Как попасть на дачу президента в пять часов утра

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.



Так повелось с момента возникновения группы, где Вася проводит большую часть времени, его профилем является анализ добытых данных и составление некоторого отзыва, если того просит заинтересованное лицо.

Будень московский


Обычное московское утро, офис-подвал, кофе, Вася с друзьями обсуждает новый заказ от старого знакомого. Все стандартно, надо достать инфу, всю до чего можно дотянуться. Адреса, сайты, места жительства персонала, страницы в соцсетях и т.д. получены заранее, и чем больше соберет покупатель сведений заранее, тем быстрее и качественнее будет результат. Подопытная фирма оказалась из северной столицы, без сайта (таких еще полно в России-матушке) и занимается поставками некоторого (какого будет разобрано ниже) оборудования, контора вроде как развалилась, но еще агонизирует, и некто мистер Х хочет получить остатки разработок данных. В командировку уехал самый молодой, ибо квалификации, чтобы поснифать wifi-трафик на предмет паролей, явок, ссылок и другой инфы, много не нужно.

В результате этих исследований были добыты секретные слова к почте, далее из переписки выянилось, что для хранения арендован дедик, который стоял на территории подопытного. Сервер иногда удаленно админился извне, на нем крутится старая убунта 12.04 LTS версии (это к вопросу об экономии на оборудовании и персонале). Просканировали на наличие уязвимостей, доступ по ssh настроен только на конкретные ip (достаточно грамотно), открыты с десяток портов, в том числе 21(FTP), 39, 41 и 95, нашлось несколько дырок, сервер сдался на уязвимости CVE-2014-0196, через нее подняли рута с третьей попытки, два раза сервак падал, но никто даже не шевельнулся, чтобы узнать в чем дело. Искали все, что было похоже на исходники, документацию и т.д. Зашли, осмотрелись, собрали урожай, почистили, проверили, еще раз почистили, ушли.

Продолжаем копать


Просматривая слитые каталоги, были обнаружены папки Confluence, Repositories и Secrets со всякой фигней и парочка неинтересных бэкапов, общий объем данных немногим больше 70 гигов. Папка Secrets, равно как и бэкапы, содержала «нежно розовый фарш» из данных, фоток, обрезков текста — такое чувство, что прошлись шредером. Открываем «Repositories», как наиболее интересного кандидата на изучение: тут оказалась куча SVN репозиториев, созданных в период с 2006 по 2013 года. Те папки, которые Вася распаковывал, отличаются по датам создания от основного архива.



Ловля удалась — вот он «Язь» программерский: куча сорцов из приватного репозитория, добытые в «бессонные ночи». Вася шарится по папкам, попутно спрашивая у гугла некоторые названия, на большинство запросов последний отвечает рекламой бессвязным бормотанием, а вот на некоторые — вполне конкретными событиями и координатами:

— moskva_postanovka: ну тут понятно, что-то ставили в столице;
— sochi_bruche_postanovka: гугл не знает, что такое sochi_bruche, зато ответит на вопрос «sochi b ruche». Можете глянуть;
— sosnbor_aes_postanovka: тут гугл с ходу выдал ответ по такой замене «сосн бор аэс постановка»;
— valdai_rosino_postanovka: опять попадание с первого раза — «валдай рощино постановка»;
— volgodonsk_aes_postanovka: ну тут и ежу понятно, что-то ставили на волгодонской атомной станции, Вася там служил в молодости и с местами знаком не понаслышке.

Видимо, серьезные ребята, самое время посмотреть, что за рыбка попалась в наши сети. И да, Васю, как старого сишника очень коробит русский транслит в исходниках (сарказм).

«moskva_postanovka_r»


Смотрим репу — матерь божья, кто же так пишет? Сорцы вперемешку с временными файлами и объектниками, видимо, разработчик находится (находился на момент 2008 года) на первых курсах института… стоп, студент-разработчик большой софтины? Вы серьезно?



Удалив временные файлы получим такую картину:







В папке Capture картиночка завалялась от 30 сентября 2008 года.



Похоже на снимок с гугл-карт. Отличительных чертами этого места является расположение возле воды, и необычность формы набережной. Дальнейший поиск по карте златоглавой привел к такому результату:



«Копаем дальше»


Также в репозитории обнаружился док, объясняющий для чего сделана программа и сорцы, собственно, какого продукта Вася получил.







«Пасхалки»


Разобравшись примерным назначением проги, Вася стал более внимательно изучать исходники в поисках чего-нить необычного. Все ведь знают, что разработчики, необремененные корпоративным этикетом, могут вставить что-нибудь эдакое для развлечения себя любимых. Какие критерии поиска задавались? Прежде всего искались комментарии типа: «WTF,TODO,f*ck и другие смешные слова». И попытки были вознаграждены на третий день дзен-созерцания: были найдены следующие куски кода:

1. Защита от начальства (файл UMainForm.cpp):

Если не найдена либа со специальным названием в папке Windows, то программа будет выдавать следующее предупреждение: «ОАО НПП „ХХХ“ не оплатило разработку это приложения! Приложение будет закрыто!»

Забавное предупреждение, рассчитанное видимо, на начальника-дурака.





2. Граница на замке (файл UBChannel.cpp).

Данный участок кода в период с 5.00 до 5.30 утра, видимо, засылает дальше в программу рандом вместо реальных данных, полученных от оборудования.



3. Черная дыра (файл UBsoDevice.cpp).

Третий подозрительный участок был выявлен здесь. Если сетевой адрес машины установлен в 192.168.88.88, то приходящая информация не отдается дальше (закладка/тестовая машина?).



Что стоит (предположительно)


Поиск в гугле выдает следующие результаты по запросам «ГУПО, Трал М, Галс, Нерпа М, НПП XXX».

Описанный в репозитории софт обслуживает вот это оборудование: раз, два, почитать можно еще тут.

Косвенно подтверждает правильность скомпрометированной информации следующая страница — три, в репозитории также находятся папки с названиями "nerpa-m,nerpau,nerpa-sdp,nerpa_vs,nerpa_sc". Их Вася не изучал, так что останавливаться на них не будем, но стиль программирования похожий. Там же на сайте указано, что срок службы данных изделий не менее 10 лет, т.е. если проги были поставлены в 2008 году, то они еще работают и, возможно, такие же дырявые (или это программные закладки, или перед выпуском в продакшн не закоментили тестовые строки).

Где стоит (предположительно)


Немного покопавшись в репозиториях, удалось выяснить следующие места обитания этого шедевра программисткой мысли.

1. Валдай (предположительно дом отдыха в Рощино, рядом правительственный объект;
2. Калининская АЭС;
3. Ленинградская АЭС;



4. Сочи (предположително дом отдыха «Бочаров Ручей», рядом правительственный объект, предположительно правительственная дача);
5. Москва (предположительно Дом Правительства Московской области);
6. Волгондоская АЭС.

Предположительно общий список мест установки устройств:



Правда жизни


После озвучивания количества желаемых плюшек, заинтересованное лицо как-то пропало из поля видимости, оставив Васю в глубоких раздумьях о смысле бытия в современном мире и растущих без меры цен на оперативку. На общем совете было решено указать незадачливым админам на недостатки в безопасности, с указанием методов их возможного исправления. Также в адрес руководителя ОАО «НПП» ХХХ было направлено письмо с описанием найденных уязвимостей. Как обычно был дан двухнедельный интервал перед обнародованием написанной статьи, однако пришедший ответ Васю несколько обескуражил, приводится с некоторыми ремарками (аудитория все-таки культурная):

«Послушай м[аз]ило мне глубоко по[б]ую как ты получил или спи[н]дил эту информацию. Ты не представляешь в какое г[уа]но вляпался и если об этом узнает кто-нибудь еще то искать тебя будут всей страной а я лично тебя [покараю].» Пунктуация оставлена без изменений.

