Pull to refresh

Comments 990

Это было круто! Читается как детектив. Неужели они не проводили никакой аудит?

На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.
Сталкивался с подобным, у нас и студентов не было. «распилконтора» присылала таблички которые надо заполнить, про наши сети, серваки и тд. Потом рисовали правильный отчет за много миллионов, все довольны.
Некоторые студенты МГУ участвуют в соревнованиях CTF и они разнесли бы сеть РЖД на винтики судя без труда
МГУ ПС != Ломоносовский.
У РЖД есть свой прикормленный универ. Не то чтобы там все были глупыми, но самых толковых всё же не РЖД забирает.
Если за зачеты, то, скорее всего, троечников
Вот не надо так о студентах. Я в свое время очень даже неплохо находил дырки в таком болото-корпоративе :)
истину глаголишь. Помню, как мы были 5ым суб-подрядчиком. И от общей котлеты в ~300кк получили только 9кк.
нет, мы были крайними (как говорят в армии). И все номинально было по закону: каждый из вышестоящих взял себе какой-то процент работы, который был обязан взять, чтобы можно было нанимать суб-подрядчика, но вот деньги они за это брали по принципу Парето.
«Как вы смогли так точно описать, как делается на ржд?» — моя первая мысль,
«Наверное потому что так делается (почти) везде» — моя вторая мысль
Можете привести пример компании, которой по силам провести всесторонний аудит ИБ сети из 20000+ хостов за полгода и выдать отчёт, который не будет бессмысленной бумажкой? Я вот всерьёз сомневаюсь в существовании подобной компании.
Ну насчёт пол года я не уверен, звучит как овердофига для 20000+ хостов, если речь про анализ инфраструктуры и поверхностных анализ приложений. Если требуется углублённый анализ приложений, и особенно если с анализом исходников — то в таком случае оценка пляшет от объёма функционала конкретных приложений/объёма кода. И срок может меняться в зависимости от стоимости аудита (сколько человек на проект выделяется). Ничего нереального в таком объёме для аудита не вижу, и покрупнее системы проверяли, с нормальным отчётом на выходе.

Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.

Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.
Полгода — это овердофига? Оу. Я это писал и боялся, что скажете «очень мало».
Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.

покрупнее системы проверяли, с нормальным отчётом на выходе
Что-то я в это не верю, простите. Каким образом вы всё это делаете?
Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).

Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.
Бывают сложные проекты. Невозможных пока не встречал.

Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».

Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.

Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.
Бывают сложные проекты. Невозможных пока не встречал
Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен. Понятно, что технически можно и полный реверс-инжиниринг MS Windows выполнить из ассемблерных кодов — но очевидно, что никто этим заниматься не будет, потому что задача слишком титаническая и никто в реальности на это не пойдёт.

Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом

Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».

Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям
Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.
Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен.

Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.

Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут»

Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.

Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.

Склонен не согласится. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать.

Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).

Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.
Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре
Я немного не о том) Поломать сеть и показать это заказчику — это одна задача. Постараться найти все возможные векторы — это другая задача, на порядки сложнее первой. Вы имеете в виду первое или второе?

Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта
В это я охотно готов поверить)
Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)

В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.
Вы имеете в виду первое или второе?

Второе через первое :)

Как вы это найдёте?

neurozhayka-vokzal.ru: Non-existent domain — простите, но пример неудачный. Но возвращаясь к «аудит через пентест» (если так вообще можно выражаться) — попадаем во внутреннюю сеть условного ржд и проводя разведку изнутри находим сервер, обслуживающий данный домен или информацию о нём в документации.

В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.

Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

И случае с тем же РЖД одного аудита будет не достаточно, так как он не даёт гарантии того, что админ Вася завтра не накосячит, не говоря уже о том, что банально могут не исправить все выявленные уязвимости. Можно долго фантазировать о том, как и что они могли бы сделать лучше, но боюсь что в итоге всё это разобьётся о банальный распил и что-нибудь в духе: «камеры сломали? ipmi без паролей? данные пользователей украли? а деньги не украли же? и в чём тогда проблема?»
Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

С этим полностью согласен. Более того — это очевидно и лежит на поверхности. И это есть прич, почему внутри периметра должен быть 0trust и условно (минимально) полный tls. А то вся эта периметрическая защита из 90-х — фуфел. Любая дыра и мы приплыли.


Касательно того, что говорит коллега — я с ним полностью согласен. Полный аудит возможен только лишь при полной инвентаризации всех ресурсов айти и содействии со стороны айти департамента. Иначе это фуфел. Аудит может что-то пропустить (такое уже было и неоднократно).

Вот, вот, сначала в сторону того же Zero trust надо двигаться начать. Какой смысл в текущем состоянии, чуть ли не в плоской сети, делать полный аудит?..

Простых рекомендаций по архитектуре достаточно.
Утвердить основные принципы, по которым выделяем сегменты, как между ними трафик инспектируем, зоны ответственности в конце концов… Потом уже можно копать детальнее.

А в плоской сети нагенерить всяких CIS Linux Benchmark для каждой машины и выдать толстенную пачку рекомендаций — действительно толку не будет, и скепсис совершенно оправдан.

Та же фигня с рементом автодорог. Финальному исполнителю денег не то что на нормальный асфльт, на ГСМ и ЗП рабочим не хватает. Из каждого выделенного миллиона до дороги доходит в лучшем случае 100 тысяч. Чаще около 10 тыс. Причем "уровень вложенности" суб-подрядчиков достигает 7-9. Рекорд был - 12.

Если и проводили, то по бумагам на распиле, судя по всему.
Как мне говорил один человек занимающий хорошую должность «все, что ты говоришь — это техника, а основная задача ИБ — составить правильные документы, чтобы у регулятора не было претензий».
Этот ваш «занимавший хорошую должность» ни разу не попадал.
Документы у РЖД составлены наверняка правильно. А значит там есть «группа реагирования на инциденты ИБ», «ежемесячные журналы аудита» и ещё штук 10-15 разных журналов, которые нужны по требованиям ФСТЭК и ФСБ. И в которых оптом в конце года достаточно большие дяди не глядя расписались. А должности, ФИО и подписи на явной липе — это уже подлог.
UFO just landed and posted this here
А я не зря про журналы написал. На момент аттестации там, скорее всего, даже пытались хоть какой-то порядок навести — отобрать свистки, снести левый софт и т.д.
А уже потом неустановленные лица подключили неизвестные роутеры, поставили левый софт и установили пароли admin:admin.
Однако ж, раз в месяц или типа того это всё должно повторно проверяться уже силами конторы, об чём должен составляться отчёт, вноситься изменения в схему сети и прочую документацию. С подписями ответственных лиц. Каковые (подписи) — есть, а аудита явно не было.
UFO just landed and posted this here
У них обработка десятков миллионов ПДн в год, так что ФСТЭК заходил со всем пристрастием. «Здесь вижу здесь не вижу» на таких масштабах не работает.
Этот ваш «занимавший хорошую должность» ни разу не попадал.
как раз попадал, теперь, наверное, занимает хорошую должность в другом месте
понимаете, в чем дело. Подобные системы должны обслуживать и контролировать люди, несущие очень серьезную ответственность за то, за что они отвечают. У которых выбор моежт быть только один: или ты берешься за это и отвечаешь головой или не занимай эту должность. Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
UFO just landed and posted this here
Вы много знаете главбухов с зарплатой в 2-3 миллиона в месяц, ХОТЯ БЫ?
Я вот много знаю главбухов (работал несколько лет по бухгалтериям), но ни одна из них не зарабатывала 2-3 миллиона в месяц.
На минуточку, главбух безо всяких допущений несёт личную ответственность, вплоть до уголовки.
Главбухи, кстати, еще нормально зарабатывают.
Гораздо более интересная должность — и более «родственная» — это инженер по ТБ.
Вот где откровенно маленькая зарплата ходит рука об руку с довольно высоким шансом попасть под уголовное расследование.
Пром. безопасность — из той же оперы…
откровенно маленькая зарплата

Зато там требуется относительно невысокая квалификация. К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки (особенно в России).
UFO just landed and posted this here
Если журналы в порядке и документы по инструктажам по ТБ соответствуют требованиям, то почти любое нарушение ТБ, повлекшее за собой смерть/инвалидность, легко списывается на сам труп/инвалида, ибо «вот он расписался, что ознакомлен, прошел и понял инструктаж».

Ну всё же руководство по головке не погладит за такое.

Сомневаюсь, руководству лучше, если работник сам забил на ТБ (по бумажкам, а то, что у него страховка сгнила, ну....) и откинул копыта, чем если это будет вина юрлица.

Ну у меня был случай в муниципальном предприятии. Потом все по новой ТБ сдавали. Везде висели листовки с описанием случившегося.


Естественно что виноватым будет работник. Но нарушение ТБ (особенно опытным специалистом) обычно не единоразовое. Это означает, что ТБ нарушалось планомерно и грубо. И в один "прекрасный" момент "все звёзды совпали".


