Блумберг сообщает о дефолте в России по иностранным бондам
Впервые с 1918 года Россия не может выплатить долги иностранным кредиторам. По данным агентства, в воскресенье истек льготный период для выплаты около $100 млн просроченных платежей по гособлигациям, и в случае неплатежа крайний срок считается событием дефолта. В то же время Bloomberg указывает, что «дефолт носит в основном символический характер и мало что значит для россиян».
Мне, если честно немного непонятно - а что, собственно, дополнительно привнесет этот дефолт то? Рейтинг нам кредитный понизят? Он и так уже отсутствует. Запретят банкам с нами работать? Вроде уже в процессе. Подадут в суд, чтобы мы вернули деньги? Так суд РФ теперь "верховнее" любого сюда мира для страны по новой конституции... Запрет вложений в нашу экономику? Вроде и так их биржи сделали шаги, чтобы и комиссия в этом случае бралась и льготы не работали на вложенные финансы.
По сути дефолт - это показать пальцем и сказать "А они плахииие, не плааатят!". Что в рамках текущей обстановки выглядит не особо в новинку.
Прям напомнило, как российские студенты протестовали из-за лжи правительства вокруг сбитого Boeing-737 над Восточной Украиной. И журналисты рос.ТВ подавали в отставку из-за лжи про сбитый самолёт.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин. То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора: Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами. И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств… Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено. Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД». Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два. Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий? Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
В общем, есть некая украинская организация "Відсіч" https://www.facebook.com/vidsich/, которая занимается "Створення широкого громадянського руху та побудова громадянського суспільства в Україні"(с)
Недавно ребята накатали в СБУ заявление на Данилу Поперечного, мол парень ведет антиукраинскую риторику и с 12 апреля вьезд даному субьекту в Украину запрещен сроком на три года.
Если опустить притянутое за уши сравнение с Путиным, то Поперечный:
- в интервью Бардовской сказал что "в Крым хочу, но боюсь что поругают и начнут спрашивать, а чей он". Еще в своем видео ответе он указывал, что вопрос явно провокационый, и не он принимает решения по всему этому. Если судить с точки зрения украинского законодательства, то непризнание анексии можно считать причиной недопуска. Вот только Поперечный по сути не говорил ни "да", ни "нет".
- блок далеко не самых уместных шуток, которые заденут не только "вишивату".
ну и ответ от самого Данилы
По сути: поток мыслей и негодований. Лично я бы советовал посмотреть еще вот это
Если коротко: Может ли он так думать? Да. Может ли он такое произносить на публику, собираясь в Украину? Нет. И кому-то явно нужен паблишер.
Совфед запланировал на 4 марта (на пятницу) внеочередное заседание
У кого какие идеи, что они там будут обсуждать? Моя фантазия находится в диапазоне от решения нанести ядерный удар по американцам до вынесения импичмента хуйлу. С промежуточными вариантами как то капитуляция перед Украиной, объявление неядерной войны Евросоюзу, введение военного положения и всеобщей мобилизации, вхождение России в состав Китайской Народной Республики. Ну или - в качестве бреда - действительно меры социальной поддержки населения в условиях тотальной изоляции российской экономики и близящегося коллапса.
Ваши идеи?
Развернуть
Отличный комментарий!
Может объявить военное положение. Это позволит призывать резервистов по всей россии + использовать деньги граждан "на нужды армии"
А не кажется ли что массовый призыв в таких условиях это будет той самой "соломинкой" которая сломает спину верблюду? И если в глазок будет стучаться военкомат, то будут отвечать из ружья? Можно конечно сколько угодно обсасывать тему того какие наши родаки (поколение 40+) ватники, но у 90% резко встанут мозги на место, когда поймут, что его сына/брата/отца кидают в мясорубку хуй пойми за что.
Привет, реактор. Это мой политопост, мой крик души, и мой -100500 к рейтингу. И в жопу ту единственную звезду!
Да, речь опять пойдет про нашу Украину. Сегодня в жопу салоеды вс ватиники. Поговорим о делах насущных.
Первое. То, чего нету нигде в мире. У нас краудфандинговая армия. Жители страны, которые платят налоги добровольно скидываются на армию для этой страны. Боже, как мне стыдно от того, что мы до этого дошли, и как я горжусь своими соотечественниками за то, что они это поддержали!
А поддержка семей погибших - это Второе. Я следил за событиями в Волгограде (вечная память погибшим), но пара избитых(и один убитый) крымский татрин - и народ поднимается им помочь! Блин, я сегодня на трезвую голову перевел на счет вдовы каких-то 100 басков. Но елси я не один? Емли таких - на 40 миллионов - хотя бы 100... То мы им помогли! Мы сделали то, что было необходимо сделать! Мы протянули руку помощи ближнему.
