Comments 372
и как в той истории с паролями, хранящимися на гитхабе
и как… в общем как всегда:(
Беда, что чебурволл будут делать те же самые люди.
"Если бы строители строили здания так, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию" (с)
Во первых они так и строят.
Во вторых если бы строителям выдавали задачи в стиле: «перестройте этот сарай в 5 звездочный отель» или «не снося автовокзал постройте международный аэропорт», я бы на них посмотрел.
а давайте вместо небоскреба сделаем одноэтажный рядник. Ну, просто все те же квартиры, но не друг над другом, а рядом
Математики, задумчиво крутя в руках оператор транспонирования, искренне не понимают в чём тут проблема.
mag.relax.ru/fakty/10462523-izyashhnoje-padenije-doma-v-kitaje
Инженер построил небольшой, но крепкий загончик в форме квадрата.
Физик построил загон в форме окружности, утверждая, что такая форма может вместить больше овец.
Математик построил заборчик по кругу, сел в центре и сказал: «я нахожусь снаружи».
но надо поменять одну мааааленькую вещь: давайте парковку сделаем подземной, под самим небоскребом?
Нет проблем: вот Вам предполагаемая смета в $100500 млн. А, что, Вам вдруг резко расхотелось перестраивать? Ну, как скажете, хозяин — барин.
(Как я говорю, "воплощу в жизнь любой ваш идиотизм — за ваши деньги.")
потом, не посчитали подъезд-разъезд: производственная линия впритык к стенам, а из неё панели в много метров выходят.
А скоро начнут доставать дятлы, когда IOT проникнет глубоко в массы.
Вообще-то у строителей частных домов ровно такие же проблемы, когда коробка с перегородками уже стоит: "знаете, мы тут с женой подумали, на втором этаже нам понадобится еще один санузел, и давайте сделаем вход с юга, а эти панорамные окна из зала перенесем на восточную сторону в спальню"
И что часто они комнаты без дверей делают, с первого раза?
Так статья — это райтап финального "багрэйз-таска" на конференции ZeroNights.
А что с ним не так?
Просто страховки нет. Но на практике её и так нет)
Commercial users are welcome to use Let’s Encrypt for commercial and for-profit purposes. This is an intended use; we don’t have any desire to restrict the use of our services to non-profit or non-commercial purposes. (Seth Schoen, EFF)Отсюда: community.letsencrypt.org/t/are-they-limitations-on-who-can-use-lets-encrypt/687
А какая разница? Платные сертификаты от любой шараги (thawte там, что ещё есть) технически от бесплатных letsencrypt не отличаются ничем. Так зачем платить больше?
Это, наверное, те же стереотипы, как если директор завода на встречу на метро приедет. Технически вроде то же самое, вот он директор, приехал. Но братки не поймут.
«экономить копейки» это обычно в ущерб качеству, здесь же никакого ущерба нет. Или если хостер покупает не «брендовое» оборудование (которое ничуть не хуже, но стоит в пару раз дешевле) — это тоже «экономить копейки»?
Или это вопрос принципа — раз «коммерсант» — то покажи что способен платить? Вот так и появляются помпезные офисы с барами и танцполами, и цены на услуги взлетают до небес.
Танцпол же с танцовщицами? Вот что в офисе должно быть! А спортзал этот с печеньками себе оставьте.
Или если хостер покупает не «брендовое» оборудование (которое ничуть не хуже, но стоит в пару раз дешевле) — это тоже «экономить копейки»?Хорошо если просто без громкого имени! А если хостер покупает и использует изношенные комплектующие? Поэтому экономия копеек настораживает.
Но судить о железе по сертификатам как-то не очень логично — я, к примеру, из принципа не плачу деньги за сертификаты (именно потому что платный от бесплатного DV отличается только затратами), но никогда не экономлю на железе (хотя и избегаю железа с именем — потому что оно просто дороже, но без ощутимого преимущества, опыт эксплуатации разного оборудования за последние 20 лет показывает что и с именем и без ломаются одинаково, а вот затраты на восстановление/ремонт существенно выше в случае брендов).
Тут ещё есть интересный момент, эти сертификаты автообновляемые, а с платёжкой и обновлением "платных" постоянно (когда их много) что-то да идёт не так…
А с учётом некоторых особенностей компаний, бывает и совсем всё плохо, т.к. нужно через конкурсные процедуры проводить.
Как они будут целее, если люди из Питера в Москву будут на них же кататься?
из спб в мск и ездит гораздо меньше людей, чем из мск в спб. хотя бы потому, что в рф и зарубежье куча городов, из которых есть прямой рейс в мск, но нет такого в спб.
Как все эти люди обратно возвращаются? Вплавь или билет в один конец?
попробуйте тогда нарисовать 2 картинки. с 10 условными разработчиками из спб и 80 разработчиками со всего мира (прямого рейса в спб от их местонахождения нет). на первой картинке изобразите линиями ситуацию, когда всем людям надо ехать в мск и обратно, а на второй — в спб и обратно.
На какой картинке у вас получится больше линий между мск и спб?
Рисовать не стал, прикинул в голове. На первой картинке получилось 20 линий: 10 из спб в мск и еще 10 из мск в спб
на второй 160: 80 со всего мира в мск и потом из мск в спб, а еще 80 из спб в мск и в разные концы света. 10 условных разработчиков из спб сидят в спб и никуда не едут.
В итоге в обоих картинках получается что из мск в спб ездит ровно столько же, сколько из спб в мск.
вот, нарисовал картинку, раз в голове у вас это не получилось сделать правильно:
у вас всё ещё получается в голове равное количество человек в первом и во втором случае?
