Comments 110

Новость:


а) Хорошая;
б) Возможно ли хоть как-то именно её прокомментировать, если всё уже сказано в самой старт-статье и её комментариях — а большинство дополнительных комментариев новости суть "само спюобой разумеющиеся"?

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации?

Чел же не копировал и не менял
В логах появились строки о входе, например? Значит, информация модифицирована.
Логи пишутся штатными средствами, вне зависимости от всего.
И инфа дополнена новыми записями, логи на то и логи. Обычные пассажиры тоже пишутся в логи.
А вот если эти логи взять и перезаписать руками, то да, это уже модификация.
Он зашел в БД и просмотрел как минимум несколько таблиц, следовательно эта информация была _скопирована_ в оперативную память его устройства. Дело закрыто.
Неважно, что штатными. Строка создана о входе? Значит, файл модифицирован по вине вошедшего.
будет ли пользователь keklick1337 участвовать в этом мероприятии

сколько решит суд столько и будет

Самое интересное, что чувака вычислят. Дату и поезд на котором он ехал известна, по камерам будет с десяток подозреваемых, не больше


Только если чувак намернно не внёс дезу относительно названия поезда, даты и времени

Да зачем вычислять? Пригласят, пообещают баунти, ящик печенья и банку варенья. А дальше — как повезёт.

Бутылку разве что пообещают.
Пацаны ж "понесли репутационные потери", "отвечать" надо за дела.
Но ситуация, конечно, интересная с камерами, хотя т там могут быть раздолбайские реализации и всё уже потерялось.

Будет очень жаль если пострадает keklick1337. По сути он указал только на проблему в безопасности их системы. Для него теперь важна не компенсация за уязвимость, а чтобы к делу не приобщили.
Писать такую статью сразу в среде white hat считается неэтично, этичным считается, что сначала нужно уведомить об уязвимости. Правда зная специфику российских «безопасников» в гос. компаниях (зачастую это бывшие ФСБшнки, ФСОшники, полицейские или вообще пожарники), лучше делать это анонимно, иначе даже за уведомление о найденной уязвимости могут попытаться посадить на бутылку
Белые шляпы — наивные люди, к сожалению, витающие в облаках с розовыми понями.
То что в их среде считается этичным или неэтичным — все это только в их среде, не более.
С точки зрения буквы закона, любой несанкционированный пентест чужой системы — это преступление, а из каких таких благих побуждений это было сделано — это не оправдание и даже не смягчающее обстоятельство, а мотив.
Поэтому в случае, если делу будет дан ход, то суд будет руководствоваться именно буквой закона, и у белой шляпы шансов выйти сухим из воды практически нет.
А не писать такие статьи — оставлять уязвимые системы. Ибо без широкого резонанса от сообщений об уязвимостях просто отмахиваются. Пока гром не грянет.

Так что keklick1337 сделал доброе дело, но этого недостаточно — надо еще успеть убежать
По результатам исследователю будут шить ст. 272 УК, и он будет участвовать в расследовании, только в качестве подозреваевомого.
и хранятся на сервере ИРС не более одного дня.

Хмм, то есть подтвердили, что спустя сутки можно выудить кое какую информацию.

Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов,»

Классика жанра лукавство и взаимоисключающие параграфы.
Интересно было бы послушать тех, кто разрабатывал эту систему, хотя бы анонимно. Знали ли они о проблемах во время разработки, что на эти возражения говорило руководство…
предполагаю, что руководство говорило: «заткнись и кодь». Как в ТЗ написано, так и делали. Или делали на столько качественно, на сколько хватило денег.

Вы что, никогда не сталкивались с тендерами и конкурсами?
Выделяется N денег, конкурс выигрывает компания и на N/2 нанимается субподрядчик. Далее история повторяется пока от N не остаётся 10000 рублей на которую ищется уже исполнитель, согласный работать за такие деньги. Ну а дальше по принципу "как заплачено, так и замонстрячено" получается итоговый результат.