Эпилог


На общем совете было решено обнародовать часть информации в виде этой статьи, не сливая при этом сорцы в инет, хотя сторонники показать миру «это» почти победили.

Вася, конечно же, удалил сорцы, и забыл все, что увидел и откопал. За державу обидно только, если софт для армии и режимных объектов пишут [студенты] малопрофессиональные программисты, умудрившись при этом запихнуть пару-тройку закладок, а потом неадекватные и грубые люди, которые их наняли, продают «это» за немалые суммы государству. По информации с профильных форумов, стоимость подобного оборудования для армии и других ведомств составляет несколько миллионов деревянных. Надеюсь, что существующие уязвимости изготовитель устранил, но кто гарантирует что там нет других, не таких явных?

P.S.: На момент написания статьи сервак без проблем сканится со старыми дырками. RIP.

Исходники


UBChannel.cpp — pastebin.com/xnA9p80F
UKernel.cpp — pastebin.com/7AZpqkRX
UMainForm.cpp — pastebin.com/PJgdKGcY
Поделиться публикацией
Комментарии 438
    +52
    // unsigned short Hours;
    bool hungrytest = Hours && Hours > 5 && Hours < 6...
    

    Страна в безопасности — в бэкдоре баг…
      +1
      И в чём он выражается?
        +26
        Hours > 5 && Hours < 6

        Всегда false для целого числа.
          +15
          Судя по коду дальше — значит, всегда рандом используется.
            +11
            Давайте не будем нагнетать, а то за нами всеми выедут :)
              +4
              Именно это я и имел в виду.
                +2
                И судя по логике, автор планировал, чтобы реальные данные использовались только с 5 до 5:30, а в остальное время — рандом, а не наоборот. Хотя, возможно что просто и в тернарном операторе тоже баг :)
                0
                Писал коммент и всё перепутал… и правда — всегда рандом.
              +1
              Hours — целое и не может оказаться одновременно строго больше пяти и строго меньше шести. hungrytest всегда false.
                +6
                А вы дальше по коду посмотрите — бэкдор используется всегда.
                +4
                Hours больше пяти это, к примеру, 6, а Hours меньше шести, это, к примеру, 5. Условие всегда false;
                Иногда я всё же обновляю страничку перед комментированием.
                +1
                Меня одного смущает странное название переменной hungrytest? О чём думал автор?
                  +2
                  Может, он был голоден?
                    +3
                    Всё это очень и очень и странно.
                    Во-первых, беглый анализ поиска по гуглу и гитхабу на тему hungrytest показывает, что такое понятие где-то когда-то втсречалось И оно скорее подразумевает под собой некий юнит-тест. Ну да ладно.
                    Во-вторых, ни разу не встречал, чтобы переменная называлась по текущему состоянию программиста. Да, встречал всякие eeeeeee или sdafsd, но это от лени придумывать названия.
                    В-третьих, судя по некоторым записям, было бы golodtest =)

                    Всё это как-то странно. Даже шальная мысль вкралась, что про это пошутил сам Вася для красного словца, дабы как-то обозвать статью. Но это всё досужие домыслы
                      +8
                      Все указывает на АНБ. Это их закладка. И время в 5:30 — неспроста.
                        0
                        Работал голодный студент. Что такого. Голодные студенты голодны всегда. Это не текущее, а перманентное состояние. Ну и намёк начальству — покормить.
                      +8
                      Возможно это обеденный перерыв ночной смены(?). У гайцев он вроде тоже с 5 до 6 утра.

                        0
                        А вот это уже интересно. Как уже откоментили про цвет ниже — эдакий способ держать смену в рабочем настрое, когда она должна быть максимально расслаблена.
                      0
                      Эта переменная не используется в критическом плане
                      +24
                      Что тут можно сказать… В этом посте вся наша страна.
                        +7
                        Вы не одни такие. :)
                        +23
                        кхм, надеюсь всех кто случайно прочитал сию статью зачищать не будут…
                          +32
                          Что-то мне подсказывает к вечеру статьи уже не будет.
                            0
                            А densneg в read-only.
                              +7
                              > Приглашен: 16 декабря 2015 в 11:36 по приглашению НЛО
                              Хм, неужто модераторы пригласили? Похоже, Вася нашёл дырку и в хабре.
                                +13
                                Пост очень интересный, и полезный. Все правильно пригласили. И уверен, эффект от изложения проблемы будет, потому что проблемы нельзя скрывать.
                                  +10
                                  Проблемы легко скрыть какими-нибудь статьями 128, 129
                                  +2
                                  Так он в песочницу выложил, а кто-то с инвайтом его пригласил. Не думаю что автор появится тут еще. На хабре же постмодерация, к вечеру пост потрут. Да и всем отписавшимся думаю тоже что-то будет…
                                    0
                                    Если бы кто-то — было бы написано, кто. А за что отписавшимся? o_0
                                      +5
                                      За чрезмерное любопытство.
                                    +5
                                    Бывает, что приглашает именно модераторы. И чем дальше, тем чаще, может быть просто падает число людей, способных приглашать.
                                      +3
                                      Скорее растет число людей, способных что-то прислать в песочницу.
                                        +11
                                        Я совсем недавно из песочницы, поэтому расскажу как оно по ту сторону) Статья проходит проверку модератором до того как попадает в общую ленту песочницы. Дальше три варианта
                                        — статья отстой > /dev/null
                                        — статья норм > в общую ленту песочницы
                                        — статья хорошая — сразу инвайт автору от НЛО.
                                          +1
                                          Спасибо за пояснение) Значит, всё чаще вижу людей, приглашенных НЛО -> всё больше хороших статей. Мм, а что-то в этом есть.
                                    +5
                                    Что-то мне подсказывает к вечеру статьи уже не будет.

                                    В принципе информация никуда не денется, я пояндексил, статью переписали огромное количество ресурсов:

                                    Например:
                                    pcnews.ru/blogs/%5Biz_pesocnicy%5D_kak_popast_na_dacu_prezidenta_v_pat_casov_utra-668541.html
                                    www.pvsm.ru/informatsionnaya-bezopasnost/106338

