Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

    {UPD 10.02.2021} Евгений Чаркин дал интервью на эту тему gudok.ru/newspaper/?ID=1552569
    Под катом мои комментарии на некоторые тезисы.
    {/UPD}

    Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

    В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

    То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».

    К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
    Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.

    И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.



    Видимо, только этот котэ добросовестно охраняет вокзал.

    Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.


    {UPD 10.02.2021}Вот несколько цитат из интервью с Евгением Чаркиным:
    Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.

    Если была бы возможность сообщить об уязвимости непосредственно в РЖД, то этой статьи бы не было. Но нигде контактов служб, отвечающих за ИБ, я не нашёл. Даже сотрудники РЖД, которые со мной связывались, тоже не смогли найти таких контактов.
    А внимание хакеров мира к Вашей инфраструктуре должно было показать и другие тонкие места. Без такой реакции Вы бы о таких местах даже и не догадывались бы. По сути Вы получили бесплатный пентест.
    Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании… С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.

    Вот в этом и проблема: если проблему нашли внутри организации, то разбираетесь своими силами. А вот если сообщил о проблеме кто-то сторонний — бежим писать заявление в линейный отдел полиции, мол «нас полухакеры в полукедах поломали».
    Люди хотят помогать Вам, но боятся того, что за информацию их будут преследовать.
    Сейчас мы разрабатываем механизм привлечения внешних пользователей к аудиту уязвимостей сети на взаимовыгодной основе: будем внедрять специальную линию call-центра, которая поможет маршрутизировать звонки о разных «находках» на внешнем периметре корпоративной сети профильным специалистам в РЖД.

    Ура!!! Если система Bug Bounty будет реализована, то я могу считать, что цель статьи достигнута.
    Но:
    1. call-центр почти бесполезен. Всё же ИТ специалисты привыкли пользоваться клавиатурой ПК. К тому же по телефону не покажешь уязвимость. Смотрите в сторону современных технологий. Например, бот в Телеграмме
    2. Многие энтузиасты готовы сообщать о проблемах и бесплатно. Главное гарантируйте то, что этих энтузиастов не будут ребята в касках класть мордой в пол в 5 утра в их квартире.
    3. А система материального поощрения — это всегда приятно.

    {/UPD}

    Всё началось с гипотезы


    В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

    Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

    Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

    Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!



    То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

    Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.

    В поисках Немо владельца системы


    Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

    Кстати, заходите в Телеграм чат о Микротике «RouterOS Security» t.me/router_os и о Zyxel t.me/zyxelru

    Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…

    За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.



    А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
    Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

    Вот некоторые из найденных сервисов с паролями по умолчанию:

    1. Камеры наружного наблюдения — подавляющее большинство.



    Ещё камеры






    Даже офисы внутри



    Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

    2. Ip-телефоны и FreePBX сервера также большое количество.




    3. IPMI серверов:

    Asus

    Dell (их подавляющее большинство)


    Supermicro

    Из серверов виртуализации встречаются ESXi, Proxmox и oVirt



    Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

    4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)


    5. Системы управления ИБП



    6. Внутренние сервисы





    Что-то похожее на мониторинг состояния систем обеспечения здания.


    Система управления кондиционированием и вентиляцией


    Различные системы управления табло на перронах :-)

    Эта самая красивая


    Некий терминал, но внутри модифицированный дебиан.

    Таких нашёл около 20


    Кстати, аптайм у него почти год:




    6. Сетевое оборудование



    Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

    Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
    Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.

    Не полный кусок лога по прокси.



    Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

    И все же кто же хозяин?


    Думаю, что уже все и так догадались.

    Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

    Это здец. Сеть просто в решето.

    Причём это устройства по всей РФ.

    Например, вот это вокзал Уфы

    Антропово Костромской области


    Развёрнута профессиональная система видеонаблюдения.

    Нашёл презентацию по вокзалам.

    macroscop


    Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

    Как же так получилось?


    Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.



    То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…

    Получилась вот такая картина:

    1. Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
    2. Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
    3. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
    4. Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
    5. Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
    6. С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
    7. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN

    «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.

    Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?



    У меня лично есть всего три варианта ответа на этот вопрос:

    1. У Вас исходно плохая команда.

    Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.



    2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.



    3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.




    Что нужно изменить, чтобы снизить вероятность возможных последствий?


    Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

    Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

    1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

    2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

    2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

    2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

    3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

    4. После сдачи проектов провести аудит безопасности инфраструктуры.

    5. По окончанию пентестов своими силами объявить Bug Bounty

    Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

    В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

    Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

    Заключение


    Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».

    Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.



    Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
    Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

    В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…

    Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

    Связаться со мной можно через телеграм t.me/monoceros
    Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security» t.me/router_os и Zyxel t.me/zyxelru

    Кстати, Евгений Игоревич, с повышением!



    Источник



    UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости, позволяющие из вне подключиться. Какие действия они предприняли по организации безопасности внутри — мы уже не узнаем.

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 3 502 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 983

      +126

      Это было круто! Читается как детектив. Неужели они не проводили никакой аудит?

        +181
        На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.
          +23
          Сталкивался с подобным, у нас и студентов не было. «распилконтора» присылала таблички которые надо заполнить, про наши сети, серваки и тд. Потом рисовали правильный отчет за много миллионов, все довольны.
            +15
            Да всё проще, студентов наняли из МГУ ПС, скорее всего. За зачеты.
              +1
              Некоторые студенты МГУ участвуют в соревнованиях CTF и они разнесли бы сеть РЖД на винтики судя без труда
                +2
                МГУ ПС != Ломоносовский.
                У РЖД есть свой прикормленный универ. Не то чтобы там все были глупыми, но самых толковых всё же не РЖД забирает.
                +1
                Если за зачеты, то, скорее всего, троечников
                  0
                  Вот не надо так о студентах. Я в свое время очень даже неплохо находил дырки в таком болото-корпоративе :)
                  +9
                  истину глаголишь. Помню, как мы были 5ым суб-подрядчиком. И от общей котлеты в ~300кк получили только 9кк.
                    +6
                    5ым, то есть, не последним?
                      0
                      нет, мы были крайними (как говорят в армии). И все номинально было по закону: каждый из вышестоящих взял себе какой-то процент работы, который был обязан взять, чтобы можно было нанимать суб-подрядчика, но вот деньги они за это брали по принципу Парето.
                    +4
                    «Как вы смогли так точно описать, как делается на ржд?» — моя первая мысль,
                    «Наверное потому что так делается (почти) везде» — моя вторая мысль
                      +1
                      Можете привести пример компании, которой по силам провести всесторонний аудит ИБ сети из 20000+ хостов за полгода и выдать отчёт, который не будет бессмысленной бумажкой? Я вот всерьёз сомневаюсь в существовании подобной компании.
                        0
                        Ну насчёт пол года я не уверен, звучит как овердофига для 20000+ хостов, если речь про анализ инфраструктуры и поверхностных анализ приложений. Если требуется углублённый анализ приложений, и особенно если с анализом исходников — то в таком случае оценка пляшет от объёма функционала конкретных приложений/объёма кода. И срок может меняться в зависимости от стоимости аудита (сколько человек на проект выделяется). Ничего нереального в таком объёме для аудита не вижу, и покрупнее системы проверяли, с нормальным отчётом на выходе.

