персонального компьютера MacBook Air (менее 1 кг, очень удобно) для свободного выхода в Интернет, просмотра канала Gulagu.net в Youtube и нашего сайта (в России придётся читать пока Gulagu-net.ru), потому как в "папках" от ФСБ и ФСО по теме пыток в ФСИН либо нет ничего, либо содержится мягко говоря неполная информация; 

 14. Рассмотреть вопрос о назначении Бабушкина Андрея Владимировича Уполномоченным по правам человека в РФ с отстранением от работы в этом государственном правозащитном органе всех лиц, которые ранее проходили службу в МВД, ФСБ, ФСИН/ГУИН, МинЮсте, прокуратуре и МинОбороне). СПРАВОЧНО: экс-заключённый, которому Бабушкин А.В. помогал после освобождения, убил маму Андрея Бабушкина. Тем не менее этот человек продолжает свою миссию и делает очень многое на самом деле для защиты прав человека, он объективен и больше всех заслуживает этот высокий пост, на котором он сделает для России и народа много больше, чем делает сейчас в рамках СПЧ) ; 

 15. УЖЕСТОЧИТЬ НАКАЗАНИЕ ЗА ПЫТКИ. В России недобросовестные силовики, прикрывась властью и погонами, бьют, пытают и насилуют сограждан, которые находятся в заведомо беспомощном состоянии и положении. Объекты ВКР - внутрикамерной разработки - связывают, заковывают в наручники, пытают, насилуют. Пострадавших потом могут ещё недели держать на вязках, закалывать психотропными препаратами с целью подавления воли (как это было в ОТБ-1), у них нет возможности фиксировать следы побоев и пыток и обращаться срочно в МВД/СК, и подобные преступления должны наказываться реальным сроком лишения свободы вплоть до пожизненного срока лишения свободы в отношении организаторов пыточных конвейеров); 

 16. Провести амнистию, сократив все назначенные сроки лишения свободы в 2 раза; 

 17. Амнистировать и незамедлительно освободить из мест лишения свободы всех, пострадавших от пыток и истязаний; 

 18. Начать кампанию по освобождению невиновных, у которых выбивали показания и кого принуждали к самооговорам; 

 19. Перезагрузить отношения между правозащитниками и государством, отказаться от вербовки правозащитников и извиниться перед всеми, кого оперативники ФСИН и ФСБ пытались и вербовали, всех кураторов соответствующих вербовок уволить по дискредитирующим основаниям; 

 20. Для далнейшего обсуждения связаться по видеоконференцсвязи (Skype Vladimir80552) и прилететь в Биарриц, Франция, для начала конструктивного диалога и обсуждения деталей необходимой реформы ФСИН/УИС; 

 21. О принятом решении уведомить по эл.почте gulagunett@gmail.com 

Данное обращение опубликовано на Gulagu.net 27 октября 2021 года https://gulagu-net.ru/appeal/2021-10-27-991.html 

Основатель Gulagu.net 

Владимир Осечкин

Развернуть

Отличный комментарий!

> написал открытое письмо Путину...
Ну теперь то путин всё исправит: объективные расследования проведут везде, уголовные дела заведут, виновных всех уволят и накажут по всей строгости закона...пострадавшим выплатят компенсации, обеспечат лечение, раздадут жилье от государства, выделят льготы....да да да....
.....Да максимум что случится, это найдут виновного, в том, что всплыла информация и изнасилуют того шваброй так как и других жертв, а тих объявят инагентами, стремящихся опорочить спецслужбы страны.
Rancor Rancor28.10.202115:06ссылка
+32.5
Разумеется он знает обо всём этом и всё это работает с его молчаливого позволения (а может и по прямому указанию), и разумеется, он не будет ничего предпринимать в связи с этим. Но с каждым таким письмом ему будет всё сложнее съехать на легенде плохих бояр. Это как плевок в лицо, от которого надо будет очень постараться отмыться. И чем их больше, тем лучше ящитаю.
Где детонатор? Где детонатор?28.10.202116:17ссылка
+49.2
Комментарии 11828.10.202114:41ссылка73.5
ArtertonArterton

Вторжение в Россию 2022 песочница политоты твиттер ...политота 

водка и мельдоний @1ге1^о1пу_И1Л • 4И На восьмом месяце третьего дня взятия Киева ф Газетами О @GazetaRu • 5И ^ Государственное издание, Россия В Белгородской области приступили к установке защитных сооружений О 3 11 7 С? 47 Г,Вторжение в Россию 2022,политота,Приколы про политику и

Развернуть
Комментарии 2223.10.202200:47ссылка31.2
Good_ManGood_Man

РЖД дыра уязвимость новости habr длинопост информационная безопасность it мопед не мой информационная небезопасность ...политика 

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.