                                    + есть сохабр
                                      +5
                                      pcnews и pvsm статьи просто тащат к себе автоматически, а сохабр очень классный (кто не знал, достаточно вместо habrahabr.ru написать sohabrahabr.ru прямо с ссылкой на пост, и получите пост)
                                        0
                                        Еще здесь тоже есть: ITnan
                                        Да везде уже есть эта статья.
                                          +1
                                          Всегдабр
                                          https://chrome.google.com/webstore/detail/всегдабр/midfmpcnmigkiaglkanbhmkbkdkgfmkb
                                          Позволяет быстро перейти на СоХабр/ITnan/SavePearlHarbor, если пост на Хабрахабре, Гиктаймсе или Мегамозге не доступен (скрыт в черновики — самим автором или НЛО).
                                        +4
                                        А вы думаете она уже по сети не разлетелась? ( что первое бросается в глаза tjournal.ru/p/vasya-hacker-dacha-prezidenta)
                                        +20
                                        «Совершенно секретно. Перед прочтением сжечь.»
                                        — Понедельник начинается в субботу. Стругацкие
                                          +4
                                          Я восхищен красотой и легкостью описания проблемы в статье, а также простотой и элегантностью взлома. Было бы очень интересно пообщаться с Васей.
                                          П.С. Видя бардак повсюду надеялся на то, что хоть в *** бардака нет, но он, кажется есть.
                                            +10
                                            Хорошая попытка, господин руководитель ОАО «НПП» ХХХ.
                                              +1
                                              К сожалению нет, Женя.
                                            +14
                                            Интересно про то, где Вася служил в молодости — это ляп или осознанно написанная фраза? :)
                                              +11
                                              я думаю это прокол Васи. По этой зацепке и вычислят. Если это конечно не придуманный факт.
                                                +13
                                                Васю вычислят через заказчика взлома.
                                                Это проще, чем вычислять айпи или всех служивших на АЭС за 20 лет.
                                                  +7
                                                  +старых сишников, проживающих ныне в Москве ,)
                                                    +2
                                                    Мог и не там служить, а просто рядом.
                                                      0
                                                      Вася, ты?
                                                      +1
                                                      А вы не думаете, что заказ Васе могла дать сама контора?
                                                        +1
                                                        Это слишком сложно, а я верю в бритву Оккама.
                                                          0
                                                          А в чем сложность, если не секрет?
                                                            +11
                                                            Событие «сама контора заказала Васю, чтобы получить статью на хабре» кажется мне менее вероятным, чем событие «контораА заказала Васе взломать конторуБ и не заплатила, Вася расстроился и слил информацию на хабре».

                                                            Я имел ввиду «сложно» не в контексте «трудоемко», а в контексте «маловероятно».

                                                            Американцы на луне были, в теории заговора и «многоходовочки» я не верю. Чем проще объяснение события, тем больше вероятность, что оно истинно.
                                                              0
                                                              Ниже уже ответил. Получилось расхождение терминологии.
                                                              0
                                                              В том что по тексту заказчик в итоге испарился. Была бы сама контора заказчиком — «сотрудничество» затянулось бы на годы.
                                                              –4
                                                              Я верю в коварного Обаму.
                                                              +1
                                                              Если они экономят на разработчиках — будут ли они заказывать себе пентест? И будет ли исполнитель так легко публиковать найденное?
                                                                +2
                                                                Черт, профессиональная девиация. Под конторой имелась ввиду ФСБ.
                                                              0
                                                              На АЭС не служат. Вася служил в какой-то в/ч неподалёку, насколько я понял.
                                                                0
                                                                Охрана АЭС не военизирована?
                                                          +10
                                                          В Руководстве оператора отсутствует аннотация. Ай-ай-ай безымянному разработчику!
                                                            +4
                                                            Чувствую прикопают и Васю, и контору…
                                                              –2
                                                              Не туда.
                                                              Удалил
                                                              +64
                                                              Сейчас кто-то в ФСО откладывает кирпичи.

                                                              Валдай — это резиденция нашего Солнцеликого. Как раз в районе 2008 года озеро Ужи́н у Долгих Бород перегородили забором по воде, вгрохав адские деньги. Поскольку Солнцеликий видимо, часто прокручивает в голове кадры с записи кончины коллеги, Муамара, то и аквалангисты из Моссада ЦРУ, видать, мерещатся. Так что в охранную гидроакустику вполне верю.

                                                              При Дедушке на Валдае было проще. Да даже при Иосифе Виссарионовиче было проще…
                                                                –3
                                                                Мне казалось, что ресурс предполагает обсуждение технической части вопроса, а не виртуозное знание полит-географии и умение «читать мысли». Хотя не мне судить, тем более «ветерана» ещё при Сталине пожившего… Но думаю было бы интереснее услышать экспертное мнение специалистов о таком безобразии в коде и причинах его появления на свет на таком уровне, а не чёрный юмор диванных «политологов»… Ни чего личного.
                                                                +11
                                                                Хорошее дело сделали
                                                                  +2
                                                                  Как то на фриланс ру попадался заказ на разработку тренажера кабины какой-то пусковой установки. Предыдущая версия была написана на бэйсике азербайджанцем неким (судя по копирайтам). Заказчик потом слился.
                                                                    +9
                                                                    Смотрим репу — матерь божья, кто же так пишет? Сорцы вперемешку с временными файлами и объектниками


                                                                    Это Borland Builder мусорит. Хотя использовать его сейчас как-то странно и нелепо.
                                                                      +11
                                                                      Дык зачем в репозиторий то класть)
                                                                        +1
                                                                        Ну да, в репозиторий совершенно не за чем )
                                                                        +1
                                                                        Не знаю как там с svn но у меня в проектах почти всегда лишние файлы, которые прописаны в .gitignore. Если проекты просто паковали в архив, эти файлы не могли остаться?
                                                                          +6
                                                                          В svn есть инструментарий аналогичный .gitignore
                                                                            +2
                                                                            Да даже в CVS были игноры.
                                                                            0
                                                                            В svn можно как глобальное игнорирование настроить, так и локальное, для конкретных файлов. Гуглить по слову svn:ignore.
                                                                            0
                                                                            Возможно, что для некоторых объектников нет исходников. Я работал с проектами, в которых часть функционала делалась другими людьми, и исходников не было. Может и тут так же.
                                                                              –1
                                                                              ура, зоопарк!
                                                                            +14
                                                                            Хорошая, поучительная история, но кто сказал что это история реальна?
                                                                              +4
                                                                              Мы же в России, здесь и не такое реально.
                                                                              +12
                                                                              искать тебя будут всей страной а я лично тебя [покараю]

                                                                              Я прям так и вижу как этот «каратель» приходит в ФСБ и говорит «у меня там исходники [взяли], и бекдорчик нашли» а те такие «да, как не хорошо что мы приняли эту программу и сертифицировали ваше хранилище».
                                                                                +30
                                                                                Скорее будет так:
                                                                                звонок: «Михалыч, это я, Картавый. Помнишь, мы с тобой некисло распилили на том заказе, что ты мне скидывал? Так вот какие-то лохи поломали нам тут сеть, разберись, а то пахан нервничает»
                                                                                  +32
                                                                                  Роботы с вами. Эти вежливо разговаривают друг с дружкой. Никакой фени там нет и в помине. Слова навроде «распилить», «откат» и «нагнуть» обычно кокетливо заменяются эвфемизмами типа «подзаработать», «получить вознаграждение» и «использовать административный ресурс».
                                                                                    +6
                                                                                    а вы откуда знаете? :)
                                                                                +79
                                                                                Просьба автору топика писать каждый час день апдейты, жив ли, на свободе ли…
                                                                                  +4
                                                                                  Всегда думал, что такие люди работают из под линукосовых машин, а тут виндовый проводник и notepad++, хм…
                                                                                    +9
                                                                                    Это просто ложный след пустили. Как с «я служил под Волгодонском...».
                                                                                      +4
                                                                                      Это Total Commander.
                                                                                        +14
                                                                                        Это потому что вы думаете, что красноглазие как-то связано с профессионализмом в IT. Но это совсем не так.
                                                                                          +9
                                                                                          Странный вывод, во-первых, я считаю, что красноглазие тупо удобнее для всяческих ковыряний, ибо консоль, во-вторых, я считаю, что красноглазогенерирующая ОС более пригодна для конспирации ибо менее дырява. Вот как-то так.
                                                                                            +2
                                                                                            Консоль со множеством примочек и в MS есть. Удобство — это в первую очередь, наличие инструментария, а не «ибо консоль». Конспирация — это может быть просто автономная машина/виртуалка. А пост написан может быть и из под X.
                                                                                            0
                                                                                            На самом деле связано, у нас на фирме даже продажники иногда в процессе «карьерного роста» становятся разработчиками, работа в красноглазой ОСи подталкивает глубже изучать матчасть и т.п.
                                                                                            +1
                                                                                            Вируталка с виндой :)
                                                                                            +5
                                                                                            Из того, что видел в *предприятиях* (видел правда мало совсем), проблема не столько в грамотности программистов, сколько в отсутствии у руководства «старой закалки» понимания современных принципов разработки ПО. Ставят задачу и нужен в срок результат (результат — это документация на разработанное ПО, ну и само ПО тоже). Повторюсь, видел лишь малый краешек, и (надеюсь) в остальном большинстве все гораздо лучше.
                                                                                              –66
                                                                                              Вася, куча понтов и засвет. И скорее всего тебя/вас найдут и покарают. Морализм про державу не особо уместен от тех «профессионалов», которые вместо того чтобы заниматься делом занимаются криминалом.