UFO landed and left these words here
(скорей всего)Пишется примерно как и всё остальное в РЖД, в основном великовозрастными программерами, без ТЗ с плавающим дедлайном и тестированием в проме. Но опять же зависит от проекта и конкретного разработчика, бывает что на выходе вполне себе рабочий продукт(пока его использовать по интсрукции)
З.Ы. из личного опыта
А вот давайте рассмотрим такую, чисто гипотетическую ситуацию — Вот есть, например, кинотеатр. Он бесплатный, в нем показывают кино. Для того, чтобы в него зайти, нужно сказать некие четыре цифры и сказать свою фамилию (да, впрочем, и не важно что, пусть даже и ничего, к делу не относится). И вот в этом кинотеатре есть служебные помещения — будка киномеханика, кладовка со швабрами, еще там что-то. Естественно, эти помещения немного закрыты, но именно, что немного. Там нет ничего ценного, что нужно было бы защищать охраной с автоматами. И вот, некий молодой человек, преисполнившись любопытства, вскрывает простенький замок служебного помещения и залезает в подсобку. А там — как положено, какой то старый мусор, пара пустых бутылок, чьи-то старые штаны, бумажки с какими-то номерами. Ну залез и залез, ладно, что там брать то? Но этот молодой человек, буквально на следующий день стал кричать на весь интернет — А вы знаете, вот там в киношке бесплатной, в подсобке замок ногтем открывается! А там! Киномеханик бухал, кто-то штаны снимал, и вообще, швабры лежат.
Я не знаю как кому, но, вот лично на мой взгляд, это как то даже и некрасиво. А владельцу кинотеатра, который бесплатно всем кино показывает, теперь оправдываться надо, за то, что у него в подсобке швабры лежат…

У него в подсобке дыра в женский туалет. Шаблонно, но несколько точнее передает ситуацию.

Позвольте, где там дыра в женский туалет? Там только 4 (четыре) цифры из номера паспорта, и номер места, на котором ехал пассажир. Где тут дыра?

Пассажир имеет доступ к инфраструктуре, обслуживающей других пассажиров. И где же тут дыра?

Да нет, вы правы, конечно. С безопасностью сети в сапсане (и не только в сапсане) все плохо, очевидно. Только она есть (сеть). А ведь никто не обязан был ее делать. И даже до сих пор не обязан ее делать. И безопасной ее делать — тоже не обязан. Ну и, так-то, пассажир имеет доступ к другим пассажирам — это ли не дыра в безопасности?
Не обязан предоставлять услугу. А вот если уже предоставляешь — обязан предоставлять её качественно. Это во-первых. А во-вторых, они фактически вывешивают поимённые списки всех пассажиров на всеобщее обозрение. Я конечно не параноик, но на каком основании и по какому праву они этим занимаются?
А где здесь некачественность услуги? Развлекательная система работает? Работает! Авторизация работает? Работает! А услуги ИБ РЖД никому не обещала. Ну и на вторую часть комментария, я не видел этих списков, даже обфусцированных. Разговор идет как раз о том, что никакие ПДн не хранятся. Ни в оригинальной статье ни где-либо еще я не увидел, что автор смог найти ПДн. Если я не прав, в этом отношении — тогда поправьте.
Цитата из оригинальной статьи

На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.


Думаю что это как раз означает ПД этих пассажиров
Во, точно, не обязан делать. И закроют дыру, просто отключив сеть wifi: нет сети — нет проблемы. Так же, как после утечки корпоративный портал отключили. Ну а что, деньги освоены, перед начальством отчитались, премии получены — кому оно теперь нужно?
И безопасной ее делать — тоже не обязан.

