Comments 110
Наказание невиновных и награждение непричастных
Новость:
а) Хорошая;
б) Возможно ли хоть как-то именно её прокомментировать, если всё уже сказано в самой старт-статье и её комментариях — а большинство дополнительных комментариев новости суть "само спюобой разумеющиеся"?
Можно ли считать эту заметку приглашением к холивару про 272 УК?
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации?
Чел же не копировал и не менял
Чел же не копировал и не менял
В логах появились строки о входе, например? Значит, информация модифицирована.
будет ли пользователь keklick1337 участвовать в этом мероприятии
сколько решит суд столько и будет
Самое интересное, что чувака вычислят. Дату и поезд на котором он ехал известна, по камерам будет с десяток подозреваемых, не больше
Только если чувак намернно не внёс дезу относительно названия поезда, даты и времени
Будет очень жаль если пострадает keklick1337. По сути он указал только на проблему в безопасности их системы. Для него теперь важна не компенсация за уязвимость, а чтобы к делу не приобщили.
Писать такую статью сразу в среде white hat считается неэтично, этичным считается, что сначала нужно уведомить об уязвимости. Правда зная специфику российских «безопасников» в гос. компаниях (зачастую это бывшие ФСБшнки, ФСОшники, полицейские или вообще пожарники), лучше делать это анонимно, иначе даже за уведомление о найденной уязвимости могут попытаться посадить на бутылку
Белые шляпы — наивные люди, к сожалению, витающие в облаках с розовыми понями.
То что в их среде считается этичным или неэтичным — все это только в их среде, не более.
С точки зрения буквы закона, любой несанкционированный пентест чужой системы — это преступление, а из каких таких благих побуждений это было сделано — это не оправдание и даже не смягчающее обстоятельство, а мотив.
Поэтому в случае, если делу будет дан ход, то суд будет руководствоваться именно буквой закона, и у белой шляпы шансов выйти сухим из воды практически нет.
То что в их среде считается этичным или неэтичным — все это только в их среде, не более.
С точки зрения буквы закона, любой несанкционированный пентест чужой системы — это преступление, а из каких таких благих побуждений это было сделано — это не оправдание и даже не смягчающее обстоятельство, а мотив.
Поэтому в случае, если делу будет дан ход, то суд будет руководствоваться именно буквой закона, и у белой шляпы шансов выйти сухим из воды практически нет.
А не писать такие статьи — оставлять уязвимые системы. Ибо без широкого резонанса от сообщений об уязвимостях просто отмахиваются. Пока гром не грянет.
Так что keklick1337 сделал доброе дело, но этого недостаточно — надо еще успеть убежать
Так что keklick1337 сделал доброе дело, но этого недостаточно — надо еще успеть убежать
del
По результатам исследователю будут шить ст. 272 УК, и он будет участвовать в расследовании, только в качестве подозреваевомого.
и хранятся на сервере ИРС не более одного дня.
Хмм, то есть подтвердили, что спустя сутки можно выудить кое какую информацию.
Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов,»
Классика жанра лукавство и взаимоисключающие параграфы.
Комментарий пресс-службы РЖД просто
огонь
Интересно было бы послушать тех, кто разрабатывал эту систему, хотя бы анонимно. Знали ли они о проблемах во время разработки, что на эти возражения говорило руководство…
предполагаю, что руководство говорило: «заткнись и кодь». Как в ТЗ написано, так и делали. Или делали на столько качественно, на сколько хватило денег.
Вы что, никогда не сталкивались с тендерами и конкурсами?
Выделяется N денег, конкурс выигрывает компания и на N/2 нанимается субподрядчик. Далее история повторяется пока от N не остаётся 10000 рублей на которую ищется уже исполнитель, согласный работать за такие деньги. Ну а дальше по принципу "как заплачено, так и замонстрячено" получается итоговый результат.