                        Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.

                        Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.
                          +3
                          Полгода — это овердофига? Оу. Я это писал и боялся, что скажете «очень мало».
                          Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
                          Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
                          Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.

                          покрупнее системы проверяли, с нормальным отчётом на выходе
                          Что-то я в это не верю, простите. Каким образом вы всё это делаете?
                          Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).

                          Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.
                            +2
                            Бывают сложные проекты. Невозможных пока не встречал.

                            Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».

                            Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.

                            Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.
                              0
                              Бывают сложные проекты. Невозможных пока не встречал
                              Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен. Понятно, что технически можно и полный реверс-инжиниринг MS Windows выполнить из ассемблерных кодов — но очевидно, что никто этим заниматься не будет, потому что задача слишком титаническая и никто в реальности на это не пойдёт.

                              Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом

                              Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».

                              Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

                              Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям
                              Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
                              Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.
                                0
                                Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен.

                                Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.

                                Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут»

                                Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.

                                Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

                                Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.

                                Склонен не согласится. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать.

                                Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).

                                Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.
                                  0
                                  Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре
                                  Я немного не о том) Поломать сеть и показать это заказчику — это одна задача. Постараться найти все возможные векторы — это другая задача, на порядки сложнее первой. Вы имеете в виду первое или второе?

                                  Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта
                                  В это я охотно готов поверить)
                                  Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
                                  Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
                                  Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
                                  Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)

                                  В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.
                                    0
                                    Вы имеете в виду первое или второе?

                                    Второе через первое :)

                                    Как вы это найдёте?

                                    neurozhayka-vokzal.ru: Non-existent domain — простите, но пример неудачный. Но возвращаясь к «аудит через пентест» (если так вообще можно выражаться) — попадаем во внутреннюю сеть условного ржд и проводя разведку изнутри находим сервер, обслуживающий данный домен или информацию о нём в документации.

                                    В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.

                                    Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

                                    И случае с тем же РЖД одного аудита будет не достаточно, так как он не даёт гарантии того, что админ Вася завтра не накосячит, не говоря уже о том, что банально могут не исправить все выявленные уязвимости. Можно долго фантазировать о том, как и что они могли бы сделать лучше, но боюсь что в итоге всё это разобьётся о банальный распил и что-нибудь в духе: «камеры сломали? ipmi без паролей? данные пользователей украли? а деньги не украли же? и в чём тогда проблема?»
                                      0
                                      Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

                                      С этим полностью согласен. Более того — это очевидно и лежит на поверхности. И это есть прич, почему внутри периметра должен быть 0trust и условно (минимально) полный tls. А то вся эта периметрическая защита из 90-х — фуфел. Любая дыра и мы приплыли.


                                      Касательно того, что говорит коллега — я с ним полностью согласен. Полный аудит возможен только лишь при полной инвентаризации всех ресурсов айти и содействии со стороны айти департамента. Иначе это фуфел. Аудит может что-то пропустить (такое уже было и неоднократно).

                                        0
                                        Вот, вот, сначала в сторону того же Zero trust надо двигаться начать. Какой смысл в текущем состоянии, чуть ли не в плоской сети, делать полный аудит?..

                                        Простых рекомендаций по архитектуре достаточно.
                                        Утвердить основные принципы, по которым выделяем сегменты, как между ними трафик инспектируем, зоны ответственности в конце концов… Потом уже можно копать детальнее.

                                        А в плоской сети нагенерить всяких CIS Linux Benchmark для каждой машины и выдать толстенную пачку рекомендаций — действительно толку не будет, и скепсис совершенно оправдан.
                      +5
                      Если и проводили, то по бумагам на распиле, судя по всему.
                        +1

                        Возможно, даже и без бумаг провели)

                        +43
                        Как мне говорил один человек занимающий хорошую должность «все, что ты говоришь — это техника, а основная задача ИБ — составить правильные документы, чтобы у регулятора не было претензий».
                          +8
                          Этот ваш «занимавший хорошую должность» ни разу не попадал.
                          Документы у РЖД составлены наверняка правильно. А значит там есть «группа реагирования на инциденты ИБ», «ежемесячные журналы аудита» и ещё штук 10-15 разных журналов, которые нужны по требованиям ФСТЭК и ФСБ. И в которых оптом в конце года достаточно большие дяди не глядя расписались. А должности, ФИО и подписи на явной липе — это уже подлог.
                            +21
                            Ответ неправильный, поскольку в данном случае работает принцип «без бумажки ты какашка». Если аттестат соответствия есть на систему защиты ИС от регулятора значит всё защищено (даже если реально там бардак). Ну а если сломали, ну с кем не бывает, значит преступники и всё такое поскольку усомниться в бумажке от регулятора невозможно по умолчанию.
                              +1
                              А я не зря про журналы написал. На момент аттестации там, скорее всего, даже пытались хоть какой-то порядок навести — отобрать свистки, снести левый софт и т.д.
                              А уже потом неустановленные лица подключили неизвестные роутеры, поставили левый софт и установили пароли admin:admin.
                              Однако ж, раз в месяц или типа того это всё должно повторно проверяться уже силами конторы, об чём должен составляться отчёт, вноситься изменения в схему сети и прочую документацию. С подписями ответственных лиц. Каковые (подписи) — есть, а аудита явно не было.
                                +1
                                Тут еще не факт, что вообще систему защиты создавали хоть какую то, поскольку если у них информация которая циркулирует в системе формально не подлежит защите согласно законодательства то и вопросов к ним вообще никаких. А вот к пентестеру вопросы у правоохранителей по результатам публикации данной статьи могут вполне возникнуть за несанкционированное вмешательство в работу ИС.
                                  +1
                                  У них обработка десятков миллионов ПДн в год, так что ФСТЭК заходил со всем пристрастием. «Здесь вижу здесь не вижу» на таких масштабах не работает.
                              +1
                              Этот ваш «занимавший хорошую должность» ни разу не попадал.
                              как раз попадал, теперь, наверное, занимает хорошую должность в другом месте
                                +2
                                понимаете, в чем дело. Подобные системы должны обслуживать и контролировать люди, несущие очень серьезную ответственность за то, за что они отвечают. У которых выбор моежт быть только один: или ты берешься за это и отвечаешь головой или не занимай эту должность. Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
                                  +3
                                  Отвечаешь головой подразумевает оплату. Если ген директор отвечает головой за фирму, а ИБшник за ИБ — очевидно зарплаты у них должны быть сопоставимы.
                                  Вот что-то я не вижу вакансий начальника ИБ с зарплатой в 2-3 миллиона в месяц ХОТЯ БЫ.
                                    +2
                                    Вы много знаете главбухов с зарплатой в 2-3 миллиона в месяц, ХОТЯ БЫ?
                                    Я вот много знаю главбухов (работал несколько лет по бухгалтериям), но ни одна из них не зарабатывала 2-3 миллиона в месяц.
                                    На минуточку, главбух безо всяких допущений несёт личную ответственность, вплоть до уголовки.
                                      +2
                                      Главбухи, кстати, еще нормально зарабатывают.
                                      Гораздо более интересная должность — и более «родственная» — это инженер по ТБ.
                                      Вот где откровенно маленькая зарплата ходит рука об руку с довольно высоким шансом попасть под уголовное расследование.
                                        +1
                                        Пром. безопасность — из той же оперы…
                                          0
                                          откровенно маленькая зарплата