PS: минусующие, хоть бы свою точку зрения здесь привели, или сцыкотно?
Картинка несомненно верная, но
- Изначальное утверждение было о другом (из спб в мск и ездит гораздо меньше людей, чем из мск в спб — это очень двусмысленно)
- не все люди не из СПб будут ездить на Сапсанах. Могут и самолетом (я об этом писал ниже)
- не все люди не из СПб будут ездить через МСК — есть МНОГО прямых рейсов из СПб по России.
- Вы предлагаете все конференции в МСК переместить? Т.е. чтобы действительно движуха во всех остальных городах совсем умерла?
- Вряд ли конференция в СПб привлечет столько же людей, сколько и в МСК. И чисто за счет масштаба-охвата и за счет (как Вы говорите) — более сложной логистики.
Изначальное утверждение было о другом (из спб в мск и ездит гораздо меньше людей, чем из мск в спб — это очень двусмысленно)
изначально я отвечал на:этот комментарий. вы перечитайте всю ветвь дискуссии с него, прежде, чем делать выводы о чём было утверждение. оно несколько отличается от того, что вы там себе надумали ;)
не все люди не из СПб будут ездить на Сапсанах. Могут и самолетом (я об этом писал ниже)
про это же я тоже ответил ниже.
не все люди не из СПб будут ездить через МСК — есть МНОГО прямых рейсов из СПб по России.
я не говорил про всех. я говорил, что есть много городов, из которых прямых рейсов в спб нет.
Вы предлагаете все конференции в МСК переместить? Т.е. чтобы действительно движуха во всех остальных городах совсем умерла?
ну, предложил не я :) (да и то, вероятно, это было ироничное предложение). к тому же в своём 5 пункте вы же сами себе и ответили на четвёртый :)))
так-то я вообще за то, чтобы конференции проходили не только в спб и мск, но и в других относительно крупных городах (даже в «почти миллионниках»… да хоть на лесной опушке) :)
и за сохранение сапсанов (и «Сапсанов», пусть тоже целее будут) :)
Я очень долго пытался осознать этот тезис. Я бы понял, если б шла апелляция к тому, что рядом с СПб есть Таллинн и Хельсинки, из которых есть множество рейсов в европейские города… Тогда да.
А так — эти люди чудом телепортируются? К тому же, наверняка, если человек прилетает в МСК, то ему проще оттуда улететь в СПб, чем пересаживаться на поезд?
-Ну хоть что то у нас в безопасности.
Но не правлильно делал, что оставлял свои данные РЖД, которым на безопасность пофигу, но альтернативы нет.
он попросил меня ввести номер вагона, места и последние 4 цифры паспорта для авторизацииСобирать и хранить номера паспортов для авторизации в WiFi поезда? Может я чего-то не понимаю, но по-моему это финиш какой-то.
Для сравнения: во всех ICE бесплатная и открытая WiFi без всякой авторизации (сапсан — это первая, старая модель ICE). Зачем вообще нужно ограничение на доступ к сети внутри скоростного поезда?
Во-первых, это будет противоречить тому самому 97-ФЗ — вероятность того, что плохой парень кто-то попросит поделиться паролем с соседом по вагону и получит его (кому-то жалко?) абсолютно ненулевая.
Во-вторых, в наше время билеты, (на Сапсан — в особенности), нередко представляют собой исключительно штрих-код на экране телефона.
Я не знаю, единая ли у РЖД система доступа к их вай-фаю (скорее всего, да) — представьте себе объём работ: к продаже билетов нужно прикручивать сервис генерации паролей, каким-то образом распространять эти пароли по нужным поездам (в масштабах РФ!) в нужное время, а в другое нужное время деактивировать их… А главное — в итоге (для заинтересованных организаций) получится всё та же БД по цифрам паспорта. Так зачем городить весь этот сложный огород, когда конкретный нуждающийся в Инете человек может просто сам их вбить в форму при регистрации?
А потом прилег интернет и мы не можем зарегистрироваться на рейс, ога. В любом случае, у проводника должна быть какая-то бумажная копия списка пассажиров на случай непредвиденного ЧП.
Приписка именно про бумажный билет?
Честно говоря, у меня есть подозрение, что наличие билета все равно ничего не гарантирует. Как должно быть — в билете есть некий код (хэш), в котором зашифрованы имя, паспорт, номер-дата рейса и пр. И по нему можно провалидировать — действительно ли билет существовал (у нас же билет можно купить, а потом вернуть в кассу).
Только что-то не подсказывает, что учитывая уровень защиты тех же пригородных поездов, ничего такого нет. Остается придумать способ печатать билеты на сапсаны самостоятельно )
ПОСАДОЧНЫЙ КУПОН — BOARDING COUPON
Распечатайте данный купон или сохраните на мобильном
устройстве и предъявите при посадке вместе с документом,
удостоверяющим личность, указанным при покупке электронного
билета. Если Вы хотите сохранить посадочный купон на мобильном
устройстве, дождитесь полной загрузки изображения и убедитесь,
что 2D-код отображается на экране.
Ну и для туалета на вокзале паспорта недостаточно, билет всё ещё нужен.
Магазины площадью более 1000 квадратных метров обязаны организовать туалетные комнаты для посетителей. Вокзалы сейчас — это те же магазины и рестораны, чего там только нет. Поэтому шлите всех лесом.
p.s. особенно смешно, когда в том же Павелецком есть платный туалет (бесплатный с билетом) на первом этаже для обычного «быдла» (как они считают), и полностью бесплатный без турникетов на -1 этаже в в бесплатной свободной зоне отдыха Аэроэкспресса.
journal.tinkoff.ru/ask/besplatnyj-tualet
Штрих-код на экране это хорошо… Ровно до тех пор, когда прямо перед отъездом роняешь смартфон. На асфальт экраном вниз. Со мной такое было.