Ясно что начальник за такое не лишится кресла. А вот премии — запросто.

Потому что частенько руководство в курсе всего этого и все действовали при негласной их поддержке.
Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
не в бровь, а в глаз!

Разница между "человеком занимающим должность" и работником в том, что первый занимает должность, а второй — работает. Ожидать от первого какой-либо работы было бы странно.

Но без его указания никакой работы-то и не будет сделано.
Да и математически Ваше утверждение неверно: любой работник организации занимает должность, а работу кто-то все-таки делает.

Речь о том, что есть люди, которые находясь на какой-то должности выполняют свою работу. А есть люди которые эту должность просто занимают и при этом ни сами не делают ничего в рамках своей позиции, ни дают попасть на эту должность тому кто что-то будет делать. И заявление вида "Служба ИБ должна заботится о правильности бумажек, а не о, собственно, информационной безопасности" — это как раз про людей которые занимают должность, а не работают.

Знате, самое обидное то, что:
1. ничего не поменяется
2. никто не понесет за это наказания

Тут я много чего написал. Потом стер. Потом опять написал. И снова стер. Любой админ любой дороги расскажет все подробности. Но он не найдет того, кому бы были интересны его рассказы…
2. как это никто? автор статьи понесёт
А какой аудитор сможет такое найти?
У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.
но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

только вы этим заниматься не будете, потому что у вас и так дел полно, чем карты рисовать.

А вот если аудит у вас ежегодный, а по результатом вас премии лишают или еще чё пострашнее (pcidss может контору без лицензии оставить)… то хочешь не хочешь а будешь хотябы ПЫТАТЬСЯ приводить систему к тому чтобы при следующем аудите не теряя тапки затыкать дыры с трясущимися руками чтобы к окончанию аудита проблем не было
Будешь, конечно. Только ресурсы-то ограничены, и в итоге вместо задачи «Навести порядок в сети» получаем задачу «Успешно пройти аудит». Как говорится, конец немного предсказуем.
Сомневаюсь, что при бардаке в сети успешно выполненная задача «пройти аудит» приведет к гораздо более серьезному бардаку.

Не все закроется, конечно. Что-то заметут под ковер. Но какие-то очевидные проблемы проще прикрыть, чем замаскировать.
Идеально не станет, но _очевидных_ проблем таки станет меньше, от злоумышленников потребуется больше усилий и квалификации.
Она не приведёт к более серьёзному бардаку, но полезный эффект будет меньше, ИМХО.

В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.

Мои мысли примерно следующие:
1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.

Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).

Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.

Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.
Как в том анекдоте:
Зайцы, уставшие от постоянных нападений волков, пошли за советом к сове.
Сова:
— Зайцы, станьте ежиками, и тогда вас волки трогать прекратят.
— Мысль хорошая, но как, как стать ежиками? — спросили зайцы.
— Я стратег, — ответила сова. — Тактикой занимайтесь сами.
Я думаю, мы про сильно разные компании говорим.
Скажем, мне не очень понятно, кто такие «мы» из «Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас?»
Не совет директоров же. Да и понятно, что «не все нормально, нужно больше золота».

В моем мире как один из вариантов — именно CIO/CISO заказывает аудит, с его результатами идет к руковдству, финансовому директору и т.п. и использует отчет как инструмент для обоснования дополнительного финансирование. Не он просто просит денег на невесть какую безопасность, а вот четко описано, где проблемы и к чему могут привести, если оставить все, как есть.

Но мир очень разный, я понимаю. Аудит ни разу не панацея :)

Кстати, и от софт-скиллз аудитора сильно зависит, будет ли он себя позиционировать как супер-пупер эксперат, который сейчас лохов научит, как жить правильно, или сможет установить контакт со специалистами, как человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу.
Разумеется, и в отчете для руководства должно быть не «вы набрали фофанов по объявлению, у вас все г...», а «мир изменился, то, что у вас было хорошо построено несколько лет назад, сейчас не дотягивает, опасно, надо адаптироваться»
Возможно. Я в таких кругах не вращался, может быть где-то неправ. Может быть, Ваша картина мира более близка к реальности.
Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?

человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу
Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.
В моем мире помимо
Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени),
есть и другие варианты помощи.

Например, в примере выше: тот, кто поможет выбить дополнительные бюджеты на закрытие дыр.

Если же такие бюджеты ни в коем случае не нужны, потому что это ж придется что-то в сети менять, пусть и на более удобное и безопасное, а у нас времени на это нет…
Ну тогда да, сорян.
UFO just landed and posted this here
конечно, но без аудита вы скорее всего этого всего делать вообще не будете.
За за всю свою карьеру видел только одну контору которая реально упоролась по ИБ из-за аудита. в остальных всем было плевать… ну прям вообще плевать.
Я повторюсь, я видел что было в финсекторе до обязательных аудитов и видел что стало потом. стало ЛУЧШЕ. тоесть с 91 года по 2008й(или когда там 09й) всем было плевать с высоченной колокольни на ИБ, никто ни карты сетей не рисовал, пароли у всех были админ/админ, даже у уборщицы был доступ админский на компе.

Все так


Бумажку о соответствии ФСТЕК или PCI DSS вы сами себе выдать не сможете. И, соответственно, аудит нужен. Хоть какой-нибудь. У верифицированного (сертифицированного) перечня аудиторов. Можете считать это мафией. В целом, так и есть. Но цель аудита — это получить бумажку. Чтобы пол учить возможность оказывать определенный набор услуг населению и на этом зарабатывать деньги.

Вот и подключайся теперь к открытой точке доступе, лучше без интернета посидеть для своей же безопасности.

Так вродеж шифрование между сайтом и устройством? Злоумышленник в середине не сможет прочитать ваши данные, даже если будет владельцем точки доступа.
А вот и не всегда, до сих пор много сайтов используют HTTP, имеются и государственные, в особенности областные. Некоторые онлайн-кассы до сих пор сидят на ******* HTTP. Да и кто запрещал SSL Pinning.

а что такое ssl pinning в вашем понимании?

> SSL Pinning
Если вы про установку CA, то для нее нужен пароль администратора и доступ к компьютеру жертвы. Если вы про SSL pinning как про встроенный CA в нативные приложения, он только наруку играет тк кроме своего сертификата приложение никому не доверяет.

Скорее всего, имелся ввиду SSL Stripping для сайтов, которые не используют HSTS и не внесли себя в список preload в браузерах.

Вот который раз убеждаюсь что лучше потратить 100 рублей на трафик в другом регионе и чтобы потом голова не болела за подмену сертификатов, просмотр какой-нибудь днс истории и прочего.

Ну я ездил недавно на кавказ, списалось дополнительно. Проверял баланс до выезда и после. Хотя, конечно, может и глюки.


Но вывод один: никаких "бесплатных вайфаев".

Достаточно включить ВПН и не беспокоиться об открытых вайфаях. Помогает застраховаться и от подстав провайдера с подписками и т.п.
UFO just landed and posted this here
Lightsail-овского инстанса 512 MB RAM, 1 vCPU, 20 GB SSD от Амазон для этого хватит?
UFO just landed and posted this here
Так это наверное Абхазия была.
Много раз попадал в сочи, бац и ты всадил все деньги на разговоры через абхазского оператора.
Мне в аналогичной ситуации Теле2 возместили все расходы.
Ну тут вопрос уже что мне совего времени на разборки жалко чем 150 рублей которые за пару дней улетели
По телефону поддержки за пять минут составили заявку, через два часа перезвонили, извинились и зачислили деньги на счёт.
Если HSTS Static на сайте не настроен то возможно выполнить атаку SSL Strip и перехватить весь трарик.
Если клиентская машина не умеет DNSSEC то возможно подсунуть ей левый ответ DNS и увести клиента на фишинговый сайт.
SSL Strip в браузере легко заметить (для тех, кто в теме), не будет никакого защищённого соединения, урл будет http, замочков разных не будет.
В том-то и дело, что «замочков» не будет. Актуальные браузеры отмечают http как заведомо небезопасное соединение, это невозможно не заметить.

Если речь идет о людях менее компетентных в данном вопросе, которые могут упустить такой нюанс, то они и VPN использовать тоже не будут. Потому выгода от VPN для защищенных соединений, среди которых и https, выглядит довольно призрачной.
> SSL Strip в браузере легко заметить

MithM может просто отдать клиенту вирус и после того, как она сработает, переадресовать клиента на настоящий сайт по самому настоящему HTTPS. Все замочки будут на месте. При таком сценарии развития событий ситуация визуально ничем не отличается от обычного редиректа http:// -> https://, просто перед редиректом клиент незаметно цепляет зловреда.
Если можно выполнить код на клиенте с такими правами, что это может быть полезно вирусу, то все остальное уже не важно и получать можно любую информацию доступную этому клиенту как локально так и удаленно, да и вообще сделать с ним что угодно. Это уже другого уровня дыра, которая требует наличия уязвимости в ПО или эффективной социальной инженерии.
В браузерах встречаются уязвимости RCE вообще-то. Так что подсадка трояна через MitM открытой точки доступа вполне осуществима на практике и без какой-либо социальной инженерии.