11! i 1 * \Æ ■ 1 1 У ■ |L m A Ш ■ 1 Ши/ I * 1 / ■V,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.

Всё началось с гипотезы


В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!

:erOS Win Box ^ admin@192. 5.1 (MikroTik) - WinBox (64bit) v6.47 on hAP ac lite (mipsbe) Session Settings Dashboard •O O Safe Mode f Quick Set x CAPsMAN ^ Interfaces X Wireless Bridge 1= PPP ^ Switch *n Mesh H IP f Q MPLS Routing $2’ System f ^ Queues ^ Rles Log it RADIUS ^ Tools E5l


То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.

В поисках Немо владельца системы


Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os

Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…

За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.

О А Не защищено | 192/ .40/1одт.а5р ☆ е : ве^лгсо Просмотр Настройки Выход ИзоОражение 2 0 2 1 -0 з в 1РС355803,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

Вот некоторые из найденных сервисов с паролями по умолчанию:

1. Камеры наружного наблюдения — подавляющее большинство.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Ещё камеры
X А Не защищено 10. 12/1одт.азр Просмотр Настройки Выход вешлво Изображение Информация Могпжюп,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

4r G A HG3ammuGHO | 10 134/viGw/viGWGr_indGx.shtml?id = 11 * e AX\Sa AXIS P1346 Network Camera View size (f>© Stream profile | Motion JPEG V,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не

(r O A He3ainmuGHO | 10. 80 GË ☆ -i 0 vfe S5120FD-DN IP Camera HD POWERING ACTIONABLE INTELLIGENCE* Video stream [i______vj > Manual trigger: Digital output 1 on ¡off | Zoom and Focus 1 — I Zoom l +J I — | Focus 1+J Zoom speed lov Focus speed lo v 0 Clientsettings >_ Configuration

☆ Е5Г О А Не защищено | 10 О асИуесат 224/сп/у1еУ7емпс1ех.а5р О Просмотр Ф Настройки Конфигурация видеопотока : [ Приоритет по каналу у| Канал : Осн.1,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не

ittp ://' S fdoc/page/preview.asp - Ç rioncK... X|L*I ON Live View Playback Picture Application Configuration,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Даже офисы внутри

192. 60/view/index.shtml AX IS- AXIS 216FD Network Camera Live View I Set Video format | Motion JPEG v,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

2. Ip-телефоны и FreePBX сервера также большое количество.

защищено | 10. 1/servlet?m = mod_data&p=account-register&q=load Yealink Выход из системы Используется пароль по умолчанию, его необходимо изменить! easy / IPmatika powered by Yealink Статус Аккаунт Сеть DSS Функции Настройки Контакты Безопасность Статус регистрации Активная линия Лейбл

4r O A HG3ammuGHo | 10. 3/index.html ••• IRMATIKA onfiguration Settings Network Print Log Settings retwcrk Applications 'hone Settings IP NAT Settings >ial Plan Settings peed Dial Settings rovisionmg Settings IP Accounts Account 1 Account 2 'all Settings Account 1 Account 2 Ludio