UFO just landed and posted this here
(скорей всего)Пишется примерно как и всё остальное в РЖД, в основном великовозрастными программерами, без ТЗ с плавающим дедлайном и тестированием в проме. Но опять же зависит от проекта и конкретного разработчика, бывает что на выходе вполне себе рабочий продукт(пока его использовать по интсрукции)
З.Ы. из личного опыта
З.Ы. из личного опыта
А вот давайте рассмотрим такую, чисто гипотетическую ситуацию — Вот есть, например, кинотеатр. Он бесплатный, в нем показывают кино. Для того, чтобы в него зайти, нужно сказать некие четыре цифры и сказать свою фамилию (да, впрочем, и не важно что, пусть даже и ничего, к делу не относится). И вот в этом кинотеатре есть служебные помещения — будка киномеханика, кладовка со швабрами, еще там что-то. Естественно, эти помещения немного закрыты, но именно, что немного. Там нет ничего ценного, что нужно было бы защищать охраной с автоматами. И вот, некий молодой человек, преисполнившись любопытства, вскрывает простенький замок служебного помещения и залезает в подсобку. А там — как положено, какой то старый мусор, пара пустых бутылок, чьи-то старые штаны, бумажки с какими-то номерами. Ну залез и залез, ладно, что там брать то? Но этот молодой человек, буквально на следующий день стал кричать на весь интернет — А вы знаете, вот там в киношке бесплатной, в подсобке замок ногтем открывается! А там! Киномеханик бухал, кто-то штаны снимал, и вообще, швабры лежат.
Я не знаю как кому, но, вот лично на мой взгляд, это как то даже и некрасиво. А владельцу кинотеатра, который бесплатно всем кино показывает, теперь оправдываться надо, за то, что у него в подсобке швабры лежат…
Я не знаю как кому, но, вот лично на мой взгляд, это как то даже и некрасиво. А владельцу кинотеатра, который бесплатно всем кино показывает, теперь оправдываться надо, за то, что у него в подсобке швабры лежат…
UFO just landed and posted this here
Позвольте, где там дыра в женский туалет? Там только 4 (четыре) цифры из номера паспорта, и номер места, на котором ехал пассажир. Где тут дыра?
UFO just landed and posted this here
Да нет, вы правы, конечно. С безопасностью сети в сапсане (и не только в сапсане) все плохо, очевидно. Только она есть (сеть). А ведь никто не обязан был ее делать. И даже до сих пор не обязан ее делать. И безопасной ее делать — тоже не обязан. Ну и, так-то, пассажир имеет доступ к другим пассажирам — это ли не дыра в безопасности?
Не обязан предоставлять услугу. А вот если уже предоставляешь — обязан предоставлять её качественно. Это во-первых. А во-вторых, они фактически вывешивают поимённые списки всех пассажиров на всеобщее обозрение. Я конечно не параноик, но на каком основании и по какому праву они этим занимаются?
А где здесь некачественность услуги? Развлекательная система работает? Работает! Авторизация работает? Работает! А услуги ИБ РЖД никому не обещала. Ну и на вторую часть комментария, я не видел этих списков, даже обфусцированных. Разговор идет как раз о том, что никакие ПДн не хранятся. Ни в оригинальной статье ни где-либо еще я не увидел, что автор смог найти ПДн. Если я не прав, в этом отношении — тогда поправьте.
Во, точно, не обязан делать. И закроют дыру, просто отключив сеть wifi: нет сети — нет проблемы. Так же, как после утечки корпоративный портал отключили. Ну а что, деньги освоены, перед начальством отчитались, премии получены — кому оно теперь нужно?
И безопасной ее делать — тоже не обязан.
РЖД ведь является оператором персональных данных. Разве соответствующий ФЗ не обязывает их работать с ними определенным, обозначенным в законе, образом? (при условии, что данные, к которым удалось получить несанкционированный доступ, являются персональными с точки зрения закона, естественно)
Сервер ИРС не связан с внутренней сетью ОАО «РЖД»
Вот в этом я бы усомнился, даже если предположить что автор первой статьи слукавил про ВПН.
Извините, а с чем сравниваются эти 4 цифры, которые нужно вводить?
Что там в базе лежит? Я из предыдущей статьи так и не понял, автор не стал нам много показывать, но у меня было такое ощущение, что там в открытом виде в БД лежат номера паспортов. Ну потому что для госкорпорации это было бы совсем неудивительно.
Что там в базе лежит? Я из предыдущей статьи так и не понял, автор не стал нам много показывать, но у меня было такое ощущение, что там в открытом виде в БД лежат номера паспортов. Ну потому что для госкорпорации это было бы совсем неудивительно.