И тут есть нюансы, https в ряде случаев перехватывается, в комментариях уже написали.

Однажды, сидя с ноутом в Москве на Ярославском, пользовался их Wifi, чтобы котиков посмотреть. Написал мне коллега, с просьбой помочь с linux-сервером, который я ранее настраивал по SSH — ок, не проблема.

Открываю консоль,
ssh username@servername.ru…
ssh-клиент ругается что не узнает сервер по отпечатку, а после и вообще требует пароль вместо авторизации по ключу.
И тогда до меня дошло, что там классический MITM.

С того момента, публичным WiFi, в принципе, перестал пользоваться

частично проблема решается если сидеть на таких публичных точках завернув 0.0.0.0/0 в wireguard или openvpn например, но только частично

Скорее неправильно настроенный нат, который заворачивает весь траффик по 22му порту на один сервер(типо проброс, но студентами выполнен)
Вокзальный WiFi это ТрансТелеком по заказу РЖД, гляньте принадлежность IP, даже заинтересовали, когда сеть сдавалась никаких подстановок там не было, может в процессе эксплуатации запретили доступы по некоторым портам, а перенаправление вполне может быть на веб-портал
Это было 2 года назад, уже не узнать, я сейчас далеко от Москвы.
Веб портал — маловероятно, т.к. подключение принял именно ssh-сервер.
А вот криводастроенный NAT вполне может быть.

Была бы MITM - авторизация бы сработала прозрачно и у вас сервер бы "угнали".

Скорее всего это последствия так называемой "регистрации в сети", которая делается через подмену DNS.

На дворе 2021 год, а ты только сейчас это понял? Что ж, жаль тебя)

Интересно, а если я попробую провернуть тоже самое на ласточке, не попаду ли я под уголовную ответственность?

К сожалению, попадете :) УК РФ Статья 272. «Неправомерный доступ к компьютерной информации»
С одной стороны, вроде да, а с другой — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»
UFO just landed and posted this here
Если они до сих не пытаются ее закрыть — у них лично давно все хорошо

Прошу заметить, автор не писал по какому адресу открыто.
Онтнаписал, что прошёлся по всех дверях, среди найденных открытых выбрал одну и туда уже зашел

Правда, если продолжать аналогию, то не только увидел, а зашёл, посмотрел, что внури и как (бегло) и рассказал с фото…
В общем случае, даже если дверь открыта — заходить нельзя (ст. 139 УК РФ). Но РЖД, походу, глубоко пофиг как на открытую дверь, так и на тех, кто шляется :)
P.S. тут должен быть анекдот про конкурс лентяев :)
— человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

И даже в этом случае он может получить иск за незаконное проникновение в жилище. А уж в случае с нашими гос. структурами, я бы точно не рисковал. Им же сейчас как воздух нужных «злоумышленники» которых можно будет публично рапсять.
по этой статье судят не за сам доступ, а за, цитирую:

«Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
Вы забываете о ч.4 (тяжкие последствия). При этом, необязательно, чтобы тяжкие последствия наступили. Достаточно, чтобы была создана реальная угроза таких последствий. Т.е. Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд? Могли. При отключении кучи камер Вы могли бы понизить уровень безопасности? Могли. Значит, Вас ждет наказание по ст.272 ч.4. (до 7 лет заключения).
Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд
В общем, не обязательно. Управление стрелками, насколько я понял из статьи, никто пока не проверял. Равно как и возможность залить прошивку или изменить положение камеры или другие её параметры. Может оказаться, что всё открыто только на чтение.
UFO just landed and posted this here
Управление стрелками и другой механикой/машинерией должно быть в отдельной РЖДшной сети, в/из которой нет доступа в интернет.
(и это не я придумал как должно быть, именно так они изначально и делали, судя по рассказам участников). И раньше жестко следили за тем, чтобы доступ не протёк, у сотрудников по 2 ПК стояло на рабочем месте, например.
Тем не менее судя по скриншоту как минимум read only доступ к данным из этой сети есть.
Работал я когда-то в организации с двумя компами на рабочем месте… Только вот почта между сетями свободно ходила. Хотя за ней следили, надо признать. Не знаю, читали или нет, но за отправку файла однажды пришли люди с серьёзными лицами для серьёзного разговора.
«Почта ходила» делается двумя интерфейсами в сервере, между которыми forward не включен)
Ну разве что DNS должен разное отдавать ещё, но это мелочи.
Я в 2002 работал в ГНИВЦ таможенной службы (двух компьютеров не было, для интернета был один на всех в отдельной комнате) почта ходила куда угодно и откуда угодно, DNS резолвили любые адреса, но «интернета», т.е. соединения с порта на порт «наружу», не было.
Ну, как бы там много мест, что ДУ работает через VPN тоннели из внутренней сети во внешний мир, либо между двумя точками внутренней сети. С кучей на коленке слабаных шлюз и компьютеров в древними уязвимыми ОС. При желании точно дальше можно было и до ДЦ докопаться и до компьютеров на которых диспетчерский софт крутится. А это уже и управление стрелками и управление светофорами.
В понятие «состав преступления» входит субъективная составляющая — умысел субъекта. Т.е. если на суде будет доказано что не было злого умысла, значит и состава преступления нет. Другой вопрос, что еще доказать надо…
Можно и без умысла убить человека, например. И тут уже будет состав преступления налицо.
Можно без умысла побродить по внутренней сети, потыкать ради интереса какие-то галочки. А потом поезд пойдет под откос.
Умысла не было, но люди пострадали.
Речь идет про доступ к сети, а не действия (бездействия) после получения доступа…
то есть, всех водителей, сбивших насмерть пешеходов — отпускать?
Водителей сбивших пешеходов по случайности и целенаправленно — уровнять в сроках?
«не было злого умысла, значит и состава преступления нет»
а нет состава преступления — признать невиновным и отпустить прямо из зала суда.
Вам подсказать или сами додумаетесь до существования чуть более сложной системы квалификации преступлений, чем есть преступление и нет преступления? Может тогда перестанете приводить некорректные аналогии?
Это так не работает, там написано «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления», то есть уже должен быть состав, а состав это «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», а тут если что из этого и было, то только копирование, и то с очень большой натяжкой
Считаются ли тяжкими последствиями сгоревшие пуканы в РЖД?
и снова надо читать формулировку целиком:

Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления


нет деяний (а именно, копирования, модификации, удаления и т.п.) — нет состава преступления даже для первой части, не говоря уже о четвертой.
Что есть просмотр, как не копирование?
суд не так работает (мы же говорим о том, попадает ли автор статьи под действие 272 УК?).

суд берет текст статьи, практику правоприменения данной статьи, а так же разъяснения верховного суда (если есть). и именно по ним и принимает решение.

а не вот эти все философские: «а если копнуть глубоко, то когда ты смотришь на объект, то ты создаешь в мозгу его копию в виде сигналов нейронов, а значит, если ты посмотрел, то ты скопировал» и т.п.
Почему же философские, вполне конкретные законы техники — перед отображением на экране информация должна быть скопирована на устройство пользователя. А дальше — «как дышло повернут»…
Вы совсем «плохой»?
Или просто пытаетесь умничать?

Я подключился по RDP к терминалу. На моем экране выведено изображение рабочего стола терминального сервера. Я отключился. Докажите юридически, что на мой компьютер скопирована какая-либо информация с терминального сервера.
Копирование в зрительную память человека? Или речь про кэши браузеров и прочее? Считается ли юридически что я скопировал информацию, если я не нажал «сохранить как»/«копировать» в меню, условно говоря?
могли ведь переключить


«Ну тогда и за изнасилование сажайте, инструмент-то есть» — старый анегдот вспомнился. Вот я, теоретически, могу убить любого человека, к которому у меня есть физический доступ. И что теперь…
А скриншоты не являются копированием информации? Т.е. была получена информация с камер, которая была скопирована и сохранена для иллюстраций в статье.
А скриншоты не являются копированием информации?


а вот тут уже надо смотреть юридическую практику.

сам не готов вот прямо сейчас дать готовый ответ: по остаточным знаниям от второго образования могу предположить, что зависит от того, какая информация есть на скриншоте.

это как с порно: замазал/замылил первичные и вторичные признаки и уже не попадаешь под определение порнографии. хотя суть-то осталась =)
В данном случае они были получены из «открытых» источников.

Я вот думаю, не являемся ли мы тоже преступниками, посмотрев на скриншоты. Юридически же у нас не было права видеть интерфейс управления стрелками, верно? Для этого нужны соответствующие доступы, надо подписывать минимум трудовой договор с РЖД и чтобы управление этим интерфейсом входило в должностные обязанности.