                                          Зато там требуется относительно невысокая квалификация. К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки (особенно в России).
                                            0
                                            К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки

                                            Потому что бухгалтер «Лида Ивановна» скорее всего не захочет учить 100500 книг по программированию, и каждый раз все заново переучивать так как устарело, но вот работать в 1с и excel ей по силам.
                                            0
                                            Если журналы в порядке и документы по инструктажам по ТБ соответствуют требованиям, то почти любое нарушение ТБ, повлекшее за собой смерть/инвалидность, легко списывается на сам труп/инвалида, ибо «вот он расписался, что ознакомлен, прошел и понял инструктаж».
                                              0

                                              Ну всё же руководство по головке не погладит за такое.

                                                0
                                                Сомневаюсь, руководству лучше, если работник сам забил на ТБ (по бумажкам, а то, что у него страховка сгнила, ну....) и откинул копыта, чем если это будет вина юрлица.
                                                  0

                                                  Ну у меня был случай в муниципальном предприятии. Потом все по новой ТБ сдавали. Везде висели листовки с описанием случившегося.


                                                  Естественно что виноватым будет работник. Но нарушение ТБ (особенно опытным специалистом) обычно не единоразовое. Это означает, что ТБ нарушалось планомерно и грубо. И в один "прекрасный" момент "все звёзды совпали".


                                                  Ясно что начальник за такое не лишится кресла. А вот премии — запросто.

                                                  0
                                                  Потому что частенько руководство в курсе всего этого и все действовали при негласной их поддержке.
                                            0
                                            Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
                                            не в бровь, а в глаз!
                                          0

                                          Разница между "человеком занимающим должность" и работником в том, что первый занимает должность, а второй — работает. Ожидать от первого какой-либо работы было бы странно.

                                            0
                                            Но без его указания никакой работы-то и не будет сделано.
                                            Да и математически Ваше утверждение неверно: любой работник организации занимает должность, а работу кто-то все-таки делает.
                                              0

                                              Речь о том, что есть люди, которые находясь на какой-то должности выполняют свою работу. А есть люди которые эту должность просто занимают и при этом ни сами не делают ничего в рамках своей позиции, ни дают попасть на эту должность тому кто что-то будет делать. И заявление вида "Служба ИБ должна заботится о правильности бумажек, а не о, собственно, информационной безопасности" — это как раз про людей которые занимают должность, а не работают.

                                          +8
                                          Знате, самое обидное то, что:
                                          1. ничего не поменяется
                                          2. никто не понесет за это наказания

                                          Тут я много чего написал. Потом стер. Потом опять написал. И снова стер. Любой админ любой дороги расскажет все подробности. Но он не найдет того, кому бы были интересны его рассказы…
                                            +9
                                            2. как это никто? автор статьи понесёт
                                            +3
                                            А какой аудитор сможет такое найти?
                                            У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
                                            Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

                                            В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
                                            Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.
                                              0
                                              но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

                                              только вы этим заниматься не будете, потому что у вас и так дел полно, чем карты рисовать.

                                              А вот если аудит у вас ежегодный, а по результатом вас премии лишают или еще чё пострашнее (pcidss может контору без лицензии оставить)… то хочешь не хочешь а будешь хотябы ПЫТАТЬСЯ приводить систему к тому чтобы при следующем аудите не теряя тапки затыкать дыры с трясущимися руками чтобы к окончанию аудита проблем не было
                                                +1
                                                Будешь, конечно. Только ресурсы-то ограничены, и в итоге вместо задачи «Навести порядок в сети» получаем задачу «Успешно пройти аудит». Как говорится, конец немного предсказуем.
                                                  +1
                                                  Сомневаюсь, что при бардаке в сети успешно выполненная задача «пройти аудит» приведет к гораздо более серьезному бардаку.

                                                  Не все закроется, конечно. Что-то заметут под ковер. Но какие-то очевидные проблемы проще прикрыть, чем замаскировать.
                                                  Идеально не станет, но _очевидных_ проблем таки станет меньше, от злоумышленников потребуется больше усилий и квалификации.
                                                    +1
                                                    Она не приведёт к более серьёзному бардаку, но полезный эффект будет меньше, ИМХО.

                                                    В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.

                                                    Мои мысли примерно следующие:
                                                    1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
                                                    2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
                                                    3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
                                                    4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.

                                                    Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).

                                                    Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.

                                                    Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
                                                    Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.
                                                    Как в том анекдоте:
                                                    Зайцы, уставшие от постоянных нападений волков, пошли за советом к сове.
                                                    Сова:
                                                    — Зайцы, станьте ежиками, и тогда вас волки трогать прекратят.
                                                    — Мысль хорошая, но как, как стать ежиками? — спросили зайцы.
                                                    — Я стратег, — ответила сова. — Тактикой занимайтесь сами.
                                                      0
                                                      Я думаю, мы про сильно разные компании говорим.
                                                      Скажем, мне не очень понятно, кто такие «мы» из «Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас?»
                                                      Не совет директоров же. Да и понятно, что «не все нормально, нужно больше золота».

                                                      В моем мире как один из вариантов — именно CIO/CISO заказывает аудит, с его результатами идет к руковдству, финансовому директору и т.п. и использует отчет как инструмент для обоснования дополнительного финансирование. Не он просто просит денег на невесть какую безопасность, а вот четко описано, где проблемы и к чему могут привести, если оставить все, как есть.

                                                      Но мир очень разный, я понимаю. Аудит ни разу не панацея :)

                                                      Кстати, и от софт-скиллз аудитора сильно зависит, будет ли он себя позиционировать как супер-пупер эксперат, который сейчас лохов научит, как жить правильно, или сможет установить контакт со специалистами, как человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу.
                                                      Разумеется, и в отчете для руководства должно быть не «вы набрали фофанов по объявлению, у вас все г...», а «мир изменился, то, что у вас было хорошо построено несколько лет назад, сейчас не дотягивает, опасно, надо адаптироваться»
                                                        +1
                                                        Возможно. Я в таких кругах не вращался, может быть где-то неправ. Может быть, Ваша картина мира более близка к реальности.
                                                        Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?