Если Эппл — спасает добавление таких штук в wallet и часы. Часы разбить сильно сложнее. Меня выручало, когда я телефон в машине на парковке забывал в торговом центре при походе в кино по электронному билету.
Когда едем с друзьями куда-то далеко — каждый электронный билет (или посадочный талон) пересылаем ещё на парочку телефонов. Ведь телефон даже не обязательно разбивать или терять — он может просто разрядиться.
Когда еду сам — распечатываю ещё и бумажную копию (в тот раз она мне как-раз и пригодилась).
Не страшно, в Сапсан сажусь исключительно по паспорту, предъявляя только его (частенько приходится ездить). Бумажка с собой есть (распечатка электронного билета), но только чтобы посмотреть номер поезда-вагона-места (в основном вагона).
Если уронил телефон, то и интернет не нужен (если в письме на телефоне есть к нему пароль).
Нахера вообще парольк Wifi на Сапсан? Хоть убейте не понимаю) Это скоростной поезд, недешёвый, почему нельзя просто дать людям халявный Wifi? Государство само хочет обеспечить всех халявным Wifi, а ё*а «гос» РЖД не может своим пасажирам дать Wifi? Тип это же скоростной поезд, максимум где к нему можно подлючиться извне вагона так это на станциях!
Таки вопрос: Почему нельзя нормальной настроить конфиги устройств, но при этом зачем-то лепить пароль?
Чебурнетовские законы. Насколько мне известно, теперь нельзя иметь "открытую для всех" точку, по которой невозможно определить, ходит ли Вася Пупкин на сайты аллах-бабахов.
P.S. а ещё метро, и думаю найдётся ещё что-нибудь.
иметь дырявый wifi — это нормаКто в России оставляет свой WiFi открытым для всех, тот не слышал про Дмитрия Богатова (технически там история другая, но последствия могут быть такие же).
Так, что вопрос: «Стоит ли игра свеч? Стоит ли хранить данные пользователей для авторизации wifi, когда есть теже места, номера билетов и т.д. и т.п.»
Вы так договоритесь до того, что не нужно аутентифицировать/авторизовать пользователя по номеру телефона/билета/паспорту, а вся ввозимая техника в РФ уже будет со шпионским модулем от ФСБ и продаваться в магазинах по талонам (и уже сам факт обладания техникой зафиксирован в компетентных органах).
Чем-то это похоже на вездесущие заборы. Заборы есть, а толку от них нет.
А если так, то подходят ли данные других пользователей с предыдущих рейсов для авторизации, или все-таки где-то еще есть и время поездки?
Доступ к интернету в сапсане зависит от вагона. Где-то включено в билет, где-то — в интернет платно, а в локалку бесплатно. Так что авторизация не только для ФЗ нужна, ещё и услуги в билете посмотреть.
Не знаю, можно ли уже прикупить интернет вместе с базовым билетом. Но в то, что это может быть сделано в будущем — легко поверю. А пока что интернет гарантирован лишь в 1ом классе.
*** Пассажирам с местами класса обслуживания «базовый» услуга доступа в сеть Интернет предоставляется в режиме тестовой эксплуатации в течение 15 минут с момента подключения.
В Сапасане окна металлизированные, с приемом похуже, чем в обычных поездахЭто особо иронично в контексте публикации Вымпелкома пятилетней давности о том, как они на говно изошли, чтоб трасса Сапсана на Питер была полностью покрыта связью, в том числе в вагонах (ссылка).
Ну, так это вымпелком, а не мегафон или МТС. У меня мегафон, кстати, честно ловит бОльщую часть участка трассы, но, к сожалению, не всю.
Так что даже если башни общие, то прием на скорости все равно может быть хреновый.
На сколько я помню что бы отвалится от вышек надо "лететь" со скоростью 350км/ч
Ну как пример — у теле2 в Питере не настроен handover на выходе из метро на большинстве станций. Вышел из дверей станции — опаньки, связь прервалась.
Теоретически — должно быть все хорошо, практический — пушной полярный лис.
Там какието механизмы отсеивания шума и настройки антенн, которые ломаются на скорости.
Ну и учтите, что у теле лицензии на 2G на московскую область нет.
P.S.Tele2
На мегафоне без проблем всю дорогу можно потоковое видео смотреть, конечно с учетом небольшого кэша, например тот же youtube.
Фишка в том, что когда возникает необходимость ехать именно сапсаном, а не обычным купе, это означает, что цейтнот такой, что несколько лишних ночных часов очень нужны. А инет в сапсане — это ещё пара лишних часов на работу.
Да и если покупать билет за несколько часов, то по цене обычно все равно бизнес или эконом. Там динамическое ценообразование, когда свободных мест мало — цены подскакивают. Вплоть до дурной ситуации «эконом» дороже «бизнеса». Вроде и такое бывало.
P.S. Раньше он платный был «экономе». Вроде сейчас везде бесплатный, но в «эконом» — 15 минут. А в «эконом+» — просто не гарантированный.
Паспорт то зачем? По номеру билета места нельзя что-ли идентифицировать?
Для выполнения 97-ФЗ. При активации в базе появится строчка с ФИО и другими персональными данными и IMEI (или МАС) телефона. Номер билета, номер места — это ещё один лишний запрос, как минимум (а если связи с сервером нет?), и вообще — лишний код. Зачем он нужен, когда пользователь собственноручно может вбить эти данные?