                                                                                              Я прям так и вижу как этот «каратель» приходит в ФСБ и говорит «у меня там исходники [взяли], и бекдорчик нашли»


                                                                                              Каратель приходит в полицию и пишет заявление — как минимум «неправомерный доступ к компьютерной информации» (ст. 272 УК РФ).
                                                                                                +22
                                                                                                Ну так если Вася этим занимается не первый день, что скорее всего, думаю как минимум тор и базовые принципы конспирологии он освоил, а значит полиция будет искать его бесконечно долго. Единственный способ его найти это заказчик, но кто знает был ли он вообще.
                                                                                                  +2
                                                                                                  Лишь бы Вася не платил своей кредиткой за дедик
                                                                                                    +5
                                                                                                    и на сколько я помню тендер на взлом тора выиграла фирма, которая в итоге, что естественно, не смогла его взломать, и «заказчик» даже сейчас судится с ними; в общем — шапито
                                                                                                      +2
                                                                                                      из истории про владельца силкроада было понятно что даже американские спецслужбы предпочитают искать людей не через ip в торе, а альтернативными путями, а уж нашим то и подавно с тором не справиться.
                                                                                                        +3
                                                                                                        ТОР Очень хорошо видно у провайдеров. Когда эксперементировали с suricata — пара ошибок в правилах + IP reputation и мы увидели весь тор как на ладони. Правда за натом но те кто его ищут — смотрят ДО ната, а там всё то же самое.
                                                                                                        Не видно что внутри, но сам тор видно.
                                                                                                          +14
                                                                                                          В тор надо ходить с сервака в интернете (взломанного или купленного за битки) а до него как минимум vpn, а как максимум хорошую цепочку где будет пару vpn и тор вложенный в i2p.
                                                                                                            +33
                                                                                                            Боюсь себе представить, как вы перед сексом предохраняетесь.
                                                                                                              +75
                                                                                                              Если бы он у меня бы только был хных, хнык (убежал)
                                                                                                                +19
                                                                                                                Так это же идеальный способ предохраняться.
                                                                                                              +1
                                                                                                              Ага, а пинг у вас на этой цепочке будет такой, что для просмотра содержимого чужого диска по FTP можно будет идти чай себе заваривать.
                                                                                                                +7
                                                                                                                Моё мнение может не совпадать с мнением большинства, но лично мне кажется, что заваривать чай в родных местах несколько приятнее, чем заваривать чифирь в местах не столь отдалённых.
                                                                                                              +1
                                                                                                              Что-то мне подсказывает, что количество пользователей Тора достаточно велико. Ибо сейчас его использование сводится к загрузке бинарника и нажатию кнопки «Сделать хорошо». Даже школьник осилит. Правда, чтобы не спалиться, мало запустить Тор, но это уже совсем другой вопрос. Главное то, что выборка «все пользователи Тора» даст столько имён, что разрабатывать всех не хватит ресурсов.
                                                                                                                +4
                                                                                                                ТОР Очень хорошо видно у провайдеров. Когда эксперементировали с suricata — пара ошибок в правилах + IP reputation и мы увидели весь тор как на ладони. Правда за натом но те кто его ищут — смотрят ДО ната, а там всё то же самое.
                                                                                                                А можете по подробнее рассказать?
                                                                                                                  0
                                                                                                                  Мы не ставили себе цели найти тор. Мы искали торренты. Точных правил не скажу, но они очень похожи, за единственным отличием что TOR работает по tcp а торрент в 90% по udp, ну и тор шифрованный а торрент по большей части нет.
                                                                                                                    +1
                                                                                                                    А можно чуть подробнее, чем именно Тор похож на торрент?
                                                                                                                      +1
                                                                                                                      Логикой поведения. много пакетов на разные хосты
                                                                                                                        0
                                                                                                                        т.е. вы искали ноды, подключенные к сети TOR но сидящие за NAT-ом? Потому как ноды с выделенным IP кажется вполне себе находятся в публичной базе данных.
                                                                                                                        p.s. ну это не интереееесно
                                                                                                                          0
                                                                                                                          Все знают про реестр запрещенных сайтов. Так вот Suricata использовалась для него. ну и попутно решили поправить qos для торрентов. Suricata использовалась в inline режиме с AF-PACKET. Установлена на границе между NAT и внешним миром. Искали торренты а нашли ТОР. трогать не стали, да и вообще отказались от идеи что-либо править, так как при перекачивании больше 200 мегабит — серваку становилось тяжко, он старенький.
                                                                                                                +6
                                                                                                                «Тендер на взлом» — по-моему сама по себе формулировка просто гениальна и нарушает все мыслимые и немыслимые законы и права человека.
                                                                                                                  +8
                                                                                                                  Если кто-то действительно взломает тор, то он обязательно скажет, что у него это не получилось, потому как иначе все те -ради кого он ломал этот самый тор, перейдут на что-нибудь другое. Может быть у него это даже будет в контракте прописано и денег на дезинформацию выделено.
                                                                                                                  0
                                                                                                                  В любых системах уязвимый элемент это чаще всего человеческий фактор. Тор и базовые принципы помогают ровно до тех пор пока кто-то не задался целью найти. Как минимум есть текст, из которого вполне возможно выявить какие-то паттерны.
                                                                                                                    +5
                                                                                                                    ну а если автор не в России живет, то что? Ради сомнительного взлома поедут убивать что ль? Да никто его не найдет. Устройства Медведева ломали, Тимакову ломали, никто не нашел. А у вас шпиономания разыгралась.
                                                                                                                      +1
                                                                                                                      >Устройства Медведева ломали, Тимакову ломали, никто не нашел.

                                                                                                                      Сами что ли ломали? Откуда такая уверенная инфа и про взлом и про то что «не нашли»?
                                                                                                                        +2
                                                                                                                        Свечку не держал. Учитывая, что совершенно недавно всплыли документы других лиц, которые получила та же группа, крайне сомнительно, что их нашли. Уверенная инфа — всего-лишь следствие адекватного восприятия. Может их нашли и казнили, но вероятность этого я оцениваю как крайне малую. Уверен, что Гугл достаточно информации может дать, на основании которой вы сможете и сами прийти к какому-то выводу.
                                                                                                                  +22
                                                                                                                  Морализм про державу не особо уместен от тех «профессионалов», которые вместо того чтобы заниматься делом занимаются криминалом.