3. IPMI серверов:

Asus
4r O A HG3ammuGHO 192 51/indGx.html ASMB8,kvm 6 American Megatrends Ina Dashboard FRU Information Server Health Configuration Remc Dashboard Dashboard gives the overall information about the status of the device and remote serve Device Information Firmware Revision: 1.13 Firmware Build
Dell (их подавляющее большинство)
A He 3aiMHLUGH0 | 10. 5/indGx.html?ST1 = Integrated Dell Remote Access Controller 8 Enterprise / Thermal Console Attached Media vFlash Service Module Job Queue Properties Summary Details System Inventory System Summary Server Health Virtual Console Preview y Batteries y Temperatures

root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin root: calvin
Supermicro
G A Hg 3amnmeHO | 10 i/url_rGdirGct.cgi?url_namG=mainmenu System Server Health Configuration Remote Control Virtual Media Maintenance © System © FRU Reading © Hardware Information © System Firmware Revision: 03.65 Firmware Build Time : 12/16/2017 BIOS Version: 3.1 BIOS Build Time: 06/06/2018
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
4r G A He3amnmeH0 | 10 4/cgi/url_redirect.cgi?url_name=mainmenu © System © Summary [J»l Java iKVM Viewer v1.69.26 [1 .4] - Resolution 1024 X 768 - FPS 9 Virtual Media Record Macro Options User List Capture Power Control Exit © FRU Reading © Hardware Informatioi Vttuare ESXi 6.0.0

4r G A He samnLLiGHO | oktsrv.rzd.dpo/ovirt-engine/ Welcome to oVirt OPEN VIRTUALIZATION MANAGER Version 4.3.7.2-1 .el7 Portals Administration Portal VM Portal U.S. English v Downloads Console Client Resources CA Certificate moVirt for Android Not Logged In oVirt Technical Reference

Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
4r O A He3aiiii/iuieHO | 10 131 M0X3 j Main Menu Cl Overview Cl Basic Settings Cl Network Settings l'C3 Serial Settings LCl Port 1 1Operating Settings LCl Port 1 Cl Accessible IP Settings 1-^3 Auto warning Settings l-Q E-mail and SNMP Trap ;-Q Event Type ] Digital 10 |-Q DIO Settings 1 Cl DIO

10 128 Firmware Version: V4016 USR -IOT Experts- Be Honest, Do Best! Current Status Local IP Config Expand Function Mise Config Module Name Current IP Address MAC Address Remote IP/TX/RX-1 -2 -3 -4 -5 TX Count/RX Count parameter USR-TCP23 2-304 10 .228 d8-b0-4c-e9-3c-09 10CH -31 / 0
5. Системы управления ИБП
О А Не защищено 10. 11 F:T*I\I Powering Business Worldwide Powerware 9130 2000 - Savelovskiy ИБП Свойства ИБП 5 Управление ИБП Еженедельный график Параметры отключения Журналы и уведомления Измерения Журнал событий Системный журнал Уведомление по электронной почте Настройки Сеть

4r O A HG3ammuGHo | 10. >0/lsi.html RICHCOMM Login Usenadmin Operation Authorization:Manag UPS Information :’9|H c> Current Status c Remote Control System Setting Network Settings SNMP Setting User Setting IPPOWER Setting Para Setting c c c c c In Voltage:234.0V Frequency:49.9HZ Out

6. Внутренние сервисы

192. 15 Дирекция пассажирских обустройств Логин Пароль АВТОРИЗАЦИЯ ☆ е : Перейти на АСУУВ: Выберите из списка ^,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


4г О А Не защищено | 10. :88/tractionsubstract¡on?¡ds=651 &archivetime=08¿sessionid=0041000001080864 12.29 05:03:46 Москва-Пассажирская-Октябрьская дд.мм. ☆ 5Г 0 « |_Т_||_Г_| ' Москва-1оварная-Октяорьская - Mocki _ I__J I__J _ Пассажирская-Октябрьская •••••••••••• S Активация Windows


Что-то похожее на мониторинг состояния систем обеспечения здания.
О А Не защищено | 10 10 Осн. здание ББЦ ГРЩ ИБП ИТП Вентиляция Настройки Аварии История Основное здание 1 этаж Вентиляция П1 Работа Авария 13.9°С П2 Работа Авария 18.5°С П4 Работа Авария 0°С П5 Работа Авария 26.7°С П6 Работа Авария 19°С П6* Работа Авария 20.6°С У1 Работа Авария 11.2°С

Система управления кондиционированием и вентиляцией
4r О A Не защищено | 10. 0.2 Д CPK-M2 • Состояние о Состояние системы о Состояние СРК-М2-У о Состояние подключения о Состояние ОКВ о Сост входов выходов о Просмотр журнала • Настройки общие СРК-М2 о Лата, время, периоды, ротация • Настройки связи о Сеть IP Ethernet о RS4S5 MODBUS мониторинг