Во-первых я этот вариант (номе билета) где-то видел, кажется в дальней ласточке СПб-Сортавала, во-вторых он менее удобен именно для Сапсана. При электронной регистрации посадка по номеру паспорта. Так что билет, если и есть, то глубоко в недрах email.
Специфика такая у Сапсана, если уж берется билет за 10-15 труб вместо 1-3 труб, то время дороже денег.
P.S.И номер места и номер билета — это указатели на билет, а там все равно ФИО и номер паспорта.
Номер билета был нужен пару лет назад, когда по номеру паспорта и номеру билета надо было напечатать обычный билет для командировочного отчета.
А сейчас проще. Звоним секретарше «работу закончили, через час будем на вокзале». Она через 10 минут перезванивает «билеты взяла, поезд, вагон». Всё. Когда появляется время залезть в почту и глянуть на бланки — сапсан уже отъехал от Москвы и с мобильным инетом тяжко.
Это ж командировка — в 5 утра выехали в Москву, в 19 или 23 вернулись в Питер. Бывало и меньше минуты до отправления оставалось, когда в Сапсан прыгали. Пока до нужного вагона дойдешь, Сапсан уже далеко уехал…
Так что нам удобнее именно так. А то ловить урывками сеть, чтобы глянуть номер билета и войти в сеть…
P.S. Кажется понял, что вам непонятно.
Или в Сапсане кардинально другие билеты?
Да, в основном другие. Это у вас бумажный билет, а в сапсане — у большинства электронный. Кстати, номер бланка там, возможно, другой. Документ называется «Контрольный купон», а номера — «номер заказа» и «номер электронного билета». Вроде те же 14 цифр, но я не уверен, что они не меняются при печати на бланке.
Итого, если у вас есть билет, то есть и номер его, а если кто-то раздобыл в любом виде ваш билет с номером, то на нём есть и цифры паспорта.
Идентифицировать можно. А аутентифицировать как? Как вы докажете, что именно вы — пассажир 1ого класса с гарантированным инетом?
Потому что только я знаю номер своего паспорта.Это сарказм?
Вы получали паспорт в закрытом конверте и никому его не показывали? Нигде не заполняли и никому не отдавали данные из паспорта?
Строго говоря — Вы этого не можете знать, т.к. совершенно случайно в вагоне могут оказаться Ваши родственники, сослуживцы, представители подрядчиков и поставщиков и многие другие люди, кто мог видеть Ваш паспорт. Другой вопрос, что скорее всего это не является проблемой )
И я уж не говорю, что сотрудник РЖД, который впускал Вас в вагон — ТОЧНО ВИДЕЛ Ваш паспорт и при желании МОГ запомнить его номер (благо последние 4 цифры у него есть в портативном компьютере).
Т.е. обсуждалась достаточность номера билета, а не необходимость.По номеру билета места нельзя что-ли идентифицировать?Идентифицировать можно. А аутентифицировать как? Как вы докажите, что именно вы — пассажир 1ого класса с гарантированным инетом? Вот для этого и нужен номер паспорта.
Потому что публичные WiFi без идентификации у нас в стране вроде как запрещены.
там речь только 4 цифрах от паспорта. Интернет без регистрации по текущему закону запрещён.
Ну, то ICE, а в Thalys, например, интернет платный (если не отменили ещё, конечно)
Законодательно у нас на разрешён анонимный доступ в общественные сети. А дальше вопросы реализации...
Тем более, что аудитория у такой статьи на английском будет повыше…
зы. к тому же интересно насколько они будут оперативными по сравнению с отечественными компаниями
Там можно IP over DNS, но iodine, конечно, тяжело использовать в 2020, вот бы кто написал получше
В Аэрофлоте прикольно: перед взлётом капитан говорит что у нас есть развлекательная система, так что если хотите ею пользоваться, то качайте приложение сейчас, а то в воздухе не сможете. Не помню только это было до того, как выключили телефоны или нет.
Объявлятут во время посадки, но закачать их АПП можно только через свой мобильный инет, можно не успеть до взлёта :)
Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.
Ничего не выйграл @ конфа шлак
Хабр тогда пофиксят быстро.
Я честно не ожидал, что после этого комментария добрые люди мне поправят карму, хотя чисто по-человечески это очень приятно, конечно.
Заминусовали карму за комментарий про Канаду от 11 апреля. Может, и правильно сделали, он был не нейтральный точно. Да и в общем я согласен, что в таком разношёрстном сообществе, как аудитория хабра, лучше избегать политоты.
Заминусовали карму за комментарий про Канаду от 11 апреля. Может, и правильно сделали, он был не нейтральный точно. Да и в общем я согласен, что в таком разношёрстном сообществе, как аудитория хабра, лучше избегать политоты.Слово «политота», на мой взгляд, используется тогда, когда говорящий предпочитает закрывать глаза на неправильные поступки власти (или даже одобряет их). А если Вы думаете, что любой комментарий, критикующий что бы то ни было в Канаде, непременно не понравится хабрасообществу, то взгляните на одно обсуждение с моим участием (от места по ссылке до конца обсуждения).
Весело дотнет под центосью запускать, нет бы винду поставить рядом, а то как я помню Net Core под линью оперативки жрёт поболее, чем под виндой.
только на скриншоте ни одного жрущего процесса я не увидел, у дотнета максимум 250Мб, а всех прожорлевее жава
Тоже не понял этого наезда. Стояла бы рядом винда наверное написали бы в духе "видите, уже третий дотнет кор вышел а до сих пор не осилили на него сервис переписать".
А жор памяти отложился у автора, скорее всего, из-за серверного режима GC, который не понимат эти ваши линуксы c cgroups и просто съедает 1/8 всей оперативы на старте для пустой кучи.