РЖД ведь является оператором персональных данных. Разве соответствующий ФЗ не обязывает их работать с ними определенным, обозначенным в законе, образом? (при условии, что данные, к которым удалось получить несанкционированный доступ, являются персональными с точки зрения закона, естественно)

Сервер ИРС не связан с внутренней сетью ОАО «РЖД»

Вот в этом я бы усомнился, даже если предположить что автор первой статьи слукавил про ВПН.
Извините, а с чем сравниваются эти 4 цифры, которые нужно вводить?

Что там в базе лежит? Я из предыдущей статьи так и не понял, автор не стал нам много показывать, но у меня было такое ощущение, что там в открытом виде в БД лежат номера паспортов. Ну потому что для госкорпорации это было бы совсем неудивительно.
В свете описанного в исходной статье, вы явно их переоцениваете ). А так-то это, скорей всего, банальная некомпетентность разработчиков с одной стороны, которым просто не пришли в голову все эти вопросы. А с другой стороны — заказчика, который не заморочился пригласить стороннего специалиста для аудита безопастности системы. Хотя это обычная практика — я сам неоднократно сталкивался с такими нюансами взлома от приглашенного эксперта, что не специалисту тяжело даже представить такой канал, не то чтобы предусмотреть его на этапе разработки )).
Перебрать 10000 комбинаций и посчитать от них хеши не проблема. Дальше достаточно найти эти хеши в базе.
Верно, согласен.
Просто 10000 это совсем мало, очень уж быстро можно перебрать.
Вы правы, я частично глупость написал. Но все же соль — это открытая информация. Достаточно посчитать по 10000 комбинаций для каждой записи в базе «соль: хеш» с соответствующей солью. Пассажиров там немного, так что это будет довольно быстро.
Вспоминается история про хакера и солонку в столовой.
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»

День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»

День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».

День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.

День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.

День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.

День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.

День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.

День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
Хорошо, что это вскрылось, пока в будке только драные штаны. Но, возможно, услуги «кинотеатра» расширятся и в будке появится золотишко. Внимание вопрос: повесит ли РЖД замок получше на будку или ничего не сделает и будет кричать, что его обокрали злые хацкеры, когда кто-то упрёт золотишко?
Как я понимаю, по вашей логике, в том что вор залез и украл золото, виноваты будут РЖД а не вор?
Вор виноват в том что он украл, но, если кто-то не закрывает место с золотишком на хороший замок, то дурак именно он. К тому же, его предупредили.
На мой взгляд, ваша изначальная аналогия была не совсем верна. Я бы сформулировал это так: РЖД, руководствуясь своими правилами перевозки, обязывает вас перевозить свое золото в их специальном сейфе, который обладает плохой защитой от взлома. В этом случае, РЖД несет ответственность за ваше золото, и если его украдут — РЖД виновато. А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает
На самом деле аналогия Ваша, я лишь предположил, что услуга будет развиваться. Если не будет развиваться, то и хрен с ними. Пусть хранят свои драные штаны, от госкомпании другого не стоит ожидать. Лишь бы в этот сейф, с плохой защитой, не положили моё добро. А то что доступ к wi-fi через данные билета может означать, что ПД там уже есть.
Я имел ввиду аналогию с появлением в кассе золотишка :)
Сейф то тут при чем, я не понял? Кому какое дело кто что в своих подсобках хранит? Закон только обязывает определенным образом хранить определенные данные. В оригинальной статье я не увидел компрометации ПДн, автор пишет только про последние цифры номера паспорта. В опровержении РЖД тоже фигурируют только последние четыре цифры номера, и особо подчеркивается, что ПДн в этой системе не хранятся и не обрабатываются. Так что я, практически искренне не понимаю, какие могут быть в данном случае претензии к РЖД? Ну вот правда, без слухов и домыслов?
Если совсем без слухов и домыслов, то только «предоставление услуги, не соответствующей современным требованиям безопасности».
Если мы верим keklick1337, то: «На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.»
«К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут»
Кто-то врёт…