А что до ч.4 – так мы все тут комментируем эту статью, наши комментарии могут прочитать и вдохновиться. Или мы в рабочем чате можем это распространить. И всё, сообщники. :D

Ага, «организованной группой лиц, по предварительному сговору»… Впрочем абсурдность некоторых законов это не российское изобретение.
зачастую, абсурден не закон, а трактовка закона лицом, не имеющим юридического образования.

ну пусть даже без юр. образования. просто лицом, даже не прочитавшего статью целиком и судящего о статье по ее названию.

что-то в духе:
— ага, в названии есть словосочетание «неправомерный доступ»! ой, а я видел скриншоты… меня посадят! как страшно жить в этой(tm) стране…

Абсурдность трактовок не отменяет абсурдность законов. Чтобы увидеть скриншот у себя в браузере вы его должны сначала загрузить, т.е. скопировать.

Я случайно дизлайкнул, сорян. Браузер лагнул(
Посмотри на мою карму. Сильно хуже мне от этого не станет.

А как случайный минус комментарию влияет на карму?

С такой кармой на хабре уже толком жизни нету.
Как можно ознакомиться с информацией, не скопировав её (хотя бы в ОЗУ ~«тонкого клиента»)?
UFO just landed and posted this here

Полагаю, логи в большинстве своём не являются «охраняемой законом компьютерной информацией»

Запись в логе произведена не вами.

Если то, что пишет логи, имеет сертификат нужного уровня, то увы, «сертифицированной системой (номер сертификата „№31337КУПИЛЗАБАБЛО/8888“) было обнаружено нарушение безопасности связанное с копированием информации с адреса 224.888.999.000, используемого гражданином Фунтом»

Эммм… А куда что копировалось?

А это, увы, не важно, система сертифицирована.

Вот убейте не пойму, как логин в систему вызовет копирование информации… полагаю из логов. Учитывая что у меня и доступа к ним нету.

А это не важно — достаточно метаданных. SRC IP — DST IP — size of packet. Все. Никто не будет разбираться при наличии сертификата на железку.

либо копирование компьютерной информации»

Скрин — копирование. Да еще и распространение.
В крупной полу-государственной конторе, где я работал, изображение в камер относилось к Коммерческой Тайне (КТ), например. Здесь — стратегический объект, скрины с камер. В общем ай-ай-ай.
изображение в камер относилось к Коммерческой Тайне (КТ)


А может не зря? Умный человек получит с камер кучу информации: расположение постов охраны, как какой охранник службу несёт, внутренний распорядок, планы помещений, правила приёма грузов\курьеров. Это то что в голову взбрело.
И устроить на основании этого проникновение и вынос тела будет ГОРАЗДО легче и безопаснее.
Я знаю, и не спорю. Сам занимался техническими системами безопасности. Но мля многих это неочевидно. Подумаешь, камера, что там такого секретного, маразматики и параноики из СБ совсем от безделья маются уже.
К сожалению, автор тоже попадает.
Да, автор попадает. Но даже если автора накажут по всей строгости закона, дыр в сети меньше не станет. Автора не наказывать надо, а связаться и распросить что да как. И чем быстрее, тем лучше.
Автора не наказывать надо, а связаться и распросить что да как.

Забавное наблюдение. Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление. А тут обратная ситуация, хотя такая же уголовная статья. Двойные стандарты во всем.


P.S. Это не лично к вам. Не оправдание коррупции и других нарушений, не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны. Далеко нам ещё до правового государства (нам — всему человечеству) с таким самосознанием.

Автор не получил материального профита, не устроил хаос своими руками и даже статья выше без определённых профильных знаний и усилий никак не поможет это сделать другим людям (это не туториал «скопипастите эту команду и вуаля, вы только что взломали Пентагон»). Он «только посмотрел» и обнародовал проблему.

А коррпуционеры не просто смотрят, а действуют.

Ну поднять впн и подключиться к прокси среднепродвинутый пользователь интернета в России уже научился…

У закона есть не только «буква», но и «дух». И в целом закон (justice) это попытка упорядочить и формализовать такой феномен поведения высших животных как «справедливость» (тоже, кстати, justice, она же юстиция).
Так вот, «Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление.» Потому что преступление есть нарушение справедливости. А справедливость связана с ущербом и нравственностью.
Автор своими действиями наоборот пытается избежать общественного ущерба (который неизбежно однажды возникнет, если сор из избы не вынести) и призвать ответственных за сложившуюся ситуацию к соблюдению нравственности. По этому и реакция в двух описанных вами случаях у общественности совершенно разная.

А вот то, что такое приходится объяснять…
UFO just landed and posted this here
Ровно об этом я и написал. Преступлением называют нарушение закона. Но нарушение закона может быть по разному оценено людьми, на которых этот закон распространяется. Поскольку закон всего лишь попытка формализовать справедливость и эта попытка не может во всех случаях работать корректно.
В одних случаях формальное преступление людьми не оценивается как истинное преступление, если справедливость при этом не нарушена. Но то, что людьми оценивается как преступление, всегда будет нарушением справедливости.
Напомню, что есть отдельный вид преступлений — «без потерпевших лиц», по которому на развитом западе давно идут дискуссии о уменьшении, либо полной ликвидации наказаний.
Вы правы про оценку. Я почему-то вспомнил про человека зарезавшего авиадиспетчера. Который убил его детей, уронив самолёт в озеро. И которого за это слегка поругали.
Вот я не могу этого человека осуждать, хотя он убийца, по букве закона.

Вы правы. Я, если что, не призываю наказывать автора. Проблема в том, что дух и справедливость для каждого могут быть свои. И вы правильно сказали, что закон — это попытка формализовать что-то, с чем согласно большинство. И на то они и формальные правила, чтобы к ним формально относиться. Иначе это не закон, а "понятия" какие-то. Либо мы стремимся к правовому государству и соблюдаем законы все, а не только удобные, либо получаем то, что есть сейчас. Я намерено в целях демонстрации это несколько утрировал.


Признаю, я был неправ в том, что сравнил конкретно этот случай с преступлением. Сейчас перечитал статью УК, там есть слова "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации". Так что состава преступления здесь, конкретно, нет. Прошу прощения за это некорректное сравнение. Однако недавно была статья про, кажется, "mew" атаки, когда данные незащищенных баз массово удаляли. И там уже явно есть состав преступления, но меня в коментариях упорно убеждали, что хакеры молодцы и робингуды, а владельцы серверов сами виноваты, что не запаролили их. Просто сейчас сработала ассоциация с тем случаем, хоть это и не верно.


Ещё раз. Я не оспариваю моральную сторону. Я нисколько не осуждаю ни автора, ни комментаторов. Более того, по справделивости и по моему личному мнению автор молодец, не надо его наказывать, я полностью поддерживаю. Я лишь хотел обратить внимание реакцию общественности на формальную сторону вопроса, как раз ту, что должна по-идее отличать правовое общество от жизни "по справедливости" ("по понятиям"). Без каких-то оценочных суждений, просто забавный факт. Дальше пусть каждый делает свои выводы. Или не делает. К сожалению, люди несовершенны, и чувство справедливости может быть у каждого своё. Ведь какой-нибудь депутат может совершенно искренне считать справедливым, что он кому-то помог, а этот кто-то его отблагодарил. "Упорядочить и формализовать" — вы верно подметили. Мой посыл был лишь в этом.

Всё же правовое государство, это государство благоденствия (ведь за этим оно и создаётся?), а не государство одной гребёнки.
Я не просто так начал со слов о букве и духе закона. Поскольку в правовых государствах судей обязывают руководствоваться не только лишь буквой закона, но как раз учитывать и его дух. И лишь после этого выносить вердикт, который может и не совпадать с буквой. Т.е. налицо механизм, который призван нивелировать несовершенство формализации, когда следование закону дословно повлечёт к созданию несправедливости, а не её охране и восстановлению.

Это я к тому, что из вашего ответа как-будто чувствуется готовность терпеть несправедливость, если это происходит по закону. И наоборот, противопоставление стремления к справедливости нормальному функционированию системы права. Хотя я не вижу причин, по которым правовая система, работа добросовестно, должна отвергать идею обеспечения справедливости и отказываться от механизмов, которые позволяли бы этим процессам сходиться.

Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.
Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

Спасибо! Хочется надеяться и верить, что не только мне. Ради этого я и оставил тот комментарий, может кто-то ещё задумается и мир станет лучше :)


На мой взгляд, проблема вашего подхода в том, что он позволяет оправдывать коррупцию: зачем чиновнику терпеть "несправедливость" и отказываться от "благодарности" из-за того, что это не согласуется с каким-то там законом? Я бы не хотел жить в таком мире.