Приписка: workstation GC работает адекватно, ест не больше чем ему нужно, реакцию на лимит памяти в cgroup правда не тестил, но все равны перед oom_killer-ом.
Эх а когда-то на Автокад 128 хватало, с 3D моделями...
Эх, а когда-то Автокад на дискете умещался...
Автор, покатайтесь в автобусах и в метро в обеих столицах — тоже много интересного найдется в местном вай фай.
Для кого-то это возможность поработать, пока в дороге. Проверить почту, почитать отчёты.
спиртное в поездах побрили
Летом в Сапсане в бизнес (если не ошибаюсь) классе в составе обеда можно было взять вино и легально его выпить прямо на месте. Правда, сильно сомневаюсь, что разрешат со своим…
В Бизнесе можно, но это санкционировано. Со своим — точно нет.
В вагоне-ресторане — можно купить пиво или виски. Цены почти рыночные. И там же выпить.
при остром желании пить пиво в поезде нужна некоторая подготовка. специально в исследовательских целях проверял: тёмное в пластиковой бутылке из-под известных сладких газировок (с этикеткой, конечно) либо из картонного пакета сока типа "Незлой" вообще не вызывают вопросов. Главное, чтобы ваше поведение не заставило усомниться в вашей адекватности.
За находки — мое уважение!
Не знаю к чему это, я ведь не публиковал их пароли, которые по надёжности не уступают admin:admin
А вообще интересно посмотреть на реакцию РЖД, и исправление косяков, ведь половина их сервисов на портах — без какой либо веб авторизации. Любой желающий может зайти, и управлять магазином, бистро итд у поезда.
Я бы продолжил троллить.
Это ж не угрозы, а классическая копипаста.
Вы, я так понимаю, не двачуете? Это же знаменитая копипаста:
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых — стоп. Остальные просто не найдут.
Так могут привлекать за неправомерный доступ…
Разглашение? Это гостайна была?
Взлома же как такового не было по факту, а не, хотя был, когда автор вбивал какие-то пароли. Автор в большинство служб без пароля заходил, как он писал чуть выше в ветке комментариев.
А почему вы так смело опубликовали этот (статью)
А что тут криминального? Я не выкладывал пароли для доступа, а выложил просто сервисы, которые доступны по разным портам без веб авторизации. Обычные пользователи могут их заютзать, или случайно обнаружить.
статья 272 УК РФ — несанкционированный доступ к информации. Ответственность наступает, например, в случае копирования информации посредством НСД — а доказать, что ничего не копировал — нереально. Особенно учитывая специфику РЖД, близость к высшей власти и т.д. Захотят — поимеют. Поэтому стоит крайне аккуратно такое публиковать, чтобы даже владельцы Хабра и прочих сервисов не смогли слить ваши реальные ФИО…
а доказать, что ничего не копировал — нереально
Есть такая вещь, как «презумпция невиновности». Тебе не надо доказывать, что ты ничего не копировал, это обвинение должно доказывать, что ты что-то копировал.
Вы не слышали про "нет оснований не доверять… (сотруднику полиции, эксперту, системе голосования и т.д.)"?
Судьи этой фразой, например, отметают видеозаписи, полностью опровергающие обвинение. И это не единичный случай, а стандартный приём. Реальность не имеет значения.
Забросить на арестованный у обвиняемого компьютер нужный файл или сто, чтобы было к чему прицепиться? Да вообще легко делается. После историй с "пьяным ребёнком" или типичными подбросамми наркотиков тут даже сомнений нет. Из недавнего — а что там было с разработчиком Kate Mobile?
Но и этого не нужно, достаточно просто заказать экспертизу у нужного эксперта (их таких много). А после — "нет оснований не доверять эксперту".
Более того, если эксперт ещё и напишет, что ваше вмешательство в работе систем подвергло опасности жизнь и здоровье пассажиров, то это будет ещё веселее, и так же неопровергаемо — доказательства невиновности никому не интересны.
Поэтому если граждане из РЖД вместо благодарности обидятся (а такое часто случается), то им ничего не стоит прихлопнуть назойливого комара, чтобы неповадно было.
Впрочем, дело ваше, если вы верите в справедливое разбирательство в случае чего — воля ваша, вам ей и распоряжаться.
Просто поймите, что мой сценарий это не пессимизм и не выдумка. Так происходит сплошь и рядом, поэтому не принять соответствующие меры безопасности — это как оставить admin/admin или root/root.
Я думаю, автор статьи такие варианты предусмотрел и подстраховался.
Вы не находите ничего общего между keklick1337 и densneg? :)
Давайте через некоторое время вернемся и сравним наши прогнозы с реальностью. Мой прогноз следующий:
- На Сапсане сменят пароли на всех сервисах и закроют все служебные порты от доступа через пассажирский вайфай.
- Автору спасибо не скажут, но и наркотики в ноутбук подбрасывать не будут.
- Возможно, выпустят пресс-релиз, где скажут, что ничего чувствительного не утекло, и никакой угрозы безопасности не возникало.
Вероятнее всего, правы окажетесь вы. Но не подстраховаться на случай внезапного сокращения седалищного нерва высокого начальства — такая же беспечность, как оставить root / root. К сожалению, мой прогноз тоже вполне вероятен, не на этот раз так на следующий. Историй, где белые хакеры получали по щщам вместо благодарности — полно.
А вот и пресс-релиз https://tass.ru/ekonomika/7169373. Теперь нужно проехаться на Сапсане и проверить пароли и порты.
«Нет оснований не доверять» — это про административные дела, у умниц с Хабра как всегда юр. каша в голове.