                                                        человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу
                                                        Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.
                                                          0
                                                          В моем мире помимо
                                                          Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени),
                                                          есть и другие варианты помощи.

                                                          Например, в примере выше: тот, кто поможет выбить дополнительные бюджеты на закрытие дыр.

                                                          Если же такие бюджеты ни в коем случае не нужны, потому что это ж придется что-то в сети менять, пусть и на более удобное и безопасное, а у нас времени на это нет…
                                                          Ну тогда да, сорян.
                                                            0

                                                            На самом деле все часто работает немного по другому. Ты знаешь как надо сделать хорошо. И знаешь что это потребует кучу бумаг, изменений в документации. И не факт что аудиторы одобрят.
                                                            Поэтому прячешь косяк от аудита или просто ничего не делаешь. Если явного косяка который обнаруживается аудитом нет.


                                                            Самое смешное что на многие вопросы "можно ли так сделать" не могут ответить даже аудиторы).


                                                            Хотя у аудита есть один плюс. Можно у руководство что то под него выбить. Быть то бабло или возможность даунтайма для работ. Но как сказал человек выше. Ты по факту и так знаешь что тебе сделать надо. Просто не всегда дают такую возможность.

                                                    0
                                                    конечно, но без аудита вы скорее всего этого всего делать вообще не будете.
                                                    За за всю свою карьеру видел только одну контору которая реально упоролась по ИБ из-за аудита. в остальных всем было плевать… ну прям вообще плевать.
                                                    Я повторюсь, я видел что было в финсекторе до обязательных аудитов и видел что стало потом. стало ЛУЧШЕ. тоесть с 91 года по 2008й(или когда там 09й) всем было плевать с высоченной колокольни на ИБ, никто ни карты сетей не рисовал, пароли у всех были админ/админ, даже у уборщицы был доступ админский на компе.
                                                      0

                                                      Все так


                                                      Бумажку о соответствии ФСТЕК или PCI DSS вы сами себе выдать не сможете. И, соответственно, аудит нужен. Хоть какой-нибудь. У верифицированного (сертифицированного) перечня аудиторов. Можете считать это мафией. В целом, так и есть. Но цель аудита — это получить бумажку. Чтобы пол учить возможность оказывать определенный набор услуг населению и на этом зарабатывать деньги.

                                                +1

                                                Вот и подключайся теперь к открытой точке доступе, лучше без интернета посидеть для своей же безопасности.

                                                  +11
                                                  Так вродеж шифрование между сайтом и устройством? Злоумышленник в середине не сможет прочитать ваши данные, даже если будет владельцем точки доступа.
                                                    +1
                                                    А вот и не всегда, до сих пор много сайтов используют HTTP, имеются и государственные, в особенности областные. Некоторые онлайн-кассы до сих пор сидят на ******* HTTP. Да и кто запрещал SSL Pinning.
                                                      +2

                                                      а что такое ssl pinning в вашем понимании?

                                                        0
                                                        > SSL Pinning
                                                        Если вы про установку CA, то для нее нужен пароль администратора и доступ к компьютеру жертвы. Если вы про SSL pinning как про встроенный CA в нативные приложения, он только наруку играет тк кроме своего сертификата приложение никому не доверяет.
                                                          0

                                                          Скорее всего, имелся ввиду SSL Stripping для сайтов, которые не используют HSTS и не внесли себя в список preload в браузерах.

                                                        +2

                                                        Вот который раз убеждаюсь что лучше потратить 100 рублей на трафик в другом регионе и чтобы потом голова не болела за подмену сертификатов, просмотр какой-нибудь днс истории и прочего.

                                                          +2
                                                          Так отменили же роуминг по стране.
                                                            0

                                                            Ну я ездил недавно на кавказ, списалось дополнительно. Проверял баланс до выезда и после. Хотя, конечно, может и глюки.


                                                            Но вывод один: никаких "бесплатных вайфаев".

                                                              +14
                                                              Достаточно включить ВПН и не беспокоиться об открытых вайфаях. Помогает застраховаться и от подстав провайдера с подписками и т.п.
                                                                +9
                                                                Особенно — если это свой VPN
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    Lightsail-овского инстанса 512 MB RAM, 1 vCPU, 20 GB SSD от Амазон для этого хватит?
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                              0
                                                              Так это наверное Абхазия была.
                                                                0
                                                                Много раз попадал в сочи, бац и ты всадил все деньги на разговоры через абхазского оператора.
                                                                  0
                                                                  Мне в аналогичной ситуации Теле2 возместили все расходы.
                                                                    0
                                                                    Ну тут вопрос уже что мне совего времени на разборки жалко чем 150 рублей которые за пару дней улетели
                                                                      0
                                                                      По телефону поддержки за пять минут составили заявку, через два часа перезвонили, извинились и зачислили деньги на счёт.
                                                          0
                                                          Если HSTS Static на сайте не настроен то возможно выполнить атаку SSL Strip и перехватить весь трарик.
                                                          Если клиентская машина не умеет DNSSEC то возможно подсунуть ей левый ответ DNS и увести клиента на фишинговый сайт.
                                                            +2
                                                            SSL Strip в браузере легко заметить (для тех, кто в теме), не будет никакого защищённого соединения, урл будет http, замочков разных не будет.
                                                              0
                                                              В том-то и дело, что «замочков» не будет. Актуальные браузеры отмечают http как заведомо небезопасное соединение, это невозможно не заметить.

                                                              Если речь идет о людях менее компетентных в данном вопросе, которые могут упустить такой нюанс, то они и VPN использовать тоже не будут. Потому выгода от VPN для защищенных соединений, среди которых и https, выглядит довольно призрачной.
                                                                0
                                                                > SSL Strip в браузере легко заметить

                                                                MithM может просто отдать клиенту вирус и после того, как она сработает, переадресовать клиента на настоящий сайт по самому настоящему HTTPS. Все замочки будут на месте. При таком сценарии развития событий ситуация визуально ничем не отличается от обычного редиректа http:// -> https://, просто перед редиректом клиент незаметно цепляет зловреда.
                                                                  0
                                                                  Если можно выполнить код на клиенте с такими правами, что это может быть полезно вирусу, то все остальное уже не важно и получать можно любую информацию доступную этому клиенту как локально так и удаленно, да и вообще сделать с ним что угодно. Это уже другого уровня дыра, которая требует наличия уязвимости в ПО или эффективной социальной инженерии.
                                                                    0
                                                                    В браузерах встречаются уязвимости RCE вообще-то. Так что подсадка трояна через MitM открытой точки доступа вполне осуществима на практике и без какой-либо социальной инженерии.
                                                                    0
                                                                    Вот тут Mozilla как раз вовремя выкатил режим HTTPS Only
                                                                0

                                                                И тут есть нюансы, https в ряде случаев перехватывается, в комментариях уже написали.