Различные системы управления табло на перронах :-)

Эта самая красивая
4г О А Не защищено 10 :3/агтсГ|р?5е55ютс1=0 ^РМ Мониторинг Систем Информирования Пассажиров С* Остановочные пункты: Спб - Москва 59 /39 Волхов Мост 0 Волхово 0 О Вышний Волочек 5 Гряды 0 Дубцы 0 Ф Завидово 2 /2 фКлин 2 ф Колпино 2 /2 Ф Крюково 8/8 О Лихоборы 2 Москва-Пассажирская-

Некий терминал, но внутри модифицированный дебиан.

Таких нашёл около 20
(г О А Не защищено | 10. QJdaMasK Кассир Адмиш Регистратор Мминистрато Управлениесервер Пароль <8> login as: root $ root@ 5 password: Linux damask 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64 Last login: Mon Feb 4 21:13:51 2019 from root@damask:~# cat /etc/*release*

Кстати, аптайм у него почти год:

16:33:40 up 333 days, 27 min, 2 users, load average: 0,42, 0,35, 0,33 USER TTY FROM LOGIN© IDLE JCPU PCPU WHAT kiosk ttyl - ll$eB20 333days lldays 0.02s /bin/sh /usr/bin/startx root pts/0 10. E I1t22 2.00s 0.08s 0.00s w rootQdamask:~#



6. Сетевое оборудование

4r О A Не защищено | 10 03 T Fortis ► Main ▼ Basic Settings ▼ Ports Main Device name ▼ Events Device location PSW1.3 Ufa Port FE#1 FE#2 FE#3 FE*4 GE#1 GE*2 Link Up Up | Up | Up Up Up PoE On On Off Off dg = The main; • Device • Device • C’ontai


Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.

Не полный кусок лога по прокси.

Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) Mikrotik HttpProxy (proxy server) < HttpProxy (proxy server) Jotik HttpProxy (proxy server) □Proxy (proxy server) Ikrotik НщЯ^^ргоху server) Mikrotik


Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

И все же кто же хозяин?


Думаю, что уже все и так догадались.

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

Это здец. Сеть просто в решето.

Причём это устройства по всей РФ.

Например, вот это вокзал Уфы
А Не защищено | 10.. 3/сп/у1е\уег_тс1ех.а5р О Просмотр Ф Настройки Конфигурация видеопотока : [ Приоритет по каналу у| Канал : |,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная
Антропово Костромской области
РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность

Развёрнута профессиональная система видеонаблюдения.

Нашёл презентацию по вокзалам.

macroscop
1С 100:8080 тасгоБсор \УеЬ-Клиент Масгозсор Название конфигурации: Анапа. Текущее состояние: Сервер активен.. Время запуска: 04.11.2020 12:36:25. Версия сервера: 2.0.94,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и

Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

Как же так получилось?


Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.

root@debian3:~# nslookup 8 1 0.in-addr.arpa,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…

Получилась вот такая картина:

Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например
Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?

Möv \ л/ V V/\v hk Л- Iw kîT4 vi lr>-—^>jC,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


У меня лично есть всего три варианта ответа на этот вопрос:

1. У Вас исходно плохая команда.

Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

СЫН МАМИНОЙ ПОДРУГИ,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.

РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность


Стоимость уязвимости


«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД».
Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.

Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.

Рандомно выбранная из списка установленных модель стоит ~13к рублей.

Ве\л/агс1 В2710РМР Производитель: BEWARD Макс, разрешение видеокамеры: 1920x1080 ИК-подсветка: Да 12 900 Р Бесплатная доставка, 1 -3 дня Есть самовывоз Оплата наличными курьеру Арсенал-СБ ★★★★★ 408отзывов В магазин,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная


А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.

Гипотетическому злоумышленнику потребуется:

Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два.
Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.

Двигаемся дальше.

Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.

А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…

Кажется счёт уже уходит за миллиарды…

Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».

Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.