При рассмотрении уголовного дела же только показаний одного сотрудника будет недостаточно.
на одном из слушаний суд просто отказался смотреть видеозапись-доказательство невиновности обвиняемого
Это не про «нет оснований не доверять», а наоборот. Сама фраза может использоваться и непредвзятым судом при рассмотрении адм. правонарушений.
«Нет оснований не доверять» — это про административные дела,
вы ошибаетесь
Если оправдают, через годик выйдете из СИЗО и получите свою технику обратно. Если не потеряют, конечно. Презумпция в действии.
www.svoboda.org/a/29942062.html
www.novayagazeta.ru/articles/2017/08/11/73453-pered-kem-vy-opravdyvaetes
www.interfax.ru/russia/662723
Но ещё такой момент: чем бОльший срок светит (чем тяжелее статья) — тем меньше шансов на оправдание.
Система РЖД, ведь на открытых сервисах даже не сопротивлялась доступу, как я понимаю по статье автора.
А пошарился по серверу он только ради интереса. Хотя, никто, кроме автора этого не знает.
'Согласно документу, владельцы объектов, которые входят в состав критической информационной инфраструктуры, обязаны информировать государственные органы о хакерских атаках, а также предотвращать неправомерные попытки доступа к информации"
источник в источнике РЖД восхваляют за кибербезопасность. А вы «развалили» этот миф.
Надеюсь, все обойдется, но мы в РФ в «далеком» 2019г.
Особенно задачи в кроне.
А что с ними не так?
Мне вот тоже интересно. Тем более я сам как-то делал .Net в Docker'е, хоть тот проект production-версии так и не увидел в итоге. Про РЖД я понял лишь примерно, что у них как, а я делал через внутреннюю сеть контейнеров, открывая наружу только NGINX, всё остальное через него. Просто даже стало интересно, какие в этом случае могли остаться уязвимости.
Кстати, тогда в состоянии pre-production я видел log'и NGINX'а и попытки получить оттуда всякие PHP'ные файлы, коих там и не было.
Наверное они думают «никто не найдет комбинацию ip: порт»
Ну или то что это очень сложно )
А домен sapsan.center… «ой забыли, но ведь нужно еще угадать порт. А сервисы наверное и так по умолчанию всегда защищенные — грамотные же люди писали. Вобщем безопасность это не наш профиль, что вы к нам пристали» :D
А какие именно данные пассажиров там валяются?
Если номер места и 4 цифры, то не так страшно. А если полное ФИО, полный паспорт, да ещё и исторически всех кто ранее катался на сапсане (и когда именно), то уже интересно.
Сначала выделяют миллион на это дело из бюджета
Чиновник забирает себе 900k и дает подрядчику 100k
Затем подрядчик забирает себе 90k и на 10k нанимает фрилансера
Фрилансер делает побыстрее ибо чего еще можно сделать за 10k?
Говорю со знанием дела, как человек, который лет 10 назад поддерживал сервера партии Молодая гвардия за $50/мес.
обещали: оклад 60тр, обеды за счёт фирмы и дадут квартиру как молодому специалисту.
сходил в курилку к мужикам в которую инженеры ходят,
выяснилось:
1. 60тр имеют на руки всего несколько человек, и то те что заартачились и захотели уволится, а так с окладом и премией выше 50 не получается, но премии лишают за любую мелочь — в компе что либо сгорело или мышь износилась и надо новую покупать, опоздал на 5 минут и тд.
2. Не квартиры, а квартиру могут дать раз в год одному, а могут вообще не давать никому. Правда разрабам никогда не давали. И вообще посоветовали не наедятся т.к. судя по слухам не дают а продают чуть дешевле рынка, в счёт зарплаты как бы в кредит но так как никто из их знакомых не получал… стало как то всё равно и бессмысленно расспрашивать.
3. В столовую советовали не ходить — там крысы и еда не всегда свежая.
4. Инет как и в некоторых бывших гос конторах 100мб в месяц на отдел и только для скачивания даташитов. Когда-то даже пробовали включать глушилку сотовых сетей — получили по башке от соседних зданий и ТЦ.
Неформальное общение после собеседование рулит, сколько раз уже спасало от таких дно-конторок: консервированных совоков.
А что по вашему, все полит-поп и рядом организации живут в вакууме, "forex кидалы" и прочие продвинутые мошенники получают ит-системы обманом?
На днях наблюдал как народ всё ещё проходит через турникеты бесплатно, и сделал для себя вывод что должно пройти много благополучных лет чтобы такое поведение получило массовое порицания, т.к. ещё совсем недавно мы голодными студентами бегали от контролёров и лазили через заборы, нет у меня морального права их обвинять, хоть мне очень неприятно за то что иногда делал сам...
Не сервера поддерживал, а говнокодил сайт на Django 6, за 50 долларов, из Одессы. Нормальный сайт появился на пару лет позже и хостился в соседнем переулке. Москва маленькая, вас помнят.
Впрочем, сути вашего сообщения это не меняет, только бюджет тут не причем: источники финансирования другие, а ваш заказчик был… Наказан.
Встречал в "Ласточке" такую же систему авторизации, так что скорее всего все эти уязвимости подходят не только к Сапсанам.
Какие данные хранятся в текстовых файлах?
Из статьи это совершенно не ясно.
Статья понравилась, а вот выводы читать очень тяжело.
А каким образом можно собирать HTTPS-трафик? Он разве не шифруется end-to-end?
Удивляет даже не то, как всё настроено, это ожидаемо. Автору сильно повезло, что ни одна система не обнаружила проникновение, и товарищ майор прямо в поезде подошёл бы познакомиться)
Благодарю за критику, статью писал впервые вообще.