И пускай радостно трут потные ладошки отдельные личности, мол, "тупые хохлы свою страну проебали". Не бойтесь, ребята. Как проебали, так и найдем
Третье. Я никогда не думал, что скажу это - даже в Сети. Я горржусь нашими военными. Никогда в своей сраной жизни я бы не сказал эти слова. Если бы не текущие события. Флот отказался переходить под флаги другой страны. Армия отказалась покидать части. Эти ребята - эти - без преувеличения герои - торчат там - окруженные враждебно настроенными силами - и не отступают. Каждый метр отдают настолько дорого, на сколько могут. О, боги! Если вы существуете - то дайте нашим военным сил, терпения, выдержки, еды и воды.,
Четвертое. На носу очередное Вече. Бля дубу - я туда пойду. Пойду, и буду либо сам рваться задвать вопроы, либо искать тех, кто будет их задавать. Вся эта фигня требует нашего вмешательства.
Помните как Игорь Востриков, потеряв всю семью в пожаре в Кемерово на лету переобулся и заявил что царь не виноват, а виноваты стрелочники подлые, да? Вот псто: http://polit.reactor.cc/post/3449518
Вас никого не удивило, что он сидит прямо промеж двух "друзей", чтоб не падать ни влево ни в право, да?..
Ну ясен красен, что все подумали, что это ФСОшники прямо в вживую его пресуют. Даже картинку подозрительно похожих людей нашли в окружении пыни. Но, к счастью, аккаунт одного друга Вострикова нашелся, вот он: https://vk.com/id198072907 И бляяяааа...
Вобщем "друга Вострикова" на работе выебут сегодня без смазки, потому что "друг Вострикова" - действительно сотрудник охраны пыниной алтайской дачи. Алтайское подворье помните? Заходите к нему во вконтакт, и смотрите его тренировки и его трехлетний отпуск на реке Катунь.
Вот эта база Урду на реке Катунь: https://www.google.fr/maps/place/Baza+Udru/@51.0387684,86.1959285,4584m/data=!3m1!1e3!4m5!3m4!1s0x0:0xbed28bbfaa9f82bc!8m2!3d51.0365487!4d86.2028763
А вот дача путина в 28 километрах от этого самого Удру, дача путина это банально следующий обитаемый пункт за базой Удру по течению Катуни. https://www.google.com/maps/place/50%C2%B047'13.0%22N+86%C2%B028'60.0%22E/@50.7891597,86.4844275,1256m/data=!3m1!1e3!4m5!3m4!1s0x0:0x0!8m2!3d50.78694!4d86.48333?hl=ru
И ладно бы чисто просто совпало, но он на этой базе квартируется который год с 2015 года" :) При этом он ничем не занимается, кроме как путешествует и ставит рекорды в беге НА ОДНОМ И ТОМ ЖЕ МЕСТЕ.... Блин, даже изгиб реки Катунь(в Кемерово река Томь течет) на отчете о его тренировках и изгиб Катуни на алтайской даче путина совпадают :))
Я сорок километров Катуни просмотрел, ну нету нигде похожего изгиба, где бы бегать можно было по берегу...
Делайте скриншоты, сохраняйте его вкшчку, это зашквар шикарный :) Естественно, что самого Вострикова в его ВК "друга Вострикова" не появляется вообще никак, хотя у того есть немало фото, где лысый сидит со спортивными мужиками в камуфляже да на рыбалке :) Вобщем да, котятки, Вострикова реально пресанул ФСО.
Распространите среди жильцов вашего ЖЭКа.
Развернуть
Отличный комментарий!
Я вот честно, не понимаю. Неужели там настолько тесный штат, что даже на постановочные фото идут одни и те же люди постоянно?
Реально проверенных и качественных людей очень мало. Кадры - вообще слабое звено любой аферы, кажется, вот у тебя 200 человек в штате, а какое-то творческое задание найдешь, и фигак, только ты, твой зам, и Валера могут выполнить. А у Валеры-дебила вконтакте уже три года геолокация публикуется, но ктож это учтет когда задание планирует-то?..
Рейтинг нам кредитный понизят? Он и так уже отсутствует.
Запретят банкам с нами работать? Вроде уже в процессе.
Подадут в суд, чтобы мы вернули деньги? Так суд РФ теперь "верховнее" любого сюда мира для страны по новой конституции...
Запрет вложений в нашу экономику? Вроде и так их биржи сделали шаги, чтобы и комиссия в этом случае бралась и льготы не работали на вложенные финансы.
По сути дефолт - это показать пальцем и сказать "А они плахииие, не плааатят!". Что в рамках текущей обстановки выглядит не особо в новинку.