Да ну блин! Просил же без домыслов и слухов. Каким требованиям безопасности сеточка с киношками должна соответствовать по вашему мнению?
Термин «много хорошей инфы» лично вот мне — совершенно непонятен. Для кого хорошей? Для операционной системы «хорошей инфой» будет своп, например. В каком виде там есть впн, ели большую часть времени интернет недоступен? Откуда стало известно, что это «внутренняя сеть РЖД»? А не, например, ДМЗ или еще что? В каком виде в базе пользователи лежат? В виде тушек что-ли? 152-й ФЗ вполне определяет состав ПДн и способы их хранения. Если уважаемый keklick1337 имеет подтверждения, что закон со стороны РЖД нарушается — на костер РЖД (через суд, естественно), если нет — на костер keklick1337, за разведение лишнего хайпа. Извините за резкость, немного накипело.
Да ну блин! Если мы не опираемся ни на какую стороннюю информацию, то говорить можно только лишь о том что сам сейчас видишь или слышишь. Я не могу ничего предъявить РЖД, т.к. я не лазил в сети Сапсана. Вы не можете утверждать, что в сети Сапсана нет ПДн, VPN, что РЖД не нарушает закона о ПД и пр., так как Вас там нет (или есть) (или Вы кот, который и есть и нет :) ). Всё это скатывается в мусор и не имеет смысла.
Если Вам не понятны выражения keklick1337, попробуйте затребовать разъяснений от него. Мне в общем понятно. И я написал
Если мы верим keklick1337
Да, извините, вы поправили комментарий немного, а я не сразу заметил. Действительно, очевидно кто-то лукавит. РЖД заинтересованы — очевидно. Хакер, тоже заинтересован — рассказать всем какой он крутой. Кому верить каждый сам решит. Кстати, в комментариях к оригинальной статье автор, что то не появляется… Либо испугался поднявшейся волны, либо…
А вы можете ею и не пользоваться, за вас это сделает злоумышленник, вошедший в сеть поезда под свежеполученными известным уже путём вашими учётными данными: номером билета (или места в вагоне, не помню, что там в оригинале) и номером паспорта. Объясняйте потом товарищу майору, что это не вы рознь в интернетах разжигали.
Тут скорее такая аналогия: человек увидел открытым помещение с золотом и предупредил, а на него за это вешают якобы то, что золота стало на кило меньше.
РЖД и вор.
Потому что золото не их, и за сохранность несут ответственность. Во всяком случае пока явно не указано обратное.

Скорее — в будке киномеханика хлипкая дверца на щеколде, открывающаяся прямо в сейф кинотеатра, со всей выручкой и документами.

У вас есть бесплатный кинотеатр (ну как бесплатный, для просмотра надо купить попкорна на тыщу, иначе не пустят).


А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает

Хранени ПД? Для них, может, и пройдёт бесследно (особенно если там "не совсем" ПД). Получается что брало и хранит, т.е. золото совсем не РЖД выходит. И не понятно при чём тут пользование услугой WiFi, кода данные всё равно есть. У вас, пользуясь аналогиями, "когда убьют, тогда и звоните", потому как другой вскрывший не будет писать на Хабр, а найдёт уязвимости более прибыльное применение (тем более что там, похоже, не только паспорта).

У вас неправильная аналогия.
По правильной, «а там — бумажки с номерами и фамилиями всех зрителей за вчера и сегодня». Согласны, что «молодой человеку» несколько не ожидал и может не хотеть, чтобы его бумажку завтра мог увидеть любой завтрашний зритель?
Вот если бы там списка пассажиров не было — было бы как раз некрасиво и даже незаконно. А так да, «владельцу» теперь надо оправдываться, почему данные клиентов недостаточно защищены.
Так я, как раз, и топлю за то, что нигде не написано, какие данные там keklick1337 обнаружил? Пара строчек о «много интересной инфы» и в «базе лежат пользователи», как бы не говорят, что слабозащищенный паровоз, с почти домашней сеточкой на китайских точках доступа, возит на себе ПДн всех пассажиров. Это прямое и грубое нарушение 152ФЗ со стороны РЖД, если что. С этим можно сразу суд.
А Вы задали ему вопрос, что он там обнаружил? Да, это важный вопрос.
По тексту выглядит, что как минимум полные ФИО и номера паспортов — хотя да, прямо не написано.
С этим можно сразу суд.