От благодарности (без кавычек) действительно отказываться не стоит, если чиновник способен оставаться беспристрастным после этого. А если не способен, значит следует отказываться даже тогда, когда коррупционное преступление не подразумевается.

Но вы сами поставили " ", ведь понимаете/чувствуете, что коррупция есть преступление не просто так.
Проблема коррупции как раз в том, что она создаёт несправедливость (неравенство доступа, нанесение другому вреда руками государства и т.д.) и люди способны отличать одно от другого. И оправдывать коррупцию такой подход позволяет лишь коррупционерам (но они так поступают в любом случае, на то они и коррупционеры, дающие и берущие).

Вы исходите из предпосылки, что справедливость и несправедливость — понятия абсолютные и одинаковые для всех. Я же вам намерено привожу максимально яркие и, возможно, слегка преувеличенные контрпримеры, чтобы продемонстрировать, что это не так. Коррупционер может считать несправедливым запрет на взятки. Террорист может считать несправедливым, что в мире есть люди других вероисповеданий, цвета кожи, пола, ориентации, чего-то ещё. Мы с вами считаем несправедливостью "неравенство доступа, нанесение другому вреда руками государства и т.д.". Кто-то будет считать несправедливым, что к его интеллектуальной собственности есть доступ у других лиц, а кто-то будет считать справедливым сделать чужое народным достоянием. Сколько людей, столько и мнений. Именно поэтому я использовал кавычки, ведь справедливость или нет тут весьма условна и субъективна, в отличие от закона, который общий для всех и зафиксирован документально. Он приводит всех к общему знаменателю.

Чисто формально действие повлекло несанкционированное изменение логов (это не моя идея, за такое, увы, уже привлекали)

Да ладно? А что за случаи, не подскажете? А то что-то попахивает параноей, как если бы кто-то проходящий под камерой на Курском вокзале был обвинён в том, что он своей фигурой привёл к крушению электрички. Ладно ещё бы имя было бы drop database, а что-то уж совсем смех.

Немного из другой оперы, но похожий случай, цитата из ППВС, которая появилась там не случайно, а на основе вполне реальной судебной практики

Постановление Пленума Верховного Суда РФ от 30.11.2017 N 48 «О судебной практике по делам о мошенничестве, присвоении и растрате»

21. В тех случаях, когда хищение совершается путем использования учетных данных собственника или иного владельца имущества независимо от способа получения доступа к таким данным (тайно либо путем обмана воспользовался телефоном потерпевшего, подключенным к услуге «мобильный банк», авторизовался в системе интернет-платежей под известными ему данными другого лица и т.п.), такие действия подлежат квалификации как кража, если виновным не было оказано незаконного воздействия на программное обеспечение серверов, компьютеров или на сами информационно-телекоммуникационные сети. При этом изменение данных о состоянии банковского счета и (или) о движении денежных средств, происшедшее в результате использования виновным учетных данных потерпевшего, не может признаваться таким воздействием.

Если хищение чужого имущества или приобретение права на чужое имущество осуществляется путем распространения заведомо ложных сведений в информационно-телекоммуникационных сетях, включая сеть «Интернет» (например, создание поддельных сайтов благотворительных организаций, интернет-магазинов, использование электронной почты), то такое мошенничество следует квалифицировать по статье 159, а не 159.6 УК РФ.

Тут всё логично: если украл деньги, используя только штатные средства (типа «подглядел пин-код, потом взял телефон жертвы, вошёл в банковское приложение с этим кодом, перевёл себе все деньги») — то это кража, а не взлом. А вот если пошёл подменять корневые сертификаты в хранилище телефона жертвы, чтобы провести mitm для разузнавания этого пин-кода (и потом взять телефон жертвы и перевести себе деньги) — это уже взлом с кражей.

Я и не спорю, что логично, но чтобы судам объяснить эту логику понадобился целый Верховный Суд
Пруфов найти не смог, можете считать, что я пользовался непроверенными слухами.
Да, примерно так.

От следственного комитета
Главным следственными управлением Следственного комитета Российской Федерации по городу Санкт-Петербургу по поручению Председателя СК России Александра Бастрыкина, проведена проверка по факту совершения противоправных действий при проведении дистанционного обучения школьников, по результатам которой возбуждено уголовное дело по признакам преступления, предусмотренного ч.1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).

Проведенным анализом сведений, размещенных в сети Интернет о фактах срыва дистанционного обучения школьников, установлено, что к ним может быть причастен пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», то есть человек, занимающийся потоковой трансляцией видео в режиме реального времени. Указанное лицо снимает прохождение видеоигр, а также розыгрыши (пранки), которые выкладывает на своем канале под названием «Russia Paver» на платформе YouTube.

Так, 27 марта и 6 апреля 2020 года были размещены видеозаписи, на которых блогер присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в том числе представлялся сотрудником Министерства образования Российской Федерации. Факты срывов онлайн-уроков имелись на территории города Санкт-Петербурга.

В настоящее время проводятся необходимые следственные действия и оперативно-розыскные мероприятия, направленные на установление всех обстоятельств происшедшего, а также местонахождения лица, совершившего данное преступление и привлечение его к уголовной ответственности. Расследование уголовного дела продолжается.

TL;DR Получил в ссылку на конференцию в Zoom, постебался там, выложил запись на YouTube и получил уголовное дело за «неправомерный доступ». Причем «постебался» в состав преступления не входит. Так что любой родитель, выложивший фотку из Zoom ребёнка — рискует получить эту самую 272.

Почему это безграмотная практика (но, увы, практика) — читайте тут.

А вот про отключение обновлений windows, за которое тоже можно схлопать 272. Дела по 272 за перепрошивку телефонов по просьбе владельца и за копирование сим-карт (тоже по просьбе) — можете найти сами. Поиск можно начать тут.
Либо мы стремимся к правовому государству и соблюдаем законы все


Фраза немного не полная. Поробую так — Либо мы стремимся к правовому государству и все соблюдаем все законы. Это вроде полнее.

Но! В правовом государстве именно дух — на первом месте. Уголовный кодекс — информация для размышления для судьи, не более. Судья может назначить наказание которого в кодексе вообще нет.
Возможно, что вы просто не сумели раскодировать желания людей и ввели себя в заблуждение этим наблюдением.
Моё предположение такое, что люди предпочитают, чтобы среди них не было злоумышленников, творящих вред. Иногда эта задача решается неотвратимостью наказания за нарушения законов, но в некоторых случаях — нет. Из-за того, что вы неверно интерпретировали, к чему именно люди стремятся, вам и кажется, что они хотят то одного, то другого, хотя на самом деле они во всех случаях хотят одного.

Некоторые законы написаны откровенно плохо и многое не предусматривают. Их надо переписывать, а не прогибать людей под кривые правила.

Я к этой мысли и пытался подвести читателя: законы надо переписывать, а не нарушать. То есть если не согласны, то сначала меняем закон, а потом уже действуем.

Вопрос философский. Лев Николаевич Толстой был иной точки зрения, например, и осознанно не соблюдал законы, с которыми не согласен. И он в этом не уникален.

"Справедливости" можно добиваться разными путями. Можно добиваться принятия и соблюдения "справедливых" законов и измения/отмены "несправедливых", а можно игнорировать и нарушать те законы, которые лично считаешь "несправедливыми". Коррумпированные чиновники, очевидно, идут вторым путём. Я лично за первый. Просто понятия справедливости у разных людей разные, чисто субъективные, а закон — это общая база для общества, она хоть как-то объективна, и логичнее отталкиваться от неё. Если смогли убедить большинство людей в том, что ваша "справедливость" хорошая и несёт добро, то есть смогли принять это как закон, то прекрасно.

«Закон что дышло...»
«Дуракам закон не писан...»
«Законы пишутся для подчиненных, а не для начальства...»
«Не пойман — не вор»
Это не мои мысли и не мои взгляды, просто напоминаю, что они есть.
Мы уходим в философию. У меня достаточно давно и ясно сформировалась часть картины мира, касающаяся законов: они ничего не запрещают в полном смысле слова «запрет», они только обозначают возможное наказание. Факт наказания и его суровость зависит от живых людей, а не объективных фактов, это субъективные вещи. Аналогии с футболом вполне уместны, вспомните «руку Бога» и «подвиг Суареса».
Я Ваше мнение услышал, но не хочу вступать в полемику, предлагаю просто взглянуть на этот же вопрос под другим углом.
Вы упускаете один очень важный момент: Уголовное наказание не следует из-за слепого нарушения статьи УК, нужно ещё наличие состава преступления.
Одним из признаков состава в уголовном праве является объективная сторона преступления, часть которой — общественно опасные последствия, а также преступный умысел.
В данном случае ни того ни другого нет. Состав преступления отсутствует.
Когда мы говорим про нарушения ПДД и коррупции — объективная сторона на лицо.