                                                                                                                  Забавно читать это в коменте человека, занимающегося парсингом сайтов)
                                                                                                                    –43
                                                                                                                    Веб скрапинг криминал? А гуглом тебе не забавно пользоваться?
                                                                                                                      +26
                                                                                                                      s/криминалом/Веб скрапингом/g
                                                                                                                      Нет, не криминал, но занятие тоже очень «почётное»
                                                                                                                      P.S. И кто-то очень быстро стал «Full-stack developer»
                                                                                                                        –42
                                                                                                                        но занятие тоже очень «почётное»


                                                                                                                        субъективная оценка? Это бизнес Вася с огромной областью применимости и множеством компаний и стартапов.

                                                                                                                        И кто-то очень быстро стал «Full-stack developer»


                                                                                                                        а кто-то быстро прыгает в ad hominem.
                                                                                                                          +19
                                                                                                                          Бизнес Вася?
                                                                                                                          Пишите, пожалуйста, с минимальной пунктуацией, читать сложно.
                                                                                                                            –28
                                                                                                                            Спасибо, учту. Привык, на других сайтах можно редактировать комментарии в течении какого-то времени.
                                                                                                                              +18
                                                                                                                              Вам, голубчик, в реале просто в физиономию физических замечаний не прилетало за слова. В жизни, знаете ли, не всегда revert можно сделать.
                                                                                                                                –15
                                                                                                                                Ты, голубчик, 90го года рождения не рассказывал бы про «реальную жизнь» и что там может прилетать.
                                                                                                                                  +18
                                                                                                                                  6 лет разницы вам поведали о «реальной жизни» что-то принципиально иное?
                                                                                                                            0
                                                                                                                            а кто-то быстро прыгает в ad hominem.

                                                                                                                            Позвольте мне угадать, кто же этот невоспитанный господин: habrahabr.ru/post/273249/#comment_8691091
                                                                                                                            +1
                                                                                                                            А раньше кем он был, если не секрет?
                                                                                                                          +3
                                                                                                                          Ну вы сравнили тёплое с мягким.
                                                                                                                          Одно дело — брать то, что изначально выложено в открытой доступ.
                                                                                                                          Другое дело — искать дыры и брать то, что не выложено и к выкладыванию не планировалось.
                                                                                                                            +1
                                                                                                                            Одно дело — брать то, что изначально выложено в открытой доступ.

                                                                                                                            Более того, иногда парсинг сайтов вполне полезен для сайта-источника, например сервисы по определению поисковых характеристик, ошибок верстки или способы интеграции сайта магазина с сайтом оптовика.
                                                                                                                              +2
                                                                                                                              Классика жанра это сравнение цен. Есть N поставщиков и P товаров. Если N=20 и P=30 (что как бы очень оптимистичные параметры) то кому-то нужно проверить 600 страниц. Человек не способен быстро выполнить подобную работу.
                                                                                                                          +8
                                                                                                                          Выигрывать государственные тендеры, нанимать на такую работу студентов, проходить сертификацию вот с таким вот кодом — это тоже не совсем правомерно, наверное.
                                                                                                                            +13
                                                                                                                            Сам, будучи почти «студентом», писал код, передающий телеметрию и команды между довольно немаленькими энергетическими объектами(насколько мне известно, работает до сих пор).
                                                                                                                            Видел всё то же самое.
                                                                                                                            Немного в курсе про другие похожие явления, что наводит на мысль, что во всём окологосударственном IT такая ситуация повсеместна.
                                                                                                                              +2
                                                                                                                              И это грустно. Потому и надо разгонять подобных «подрядчиков».
                                                                                                                                +1
                                                                                                                                Других нет, увы.
                                                                                                                                  +9
                                                                                                                                  Есть же, но их вытесняют с тендеров.
                                                                                                                                    +8
                                                                                                                                    ИЧСХ, абсолютно законно вытесняют, тупо ценой. Студент заведомо на порядок дешевле команды из нормального проггера + QA + PM
                                                                                                                                      +15
                                                                                                                                      Законно, говорите? Ну что будет по закону с компанией, которая выиграла тендер «разработка, внедрение, поддержка», деньги получила, что-то сделала, но собственно тендер до конца не выполнила и реально результатом пользоваться нельзя?

                                                                                                                                      Например, был случай с многими любимым здесь КРОКом. А именно, распилили они (я по-другому не могу выразиться) на пару с Ростелекомом некую круглую сумму на тендере «внедрение защищённой телекоммуникационной инфраструктуры в медицине воронежской области». Ростелеком слава богу каналы связи и оборудование поставил. (Интересно, что РТК вроде как поставил серверы Крафтвей, который тоже сам по себе участвовал, но отпилил сумму раз так в сто меньше, чем РТК.) КРОК со своими субподрядчиками делали дизайн программной части и внедряли его.

                                                                                                                                      Итого сколько осталось от КРОКовского дизайна в итоге? ЦОД вообще спроектирован ими не был никак. Мы же ЦОД не проектировали, мы ЗТКИ проектировали (а ЦОД, на минуточку, ядро этой ЗТКИ). Интернет в ЦОД, к которому должно было подключаться население (единая регистратура, всё такое) вообще даже запланирован не был! Видимо, должны были пользователи как-то волшебным образом туда подключаться. Да и к тому этот же незапланированный интернет задекларирован был как резервный канал (без гарантий качества сервиса) для тех, у кого IP VPN поломался по причине качества ADSL-линии. За проект добавления интернета они потом попросили ещё одну аховую сумму.

                                                                                                                                      Структура домена для ЗТКИ? Dallas Lock, ребят. Пять ключей (по 999 лицензий), пять серверов. А всего лицензий 2500. (Не знаю, как так.) Максимум, стало быть, пять доменов Active Directory (один сервер DL не сможет обслуживать более одного домена AD). Какое тут дерево построишь? А теперь вспомним, что вот это планировалось для сети из 80 организаций, 2000 сотрудников для начала, а потом сеть расширилась бы до 200 организаций. Ребят, всех в пять доменов, серьёзно? 80 (а потом 200) относительно независимых организаций, в каждой свой начальник и своя в общем-то структура?
                                                                                                                                      План миграции рабочих мест из сложившихся сейчас сетей в единую? Да кто когда в таких проектах его делал. Делают всегда с нуля, типа как бы в целевых организациях компьютеров, сетей и прочего нет, вот мы ставим маршрутизатор, вот АРМ, вот сеть. С локалкой соединять нельзя, доступа в интернет оттуда нет. Онлайн банк-клиенты? Не слышали. Имеющиеся базы данных пациентов, отлаженные рабочие процессы? Не знаем.

                                                                                                                                      То, что они запланировали, сделано в основном не было. Было запланировано, что если сломается IP VPN, в котором гарантированы какие-то параметры соединения, будет резервирование через интернет. Ну как, как это понимать, у вас на схемах нарисованы три соединения с маршрутизатором (интернет, IP VPN, криптошлюз за которым сегмент ЗТКИ), а поставили 1921, в которых два интерфейса, и конечно никаких карт не вставлено? К сожалению, я в разборе говн добрался до этого места уже ближе к концу обслуживания, задал им вопрос — а где же наше обещанное резервирование ЗТКИ через интернет, господа? К тому времени не все конечные точки оплачивали свой договор с Ростелекомом для доступа в этот IP VPN, так что я как раз хотел их пока завести хотя бы через запланированный резерв. Исполнители тендера, которые вроде бы этот функционал реализовали и даже имеют подтверждающие это бумаги, отмалчивались до конца срока обслуживания, а потом — «ну, контракт закончен», ***** сами.