И сразу в статусе обвиняемого?
UFO landed and left these words here
В ОАО «РЖД» нет программы поощрения за найденные уязвимости в их системах
Вполне можно ожидать что их уже неоднократно поблекхатили.
И правильно сделали.
Нужно в корне менять подход, не просто молча «так и быть закроем», а
1) обязательно отчитываться о всех фактах, публично (на западе есть такое, там за утаивание милионные штрафы)
2) улучшать обратную связь, включая баунти. Сейчас найденные уязвимости можно только продать как 0day, если хочется хоть какую-то копеечку получить.
Не хотелось бы чтобы автор статьи пострадал, парень наоборот указал на ошибки и недостатки, никакого злого умысла не имел, иначе в чём смысл публиковать статью в свободном доступе. Просто как всегда кого-то нужно сделать крайним

Автору прошлой статьи бы уехать на время и счёт за границей банковский открыть. А то всякое бывает.

Будет так же, как с питерским SkyNet?
Когда с клиентского роутера провайдер пытается вычитать файл конфига для своей же сети, а потом требует 3 млн денег за неправильный конфиг?
UFO landed and left these words here
На мой взгляд, то же можно сказать и про сапсан: разработчики виноваты только в том, что не закрыли маленькую дырку, не? /sarcasm
Делать сервис автоконфига и разрешать создавать поддомен для автоконфига, доступный всем и каждому — это как ставить kerberos и шарить всем доступ к kdc.
PS почему-то в новости от фонтанки нет точки зрения пользователя, которому не отключили домен wpad по его звонку, а роутер уходил в перезагрузку от сотни коннектов/сек от клиенских браузеров, ищущих wpad.cfg, тему на пикабу тоже снесли.
UFO landed and left these words here
Вот, все таки, прекрасный ресурс — Хабр! Прекрасные люди тут обитают. Слова какого-то анонимного хакера (который так ничего и не выиграл на хакерской конфе в питере) о «много интересной инфы» и «лежащих в базе пассажирах» безоговорочно принимаются на веру. Из них раздувается мощный инфоповод, с публикациями на крупнейших новостных порталах, паникой в крупнейшем российском жд перевозчике, и множеством подтверждений в стиле «некий программист, пожелавший остаться неизвестным». Я замечаю, что я озадачен! Доказательств утечки никаких, автор оригинальной статьи куда-то пропал, на вопросы не отвечает, а инфоповод набирает ход, обрастая вымыслами как снежный ком…
Многие из здесь присутствующих, я уверен, не раз, приезжая в какой-нибудь отель, где-нибудь на отшибе, просто из любопытства осматривались в местной сетке. Некоторые находили камеры видеонаблюдения с паролями по умолчанию, некоторые нет, некоторым удавалось найти свежее меню ресторана на завтра, некоторым нет… Некоторые писали в своем уютненьком, что мол ай-яй-яй, какие там админы плохие, ничего не закрыто (хотя на самом деле ничего криминального там не было), некоторые писали владельцам, что мол вот, смотрите, у вас там все видно( это как с расстегнутой ширинкой, некоторые ржать втихую будут, а некоторые тихо предупредят).
Простите, человек написал, что нашёл дыру (а не взломал пентагон на хакатоне) и предупредил РЖД.
Что при этом, по версии некоторых журналистов, хакер изнасиловал Сапсан и журналиста в придачу — это уже вопрос к журналистам, а la belle Habr не при чём.
Видимо я невнимательно прочитал статью. Кроме негатива, что мол вот я в прошлый раз им про дыру рассказал — а они мне денег не дали, нигде не увидел, что кто-то кого-то предупредил.
Я про оригинальную статью если что. И комментарии к ней.
" РЖД, поправьте всё, через пару месяцев снова проверю" было воспринято как «в РЖД есть описание»