                                                                +24
                                                                Однажды, сидя с ноутом в Москве на Ярославском, пользовался их Wifi, чтобы котиков посмотреть. Написал мне коллега, с просьбой помочь с linux-сервером, который я ранее настраивал по SSH — ок, не проблема.

                                                                Открываю консоль,
                                                                ssh username@servername.ru…
                                                                ssh-клиент ругается что не узнает сервер по отпечатку, а после и вообще требует пароль вместо авторизации по ключу.
                                                                И тогда до меня дошло, что там классический MITM.

                                                                С того момента, публичным WiFi, в принципе, перестал пользоваться
                                                                  0

                                                                  частично проблема решается если сидеть на таких публичных точках завернув 0.0.0.0/0 в wireguard или openvpn например, но только частично

                                                                    +7
                                                                    Скорее неправильно настроенный нат, который заворачивает весь траффик по 22му порту на один сервер(типо проброс, но студентами выполнен)
                                                                      0
                                                                      Вокзальный WiFi это ТрансТелеком по заказу РЖД, гляньте принадлежность IP, даже заинтересовали, когда сеть сдавалась никаких подстановок там не было, может в процессе эксплуатации запретили доступы по некоторым портам, а перенаправление вполне может быть на веб-портал
                                                                        0
                                                                        Это было 2 года назад, уже не узнать, я сейчас далеко от Москвы.
                                                                        Веб портал — маловероятно, т.к. подключение принял именно ssh-сервер.
                                                                        А вот криводастроенный NAT вполне может быть.
                                                                      –39
                                                                      На дворе 2021 год, а ты только сейчас это понял? Что ж, жаль тебя)
                                                                      +5

                                                                      Интересно, а если я попробую провернуть тоже самое на ласточке, не попаду ли я под уголовную ответственность?

                                                                        +26
                                                                        К сожалению, попадете :) УК РФ Статья 272. «Неправомерный доступ к компьютерной информации»
                                                                          +14
                                                                          С одной стороны, вроде да, а с другой — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»
                                                                            +13

                                                                            точнее увидел открытую дверь и написал в интернете: по адресу такому-то дверь открыта! У них все в порядке?

                                                                              +11
                                                                              Если они до сих не пытаются ее закрыть — у них лично давно все хорошо
                                                                                +6

                                                                                Прошу заметить, автор не писал по какому адресу открыто.
                                                                                Онтнаписал, что прошёлся по всех дверях, среди найденных открытых выбрал одну и туда уже зашел

                                                                                  +2
                                                                                  Правда, если продолжать аналогию, то не только увидел, а зашёл, посмотрел, что внури и как (бегло) и рассказал с фото…
                                                                                  +2
                                                                                  В общем случае, даже если дверь открыта — заходить нельзя (ст. 139 УК РФ). Но РЖД, походу, глубоко пофиг как на открытую дверь, так и на тех, кто шляется :)
                                                                                  P.S. тут должен быть анекдот про конкурс лентяев :)
                                                                                    +3
                                                                                    — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

                                                                                    И даже в этом случае он может получить иск за незаконное проникновение в жилище. А уж в случае с нашими гос. структурами, я бы точно не рисковал. Им же сейчас как воздух нужных «злоумышленники» которых можно будет публично рапсять.
                                                                                    +11
                                                                                    по этой статье судят не за сам доступ, а за, цитирую:

                                                                                    «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
                                                                                      0
                                                                                      Вы забываете о ч.4 (тяжкие последствия). При этом, необязательно, чтобы тяжкие последствия наступили. Достаточно, чтобы была создана реальная угроза таких последствий. Т.е. Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд? Могли. При отключении кучи камер Вы могли бы понизить уровень безопасности? Могли. Значит, Вас ждет наказание по ст.272 ч.4. (до 7 лет заключения).
                                                                                        0
                                                                                        Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд
                                                                                        В общем, не обязательно. Управление стрелками, насколько я понял из статьи, никто пока не проверял. Равно как и возможность залить прошивку или изменить положение камеры или другие её параметры. Может оказаться, что всё открыто только на чтение.
                                                                                          +1
                                                                                          может…
                                                                                            0
                                                                                            Среди скриншотов железок я вижу как минимум одну, подверженную Ripple20, и прошивку которой с высокой вероятности не обновляли (учитывая все остальное описанное). Так что от доступа для чтения до доступа на запись один шаг.
                                                                                              +1
                                                                                              Управление стрелками и другой механикой/машинерией должно быть в отдельной РЖДшной сети, в/из которой нет доступа в интернет.
                                                                                              (и это не я придумал как должно быть, именно так они изначально и делали, судя по рассказам участников). И раньше жестко следили за тем, чтобы доступ не протёк, у сотрудников по 2 ПК стояло на рабочем месте, например.
                                                                                                +1
                                                                                                Тем не менее судя по скриншоту как минимум read only доступ к данным из этой сети есть.
                                                                                                  0
                                                                                                  Работал я когда-то в организации с двумя компами на рабочем месте… Только вот почта между сетями свободно ходила. Хотя за ней следили, надо признать. Не знаю, читали или нет, но за отправку файла однажды пришли люди с серьёзными лицами для серьёзного разговора.
                                                                                                    +1
                                                                                                    «Почта ходила» делается двумя интерфейсами в сервере, между которыми forward не включен)
                                                                                                    Ну разве что DNS должен разное отдавать ещё, но это мелочи.
                                                                                                      0
                                                                                                      Я в 2002 работал в ГНИВЦ таможенной службы (двух компьютеров не было, для интернета был один на всех в отдельной комнате) почта ходила куда угодно и откуда угодно, DNS резолвили любые адреса, но «интернета», т.е. соединения с порта на порт «наружу», не было.
                                                                                                    0
                                                                                                    Ну, как бы там много мест, что ДУ работает через VPN тоннели из внутренней сети во внешний мир, либо между двумя точками внутренней сети. С кучей на коленке слабаных шлюз и компьютеров в древними уязвимыми ОС. При желании точно дальше можно было и до ДЦ докопаться и до компьютеров на которых диспетчерский софт крутится. А это уже и управление стрелками и управление светофорами.
                                                                                                    0
                                                                                                    В понятие «состав преступления» входит субъективная составляющая — умысел субъекта. Т.е. если на суде будет доказано что не было злого умысла, значит и состава преступления нет. Другой вопрос, что еще доказать надо…
                                                                                                      0
                                                                                                      Можно и без умысла убить человека, например. И тут уже будет состав преступления налицо.
                                                                                                      Можно без умысла побродить по внутренней сети, потыкать ради интереса какие-то галочки. А потом поезд пойдет под откос.
                                                                                                      Умысла не было, но люди пострадали.
                                                                                                        0
                                                                                                        Речь идет про доступ к сети, а не действия (бездействия) после получения доступа…
                                                                                                        –3
                                                                                                        то есть, всех водителей, сбивших насмерть пешеходов — отпускать?
                                                                                                          +1
                                                                                                          Водителей сбивших пешеходов по случайности и целенаправленно — уровнять в сроках?
                                                                                                            0
                                                                                                            «не было злого умысла, значит и состава преступления нет»
                                                                                                            а нет состава преступления — признать невиновным и отпустить прямо из зала суда.
                                                                                                              +1
                                                                                                              Вам подсказать или сами додумаетесь до существования чуть более сложной системы квалификации преступлений, чем есть преступление и нет преступления? Может тогда перестанете приводить некорректные аналогии?
                                                                                                        0
                                                                                                        Это так не работает, там написано «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления», то есть уже должен быть состав, а состав это «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», а тут если что из этого и было, то только копирование, и то с очень большой натяжкой
                                                                                                          +4
                                                                                                          Считаются ли тяжкими последствиями сгоревшие пуканы в РЖД?
                                                                                                            0
                                                                                                            и снова надо читать формулировку целиком:

                                                                                                            Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления


                                                                                                            нет деяний (а именно, копирования, модификации, удаления и т.п.) — нет состава преступления даже для первой части, не говоря уже о четвертой.
                                                                                                              0
                                                                                                              Что есть просмотр, как не копирование?
                                                                                                                0
                                                                                                                суд не так работает (мы же говорим о том, попадает ли автор статьи под действие 272 УК?).

                                                                                                                суд берет текст статьи, практику правоприменения данной статьи, а так же разъяснения верховного суда (если есть). и именно по ним и принимает решение.

                                                                                                                а не вот эти все философские: «а если копнуть глубоко, то когда ты смотришь на объект, то ты создаешь в мозгу его копию в виде сигналов нейронов, а значит, если ты посмотрел, то ты скопировал» и т.п.
                                                                                                                  +2
                                                                                                                  Почему же философские, вполне конкретные законы техники — перед отображением на экране информация должна быть скопирована на устройство пользователя. А дальше — «как дышло повернут»…
                                                                                                                    0
                                                                                                                    Вы совсем «плохой»?
                                                                                                                    Или просто пытаетесь умничать?

                                                                                                                    Я подключился по RDP к терминалу. На моем экране выведено изображение рабочего стола терминального сервера. Я отключился. Докажите юридически, что на мой компьютер скопирована какая-либо информация с терминального сервера.
                                                                                                                  0
                                                                                                                  Копирование в зрительную память человека? Или речь про кэши браузеров и прочее? Считается ли юридически что я скопировал информацию, если я не нажал «сохранить как»/«копировать» в меню, условно говоря?
                                                                                                                +2
                                                                                                                могли ведь переключить


                                                                                                                «Ну тогда и за изнасилование сажайте, инструмент-то есть» — старый анегдот вспомнился. Вот я, теоретически, могу убить любого человека, к которому у меня есть физический доступ. И что теперь…
                                                                                                                +4
                                                                                                                А скриншоты не являются копированием информации? Т.е. была получена информация с камер, которая была скопирована и сохранена для иллюстраций в статье.
                                                                                                                  0
                                                                                                                  А скриншоты не являются копированием информации?


                                                                                                                  а вот тут уже надо смотреть юридическую практику.

                                                                                                                  сам не готов вот прямо сейчас дать готовый ответ: по остаточным знаниям от второго образования могу предположить, что зависит от того, какая информация есть на скриншоте.

                                                                                                                  это как с порно: замазал/замылил первичные и вторичные признаки и уже не попадаешь под определение порнографии. хотя суть-то осталась =)
                                                                                                                    0
                                                                                                                    В данном случае они были получены из «открытых» источников.
                                                                                                                    +2

                                                                                                                    Я вот думаю, не являемся ли мы тоже преступниками, посмотрев на скриншоты. Юридически же у нас не было права видеть интерфейс управления стрелками, верно? Для этого нужны соответствующие доступы, надо подписывать минимум трудовой договор с РЖД и чтобы управление этим интерфейсом входило в должностные обязанности.


                                                                                                                    А что до ч.4 – так мы все тут комментируем эту статью, наши комментарии могут прочитать и вдохновиться. Или мы в рабочем чате можем это распространить. И всё, сообщники. :D

                                                                                                                      0
                                                                                                                      Ага, «организованной группой лиц, по предварительному сговору»… Впрочем абсурдность некоторых законов это не российское изобретение.
                                                                                                                        +1
                                                                                                                        зачастую, абсурден не закон, а трактовка закона лицом, не имеющим юридического образования.

                                                                                                                        ну пусть даже без юр. образования. просто лицом, даже не прочитавшего статью целиком и судящего о статье по ее названию.

                                                                                                                        что-то в духе:
                                                                                                                        — ага, в названии есть словосочетание «неправомерный доступ»! ой, а я видел скриншоты… меня посадят! как страшно жить в этой(tm) стране…
                                                                                                                          0

                                                                                                                          Абсурдность трактовок не отменяет абсурдность законов. Чтобы увидеть скриншот у себя в браузере вы его должны сначала загрузить, т.е. скопировать.

                                                                                                                          0
                                                                                                                          Я случайно дизлайкнул, сорян. Браузер лагнул(
                                                                                                                            –2
                                                                                                                            Посмотри на мою карму. Сильно хуже мне от этого не станет.
                                                                                                                              0

                                                                                                                              А как случайный минус комментарию влияет на карму?

                                                                                                                                –2
                                                                                                                                С такой кармой на хабре уже толком жизни нету.
                                                                                                                        +5
                                                                                                                        Как можно ознакомиться с информацией, не скопировав её (хотя бы в ОЗУ ~«тонкого клиента»)?
                                                                                                                          +4
                                                                                                                          Приплести при желании легко что угодно. Залогинился в систему с дефолтным паролем — появилась запись в логе — содержимое лог-файла, а так же метаданные о его объеме и времени доступа были модифицированы, «эксперты» подтвердят — ну вы поняли.
                                                                                                                            0

                                                                                                                            Полагаю, логи в большинстве своём не являются «охраняемой законом компьютерной информацией»

                                                                                                                              0

                                                                                                                              Запись в логе произведена не вами.

                                                                                                                                0
                                                                                                                                Если то, что пишет логи, имеет сертификат нужного уровня, то увы, «сертифицированной системой (номер сертификата „№31337КУПИЛЗАБАБЛО/8888“) было обнаружено нарушение безопасности связанное с копированием информации с адреса 224.888.999.000, используемого гражданином Фунтом»
                                                                                                                                  0

                                                                                                                                  Эммм… А куда что копировалось?

                                                                                                                                    –1
                                                                                                                                    А это, увы, не важно, система сертифицирована.
                                                                                                                                      +1

                                                                                                                                      Вот убейте не пойму, как логин в систему вызовет копирование информации… полагаю из логов. Учитывая что у меня и доступа к ним нету.