Да, спасибо, я об этом уже написал в своём последующем комментарии и извинился. Был, правда, аналогичный спор под статьей про mew атаки недавно, и вот там уже был состав преступления, так как данные умышленно удалялись. Но реакция многих участников обсуждения была аналогичной: хакеры красавчики, научили нерадивых админов, что надо защищать базы. Невольно в голове сработал триггер и на эту статью.

Если вы забудете закрыть дверь в квартиру и кто-то просто зайдёт, ничего не возьмёт, просто походит, может даже в бахилах, чтобы не напачкать — это не нарушение? А если он после этого на подъезде напишет «в квартире №ХУ не заперта дверь», тоже? Общественно опасные последствия налицо — повышение интереса к проверке структуры на прочность.
Я на стороне автора и надеюсь, что моральный аспект перевесит в головах уполномоченных лиц, но даже просто проникнуть в чужую сеть без согласия владельца — нарушение.

Недавно кто-то там уголовно возбудился на "нарушение неприкосновенности жилища" какого-то любителя новичков и шпилей из ФСБ.


Статьей 25 Конституции Российской Федерации закреплено право каждого на неприкосновенность его жилища. Никто не вправе проникать в жилище против воли проживающих в нем лиц, иначе как в случаях, установленных федеральным законом, или на основании вынесенного в соответствии с ним судебного решения.

За нарушение неприкосновенности жилища установлена уголовная ответственность, предусмотренная  статьей 139 УК РФ.
Если просто походит, ничего не возьмет и выйдет — то скорее всего дело так и закроют.
Из интернета:
«В то же время использование обмана, злоупотребления доверием для проникновения в жилище не образует рассматриваемого состава преступления, поскольку в этих случаях лицо проникает в жилище по воле проживающего в нем лица, хотя оно и находилось в заблуждении относительно тех или иных обстоятельств.» Проникновение в незакрытую дверь, можно квалифицировать как злоупотребление доверием, всё зависит от того, что будет говорить подозреваемый.
А вот если напишет — это уже будет совсем другая квалификация.
Как ни странно — если войдёт, то преступление.
не следует из-за слепого нарушения статьи УК

А вот автор (если он тот за кого себя выдает) прошлой статьи в чате пишет, что дело заводили (за доступ)
Заголовок спойлера



Он тут ниже в комментах отметился тоже.
Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава. Сам факт наличия дела — не говорит о виновности, вину устанавливает суд.
И, простите, «дело заводили РЖД» это как?
Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава, и в справке о судимосте факт привлечения будет висеть до конца жизни.
И, простите, «дело заводили РЖД» это как?

Может юзер запятую пропустил перед последним словом, но лучше уточнить у него самого.
Факт привлечения — это постановление руководителя следственного органа, а не чих младшего дознавателя. И при закрытии по отсутствию состава такое постановление даже не выпускается.
С самосознанием всё нормально. Вопрос в том, *кем* и *в чьих интересах* принимаются законы.
Совершенно с вами согласен! Автор однозначно злодей, ибо его действия могут привести к тому, что Беллингкет уже больше не сможет ничего расследовать в этой стране и потом радовать нас феерическими результатами! Я категорически против этого, я требую развлечений, и не только про стирку трусов фигуранта, но и еще чего нибудь, а то так и со скуки сдохнуть можно!

Простите, но вы согласны не со мной. Я нигде не утверждал, что автор злодей, я не призывал его наказывать. Даже специально дисклеймер написал:


не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны

Я вообще не про автора писал, а про нюансы формирования общественного мнения.

Да, автор совершенно зря попытался взаимодействовать с организацией оставаясь в правовом поле.
Надо было максимально анонимно и широко распространить материалы по уязвимостям в сети, дабы организация убеждалась сама.
чтобы решать, попадает автор под действие статьи или нет, нужно не ее название читать, а саму статью:

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации
Да бросьте… Просто проведите аналогии, применительно к себе: кто-то, допустим, подобрал пароль к Вашему ящику. Это не будет преступлением, пока он не уничтожит/заблокирует и т.п.? К тому же, даже банальные скриншоты — это копирование.
суд принимает решение не по аналогиям, а по вполне определенным правилам: опираясь на текст конкретной статьи и практике применения данной статьи.

мы же говорим о том, «попадает ли автор под действие статьи?», а не про то, считаю ли я преступлением то, что кто-то сумел подобрать пароль к моей почте?
Интересно, на каком этапе в РЖД сейчас процессы по категорированию и защите ОКИИ (Объектов критической информационной инфраструктуры)? Возможно уже все категорировано и защищено? По бумагам…
UFO just landed and posted this here

Да-да, при этом лично проходил на вокзале двухэтапный контроль с интраскопами: проводили в спец комнату попросили включить и показать зеркалку. При этом в том же рюкзаке лежал пакет с десятком огневых фальшфаеров и цветных дымовых шашек.

«попросили включить» — это другое. С ноутбуками та же история, просят включить, чтобы убедиться, что это ноутбук/камера, а не способ пронести на борт что-то что нельзя.
Всмысле на каком? Провели категорирование и отписались как все и все. Требования защитить насколько я помню нет. Плюс на это деньги то с бюджета пойдут — можно конечно за свой счет если разрешат, но вроде страна не на столько дураков, т.е. защищаться пол страны будет за наши налоги. Ощущение что вы 187-фз вообще не читали ниразу.
Почему же нет требования защитить?
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
Сроки да — точно не определены и зависят от сроков проведения категорирования.
Срок проведения категорирования уже прошел, краний насколько помню был 1 октября 2020 года, потому что подача окии был срок 1 сентябя 2019 года, а категорирвоание в течение 1 года со срока подачи ОКИИ.
Для вас «требование защитить», и «требования по/к обеспечению защиты» синонимы? Вы правильно заметили — сроков после подачи категорирвоания нет. И не будет в ближайшее время, прост опотому что это не возможно в ближайшие несколько лет по факту. ЭТо физические не возможно, нет ни оборудования, ни кадров, а там на минуточку от 5 лет светит минимум. Кто на это пойдет работать за копейки?
Мне кажется, пока им реально не снести все камеры, они ничего не сделают. Опять отмахнутся и всё
Да камеры — это только верхушка айсберга. С таким подходом и критически важные элементы управления уязвимы. Что стоит «звездатым» хакерастам остановить национальные ЖД перевозки в какой-либо критический момент?
UFO just landed and posted this here
ну потом какой нибудь школьник по приколу положит все это дело, а будут орать что это байден взломал. коллапс будет колоссальный транспортный. перевозки грузов стоят миллиарды рублей, не говоря уже о том что там полюбому где то есть самописная древняя как *** мамонта система управления стрелками, и можно просто два состава воткнуть друг в друга.
самописная древняя как *** мамонта система управления стрелками

Задача не из самых популярных, так-то говоря, чего бы системе и не быть заказной/самописной? Понятно, что она на деле дико корявая и далека от best practices, но самописность к этому же не обязательно приводит.

Вы эта, СУ СБЦ недооцениваете ))
Там до сих пор релейная автоматика на стативах, 60 вольт от телефона и все прочие дела и технологии времен главного железнодорожника Лазаря Кагановича.

Поправьте меня, если я неправ, но когда оно все ляжет, то это никак не отразится на карманах тех, кто этим управляет. Зато когда это все надо будет восстанавливать значительная часть средств осядет в их карманах.
Так что получается они руководство напрямую финансово заинтересовано в наличии этих дыр и в действиях школьника.
Потом конечно скажут что он смотрел "берлинского пациента" и вобще завербован ЦРУ.

Fallback до жезловой сигнализации не позволит
Так это надо успеть среагировать. Ясное дело, что уже через сутки, если не меньше, поезда хоть как-то, но ходить будут. Но что мешает пользуясь эффектом неожиданности столкнуть/свести с рельсов несколько наиболее интересных поездов (а ещё бонусом заблокировать несколько интересных путей, жезловая сигнализация покорёженный поезд с пути не уберёт)?
Железо в СЦБ делалось в те времена, когда ПК был Паровым Котлом, а не компьютером. Оно тупо не даст так выставить стрелки, пока будет исправным.
Вообще есть возможность пустить поезда лоб в лоб, отключив СЦБ
Так что глубоко в теории это не помеха
этож каким образом то? руками переключая стрелки и заставив всех участников движения нарушить все существующие регламенты?