                                                                                                                                      Они в конце контракта даже пароли предоставить не смогли, которые сами устанавливали в процессе развёртывания того, что они всё-таки как бы развернули! Было письмо по e-mail, с содержанием почти что «ну вроде вот эти, посмотрите сами, который от чего».

                                                                                                                                      Даже то, что они реально как бы было сделано, они развернули вот именно что «как бы». Ну, достаточно сказать, что в итоге, когда сеть заработала, реально развёрнутого руками КРОКА осталось ровно 0. Ни одной системы. Ни одного хоста виртуализации. Ни одного сервиса. Всё было сделано КРОКом (и их подрядчиками) настолько «на, отвали», насколько можно. Реально, разобраться и починить было невозможно, только снести и снова поставить. StoneGate? Ну, вот железка, поставили, а какой у него адрес? А хрен его знает. А как зайти на хост, на котором консоль управления? А хрен его знает. А какой пароль ввести в консоли управления? А хрен его знает. А он вообще работает? Нет, потому, что в него никто не завернул никакой трафик. Почему не завернул? А сетевое оборудование в ЦОДе ставим не мы, это другой подрядчик победил, а то, что у нас есть stonegate, мы им не скажем. Мы им даже схему сети, в том виде, в каком она была запланирована, не покажем. Мы обиделись, что это выиграли не мы.

                                                                                                                                      MaxPatrol? Да вроде установили. Сломали мы пароли на той виртуалке, на консоли макспатрола тоже пароль, как его ломать — непонятно. Какой пароль от консоли? См. рис. 1.

                                                                                                                                      Тестирование реализованного функционала? Конечно. В выходных документах (такой талмуд) слова «тестирование» по-моему вообще не было ни в какой форме. Версия у меня одна — ничего не планировалось тестировать, так и собирались подписать документы с заклинанием «вы же понимаете, что тендер-то мы выиграли, но на самом деле за два месяца это сделать невозможно, тут работы на два года, вы подпишите как будто всё работает, а мы потом доделаем».

                                                                                                                                      Потому, что вот именно так у нас делаются тендеры: на два месяца, и, главное, «под исполнителя». Никто вменяемый (но небольшой) за такое не возьмётся — за два месяца не сделать. А кто-то возьмётся, через два месяца подпишет под тады, а делать — ну зачем напрягаться. Ответственности-то за всё это никакой. Идёт поддержка? Хрен добьёшся, чтобы реально что-то делалось. Администраторов, которым всё это потом обслуживать, не спросили, когда подписывали документы — ребят, а реально ли сделано то, что тут написано? Потому, что тот, кто принимал работу и подписывал — уже давно перемещён на другие должности, а на его должности уже сменилось трое, и они все не несут ответственности за деятельность своих предшественников.

                                                                                                                                      Я верю, что в КРОКе сидят не студенты. Я вообще не понимаю, почему все так к студентам привязались. Студенты тендеры не выигрывают, их выигрывают вот такие КРОКи.

                                                                                                                                      Законно, говорите, вытесняют?
                                                                                                                                        +4
                                                                                                                                        Так КРОК это печально известная компания, и зарплатами и качеством и отношением к работникам — уж если по мне то лучше студенты чем КРОК, денег возьмут на 3 порядка меньше, а сделают вероятно даже лучше.
                                                                                                                                          +2
                                                                                                                                          Это теперь я понимаю, что это за контора. Тогда-то посмотрел — вроде крупный интегратор, должны быть рабочие процессы отлажены. Оказалось — хрена с два у них что отлажено.

                                                                                                                                          И в общем-то не понимаю я, чего им на Хабре в рот заглядывают. Что ни пост КРОКа — так восторги, а собственно пост-то ничем особенным не отличается — главным образом, admin porn в виде фоток изнутри ЦОДа. Это примерно как фотками голых баб мужиков в магазин продуктов заманивать. А после собственно го опыта взаимодействия с ними я теперь не верю просто даже тому, что они пишут в постах.

                                                                                                                                          Неужели настолько мало на Хабре народа, который с ними сталкивался в реальной рабочей обстановке?
                                                                                                                                      +2
                                                                                                                                      В каких-то областях, может и так. В энергетике, когда я с этим имел дело — точно было не так. Забугорные аналоги стоили просто в охренилион раз больше. А отечественные разработчики софта подобным если и занимались, то на одинаковом со всеми уровне, генеря адский windows-only трэш, глючный и убогий. И дорогой.
                                                                                                                                –1
                                                                                                                                Это все очень плохо само собой, но ваша фраза содержит множество допущений. Они сами выигрывали тендеры или получили субподряд? Нанимали студентов или студенты были на стажировке? А может просто кто-то после курсов переквалификации писал? Проходили ли они сертификацию с этим же кодом? Какого рода сертификацию? Используется ли этот код сейчас в продакшене?

                                                                                                                                Это видимо вот это оборудование http://tetis-ks.ru/catalog/229/1211/? У них есть сайт, поэтому скорее всего та фирма которую сломали была субподрядчиком.

                                                                                                                                К слову, фирмварь далеко не всегда блещет качеством даже в серьезных конторах. В качестве примера можно провести аудит кода который используется в автомобилях Тоета. Интернет полон историй об ужасном качестве промышленного кода и на каком устаревшем оборудовании и технологиях работают многие организации.

                                                                                                                                Вы забыли уже сливы Сноудена и последующие находки закладок в оборудовании?
                                                                                                                                  0
                                                                                                                                  Не только студенты выполняют ответственную работу: «Как я систему безопасности для авиакомпании разрабатывал и сам оказался в опасности». Что стало с тем проектом я не следил, но верю что многое вокруг делается задешево и одним человеком при астрономических тендерах и даже без суб-суб подрядов тендера.
                                                                                                                                  +6
                                                                                                                                  Морализм про державу не особо уместен от тех «профессионалов», которые вместо того чтобы заниматься делом занимаются криминалом.
                                                                                                                                  Под «криминалом» вы, конечно же, имеете в виду установку заведомо плохо протестированной и плохо сертифицированной системы охраны?
                                                                                                                                    +3
                                                                                                                                    Очевидно, речь о «Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.», т.е. Вася занимался коммерческим взломом и кражей информации.
                                                                                                                                      –1
                                                                                                                                      Файлы 2008 года, сейчас 2015. Вы точно уверены что именно этот код проходил сертификацию и пошел в продакшн? Или достаточно просто нужного «perception» и дальше уже «все понятно»?
                                                                                                                                      –12
                                                                                                                                      А я уже и забыл, что у вас тут «своя атмосфера».
                                                                                                                                      +5
                                                                                                                                      Как то разбирались с Absolute Software (троян прошитый в биос) и нашли рассказ о похожем разгильдяйстве www.securitylab.ru/contest/430512.php в ВПК
                                                                                                                                      –9
                                                                                                                                      На мести Васи я бы всю добытую информацию + информацию о заказчике отправил в ФСБ. Потому что я не знаю, что более опасно: то, что софт настолько сырой, или что системами защиты стратегических объектов интересуются всякие подозрительные личности.
                                                                                                                                        +2
                                                                                                                                        Пост вообще интересный, только я не совсем понял: при чём тут заголовок?
                                                                                                                                          +6
                                                                                                                                          вообще учитывая что наши власти шевелят задницей только когда что то происходит, что кстати доказывает фидбек, приведенный в статье, от исполнителя заказа; лучше уж опубликовать было бы на гитхабе всю историю да поподробнее со всеми именами, что бы все кому нужно получили свою порцию кары, а так же быстренько бы заказала новый софт; а в период пока софт скомпрометирован, можно и батальон полицаев в бассейн посадить, пусть охраняют, пока новая версия не выйдет
                                                                                                                                            +8
                                                                                                                                            Ага, и гитхаб окончательно бы прикрыли. Как пособник терростов.
                                                                                                                                              +8
                                                                                                                                              За подрыв конституционного строя.
                                                                                                                                            +23
                                                                                                                                            Автор выразил мысль, что в программе бэкдор и датчики гидроакустики не работают с 5:00 до 5:30.
                                                                                                                                              0
                                                                                                                                              Это жжж неспроста…
                                                                                                                                              0
                                                                                                                                              И присел бы за соучастие?
                                                                                                                                                +11
                                                                                                                                                Автор опечатался, там должно быть «показаний», а не «президента».
                                                                                                                                                  0
                                                                                                                                                  И в итоге 90%, что сядет только сам Вася.
                                                                                                                                                  +74
                                                                                                                                                  Я прочитал пост, но НИЧЕГО НЕ ПОНЯЛ, я супер сурьезно. Меня зачищать не нужно.
                                                                                                                                                    +8
                                                                                                                                                    да мы все тут ни чего не поняли.
                                                                                                                                                      +19
                                                                                                                                                      Я вообще начал читать с комментариев, теперь сам пост читать не буду.
                                                                                                                                                        +7
                                                                                                                                                        Судя по комментариям и комментарии читать тоже нельзя. Ой, кто-то в две…
                                                                                                                                                    +30
                                                                                                                                                    После озвучивания количества желаемых плюшек, заинтересованное лицо как-то пропало из поля видимости