В любом случае, человек сделал добро — и бросил его в воду, т.е. написал, где дыра и ушёл подальше, чтоб ответным добром не забрызгало.
То же самое было и с WiFi в метро, когда все метаданные о человеке передавались открыто — после шума на хабре быстро закрыли дыру, ну или хотя бы замаскировали.
Ну и сравнение с отелем некорректно — сколько там людей за сезон бывает, на 1 сапсан наберётся хотя бы?
А если такая дыра обнаружится в большой сети отелей и из комнатки в париже можно получать данные и подглядывать за постояльцами по всему миру — то да, тут нужно бить в набат, ибо черевато.
PS хотел бы человек сделать гадость — продал бы описание хака занедорого всем желающим.
PPS И всё-таки, причем здесь Хабр? Нет 100% премодерации статей? Пропускаются статьи, могущие кому-то повредить? Ещё и вход не по паспорту, ужас-ужас.
Да кто тут будет в набат бить-то?.. Если только кто-то из действующих разработчиков сапсанового ПО, порядочным окажется. А так, вы что, в России нет никаких уязвимостей!;) Тем более в крупных монополиях. Не дай вам бог про такое сказать! На том все и держится.
И потому кое-кому нужен подконтрольный интернет, а еще лучше сразу рубильник к нему…
Ой-вэй, так оно уже: допустим, в ужасном мессенжере whatsgramm тусуются исключительно наркотеррористы-педофилы, вот скриншот.
Так что срочно досатём банхаммер и бьём по адресу 0.0.0.0/0!
Нет, ну серьезно!? Какое же он добро сделал? Незаконно проникать на чужую частную территорию — незаконно. Заходить в чужие запертые дома — незаконно (и пофиг что там замок простой). Заходить в чужие внутренние сети — незаконно. Если вы залезете на склад, а потом всем будете рассказывать, что там забор дырявый и замок мизинцем отрывается — вас посадят — и ни у кого не возникнет когнитивного диссонанса. Так почему же, когда кто-то «отламывает по фану» чужую сеть, все считают что он сделал добро?!
UFO landed and left these words here
Эээ… Я что то не понимаю, хакер осуществлял правомерный доступ?
а так то, помимо 272, 273 и 274й статьи есть Статя 13 КоАП
Ну и потом, создание скриншотов — есть копирование информации в любом случае. А уж разглашение такой информации в публичных источниках — так и подавно. Разрешение на публикацию информации о организации сети развлекательной системы «Сапсана» есть? А ведь это их коммерческая информация.
ну и вишенка:
Согласно статье 273 УК РФ создание, использование и распространение вредоносных компьютерных программ, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, является уголовно наказуемым. Предполагаемое наказание лишение свободы на срок до четырех лет (если действия хакеров повлекли тяжкие последствия до семи лет) с выплатой штрафа в размере до двухсот тысяч рублей. Эксплойты же были?
Законно найти дыру невозможно.
Даже с соглашением о пентесте, всегда можно сказать — «эти людишки не только протестировали нашу систему, но и попортили её, а теперь денег каких-то ещё просят, посадите их по 272 пожалуйста»
На ваш взгляд, увидел дыру в реакторебезопасности — проходи мимо, быстро и молча, дабы не присесть?
Законно — можно. Заключаешь договор, подписываешь NDA и вперед, доступ к информации санкционирован владельцем информации.
А на мой взгляд, не проходи мимо и молча — сообщи владельцу реактораинформационной системы — а не кричи на весь мир о дыре в реакторебезопасности.
UFO landed and left these words here
Это на хабре была статья, как официальных пентестеров госучереждений в Америке поймали с документом возле двери со сработавшей сигнализацией и собираются посадить за взлом?
Бумажки — бумажками, но закон есть закон.