Ну предположу что человек который переключает стрелки слепо верит тому что ему компухтер напишет
Так что да, чужими руками переключая стрелки в неподходящий момент

стрелки практически везде прелеключаются автоматически. чтобы вручную переключить автоматическую стрелку, надо кучу бумаг потом исписать и чутьли не лично нескольких вышестоящих начальников в известность ставить

а ручные стрелки переключаются стрелочником по указанию диспетчера (по рации, а не по буковкам в комьютере… стрелочники у нас еще не доросли до своего компьютера), а тот в свою очередь верит не компьютеру, а графику движения поездов, схеме станции (в своей голове в первую очередь) и фактическому расположению подвижного состава там (тоже по сочетанию графика, своей головы и самое главно — рации)
А данные о location поезда возможно сфальфицировать? Как они диспетчеру передаются? Может ли он увидеть поезд не там, где тот находится, а за 10 км до того местаб например, и на основе этого решение принять о переключении стрелок?
Если отключить СЦБ, то поезд, условно говоря, перейдёт в «безопасный режим» с кучей ограничений, в том числе и по скорости и по действиям машиниста.
Можно, например, перевести стрелку под составом. Или непосредственно перед составом — светофор-то переключится, но затормозить машинист всё равно не успеет.
Прямо столкнуть или с рельсов свести — это сильно врядли. Там везде, где только возможно, защита от дурака зашита на аппаратном уровне, уж на таких критичных операциях — точно.
Беглый поиск в гугле подсказывает, что перевод стрелок под поездом случается регулярно, а есть и вообще такое, меньше двух месяцев прошло:
26 ноября лоб в лоб столкнулись два грузовых состава с углём. Удар был такой силы, что первый вагон «обнял» тепловоз. Интересно, что об этом ЧП не писали транспортные СМИ, хотя авария серьёзная. Гружёные вагоны раскидало на несколько десятков метров. Пострадали ли локомотивные бригады, неизвестно. Зато есть информация о виновнике происшествия. Оказалось, что столкновение произошло по вине пресловутого стрелочника. Дублёр дежурного по станции неверно перевёл стрелки, направив поезда навстречу друг другу.
Вообще очень удивительны мне такие истории.
Там же везде телематика стоит. Светофору никто красный не включает, он сам зажигается, когда поезд на конкретный участок пути въезжает.
И выключается сам, когда поезд покаидает этот участок.

Поэтому бывают переезды, которые подолгу стоят закрытыми в отсутствие поездов. Условно говоря, Состав заехал на перегон, и остановился. Может электричка, а может просто технические какие-то работы.

И сами поезда не должны на следующий перегон выезжать, пока он не освободился…

Со стрелкой надо, пожалуй, в рамках одного такого перегона столкнуть.
Так что, возможно, случаи перевода стрелок гораздо более часто встречаются, чем мы об этом знаем. Просто при достаточном расстоянии предотвращаются автоматически (остановкой и потерей времени).
Вопрос же еще в расчетном пути торможения, одно дело когда надо «не догнать впереди идущий поезд» или «успеть остановиться до стоящего» и другое когда 2 поезда движутся навстречу друг другу, вполне вероятно, что как раз последняя ситуация и не решалась имеющейся системой. А у груженого товарного поезда инерция ого-го.
Да, согласен.
Поэтому и полагаю, что такие инциденты на самом деле не так и редки.
Просто мы знаем о тех, когда звезды сошлись ну совсем уж неудачно.

Примерно как на дорогах — даже суперводители совершают ошибки. Но большинство из них корректируется другими. А ДТП происходят, когда несколько факторов сошлись.
В реальной жизни там есть еще и желтый цвет, который сообщает о том, что дальше будет красный. Это при попутном движении. А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда. И это не один светофор, они установлены через каждые n метров (сколько этот n не знаю, но на прямой видно почти всегда несколько. Наверное есть какие-то нормы на это)
А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда.

там тоже по разному бывает, есть вариант когда они вообще не горят если направление 'встречное' и у машиниста есть инструкция что делать если светофор не горит и не закрыт скрещенными планками
В open ttd это называлось path based signals, и служило для (имхо читерского) увеличения пропускной способности блоков со стрелками. Могу предположить, что на крупных станциях с большим количеством стрелок никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками. Как раз из-за не очень хорошего планирования (задержали отправку или кто-то приехал раньше) или перегруза станции. А «под поездом» переводят стрелки тупо потому что напутали. Ну или нет инфы, что он закончил движение по ней.
никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками

1) никто не ставит — да
2) разруливается всё автоматикой, 'враждебный маршрут' просто не соберется… на некоторых станциях пути не кодируются и светофоры на них не стоят маршрутные… максимум маневровые, ответственность за сборку маршрутов несет диспетчер вместе с автоматикой… машинисту стоит только доступные сигналы смотреть и то что стрелка правильно переведена
А «под поездом» переводят стрелки тупо потому что напутали.

не напутали, а чтото гдето глюкануло, реле залипло, не сработал концевик у стрелки… СЦБ очень сложная система и в ней как в любой сложной системе есть баги и всякие неявные глюки против которых есть костыльные обходы… и при нарушении регламентов (ремонта, обслуживания, сборки маршрутов) и происходят такие казусы
… гдето читал телеграмму… не сработал концевик у стрелки, ответственный не предупредил диспетчера, (надо закрывать перегон по регламенту — а это срыв графика, а срыв графика — прощай премия), сунул перемычку и пошел чинить, пока шел там уже поезд завалился.
Ну вот, спасибо за напоминание, теперь опять пропаду в OTTD на несколько дней :D
Переходи на темную сторону Factorio, там тоже есть паровозики
В Factorio ты делаешь транспортную сеть для себя, а в OTTD для людей! Ну и автобусов в Factorio нету :D

Люди в OTTD лишь один из множества грузов.

От организации транспортной сети зависит рост городов
Светофоры действительно работают независимо и переключатся, но стрелку деспетчер-то может в любой момент перевести. Принудительно сбросить маршрут по ключу и перевести. Учитывая, что ДЦ уже давно электронное и сделано на говне — кривые программы на каком-нибудь QNX — то всё это более чем возможно.
Диспетчер не может сбросить занятый маршрут, не может произвольно перевести любую стрелку. Автоматика в СЦБ надежнее людей, которые с ней работают.

Для таких «инцидентов» должно совпасть несколько факторов: неисправность + ошибка работника, или одновременная ошибка нескольких человек. При количестве инструкций на жд, ошибка человека — всегда нарушение чего-то должностного. Т.е. всегда есть крайние и не «назначенные», а действительно виноватые.

Поэтому работа в «поле» — сложна, ответственна и не благодарна.

А вот IT туда пришло сильно позже и не пропитано спецификой.
уж на таких критичных операциях — точно

А точно?

Для того, чтобы начать что-то делать — нужно освоить бюджет )))

Если им вырубят камеры — они просто посадят того, кто это сделал и попросят много мильёнов из бюджета. А если вырубят из третьей страны — обвинят каких-нибудь американских хакеров, удобно же.


Так что скептически оцениваю возможность изменить к лучшему таким способом, слишком там сильно забюрократизированная структура.

Так и вырубить через омериканский прокси или впн :)

UFO just landed and posted this here
обвинят каких-нибудь американских хакеров
Причем не будут говорить, что у них всё было дырявое. Скажут, что это были либо шпионы, либо из-за оборудования с бэкдорами…
Они наживутся на закупке новых и скажут «ломайте есчо»
(сарказм)
По логике вещей РДЖ — это критическая информационная инфраструктура (КИИ, 187-ФЗ) и по данному случаю должны возбудится ФСТЭК, ФСБ как церберы данного вопроса.

Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.

Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.

Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.
Честно говоря, я много об этом думал.
С одной стороны весов — попасть под статью, а на второй — национальная безопасность всей страны.
Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы… Я дурак?
А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…
Тут палка о двух концах. Если обратиться напрямую в РЖД или компетентные органы, то статья может точно так же светить (прецеденты были, к сожалению) и в этом случае публичная огласка и поддержка общественности может помочь автору.
Этичный хакинг, если это не касается вашей собственной железки/системы, это изначально палка о двух концах.

Что ж, остается пожелать вам удачи. Будем надеяться, что разум победит и все с вами будет в порядке.

Есть такой русский фильм, он так и называет «Дурак», там ситуация описана 1 в 1.
Совершенно верно!
Отличный фильм, кстати — всех россиян приглашаю к просмотру ))) Будет актуально.
тяжёлый фильм, лучше Аритмию глянуть
Никакого описания 1 в 1 нету.
В фильме ГГ полный идиот, который вместо того, чтобы донести информацию начинает тупо истерить и выгонять людей на улицу.
Это как если бы автор статьи пришел на вокзал и начал орать, что все должны уйти, потому что сеть РЖД в любой момент может нагнуться. Согласитесь, совершенно идиотское поведение.
Так что, повторюсь, название фильма соответствует уровню интеллекта ГГ и не имеет отношения к автору этой статьи.
Такие статьи, как мне кажется, лучше постить либо находясь не в России, либо с использованием всех возможных средств обеспечения анонимности.
С одной стороны вы правы, и многие, я думаю, вас поддержат. А с другой стороны, мы же в России живём… Смотрели фильм «Дурак» (2014)?
Я даже к нему финальную сцену придумал: рассматривает кто-то его бумажки с вычислениями, всматривается и говорит: «Так он же десятичную точку не туда поставил. Во дурак!!!»
Россия тут не уникальна. Достаточно вспомнить историю с Боингами 737 Max. Даже параллели со статьёй есть — например, Боинг «сам себя сертифицировал» — так же, как и «РЖД сам себя аудировал».