Может с солеными хешами последних четырех цифр?
В свете описанного в исходной статье, вы явно их переоцениваете ). А так-то это, скорей всего, банальная некомпетентность разработчиков с одной стороны, которым просто не пришли в голову все эти вопросы. А с другой стороны — заказчика, который не заморочился пригласить стороннего специалиста для аудита безопастности системы. Хотя это обычная практика — я сам неоднократно сталкивался с такими нюансами взлома от приглашенного эксперта, что не специалисту тяжело даже представить такой канал, не то чтобы предусмотреть его на этапе разработки )).
Перебрать 10000 комбинаций и посчитать от них хеши не проблема. Дальше достаточно найти эти хеши в базе.
С солью так не получится
Почему?
Это же просто брутфорс на 10000 комбинаций.
Это же просто брутфорс на 10000 комбинаций.
Для каждой записи в базе по 10000 комбинаций.
Вы правы, я частично глупость написал. Но все же соль — это открытая информация. Достаточно посчитать по 10000 комбинаций для каждой записи в базе «соль: хеш» с соответствующей солью. Пассажиров там немного, так что это будет довольно быстро.
Вспоминается история про хакера и солонку в столовой.
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»
День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»
День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.
День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.
День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.
День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.
День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.
День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»
День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»
День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.
День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.
День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.
День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.
День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.
День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
Хорошо, что это вскрылось, пока в будке только драные штаны. Но, возможно, услуги «кинотеатра» расширятся и в будке появится золотишко. Внимание вопрос: повесит ли РЖД замок получше на будку или ничего не сделает и будет кричать, что его обокрали злые хацкеры, когда кто-то упрёт золотишко?
Как я понимаю, по вашей логике, в том что вор залез и украл золото, виноваты будут РЖД а не вор?
Вор виноват в том что он украл, но, если кто-то не закрывает место с золотишком на хороший замок, то дурак именно он. К тому же, его предупредили.
На мой взгляд, ваша изначальная аналогия была не совсем верна. Я бы сформулировал это так: РЖД, руководствуясь своими правилами перевозки, обязывает вас перевозить свое золото в их специальном сейфе, который обладает плохой защитой от взлома. В этом случае, РЖД несет ответственность за ваше золото, и если его украдут — РЖД виновато. А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает
На самом деле аналогия Ваша, я лишь предположил, что услуга будет развиваться. Если не будет развиваться, то и хрен с ними. Пусть хранят свои драные штаны, от госкомпании другого не стоит ожидать. Лишь бы в этот сейф, с плохой защитой, не положили моё добро. А то что доступ к wi-fi через данные билета может означать, что ПД там уже есть.
Я имел ввиду аналогию с появлением в кассе золотишка :)
Сейф то тут при чем, я не понял? Кому какое дело кто что в своих подсобках хранит? Закон только обязывает определенным образом хранить определенные данные. В оригинальной статье я не увидел компрометации ПДн, автор пишет только про последние цифры номера паспорта. В опровержении РЖД тоже фигурируют только последние четыре цифры номера, и особо подчеркивается, что ПДн в этой системе не хранятся и не обрабатываются. Так что я, практически искренне не понимаю, какие могут быть в данном случае претензии к РЖД? Ну вот правда, без слухов и домыслов?
Сейф то тут при чем, я не понял? Кому какое дело кто что в своих подсобках хранит? Закон только обязывает определенным образом хранить определенные данные. В оригинальной статье я не увидел компрометации ПДн, автор пишет только про последние цифры номера паспорта. В опровержении РЖД тоже фигурируют только последние четыре цифры номера, и особо подчеркивается, что ПДн в этой системе не хранятся и не обрабатываются. Так что я, практически искренне не понимаю, какие могут быть в данном случае претензии к РЖД? Ну вот правда, без слухов и домыслов?
Если совсем без слухов и домыслов, то только «предоставление услуги, не соответствующей современным требованиям безопасности».
Если мы верим keklick1337, то: «На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.»
«К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут»
Кто-то врёт…
Если мы верим keklick1337, то: «На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.»
«К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут»
Кто-то врёт…
Да ну блин! Просил же без домыслов и слухов. Каким требованиям безопасности сеточка с киношками должна соответствовать по вашему мнению?