General Dial Out Status Traffic Connect To: vpn .mythtime .xyz User: u: 1 Password Profile Keepalive Timeout Use Peer DNS u^M37 default-encryption 60 □ Dial On Demand □ Add Default Route Default Route Distance: 1 Allow: 0 mschap2 0 mschapl 0 chap 0 pap OK Cancel Apply Enable Comment


Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…

Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os

Кстати, Евгений Игоревич, с повышением!

14.12.2020 14:20:00 ЖД Транспорт / Новости Заместителем генерального директора РЖД стал Евгений Чаркин Решением совета директоров Евгений Чаркин, ранее занимавший должность директора по информационным технологиям ОАО «РЖД», назначен заместителем генерального директора компании. Об этом сегодня


Источник

А ВОТ И Я «notivat on.mi,РЖД,дыра,уязвимость,новости,habrahabr,habr,длинопост,информационная безопасность,it,политика,политические новости, шутки и мемы,мопед не мой,информационная небезопасность
Развернуть

Отличный комментарий!

Сама статья: https://habr.com/ru/post/536750/
Good_Man Good_Man13.01.202116:54ссылка
+7.8
https://habr.com/ru/users/LMonoceros/ - UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Good_Man Good_Man13.01.202117:18ссылка
+8.5
Премию дадут?
SasnyiSosok SasnyiSosok13.01.202117:19ссылка
+1.4
Аванс: его жизнь.
Оплата: его не посадят.
Хермоус Мора Хермоус Мора13.01.202117:19ссылка
+48.3
Комментарии 27613.01.202116:54ссылка151.2
Xander34VXander34V

ебанутые записи ватников с социальных сетей Дауны ...политика 

А я правильно понимаю? Против Украины не введут санкции за вторжение в Россию, не заблокируют монетизацию и конечно не признают страной-агрессором?,ебанутые записи ватников с социальных сетей,ватные соцсети,,Дауны,политика,политические новости, шутки и мемы

Я все еще не верю, что можно быть настолько тупым, чтобы не понимать почему все именно так, как оно и должно быть. Логические цепи у этих "людей" ну просто не идут дальше одного звена и все тут, какой-то блядь ментальный блок. Слушайте, вот в книге Хаксли эмбрионам в мозг спирт вкалывали, чтобы сделать тупую низшую касту чернорабочих, которые ни на что не жалуются, может у нас в роддомах тоже такое практикуют?

Развернуть

Отличный комментарий!

rikki_tikki rikki_tikki15.08.202419:58ссылка
-80.3
Еще и по жопе лупят сразу после рождения, чтобы об лэгэбэтэ не думал
Xander34V Xander34V15.08.202420:25ссылка
+69.1
Комментарии 11315.08.202419:38ссылка88.6
8l8i88l8i8

Буквы на белом фоне ...политота 

Леонид Цветков 17 июн А сейчас, когда заблочили весьма годный VPN - тем более. Ответить — 38 О Для Сохранения -111 17 июн Без пропаганды суицида и детской порнографии совсем жить не можете? Ответить — Mh Mike Espoo 29 ¥ 17 июн Против Linked In что-нибудь имеете? Он заблокирован
Развернуть

Отличный комментарий!

На Stackoverflow Jobs теперь тоже можно. Блокируйте и его уже тогда, что ли.
vvdx vvdx29.10.202109:08ссылка
+1.6
Тогда отечественным разработчикам придется писать свой собственный код, они разовьют в себе невероятный уровень скилов от безысходности, и забугорные разработчики не смогут нашим ничего противопоставить, и мы превозмогем (догоним и перегоним) спейс-икс, первыми построим базу на Луне, а потом и на Марсе, машину времени, вечный двигатель, философский камень и
Gubr Gubr29.10.202109:21ссылка
+27.0
Беднягу заблокировали прежде чем он успел дописать комментарий.
vvdx vvdx29.10.202109:25ссылка
+78.3
Комментарии 2029.10.202106:49ссылка97.3
bartalameusbartalameus

песочница политоты Сахарные баронессы ...политика 

песочница политоты,политика,политические новости, шутки и мемы,Сахарные баронессы
Развернуть
Комментарии 023.03.202212:30ссылка3.6
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме пирамида управления (+1000 картинок)