                                                                                                                                        0

                                                                                                                                        А это не важно — достаточно метаданных. SRC IP — DST IP — size of packet. Все. Никто не будет разбираться при наличии сертификата на железку.

                                                                                                                              0
                                                                                                                              либо копирование компьютерной информации»

                                                                                                                              Скрин — копирование. Да еще и распространение.
                                                                                                                              В крупной полу-государственной конторе, где я работал, изображение в камер относилось к Коммерческой Тайне (КТ), например. Здесь — стратегический объект, скрины с камер. В общем ай-ай-ай.
                                                                                                                                0
                                                                                                                                изображение в камер относилось к Коммерческой Тайне (КТ)


                                                                                                                                А может не зря? Умный человек получит с камер кучу информации: расположение постов охраны, как какой охранник службу несёт, внутренний распорядок, планы помещений, правила приёма грузов\курьеров. Это то что в голову взбрело.
                                                                                                                                И устроить на основании этого проникновение и вынос тела будет ГОРАЗДО легче и безопаснее.
                                                                                                                                  0
                                                                                                                                  Я знаю, и не спорю. Сам занимался техническими системами безопасности. Но мля многих это неочевидно. Подумаешь, камера, что там такого секретного, маразматики и параноики из СБ совсем от безделья маются уже.
                                                                                                                            +15
                                                                                                                            К сожалению, автор тоже попадает.
                                                                                                                              +40
                                                                                                                              Да, автор попадает. Но даже если автора накажут по всей строгости закона, дыр в сети меньше не станет. Автора не наказывать надо, а связаться и распросить что да как. И чем быстрее, тем лучше.
                                                                                                                                +30
                                                                                                                                Это вы видимо не про Россию.
                                                                                                                                  –57
                                                                                                                                  Автора не наказывать надо, а связаться и распросить что да как.

                                                                                                                                  Забавное наблюдение. Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление. А тут обратная ситуация, хотя такая же уголовная статья. Двойные стандарты во всем.


                                                                                                                                  P.S. Это не лично к вам. Не оправдание коррупции и других нарушений, не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны. Далеко нам ещё до правового государства (нам — всему человечеству) с таким самосознанием.

                                                                                                                                    +44
                                                                                                                                    Автор не получил материального профита, не устроил хаос своими руками и даже статья выше без определённых профильных знаний и усилий никак не поможет это сделать другим людям (это не туториал «скопипастите эту команду и вуаля, вы только что взломали Пентагон»). Он «только посмотрел» и обнародовал проблему.

                                                                                                                                    А коррпуционеры не просто смотрят, а действуют.
                                                                                                                                      0

                                                                                                                                      Ну поднять впн и подключиться к прокси среднепродвинутый пользователь интернета в России уже научился…

                                                                                                                                      +56
                                                                                                                                      У закона есть не только «буква», но и «дух». И в целом закон (justice) это попытка упорядочить и формализовать такой феномен поведения высших животных как «справедливость» (тоже, кстати, justice, она же юстиция).
                                                                                                                                      Так вот, «Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление.» Потому что преступление есть нарушение справедливости. А справедливость связана с ущербом и нравственностью.
                                                                                                                                      Автор своими действиями наоборот пытается избежать общественного ущерба (который неизбежно однажды возникнет, если сор из избы не вынести) и призвать ответственных за сложившуюся ситуацию к соблюдению нравственности. По этому и реакция в двух описанных вами случаях у общественности совершенно разная.

                                                                                                                                      А вот то, что такое приходится объяснять…
                                                                                                                                        +4
                                                                                                                                        Справедливость для всех разная, поэтому нельзя говорить, что преступление — нарушение справедливости.
                                                                                                                                          +12
                                                                                                                                          Ровно об этом я и написал. Преступлением называют нарушение закона. Но нарушение закона может быть по разному оценено людьми, на которых этот закон распространяется. Поскольку закон всего лишь попытка формализовать справедливость и эта попытка не может во всех случаях работать корректно.
                                                                                                                                          В одних случаях формальное преступление людьми не оценивается как истинное преступление, если справедливость при этом не нарушена. Но то, что людьми оценивается как преступление, всегда будет нарушением справедливости.
                                                                                                                                            0
                                                                                                                                            Напомню, что есть отдельный вид преступлений — «без потерпевших лиц», по которому на развитом западе давно идут дискуссии о уменьшении, либо полной ликвидации наказаний.
                                                                                                                                              –2
                                                                                                                                              Вы правы про оценку. Я почему-то вспомнил про человека зарезавшего авиадиспетчера. Который убил его детей, уронив самолёт в озеро. И которого за это слегка поругали.
                                                                                                                                              Вот я не могу этого человека осуждать, хотя он убийца, по букве закона.
                                                                                                                                            +3

                                                                                                                                            Вы правы. Я, если что, не призываю наказывать автора. Проблема в том, что дух и справедливость для каждого могут быть свои. И вы правильно сказали, что закон — это попытка формализовать что-то, с чем согласно большинство. И на то они и формальные правила, чтобы к ним формально относиться. Иначе это не закон, а "понятия" какие-то. Либо мы стремимся к правовому государству и соблюдаем законы все, а не только удобные, либо получаем то, что есть сейчас. Я намерено в целях демонстрации это несколько утрировал.


                                                                                                                                            Признаю, я был неправ в том, что сравнил конкретно этот случай с преступлением. Сейчас перечитал статью УК, там есть слова "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации". Так что состава преступления здесь, конкретно, нет. Прошу прощения за это некорректное сравнение. Однако недавно была статья про, кажется, "mew" атаки, когда данные незащищенных баз массово удаляли. И там уже явно есть состав преступления, но меня в коментариях упорно убеждали, что хакеры молодцы и робингуды, а владельцы серверов сами виноваты, что не запаролили их. Просто сейчас сработала ассоциация с тем случаем, хоть это и не верно.


                                                                                                                                            Ещё раз. Я не оспариваю моральную сторону. Я нисколько не осуждаю ни автора, ни комментаторов. Более того, по справделивости и по моему личному мнению автор молодец, не надо его наказывать, я полностью поддерживаю. Я лишь хотел обратить внимание реакцию общественности на формальную сторону вопроса, как раз ту, что должна по-идее отличать правовое общество от жизни "по справедливости" ("по понятиям"). Без каких-то оценочных суждений, просто забавный факт. Дальше пусть каждый делает свои выводы. Или не делает. К сожалению, люди несовершенны, и чувство справедливости может быть у каждого своё. Ведь какой-нибудь депутат может совершенно искренне считать справедливым, что он кому-то помог, а этот кто-то его отблагодарил. "Упорядочить и формализовать" — вы верно подметили. Мой посыл был лишь в этом.