Термин «много хорошей инфы» лично вот мне — совершенно непонятен. Для кого хорошей? Для операционной системы «хорошей инфой» будет своп, например. В каком виде там есть впн, ели большую часть времени интернет недоступен? Откуда стало известно, что это «внутренняя сеть РЖД»? А не, например, ДМЗ или еще что? В каком виде в базе пользователи лежат? В виде тушек что-ли? 152-й ФЗ вполне определяет состав ПДн и способы их хранения. Если уважаемый keklick1337 имеет подтверждения, что закон со стороны РЖД нарушается — на костер РЖД (через суд, естественно), если нет — на костер keklick1337, за разведение лишнего хайпа. Извините за резкость, немного накипело.
Термин «много хорошей инфы» лично вот мне — совершенно непонятен. Для кого хорошей? Для операционной системы «хорошей инфой» будет своп, например. В каком виде там есть впн, ели большую часть времени интернет недоступен? Откуда стало известно, что это «внутренняя сеть РЖД»? А не, например, ДМЗ или еще что? В каком виде в базе пользователи лежат? В виде тушек что-ли? 152-й ФЗ вполне определяет состав ПДн и способы их хранения. Если уважаемый keklick1337 имеет подтверждения, что закон со стороны РЖД нарушается — на костер РЖД (через суд, естественно), если нет — на костер keklick1337, за разведение лишнего хайпа. Извините за резкость, немного накипело.
Да ну блин! Если мы не опираемся ни на какую стороннюю информацию, то говорить можно только лишь о том что сам сейчас видишь или слышишь. Я не могу ничего предъявить РЖД, т.к. я не лазил в сети Сапсана. Вы не можете утверждать, что в сети Сапсана нет ПДн, VPN, что РЖД не нарушает закона о ПД и пр., так как Вас там нет (или есть) (или Вы кот, который и есть и нет :) ). Всё это скатывается в мусор и не имеет смысла.
Если Вам не понятны выражения keklick1337, попробуйте затребовать разъяснений от него. Мне в общем понятно. И я написал
Если Вам не понятны выражения keklick1337, попробуйте затребовать разъяснений от него. Мне в общем понятно. И я написал
Если мы верим keklick1337
Да, извините, вы поправили комментарий немного, а я не сразу заметил. Действительно, очевидно кто-то лукавит. РЖД заинтересованы — очевидно. Хакер, тоже заинтересован — рассказать всем какой он крутой. Кому верить каждый сам решит. Кстати, в комментариях к оригинальной статье автор, что то не появляется… Либо испугался поднявшейся волны, либо…
А вы можете ею и не пользоваться, за вас это сделает злоумышленник, вошедший в сеть поезда под свежеполученными известным уже путём вашими учётными данными: номером билета (или места в вагоне, не помню, что там в оригинале) и номером паспорта. Объясняйте потом товарищу майору, что это не вы рознь в интернетах разжигали.
Тут скорее такая аналогия: человек увидел открытым помещение с золотом и предупредил, а на него за это вешают якобы то, что золота стало на кило меньше.
РЖД и вор.
Потому что золото не их, и за сохранность несут ответственность. Во всяком случае пока явно не указано обратное.
Потому что золото не их, и за сохранность несут ответственность. Во всяком случае пока явно не указано обратное.
Скорее — в будке киномеханика хлипкая дверца на щеколде, открывающаяся прямо в сейф кинотеатра, со всей выручкой и документами.
У вас есть бесплатный кинотеатр (ну как бесплатный, для просмотра надо купить попкорна на тыщу, иначе не пустят).
А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает
Хранени ПД? Для них, может, и пройдёт бесследно (особенно если там "не совсем" ПД). Получается что брало и хранит, т.е. золото совсем не РЖД выходит. И не понятно при чём тут пользование услугой WiFi, кода данные всё равно есть. У вас, пользуясь аналогиями, "когда убьют, тогда и звоните", потому как другой вскрывший не будет писать на Хабр, а найдёт уязвимости более прибыльное применение (тем более что там, похоже, не только паспорта).
У вас неправильная аналогия.
По правильной, «а там — бумажки с номерами и фамилиями всех зрителей за вчера и сегодня». Согласны, что «молодой человеку» несколько не ожидал и может не хотеть, чтобы его бумажку завтра мог увидеть любой завтрашний зритель?