                                                                                                                                                    Т.е. если бы заказчик не пропал, поста бы не было, а данные ушли бы за деньги?
                                                                                                                                                    На этом фоне переживания «за державу обидно» выглядят не искренне. Больше похоже на «жаль, все зря, денег так и не заплатили».
                                                                                                                                                      +4
                                                                                                                                                      ну хоть так
                                                                                                                                                        +14
                                                                                                                                                        После озвучивания количества желаемых плюшек, заинтересованное лицо как-то пропало из поля видимости

                                                                                                                                                        Я эту фразу понял так:
                                                                                                                                                        — Вася, привет, надо взломать одну контору, заплачу 1000 кредитов
                                                                                                                                                        — Привет, Саша. Не вопрос сделаем.
                                                                                                                                                        — Ну как взломал?
                                                                                                                                                        — Да, взломал, но мы там ТАКОЕ нашли, поэтому хотим не 1000, а 1 000 000 кредитов.
                                                                                                                                                        — …

                                                                                                                                                          +9
                                                                                                                                                          У меня сложилось схожее представление. Поэтому и напрашивается вывод, что если бы ответом было не "… *длинные гудки*", а «договорились, 1млн.», то статьи бы не было и данные о режимных объектах ушли бы в неизвестном направлении.

                                                                                                                                                          Здесь вот комментарий один заминусовали, а ведь там было по существу. Дело же не только в бардаке, который твориться в той или иной конторе, а в том, что «Васи» нарушающие закон говорят об этом. Несколько утрируя, получается «я просто убил человека, но меня возмутило то, как плохо проводилось расследование! Какой бардак в стране!»
                                                                                                                                                            +6
                                                                                                                                                            image
                                                                                                                                                            Статья все равно интересная, а моральную оценку действий сторон лучше давать на каком-нибудь дёти, чем тут :)
                                                                                                                                                        0
                                                                                                                                                        А Вася не боится, что теперь его сдаст заказчик? Ведь заказчик мог и не ожидать, что вылезет информация, за интерес к которой могут начать задавать вопросы, помещая при этом в неловкие позы. И, чтобы хоть как-то отмазаться, сольёт всё, что имеет на Васю.
                                                                                                                                                          +24
                                                                                                                                                          Столько переживающих за Васю знатоков, что дай он свой биткоин кошелек, хабра бы уже скинулась ему на перелёт на Марс.
                                                                                                                                                          Оставьте этот вопрос самому Васе, он, наверное, лучше разбирается в своих делах, чем все мы тут. И с заказчиками, наверное, не в кафе встречается.
                                                                                                                                                            +2
                                                                                                                                                            Любопытство — это ещё не переживание.
                                                                                                                                                            +4
                                                                                                                                                            Я думаю, теперь уже Вася сдал заказчика.
                                                                                                                                                              +2
                                                                                                                                                              А был ли Вася?
                                                                                                                                                                –3
                                                                                                                                                                в противном случае, какой смысл несет статья?
                                                                                                                                                                0
                                                                                                                                                                Заказчик понимает, что Вася в ответ его самого сдаст. И никак не отвертишься.
                                                                                                                                                                +31
                                                                                                                                                                Я когда то работал установщиком ПО, софт был для ведения документов для налоговой, включая составление документов с ЦЭП. Так софт требовал при установке отключения фаервола(!), антивируса(!!) и наличие интернета в процессе установки (!!!), а устанавливал софт, внимание, с флешки, не защищенной от записи(!!!1), которую я регулярно относил в головной офис компании за новой версией софта.
                                                                                                                                                                И это ПО ставилось на все предприятия, включая оборонные. Это было около 4-х лет назад, может быть сейчас и поменялось что-то.
                                                                                                                                                                Так что такие проблемы с информационной безопасностью на много ближе, чем дача президента.
                                                                                                                                                                  0
                                                                                                                                                                  Это было около 4-х лет назад, может быть сейчас и поменялось что-то
                                                                                                                                                                  Заголовок спойлера

                                                                                                                                                                  +98
                                                                                                                                                                  Судя по нику в России свой сноувен завелся den sneg -> den snow -> snowden
                                                                                                                                                                    +91
                                                                                                                                                                    Но ведь Сноуден и так живёт в России. Wait a minute…
                                                                                                                                                                      +7
                                                                                                                                                                      Самая детективно-подозрительная статья на хабре и комментарии к ней из всех, что я читал.
                                                                                                                                                                      Особенно после прочтения комментария про сноувена так аж О_О (точно же).
                                                                                                                                                                      0
                                                                                                                                                                      Интересно, что все читают комментарии до конца, раз за Сноудена поставили больше, чем первому комментировавшему. Статья скоро что-то сделает с Хабром. Надеюсь, что-то хорошее.
                                                                                                                                                                      +15
                                                                                                                                                                      Господа, это цвет. Ничего криминального тут нет.