Россия начинается с себя.
Это не фильм. Это человеческие жизни.


Вы знаете что он там нашёл?
Если согласились что не дурак, то понимаете что козырь в рукаве припрятал.


Вот лично яб, не поехала сейчас даже на электричке.
Дети ломанулись проверять, что там интересного есть.


Неее, не смотрела. ))) Мне уже по названию, не очень нравится. ))))

UFO just landed and posted this here

Дурак не интересен, а идиот всегда.
Как правило, яркая личность с богатым внутренним миром )))))

Я смотрел, фильм хорош, правильный посыл, интересная история. Но, что касается действий и поведения власть имущих, то какая-то клюква. Складывается ощущение, что сценаристы насмотрелись американских фильмов и натягивают их реальность, где действительна сильна местная власть в штатах, полиция подчиняется мэрии и т.д., на российские реалии.

Мой комент не информативен.)


Оооо вы такой милый в этом ответе. (Смайлик с глазками из сердечек) )))


Вот настоящий рыцарь нашего времени, защищающий свою страну и обычных граждан.
(Смайлик с глазками из сердечек) )))


Власть будет иметь претензии, подумаем, поможем. Напишите на habr ;)

Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы…

К сожалению, тут уже вопрос не в том, накажут (не дай бог) вас или нет. А в том, заделают ли все дыры или ограничатся парой-тройкой указанных. И, к сожалению, при таком подходе к работе вполне вероятен второй вариант, то есть фактически безопасность никак не изменится.
Там все средства распилены и занесены куда надо кому над ов нужных пропорциях, поэтому на выполнение работ денег нет. Поинтересуйтесь сколько там получает какой-нибудь «ведущий специалист» и потом попробуйте представить, пойдет ли на такую оплату спец достаточно высокой квалификации?
Ой, вот в средствах они не особо ограничены. Когда РЖД надо, оно берёт из бюджета сколько надо. На что оно тратит — другой вопрос, но вопрос исключительно их желания, а не возможности.
Предыдущий комментарий об этом и был)
Вероятность того, что после этой статьи какой-то скрипт-кидди с нестабильной психикой это сделает сильно возрасла. Сецурити бай обсцурити, все дела. А Джо реально не Неуловимый в данном случае. Интересно только одно — автор действительно нарвался случайно, или все-таки был интерес?
У скрипт-кидди обычно нет цели сломать все на корню
да, но есть минимум 2 случая в истории когда это делалось скрипт-кидди случайно.
Можете привести примеры?

Прямо говоря: да, вы дурак, могли бы сидеть и промочать в тряпочку. Когда за вами придут — опубликуйте кошелёк, куда можно перевести добровольные пожертвования на хорошего адвоката, попробуем отбить, как Голунова в своё время не дали посадить.

Всего лишь надо было пожертвовать пиаром и опубликовать статью с одноразового аккаунта. Скрывая свой IP как во время исследования сети, так и во время публикации статьи. Если там такие специалисты, то цепочку прокси им не раскрутить, даже с помощью Яровой.

как мне кажется -вам сейчас надо срочно валить за пределы страны, хотя бы на месяц.

Я надеюсь, что УЖЕ. ДО публикации статьи.

А мне кажется, что для «фигуранта», ну который «берлинский поциэнт», и его коллег из беллингката есть новая тема для феерического расследования.
Месяц? Лет 5 минимум. Подруге жены так пришлось в турции остаться, уже третий год как. Липовое обвинение на родителей выдвинули, но и их арестуют если получится (я так понимаю, в розыск только внутри страны подали). Родителей до сих пор «судят».

Удачи вам. Не пропадайте из информационного поля, пишите что как

Думаю найденные вами уязвимости наверняка мониторятся спецслужбами наших западных партнеров. И не только в РЖД.
А вам явно пора на воды на месячишко, другой.
Ух ты!!! И в карман ему и наверх ему… :)
Представители спецслужб наших западных партнеров всегда на посту!
Не дурак, но вызываешь сочувствие в хорошем смысле
Прекрасно понимаю эту боль и тягу к жертвенной справедливости, и, честно говоря, жертва абсолютно равноценная. Была бы если бы это на самом деле решило проблему.
Скорее всего, если это все до них дойдет, они спустят на тебя собак что бы замять эту тему под темой «УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ», потому что их основная задача не сделать хорошую систему, а прикрыть свои задницы.
И вот от этого еще грустнее, потому что поезда нужны не потому что они удобны и быстры, а потому что это критически важная инфраструктура в случае черезвычайных ситуаций и военных действий, и если эти ситуации возникнут по вине злоумышленников то им ничего не стоит и лишить нас этой инфраструктуры. Но это функционеры не видят за тенью своих годовых премий.

Я правда надеюсь с автором все будет хорошо, помню его еще по старым статьям про прошивки роутеров. Если мне не изменяет память то на хабре был прецедент преследования после какого-то пинтеста метрополитена.
УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ

До боли напомнило, когда нашли открытый ftp сервер МВД (?) Украины… и опубликовали это на Хабре.
ужасные, коварные, русские хакеры из интернетов, агась
А Хабр обозвали хакерским не то форумом, не то сайтом.
Буде посмотреть на развитие событий, как говорится.

Это интернационально: ведь и в solarwinds123 оказывается JetBrains виноват

Пока никакого попадания под статью нету. Все, что опубликовано здесь — не может быть однозначно идентифицировано. Преступного умысла нет. Доказать, что именно вы получили доступ куда-то весьма сложно. Но это пока.

Рекомендую проконсультироваться с адвокатом на предмет дальнейших действий, т.к. при контакте с РЖД или правоохранителями придется обьяснять как и чего было. А в этом случае могут быть классические истории по Достоевскому, типа «Вы и убили-с».
Экспертизу зачастую делают специализированные люди из специализированных номерных институтов. Так что уже можно собирать деньги на адвоката и экспертизы защитников.
UFO just landed and posted this here
Ну, типа.
Надо было публиковать с фейка через тор.
Я дурак?

Вам виднее. ¯\_(ツ)_/¯
Надеюсь перед публикацией вы оценили юридические риски, посмотрели на всякий случай видео о жизни в тюрьме и точно понимаете чем рискуете.

Лично мне, оценка «безопасности граждан моей страны» выше своей свободы не очень понятна. Вроде бы у IT специалистов нет особых проблем с переездом, можно просто выбрать страну с более защищенными гражданами, если очень беспокоит этот вопрос.
Нет, подозреваю, что Вы либо патриот, либо отчаянный человек, либо отчаянный патриот. Но все же лучше не рисковать.
Товарищ, у вас случайно нет канала на Ютубе? =)) Рассказ был крайне интересен, и может есть такие же обучающие видео?))
Я дурак?
Если честно? — необдуманно, если со своего акка…
upd: глянул — профайл обжитый, эх… Удачи Вам!
up2: и нам — в не меньшей степени как юзерам всего вот этого

Вы не дурак — вы журналист. Задача журналиста находить, проверять и распространять информацию. Вы это сделали, причем отлично и профессионально. К сожалению, в России журналистов преследуют. Как можно скорее свяжитесь с профессиональным журналистским сообществом — вас защитят, им не привыкать. Профессиональное айти сообщество пока так, к сожалению, не умеет.
Второй момент — наведенная вами прозрачность на качество работы ответственных за это людей позволяет привлечь их к ответственности. И это им нужно реально бояться, а не вам. Вы просто сказали — а король-то голый. Очень-очень круто!

Поступок идеалистический, вы видимо исходите из того, что вас окружают граждане. Но это не совсем так, это население, которое одобрило поправки в конституцию, которые в целом обеспечивают безнаказаность и стабильность феодальной системы.
Да по сути здесь бы РКНу или какому-нибудь надзорному отделу МО за задницу хорошо взять разгильдяев от бизнеса. Любая критически важная для выживания страны в не мирное время структура должна быть защищена. Но «мы» можем только телеграмм пытаться блокировать.
Но «мы» можем только телеграмм пытаться блокировать.

ИЧСХ даже этого сделать не смогли
Регулирование КИИ включает в себя также понятие преступной халатности, так что РЖДшникам также должно прийтись несладко.
халатность наступает, только если есть ущерб (в прямых деньгах или здоровью-жизни).
О, ведь это получается дешёвая, почти бесплатная защита. Зачем нужно тратиться на проектирование, интеграцию, поддержку такой системы, когда можно прикрыться такими влиятельными органами. Ведь если «дурак» влезет и что-то сделает, на него спустят всех собак, при том не своих, затраты — 0 (почти, издержки из той статьи расходов на камеры там, куда меньше, чем платить спецам хорошим. А ведь можно будет и попилить закупки в итоге, еще в наваре).