Вот если бы там списка пассажиров не было — было бы как раз некрасиво и даже незаконно. А так да, «владельцу» теперь надо оправдываться, почему данные клиентов недостаточно защищены.
По правильной, «а там — бумажки с номерами и фамилиями всех зрителей за вчера и сегодня». Согласны, что «молодой человеку» несколько не ожидал и может не хотеть, чтобы его бумажку завтра мог увидеть любой завтрашний зритель?
Вот если бы там списка пассажиров не было — было бы как раз некрасиво и даже незаконно. А так да, «владельцу» теперь надо оправдываться, почему данные клиентов недостаточно защищены.
Так я, как раз, и топлю за то, что нигде не написано, какие данные там keklick1337 обнаружил? Пара строчек о «много интересной инфы» и в «базе лежат пользователи», как бы не говорят, что слабозащищенный паровоз, с почти домашней сеточкой на китайских точках доступа, возит на себе ПДн всех пассажиров. Это прямое и грубое нарушение 152ФЗ со стороны РЖД, если что. С этим можно сразу суд.
UFO just landed and posted this here
«Наш VPN уволился две недели назад»
В ОАО «РЖД» нет программы поощрения за найденные уязвимости в их системахВполне можно ожидать что их уже неоднократно поблекхатили.
И правильно сделали.
Нужно в корне менять подход, не просто молча «так и быть закроем», а
1) обязательно отчитываться о всех фактах, публично (на западе есть такое, там за утаивание милионные штрафы)
2) улучшать обратную связь, включая баунти. Сейчас найденные уязвимости можно только продать как 0day, если хочется хоть какую-то копеечку получить.
Нужно в корне менять подход, не просто молча «так и быть закроем», а
1) обязательно отчитываться о всех фактах, публично (на западе есть такое, там за утаивание милионные штрафы)
2) улучшать обратную связь, включая баунти. Сейчас найденные уязвимости можно только продать как 0day, если хочется хоть какую-то копеечку получить.
Не хотелось бы чтобы автор статьи пострадал, парень наоборот указал на ошибки и недостатки, никакого злого умысла не имел, иначе в чём смысл публиковать статью в свободном доступе. Просто как всегда кого-то нужно сделать крайним
UFO just landed and posted this here
Будет так же, как с питерским SkyNet?
Когда с клиентского роутера провайдер пытается вычитать файл конфига для своей же сети, а потом требует 3 млн денег за неправильный конфиг?
Когда с клиентского роутера провайдер пытается вычитать файл конфига для своей же сети, а потом требует 3 млн денег за неправильный конфиг?
UFO just landed and posted this here
На мой взгляд, то же можно сказать и про сапсан: разработчики виноваты только в том, что не закрыли маленькую дырку, не? /sarcasm
Делать сервис автоконфига и разрешать создавать поддомен для автоконфига, доступный всем и каждому — это как ставить kerberos и шарить всем доступ к kdc.
PS почему-то в новости от фонтанки нет точки зрения пользователя, которому не отключили домен wpad по его звонку, а роутер уходил в перезагрузку от сотни коннектов/сек от клиенских браузеров, ищущих wpad.cfg, тему на пикабу тоже снесли.
Делать сервис автоконфига и разрешать создавать поддомен для автоконфига, доступный всем и каждому — это как ставить kerberos и шарить всем доступ к kdc.
PS почему-то в новости от фонтанки нет точки зрения пользователя, которому не отключили домен wpad по его звонку, а роутер уходил в перезагрузку от сотни коннектов/сек от клиенских браузеров, ищущих wpad.cfg, тему на пикабу тоже снесли.