Про технические детали — их не будет, ибо тогда я могу попасть под статью. Так что подобную информацию публиковать нет желания
А кстати по поводу mitm https и его статусе «проверено»: почему я думаю что это ложь?) Может потому что сам поднимал proxy, и mitm без разрыва ca trust переподписи, не проканает. Любой кто откроет https получит alert о недоверенном CA. А transparent ssl proxy кроме sni индикатора, который и так plaintext — больше ничего не покажет об https соединении.
Редирект на похожий домен (http), и прокси по типу Modlishka. В наше время всё возможно, главное понять насколько ты хочешь извратиться с той или иной задачей.
Молчание автора очевидно, он просто лукавит
Признаюсь, во время чтения несколько раз споткнулся о немного "выпирающее" эго автора, характерное скорее для "кулцхакеров", чем серьёзных и уверенных в себе специалистов по ИБ. А это как правило чревато некоторым лукавством, и в первую очередь по отношению к самому себе. Но, кто не без греха, поэтому, я лично простил автору это " преукрашивание", ибо и у самого меня бывало "рыльце в пушкУ", так что негоже мне пенять на зеркало, коль рожа кривая. Молодец автор в том, что привлек внимание к важной теме безопасности персональных данных. Возможно, после этого РЖД пошевелится и выделит средства для построения более надёжной системы.
Сталкивался раз с веселым интернет провайдером у которого 95% пользователей в системе имели одинаковые логин: пароль сгенирированые сапортом. Пример: gena:gena, kot:kot, и другие сказочные персонажи. Пользователи за частую даже не знали о существовании этих учётных данных так как логин с их домашних IP как у многих провайдеров идет без авторизации. Никаких capche, fail2ban со стороны сервиса реализовано не было. Банальный перебор по словарю за 10 минут возвращал пару сотен учеток. В учетной записи хранилось неприлично много личной информации: ФИО, полный адрес, иногда email, статистика in/out трафика из zabbix, модель телевизора (если было подключено кабельное) и была возможность без подтверждения сменить тариф на более высокий по цене или сменить привязку MAC и тем самым сломать доступ в интернет. Кладезь для домушников и конкурентов. Домушник на основе трафика мог узнать когда хазяева есть дома и когда их — нет, узнать какой ТВ и тариф используется, а это отразит общее финансовое состояние жертвы, а изменение MAC можно было использовать что бы увести системы сигнализации в offline. Ну а конкуренты могли просто пополнить свою базу потенциальных клиентов, да и сделать пакость: всех зашвырнуть на самый дорогой тариф или сломать доступ в интернет сменив MAC. Месяц я ждал пока провайдер откликнется, сначала испугались и затихли. Потом в ВК число случайно столкнулся в переписке с одним из их сотрудников и тот пролобировал эту проблему в верх и ее начали фиксить. Если бы за месяц ничего бы не сдвинулось то на хабре было бы на одну похожую историю больше. Все хорошо что хорошо кончается, но лучше бы иногда оно и не начиналось :)
Я не с Росии и не Казахстана, такого в живую не видел, и надеюсь никогда не увижу. Но наслышан. Что сказать? Первое — гнать такой конекш сами знаете какими тряпками. Второе — тем людям что продолжают использовать такое подключение можно похлопать и посочувствовать. Третье — контраргумент, грамотно написаные мобильные приложения которые передают ценные клиентские данные при такой конструкции сети откажутся рабатать. В IDE включено по умолчанию: не доверять сертификатам из пользовательского хранилища, и эту фичу еще надо прикручивать в коде. А у прошареных вообще настроен Certificate Pinning. Шах и мат.
А вы почитайте хотябы Wiki, а еще лучше RFC. HSTS это защита от downgrade атак, она не просто говорит что нужно идти по линке https://, она говорит что это соединение обязано быть доверенным. Текст из wiki с посылаем на rfc: If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), the user agent must terminate the connection (RFC 6797 section 8.4, Errors in Secure Transport Establishment) and should not allow the user to access the web application (section 12.1, No User Recourse).
CAA больше для того что бы не дать другим CA выдать Вам (или тем кто вами прикинется) сертификат и уведомить вас о злоупотреблении (возможно). У меня в CAA везде Let's Encrypted и хорошо себя чувствую. Но в CAA можно прописать несколько СА, многие этого не знают. Учтите что Preload работает только в комбинации с includeSubDomains. И самое важное HSTS с includeSubDomains должен быть как можно выше. Если у вас домен example.com, а сайт находится на www.example.com. То вам нужно редирект делать с http://example.com на https://example.com, а отктуда на www. Иначе ваш hsts будет не валидным для preload, https://hstspreload.org/
С HSTS и протухшим сертификатом браузер уже не разрешает игнорировать ошибки сертификатов.
Наконец-то комментарий по делу.
Ну то есть вы ехали с другими хакерами в одном поезде… и вышли в местный wi-fi?.. вы абсолютно точно уверены, что никого не заинтересовали? :))
Это поезд млять с не датацентр… ))) Тоже мне достижение. Я тоже по молодости баловался снифингом в кафешках пока не понял, что это тупая тупизна. Фан быстро походит, а смысла нет. Хотя читал, что некоторые таким образом ухитрялись наснифить телефоны девочек с соседнего стола. ))) Вы слышали про принцип не вешать на барный сарай золотой замок? От взлома вайфая поезда никто не пострадает, а про паспорта не беспокойтесь они уже давно утекли из банков и опсосов. Но все ровно за статью спасибо она была как минимум познавательной.
