Почта России переходит на российский Linux
https://www.cnews.ru/news/top/2024-09-11_microsoft_doigralas_i_poteryaet
https://www.cnews.ru/news/top/2024-09-11_microsoft_doigralas_i_poteryaet
Дом отжат у "экстремистов", пикетировавших с цветами против войны, кошка осталась от прошлых владельцев дома. Мать - жена героя СВО посмертно, получила новую хату и гробовые, заодно быстро нашла себе нового хахаля, от которого, собственно, уродился сыночек.
Хахаль, небось, тоже в теме, поцриот, менеджер на "перспективном" предприятии по производству «поддонов» под кураторством Минобороны (для тех, кто не знал, так "формально" производство Шахедов называют) со своим войском из пленных студентов, пашущих под постоянным шантажом и давлением по 12-14 часов в сутки. При этом, поддерживая войну и гос. политику, продолжает выёбываться заграничной техникой из "недружественных стран", выкладывая фотки в своём Фэйсбуке.
На фоне этого всего цирка уродов только дочь, кажется, выделяется от остальных, стоя как бы в стороне от остальных, ибо её родного отца убили, а мать как перчатки сменила неудавшегося муженька на другого, покруче. Но она, похоже что, смирилась и ушла в себя, занявшись йогой, закрыв на всё глаза, потому что так или иначе все метаморфозы сии подняли её собственный социальный статус.
Картина маслом, додумывай себе сам что хочешь в меру того пиздеца, который может иметь место быть.
(ОСТОРОЖНО! Официальный телеканал министерства обороны "Звезда"). Сурс
Всё так же желаю украинцам не только выстоять в Мариуполе, но и полностью отбить все территории, над которыми был потерян контроль как минимум с 24 февраля, понимая, какого количества жертв стоило бы возвращение контроля над теми, которые потеряли в 2014-м.
Немного печальной констатации
- Херсон, судя по всему, сейчас зачищается так же, как зачищались пригороды Киева. Я попытался найти новости о протестах в Херсоне в последние 2 недели, и нашёл только то, что последняя была 21 марта, которую расстреляли, после чего из Херсона новостей не поступало (ну либо я плохо искал).
- В других захваченных городах на юго-востоке Украины, по всей видимости, происходят столь же масштабные зачистки. Несмотря на сопротивление местного населения, наших мразей ничего не сдерживает. 3 дня назад, например, была расстреляна демонстрация в Энергодаре.
Ну и напоследок то, за что я сейчас схвачу гигатонну минусов, но я не могу этого не сказать. На протяжении последних как минимум восьми лет нам ставили в вину то, что мы "не так протестуем", что "надо действовать жёстче", что "да чего вы боитесь, ментов всё равно меньше, чем вас", что "всех не перестреляют", что "украинцы же вышли и победили "Беркут". Вот прямо сейчас мы видим, как весьма небольшой (в сравнении с населением) группировкой вооружённых орков удерживается контроль над юго-востоком Украины. И это самое население протестует не как мы или белорусы, они цветочков оркам не дарят, они не разуваются, вставая на лавочки, они не бросают бумажные самолётики и не светят фонариками. Они сопротивляются по-настоящему. И не только на улицах, но и партизаня, уничтожая технику орков, убивая самих орков, взрывая коммуникации. Но даже в таких условиях каких-то сотни тысяч орков хватило, чтобы взять под контроль 5 миллионов человек (население того куска Украины, который сейчас под контролем нашей армии).
А теперь представьте, что мы под такой оккупацией живём все последние 20 лет. Только у нас эти орки находятся у себя дома. Знают все наши адреса, знают всех наших родственников, не имеют никаких проблем со снабжением. Полностью контролируют всю нашу переписку. И все последние 20 лет планомерно уничтожают (от выдавливания из страны до убийства) каждого, кто представляет хоть какую-то угрозу.
Многие забывают, что первой страной, которую захватили нацисты, была Германия. Так постарайтесь не забыть и о том, что первой страной, которую захватил Путин, была Россия. И как Гитлер в 1933-м захватил власть не на выборах, а устроив госпереворот, введя чрезвычайное положение и запретив все остальные партии, так и Путин в 2000-м захватил власть не на выборах, хотя и более изощрённо, чем Гитлер в 1933-м. Создав по сути однопартийную систему (в которой парламент - не место для дискуссий), напринимав фактически отменяющих конституцию законов (о "санкционированных митингах", о "пассивном избирательном праве", о "СМИ" и прочие), и, в конечном итоге, переписав саму конституцию сначала в 2010-м, а потом ещё раз в 2020-м.
Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).
История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.
Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.
Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).
Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.
Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.
Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19
Вот элитного посёлка «Жуковка»:
Вот клиенты в Барвихе, включая местный Альфа-Банк:
В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать.А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:
«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:
Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:
Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:
Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):
Ещё через 5 дней я решил поинтересоваться результатами проверки информации:
на что мне ответили, что всё исправили:
Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:
и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:
Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:
И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.
А теперь — простым языком для людей, которые не поняли, что всё это значит.
Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.
Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.
И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.
Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e
3 секунды в гугле
"История Джулиана Ассанжа" (2012)
"Пятая власть" (2013). В роли Ассанжа - Камбербэтч.
Это не говоря уже о документалках, имя которым легион
"Мы крадем секреты: История WikiLeaks" (2013), документалка от Netflix
"WikiLeaks - Julian Assange, public enemy?" (2020), документалка от Deutsche Welle
и так далее
Отличный комментарий!