Вот, все таки, прекрасный ресурс — Хабр! Прекрасные люди тут обитают. Слова какого-то анонимного хакера (который так ничего и не выиграл на хакерской конфе в питере) о «много интересной инфы» и «лежащих в базе пассажирах» безоговорочно принимаются на веру. Из них раздувается мощный инфоповод, с публикациями на крупнейших новостных порталах, паникой в крупнейшем российском жд перевозчике, и множеством подтверждений в стиле «некий программист, пожелавший остаться неизвестным». Я замечаю, что я озадачен! Доказательств утечки никаких, автор оригинальной статьи куда-то пропал, на вопросы не отвечает, а инфоповод набирает ход, обрастая вымыслами как снежный ком…
Многие из здесь присутствующих, я уверен, не раз, приезжая в какой-нибудь отель, где-нибудь на отшибе, просто из любопытства осматривались в местной сетке. Некоторые находили камеры видеонаблюдения с паролями по умолчанию, некоторые нет, некоторым удавалось найти свежее меню ресторана на завтра, некоторым нет… Некоторые писали в своем уютненьком, что мол ай-яй-яй, какие там админы плохие, ничего не закрыто (хотя на самом деле ничего криминального там не было), некоторые писали владельцам, что мол вот, смотрите, у вас там все видно( это как с расстегнутой ширинкой, некоторые ржать втихую будут, а некоторые тихо предупредят).
Многие из здесь присутствующих, я уверен, не раз, приезжая в какой-нибудь отель, где-нибудь на отшибе, просто из любопытства осматривались в местной сетке. Некоторые находили камеры видеонаблюдения с паролями по умолчанию, некоторые нет, некоторым удавалось найти свежее меню ресторана на завтра, некоторым нет… Некоторые писали в своем уютненьком, что мол ай-яй-яй, какие там админы плохие, ничего не закрыто (хотя на самом деле ничего криминального там не было), некоторые писали владельцам, что мол вот, смотрите, у вас там все видно( это как с расстегнутой ширинкой, некоторые ржать втихую будут, а некоторые тихо предупредят).
Простите, человек написал, что нашёл дыру (а не взломал пентагон на хакатоне) и предупредил РЖД.
Что при этом, по версии некоторых журналистов, хакер изнасиловал Сапсан и журналиста в придачу — это уже вопрос к журналистам, а la belle Habr не при чём.
Что при этом, по версии некоторых журналистов, хакер изнасиловал Сапсан и журналиста в придачу — это уже вопрос к журналистам, а la belle Habr не при чём.
Видимо я невнимательно прочитал статью. Кроме негатива, что мол вот я в прошлый раз им про дыру рассказал — а они мне денег не дали, нигде не увидел, что кто-то кого-то предупредил.
Я про оригинальную статью если что. И комментарии к ней.
Я про оригинальную статью если что. И комментарии к ней.
" РЖД, поправьте всё, через пару месяцев снова проверю" было воспринято как «в РЖД есть описание»
В любом случае, человек сделал добро — и бросил его в воду, т.е. написал, где дыра и ушёл подальше, чтоб ответным добром не забрызгало.
То же самое было и с WiFi в метро, когда все метаданные о человеке передавались открыто — после шума на хабре быстро закрыли дыру, ну или хотя бы замаскировали.
Ну и сравнение с отелем некорректно — сколько там людей за сезон бывает, на 1 сапсан наберётся хотя бы?
А если такая дыра обнаружится в большой сети отелей и из комнатки в париже можно получать данные и подглядывать за постояльцами по всему миру — то да, тут нужно бить в набат, ибо черевато.
PS хотел бы человек сделать гадость — продал бы описание хака занедорого всем желающим.
PPS И всё-таки, причем здесь Хабр? Нет 100% премодерации статей? Пропускаются статьи, могущие кому-то повредить? Ещё и вход не по паспорту, ужас-ужас.
В любом случае, человек сделал добро — и бросил его в воду, т.е. написал, где дыра и ушёл подальше, чтоб ответным добром не забрызгало.
То же самое было и с WiFi в метро, когда все метаданные о человеке передавались открыто — после шума на хабре быстро закрыли дыру, ну или хотя бы замаскировали.
Ну и сравнение с отелем некорректно — сколько там людей за сезон бывает, на 1 сапсан наберётся хотя бы?
А если такая дыра обнаружится в большой сети отелей и из комнатки в париже можно получать данные и подглядывать за постояльцами по всему миру — то да, тут нужно бить в набат, ибо черевато.
PS хотел бы человек сделать гадость — продал бы описание хака занедорого всем желающим.
PPS И всё-таки, причем здесь Хабр? Нет 100% премодерации статей? Пропускаются статьи, могущие кому-то повредить? Ещё и вход не по паспорту, ужас-ужас.