Не вижу ничего неожиданного. Почему к информационной безопасности относятся так, будто она обязана быть по-умолчанию у всех на высшем уровне? Почему мы относимся к иб не так как к физической? Если бы автор написал что-то вроде "Ой какая у них дырявая физическая безопасность, я их замок смог срезать публичным болторезом, а их забор не выдерживает простейшей атаки стремянкой" — мы же не забрасываем говном такую организацию. А вот если вместо болтореза в статье волшебное слово "эксплойт", то автор сразу герой, а организация — идиоты. Зачем так?
Потому что у Вас аналогия неверная. Условно — если Вы привязали велик веревкой в публичном месте и у Вас его угнали, то кто виноват в ущербе (я не оправдываю вора, но тем не менее)? Это вместо того чтобы взять специализированный замок или закатить велосипед на охраняемую парковку.
Здесь та же история — ИБ — это процесс. Нужно патчить уязвимые версии софта — это известно даже ребенку. Если коллеги из РЖД это не умеют/не могут, то это попросту говорит об их проф. уровне. Тем более, что судя по всему внутри этого черного ящика есть ПД пассажиров и через этот черный ящик можно атаковать личные и рабочие устройства пассажиров.
Автору спасибо за статью. Придирки к сертификату сайта я тоже не понял, но ладно. Кстати, сайт sapsan.center живёт на http, если не ошибаюсь. Когда то было на https.
С техническими деталями было бы интересней:). Но в этом случае уже на следующий же день кто нибудь взломал бы уже другой поезд и что нибудь там поломал. Тогда ржд бы обиделось. На подрядчика сервиса, конечно. Вставили бы ему раскалённую кочергу в попЕц. Точнее в попцЫ. А к автору применили бы "Статья 272. Неправомерный доступ к...", но не факт. Заморачиваться, искать злодея из тех 100 людей, что сидели в вифи сети.
Хотя, чтото мне подсказывает, что уже сейчас происходят анальные кары внутри ржд.
Не очень давно ехал на похожем поезде с WiFi и как увидел весь этот интерфейс сразу понял, что там всё очень и очень плохо. Сделал выводы, отключился от WiFi и искренне надеюсь, что на моё имя никто не возьмёт кредит. Бороться с этим бессмысленно, к сожалению: полезу ломать и принесу пачку ужаса на стол РЖД — засудят. Полезу качать права без пачки пруфов — проигнорируют (и скорее всего пошлют).
С одной стороны это отличный хак. Поделился хорошим:)
А с другой — это как подкинуть пакетик с кокосом в чужую сумку. Т.к. за размещение этого контента поставщик не платил и может сработать защита прав на музыку и т.д :)
Лет 8 назад один весельчак подкинул порнушки на видеорекламные щиты в Москве. Органы не оценили и показательно закрыли на всю катушку
— на сервере обнаружен шлюз на некий приватный ip адрес;
— на сервере обнаружена база данных, в которой хранятся Персональные данные пользователей. Такие как номер вагона, места, и какая то часть цифр паспорта;
— на сервере обнаружены видеоматериалы зарубежных производителей.
Это такой кривой юмор в сторону журналистов
Представители ржд остались довольны количеством сэкономленного времени На совещания, и количеством описанных кейсов из комментариев). Очевидно для них теперь работы станет в резы меньше))
скорее «смотрите, у них доступ к докеру не ограничен, азаза»
Мда, слов нет.
Возили бы хакеров на конференции в товарных вагонах, такой бы проблемы не было.
Это шутка, если что.
Дальше я пошёл изучать содержимое контейнеров, и некоторыми публичными CVE залился в систему.
Я правильно понимаю, что если бы у них система своевременно обновлялась, то вы бы не получили доступ?
Что уже говорить об IOT. Тут и ОС и ПО нужно обновлять как-то не мешая пользователям.
А если устройство при каждых доработках должно проходить сертификацию, то об автоматическом обновлении можно забыть.
Все, кто подключен к их WiFi подвержены снифу трафика, ибо всё идёт через их прокси, можно легко собирать HTTP трафик, но если чуть постараться, то и HTTPS (проверенно).
keklick1337 И в чем смысл сбора шифрованного HTTPS-трафика?
в чем смысл сбора шифрованного HTTPS-трафика?
Раскрытие любой части шифрованной информации нежелательно. Прослушивание HTTPS что может дать злоумышленнику?
Адреса серверов, к которым клиент коннектится.
Время, когда выполнено соединение.
Обьем траффика.
Использование/неиспользование VPN.
Все это может быть использовано для фингерпринтинга, например. Кому нечего скрывать, тем не нужно беспокоиться.
Кому нечего скрывать, тем не нужно беспокоиться.Точнее, тем, кому кажется, что им нечего скрывать, также кажется, что они могут не беспокоиться.
Если работодатель не прописал этого в контракте то за такое у него можно отбить свой годовой оклад и испортить имидж в 0. А если он указал это в контракте который вы подписали, то кто Вам доктор? Имея даже права юзера можно легко и без особых навыков проверить есть ли в сети mitm https proxy даже если ваш девайс уже верит CA организации. F12 -> Security -> Show certificate
Ну дык ничего работать не будет, разве вы корневой сертификат установите дополнительный от МаксимаТелеком.
«РЖД проведут технологическое расследование заявления о взломе системы высокоскоростного поезда «Сапсан». При этом необходимо отметить, что на сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня», — сказали в пресс-службе.
В пресс-службе подчеркнули, что сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде. «Он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов», — добавили в пресс-службе.
keklick1337 плиз подтверди или опровергни их слова
Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.
Евгений Чаркин директор РЖД по информационным технологиям
Самый беззащитный — это Сапсан