                                                                                                                                                                      bool hungrytest = Hours && Hours > 5 && Hours < 6 && Minutes > 0 && Minutes < 30; //WTF

                                                                                                                                                                      CreatePoint_( posrt, advangle, hungrytest? PureDataRFZY_[ posrt ].r_fr: random(100) );

                                                                                                                                                                      CreatePoint_( int Pos, float Angle, int Color )
                                                                                                                                                                        +6
                                                                                                                                                                        Вот на этом месте ФСО-шное начальство поседеть и должно. Потому что живо себе представит плывущую в пять утра по озеру к спящему охраняемому лицу группу в полосатых купальниках.
                                                                                                                                                                          +8
                                                                                                                                                                          Это цвет, по которому оператор видит, что где-то что-то не так. По коду видно, что он может быть о 0 до 400, маппинг содержится в ColoredAlarm, мы не знаем, что там. Скорее всего, более близкое к 400 — это какая-то яркая точка, а то что меньше, считается шумом прибора (что и генерит рандом, от 0 до 100). Бэкдор вполне может быть рабочим.
                                                                                                                                                                            +3
                                                                                                                                                                            Да, действительно. Судя по коду, чел хотел, чтобы некие точки, преодолевшие алярм-трешхолд, имели цвет с яркостью, линейно зависящей от величины этого загадочного параметра. Наверно это что-то вроде показаний с каких-то датчиков. В общем, результат багов — уровень тревоги на картинке потерял градации и превратился в true / false.
                                                                                                                                                                              +1
                                                                                                                                                                              Возможно, что это специальный шум, чтоб немного разбудить оператора в районе 5 утра ,))
                                                                                                                                                                                +4
                                                                                                                                                                                ну так получается что там цвет все время рандомный будет так как Hours > 5 && Hours < 6 всегда false?
                                                                                                                                                                                –7
                                                                                                                                                                                Советую Васе удалить ту картинку, которая «В папке Capture», с секторами на карте, уж очень она стрёмная…

                                                                                                                                                                                Что-то вспомнилось, как совсем недавно судили за разглашение гостайны дамочку, подслушавшую в маршрутке чей-то разговор про заблудившихся на Украине солдатиков.
                                                                                                                                                                                  +30
                                                                                                                                                                                  Да чего вы так за Васю все переживаете? У него там наверняка грузовой состав из проксей, впн-ов, и прочих туннелей. И с заказчиком они вряд ли общались где-то кроме джаббера.

                                                                                                                                                                                  image
                                                                                                                                                                                    –14
                                                                                                                                                                                    Я не за Васю переживаю, а за хабр и за тех, в чьем кеше эта картинка окажется. Зачем провоцировать?
                                                                                                                                                                                      +16
                                                                                                                                                                                      Сомневаюсь что драма настолько глубока, чтобы прямо такую охоту на ведьм устраивать.
                                                                                                                                                                                        –12
                                                                                                                                                                                        кхм, почищу кэш пожалуй. Если возьмутся плотно проверят и тех кто рядом проходил…
                                                                                                                                                                                        и правильно сделают собственно.
                                                                                                                                                                                        Если бардак не удалось предотвратить то хотя бы попытаться его возглавить…
                                                                                                                                                                                        +16
                                                                                                                                                                                        image
                                                                                                                                                                                        +3
                                                                                                                                                                                        Дамочке влетело за то что она осознанно иностранному государству сливала инфу которую сама считала как минимум конфиденциальной. Это как когда судят «киллеров», которым заказ и оружие приведённое в небоевое состояние выдал «заказчик» оказавшийся сотрудником органов: «киллер» не знал что этим «оружием» он максимум может орехов наколоть, имеет значение то что у него было намерение совершить заказное убийство, и не получилось у него из-за обстоятельств от него не зависящих. В таких случаях судят за попытку совершения, следствием и судом это расценивается как полноценное преступление.
                                                                                                                                                                                          0
                                                                                                                                                                                          Киллеры не проверяют оружие перед использованием? Полагаю, из незнакомого дальнобойного ствола надо пристреляться, а проверка калаша\пистолета — один патрон, которым можно пожертвовать.
                                                                                                                                                                                            +3
                                                                                                                                                                                            Киллеру не в тире передают оружие. Получил ствол, деньги, дал согласие выполнить заказ — можно брать.
                                                                                                                                                                                            На самом деле ствол я привёл для более наглядной демонстрации что фактическая возможность совершить преступление не является необходимым условием для признания умысла. Вряд-ли это вообще распространённая практика — давать ствол киллеру.
                                                                                                                                                                                            –1
                                                                                                                                                                                            Это цирк абсурда был. Нельзя судить человека за разглашение чего-то, в отношении чего он не подписывал соглашений о неразглашении. У него просто нету обязательств это не разглашать.
                                                                                                                                                                                              +10
                                                                                                                                                                                              А вы уже подписали документ запрещающий Вам насиловать и грабить?

                                                                                                                                                                                              Вы постойте где-нибудь у военного объекта с фотоаппаратом например, хоть в РФ, хоть в НАТОвском государстве, сделайте пару фоток, и расскажите нам как вам помогло то что Вы никаких документов о неразглашении не подписывали.
                                                                                                                                                                                                +2
                                                                                                                                                                                                Я всегда могу сказать — «я всерьез не верил что это гостайна» и все, я не подписывал ничего, значит знать наверняка не мог. То что «Вася сказал — гостайна» так я могу сказать что цвет моих трусов — гостайна, а все остальные могут это игнорировать.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  всегда могу сказать
                                                                                                                                                                                                  это если спросят. но скорее всего бить будут не спрашивая
                                                                                                                                                                                                    +2
                                                                                                                                                                                                    Печальная особенность российского правосудия. Но тут на самом деле и говорить ничего не надо, если решат посадить, по любой причине, например — не пропустил машину губернатора — то будет и бутылка шампанского в естественных отверстиях и прочие радости вне зависимости от того будете ли вы говорить или не будете.
                                                                                                                                                                                                  +4
                                                                                                                                                                                                  Давайте отвечу более формально.
                                                                                                                                                                                                  По закону о гостайне ее разглашение подлежит наказанию только в случае если сама гостайна стала известна «предусмотренным законом способом», например — по работе или учебе. Для того чтобы она вам законно стала известна по работе/учебе — вы подписываете бумажку.

                                                                                                                                                                                                  С другой стороны есть абсолютно идиотская статья «гос измена», в которую входит не только логичная ответственность за разглашение гостайны с целью «навредить безопасности», но и «оказание финансовой, материально-технической, консультационной или иной помощи». По сути используя «логику»: «НАТО ставят ПРО в Европе — это „угрожает безопасности“» — можно подвести под эту статью простое пожертвование в USO (интересно, на меня уже дело завели?).

                                                                                                                                                                                                  Невинную женщину судили (ну, пытались судить), кстати, если мне не изменяет память, как раз по статье «гос измена», хотя ИМХО применение подобной статьи к не гос служащим и не имеющим доступа к гостайне людям — само по себе является форменной клоунадой.
                                                                                                                                                                                                    –1
                                                                                                                                                                                                    В моём, сугубо пользовательском, представлении — измена это осознанное причинение/желание принести выгоду другому гос-ву за счет своего. Тетка в маршрутке не просто узнала то, чего знать была не должна (или подумала что узнала), но и пошла с этой информацией в посольство другого государства вроде как, и это расценили как измену. Потом вроде отпустили, потому что ничего собственно она не выдала.
                                                                                                                                                                                                      +1
                                                                                                                                                                                                      В моем, сугубо гуманистическом, представлении — государственная измена — это действия человека (по нанесению урона субъекту права с которым у него заключен договор) совершенные с использованием полономочий/информации/знаний/etc полученных в деятельности для допуска к которой человек добровольно подписал документ о неразглашении. Чиновник сюда вполне подходит, сотрудник предприятия которое делает что-то секретное — тоже подходит. Человек с улицы — не подходит.

                                                                                                                                                                                                      Фигурально выражаясь — чтобы «изменить» кому-то, я сначала должен на этом ком-то «жениться», а то получается комично, на обратной логике можно сказать что я изменяю соседке, которую полтора раза мельком в жизни видел.

                                                                                                                                                                                                      А женщина все правильно сделала, она исходила из своего внутреннего чувства справедливости.