Да кто тут будет в набат бить-то?.. Если только кто-то из действующих разработчиков сапсанового ПО, порядочным окажется. А так, вы что, в России нет никаких уязвимостей!;) Тем более в крупных монополиях. Не дай вам бог про такое сказать! На том все и держится.
И потому кое-кому нужен подконтрольный интернет, а еще лучше сразу рубильник к нему…
И потому кое-кому нужен подконтрольный интернет, а еще лучше сразу рубильник к нему…
Нет, ну серьезно!? Какое же он добро сделал? Незаконно проникать на чужую частную территорию — незаконно. Заходить в чужие запертые дома — незаконно (и пофиг что там замок простой). Заходить в чужие внутренние сети — незаконно. Если вы залезете на склад, а потом всем будете рассказывать, что там забор дырявый и замок мизинцем отрывается — вас посадят — и ни у кого не возникнет когнитивного диссонанса. Так почему же, когда кто-то «отламывает по фану» чужую сеть, все считают что он сделал добро?!
UFO just landed and posted this here
Эээ… Я что то не понимаю, хакер осуществлял правомерный доступ?
а так то, помимо 272, 273 и 274й статьи есть Статя 13 КоАП
Ну и потом, создание скриншотов — есть копирование информации в любом случае. А уж разглашение такой информации в публичных источниках — так и подавно. Разрешение на публикацию информации о организации сети развлекательной системы «Сапсана» есть? А ведь это их коммерческая информация.
ну и вишенка:
Согласно статье 273 УК РФ создание, использование и распространение вредоносных компьютерных программ, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, является уголовно наказуемым. Предполагаемое наказание лишение свободы на срок до четырех лет (если действия хакеров повлекли тяжкие последствия до семи лет) с выплатой штрафа в размере до двухсот тысяч рублей. Эксплойты же были?
а так то, помимо 272, 273 и 274й статьи есть Статя 13 КоАП
Ну и потом, создание скриншотов — есть копирование информации в любом случае. А уж разглашение такой информации в публичных источниках — так и подавно. Разрешение на публикацию информации о организации сети развлекательной системы «Сапсана» есть? А ведь это их коммерческая информация.
ну и вишенка:
Согласно статье 273 УК РФ создание, использование и распространение вредоносных компьютерных программ, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, является уголовно наказуемым. Предполагаемое наказание лишение свободы на срок до четырех лет (если действия хакеров повлекли тяжкие последствия до семи лет) с выплатой штрафа в размере до двухсот тысяч рублей. Эксплойты же были?
Законно найти дыру невозможно.
Даже с соглашением о пентесте, всегда можно сказать — «эти людишки не только протестировали нашу систему, но и попортили её, а теперь денег каких-то ещё просят, посадите их по 272 пожалуйста»
На ваш взгляд, увидел дыру вреакторебезопасности — проходи мимо, быстро и молча, дабы не присесть?
Даже с соглашением о пентесте, всегда можно сказать — «эти людишки не только протестировали нашу систему, но и попортили её, а теперь денег каких-то ещё просят, посадите их по 272 пожалуйста»
На ваш взгляд, увидел дыру в
Законно — можно. Заключаешь договор, подписываешь NDA и вперед, доступ к информации санкционирован владельцем информации.
А на мой взгляд, не проходи мимо и молча — сообщи владельцуреактораинформационной системы — а не кричи на весь мир о дыре в реакторебезопасности.
А на мой взгляд, не проходи мимо и молча — сообщи владельцу
UFO just landed and posted this here
Это на хабре была статья, как официальных пентестеров госучереждений в Америке поймали с документом возле двери со сработавшей сигнализацией и собираются посадить за взлом?
Бумажки — бумажками, но закон есть закон.
Владелец может и санкционировал, но если у СБ свои резоны — бумажкой не отмахаться.
Бумажки — бумажками, но закон есть закон.
Владелец может и санкционировал, но если у СБ свои резоны — бумажкой не отмахаться.
UFO just landed and posted this here
Неправомерный доступ к информации — это добро?
UFO just landed and posted this here
То есть, цель оправдывает средства?
UFO just landed and posted this here
То есть, получается, для спасения мира можно убивать людей? Ну, разумеется, если они откатчики на местах, раздолбаи и профаны?