Владелец может и санкционировал, но если у СБ свои резоны — бумажкой не отмахаться.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
То есть, получается, для спасения мира можно убивать людей? Ну, разумеется, если они откатчики на местах, раздолбаи и профаны?
Как вы резко перескочили от взлома к убийствам. Вы не на RT работаете случайно?
«Сегодня он играет джаз — а завтра Родину продаст!»
И сколько человек убил хакер, ткнув в дыру?
Вы ударились в такую софистику, что я вынужден спросить: простите, вы не журналист?
А то, судя по тону беседы, скоро стоит ждать статьи «хакеры, взломавшие РЖД, призывают убивать раздолбаев и откатчиков, сообщество поддерживает!»
UFO landed and left these words here
Я ничего ни с чем не сравниваю, я просто уточняю, до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить? Сегодня окно Овертона здесь, а завтра оно отодвинется немного, и станет допустимо, например, поедать себе подобных. Раз ступив на этот путь — уже нельзя остановиться, иначе вы не достигнете цели, и, соответственно, она не сможет оправдать ваши средства.
Именно исходя из такой морали, я считаю, что нельзя делать зло, прикрываясь благими целями. Именно исходя из этой логики я считаю, что нельзя делать людям гадости, только потому что они уроды, иначе вы встаете с ними на одну доску, и становитесь ничуть не лучше их. И именно поэтому, я считаю, что в данной истории не прав в первую очередь хакер, который решил проехаться на хайпе.
Да-да-да, «Сегодня ты ешь мясо, завтра — убиваешь котят, а послезватра — переключишься на детей? Кто и как сможет определить эту грань и сказать стоп?»
Хотя стоп, не так: «Сегодня вы критикуете раскрытие потенциально опасных дыр, завтра — проголосутете за принудительную чипизацию населения, а послезавтра отключите свободный интернет и пойдёте работать надзирателем в концлагерь? до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить?»
Словоблудие — оно такое словоблудие, ага.
Не передергивайте пожалуйста. Я не критикую раскрытие потенциально опасных дыр, я критикую противозаконные методы работы раскрывающих.
Простите, но вы же первый начали, вспомнив про мораль, законность и убийства.
PS беседа, на мой взгляд, ушла за границы конструктива, на сём и откланяюсь.
Но эксплойт был ПРЕДНАЗНАЧЕН для пентеста. Т.е. САНКЦИОНИРОВАННОГО доступа к информации. Для НЕсанкционированного он ИСПОЛЬЗОВАЛСЯ.
Потому-что в отличии от склада на котором хранится чье-то имущество, здесь хранятся, или могут храниться, персональные и личные данные каждого из нас. И хозяин этого склада даже не думает и не хочет предпринимать никаких мер по их защите, подвергая нас опасности. Угрожая при этом уголовным преследованием за проникновение туда, будучи абсолютно неспособным установить сам факт такового проникновения.
Я считаю, что РЖД должно дать развернутый комментарий по существу затронутых вопросов, а не отписку. Потому что, если некоторые факты окажутся правдой, это будет нарушением требований 152-ФЗ «О персональных данных» к мерам по защите. Не в их интересах признавать факты отсутствия осведомленности о реальном устройстве сети Сапсана, не соответствующем их вере в ТЗ. А «состав преступления» автора еще придётся поискать. Учитывая описанное, там и логов-то никаких не будет — т.е. не будет достаточных доказательств инцидента.

Я думаю там такие бабки отмыты на этом wifi, что признание хоть какой то уязвимости недопустимо с их стороны. Поэтому будут отбрекиваться и тихонько всё поправят

Only those users with full accounts are able to leave comments. Log in, please.