                                                                                                                                              +5
                                                                                                                                              Всё же правовое государство, это государство благоденствия (ведь за этим оно и создаётся?), а не государство одной гребёнки.
                                                                                                                                              Я не просто так начал со слов о букве и духе закона. Поскольку в правовых государствах судей обязывают руководствоваться не только лишь буквой закона, но как раз учитывать и его дух. И лишь после этого выносить вердикт, который может и не совпадать с буквой. Т.е. налицо механизм, который призван нивелировать несовершенство формализации, когда следование закону дословно повлечёт к созданию несправедливости, а не её охране и восстановлению.

                                                                                                                                              Это я к тому, что из вашего ответа как-будто чувствуется готовность терпеть несправедливость, если это происходит по закону. И наоборот, противопоставление стремления к справедливости нормальному функционированию системы права. Хотя я не вижу причин, по которым правовая система, работа добросовестно, должна отвергать идею обеспечения справедливости и отказываться от механизмов, которые позволяли бы этим процессам сходиться.

                                                                                                                                              Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.
                                                                                                                                                0
                                                                                                                                                Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

                                                                                                                                                Спасибо! Хочется надеяться и верить, что не только мне. Ради этого я и оставил тот комментарий, может кто-то ещё задумается и мир станет лучше :)


                                                                                                                                                На мой взгляд, проблема вашего подхода в том, что он позволяет оправдывать коррупцию: зачем чиновнику терпеть "несправедливость" и отказываться от "благодарности" из-за того, что это не согласуется с каким-то там законом? Я бы не хотел жить в таком мире.

                                                                                                                                                  0
                                                                                                                                                  От благодарности (без кавычек) действительно отказываться не стоит, если чиновник способен оставаться беспристрастным после этого. А если не способен, значит следует отказываться даже тогда, когда коррупционное преступление не подразумевается.

                                                                                                                                                  Но вы сами поставили " ", ведь понимаете/чувствуете, что коррупция есть преступление не просто так.
                                                                                                                                                  Проблема коррупции как раз в том, что она создаёт несправедливость (неравенство доступа, нанесение другому вреда руками государства и т.д.) и люди способны отличать одно от другого. И оправдывать коррупцию такой подход позволяет лишь коррупционерам (но они так поступают в любом случае, на то они и коррупционеры, дающие и берущие).
                                                                                                                                                    0

                                                                                                                                                    Вы исходите из предпосылки, что справедливость и несправедливость — понятия абсолютные и одинаковые для всех. Я же вам намерено привожу максимально яркие и, возможно, слегка преувеличенные контрпримеры, чтобы продемонстрировать, что это не так. Коррупционер может считать несправедливым запрет на взятки. Террорист может считать несправедливым, что в мире есть люди других вероисповеданий, цвета кожи, пола, ориентации, чего-то ещё. Мы с вами считаем несправедливостью "неравенство доступа, нанесение другому вреда руками государства и т.д.". Кто-то будет считать несправедливым, что к его интеллектуальной собственности есть доступ у других лиц, а кто-то будет считать справедливым сделать чужое народным достоянием. Сколько людей, столько и мнений. Именно поэтому я использовал кавычки, ведь справедливость или нет тут весьма условна и субъективна, в отличие от закона, который общий для всех и зафиксирован документально. Он приводит всех к общему знаменателю.

                                                                                                                                                0
                                                                                                                                                Чисто формально действие повлекло несанкционированное изменение логов (это не моя идея, за такое, увы, уже привлекали)
                                                                                                                                                  0

                                                                                                                                                  Да ладно? А что за случаи, не подскажете? А то что-то попахивает параноей, как если бы кто-то проходящий под камерой на Курском вокзале был обвинён в том, что он своей фигурой привёл к крушению электрички. Ладно ещё бы имя было бы drop database, а что-то уж совсем смех.

                                                                                                                                                    +1
                                                                                                                                                    Немного из другой оперы, но похожий случай, цитата из ППВС, которая появилась там не случайно, а на основе вполне реальной судебной практики

                                                                                                                                                    Постановление Пленума Верховного Суда РФ от 30.11.2017 N 48 «О судебной практике по делам о мошенничестве, присвоении и растрате»

                                                                                                                                                    21. В тех случаях, когда хищение совершается путем использования учетных данных собственника или иного владельца имущества независимо от способа получения доступа к таким данным (тайно либо путем обмана воспользовался телефоном потерпевшего, подключенным к услуге «мобильный банк», авторизовался в системе интернет-платежей под известными ему данными другого лица и т.п.), такие действия подлежат квалификации как кража, если виновным не было оказано незаконного воздействия на программное обеспечение серверов, компьютеров или на сами информационно-телекоммуникационные сети. При этом изменение данных о состоянии банковского счета и (или) о движении денежных средств, происшедшее в результате использования виновным учетных данных потерпевшего, не может признаваться таким воздействием.

                                                                                                                                                    Если хищение чужого имущества или приобретение права на чужое имущество осуществляется путем распространения заведомо ложных сведений в информационно-телекоммуникационных сетях, включая сеть «Интернет» (например, создание поддельных сайтов благотворительных организаций, интернет-магазинов, использование электронной почты), то такое мошенничество следует квалифицировать по статье 159, а не 159.6 УК РФ.
                                                                                                                                                      +4

                                                                                                                                                      Тут всё логично: если украл деньги, используя только штатные средства (типа «подглядел пин-код, потом взял телефон жертвы, вошёл в банковское приложение с этим кодом, перевёл себе все деньги») — то это кража, а не взлом. А вот если пошёл подменять корневые сертификаты в хранилище телефона жертвы, чтобы провести mitm для разузнавания этого пин-кода (и потом взять телефон жертвы и перевести себе деньги) — это уже взлом с кражей.

                                                                                                                                                        +2
                                                                                                                                                        Я и не спорю, что логично, но чтобы судам объяснить эту логику понадобился целый Верховный Суд
                                                                                                                                                      0
                                                                                                                                                      Пруфов найти не смог, можете считать, что я пользовался непроверенными слухами.
                                                                                                                                                        +1
                                                                                                                                                        Да, примерно так.

                                                                                                                                                        От следственного комитета
                                                                                                                                                        Главным следственными управлением Следственного комитета Российской Федерации по городу Санкт-Петербургу по поручению Председателя СК России Александра Бастрыкина, проведена проверка по факту совершения противоправных действий при проведении дистанционного обучения школьников, по результатам которой возбуждено уголовное дело по признакам преступления, предусмотренного ч.1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).

                                                                                                                                                        Проведенным анализом сведений, размещенных в сети Интернет о фактах срыва дистанционного обучения школьников, установлено, что к ним может быть причастен пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», то есть человек, занимающийся потоковой трансляцией видео в режиме реального времени. Указанное лицо снимает прохождение видеоигр, а также розыгрыши (пранки), которые выкладывает на своем канале под названием «Russia Paver» на