Как вы резко перескочили от взлома к убийствам. Вы не на RT работаете случайно?
«Сегодня он играет джаз — а завтра Родину продаст!»
«Сегодня он играет джаз — а завтра Родину продаст!»
И сколько человек убил хакер, ткнув в дыру?
Вы ударились в такую софистику, что я вынужден спросить: простите, вы не журналист?
А то, судя по тону беседы, скоро стоит ждать статьи «хакеры, взломавшие РЖД, призывают убивать раздолбаев и откатчиков, сообщество поддерживает!»
Вы ударились в такую софистику, что я вынужден спросить: простите, вы не журналист?
А то, судя по тону беседы, скоро стоит ждать статьи «хакеры, взломавшие РЖД, призывают убивать раздолбаев и откатчиков, сообщество поддерживает!»
UFO just landed and posted this here
Я ничего ни с чем не сравниваю, я просто уточняю, до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить? Сегодня окно Овертона здесь, а завтра оно отодвинется немного, и станет допустимо, например, поедать себе подобных. Раз ступив на этот путь — уже нельзя остановиться, иначе вы не достигнете цели, и, соответственно, она не сможет оправдать ваши средства.
Именно исходя из такой морали, я считаю, что нельзя делать зло, прикрываясь благими целями. Именно исходя из этой логики я считаю, что нельзя делать людям гадости, только потому что они уроды, иначе вы встаете с ними на одну доску, и становитесь ничуть не лучше их. И именно поэтому, я считаю, что в данной истории не прав в первую очередь хакер, который решил проехаться на хайпе.
Именно исходя из такой морали, я считаю, что нельзя делать зло, прикрываясь благими целями. Именно исходя из этой логики я считаю, что нельзя делать людям гадости, только потому что они уроды, иначе вы встаете с ними на одну доску, и становитесь ничуть не лучше их. И именно поэтому, я считаю, что в данной истории не прав в первую очередь хакер, который решил проехаться на хайпе.
Да-да-да, «Сегодня ты ешь мясо, завтра — убиваешь котят, а послезватра — переключишься на детей? Кто и как сможет определить эту грань и сказать стоп?»
Хотя стоп, не так: «Сегодня вы критикуете раскрытие потенциально опасных дыр, завтра — проголосутете за принудительную чипизацию населения, а послезавтра отключите свободный интернет и пойдёте работать надзирателем в концлагерь? до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить?»
Словоблудие — оно такое словоблудие, ага.
Хотя стоп, не так: «Сегодня вы критикуете раскрытие потенциально опасных дыр, завтра — проголосутете за принудительную чипизацию населения, а послезавтра отключите свободный интернет и пойдёте работать надзирателем в концлагерь? до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить?»
Словоблудие — оно такое словоблудие, ага.
Но эксплойт был ПРЕДНАЗНАЧЕН для пентеста. Т.е. САНКЦИОНИРОВАННОГО доступа к информации. Для НЕсанкционированного он ИСПОЛЬЗОВАЛСЯ.
Потому-что в отличии от склада на котором хранится чье-то имущество, здесь хранятся, или могут храниться, персональные и личные данные каждого из нас. И хозяин этого склада даже не думает и не хочет предпринимать никаких мер по их защите, подвергая нас опасности. Угрожая при этом уголовным преследованием за проникновение туда, будучи абсолютно неспособным установить сам факт такового проникновения.
Я считаю, что РЖД должно дать развернутый комментарий по существу затронутых вопросов, а не отписку. Потому что, если некоторые факты окажутся правдой, это будет нарушением требований 152-ФЗ «О персональных данных» к мерам по защите. Не в их интересах признавать факты отсутствия осведомленности о реальном устройстве сети Сапсана, не соответствующем их вере в ТЗ. А «состав преступления» автора еще придётся поискать. Учитывая описанное, там и логов-то никаких не будет — т.е. не будет достаточных доказательств инцидента.
Я думаю там такие бабки отмыты на этом wifi, что признание хоть какой то уязвимости недопустимо с их стороны. Поэтому будут отбрекиваться и тихонько всё поправят
Sign up to leave a comment.
РЖД проведет расследование по факту получения доступа в сервисную часть системы Wi-Fi «Сапсана»