Комментарии 127
ошибку при составлении расписания одного поезда
Можно конкретнее?
где нет инфраструктуры для формирования поезда — нет дополнительных веток железной дороги, нет вагонного и локомотивного депо
Это необязательно.
Поезд может просто ехать туда-назад. Вагоны-то симметричные, им всё равно как ехать «передом» или «задом», разворачивать весь поезд целиком нет необходимости.
Даже локомотив необязательно перецеплять, если у поезда заранее 2 локомотива зацеплено в начале и в конце. В этом нет ничего не обычного — в местных поездах-«электричках» как правило так и есть. «Туда» тащит один локомотив, второй едет балластом в хвосте. «Обратно» функции локомотивов меняются между собой.
Впрочем, вот тут утверждают:
nashatynda.ru/news/view?id=pobozij-prinal-pervye-poezda
что Побожий — именно разъезд, то есть локомотив может объехать поезд и перецепиться с другой стороны.
«Бамстроймеханизация» открыла третий разъезд на однопутной линии Бамовская – Тында. Накануне трёхкилометровый разъезд Побожий разделил перегон Сети – Тында
…
Уникальность разъезда Побожий в том, что на этой промежуточной станции 6 входных светофоров и она примыкает к двухпутной вставке
P.S.:
Я как минимум в 2-х местах наблюдал несколько лет, когда поезд действительно отходит от небольшого населенного пункта, расположенного рядом с большим городом, а не от самого этого большого города.
Как там в реальности формируются поезда — это нужно у местных уточнять.
Может, это действительно ошибка ЖД, а может это ваша ошибка.
и, что для меня болезненнее всего — невозможностью в данный день доехать до Шимановска
И такое тоже бывает, сталкивался.
По определенным дня поезд может не проходить мимо каких-то станций или проходить, но не останавливаться там.
Возможно это ошибка ЖД, а может и ваша ошибка.
Чисто логикой тут ничего не выведешь, нужно проверять как оно в действительности. У местных жителей, например, спросить (интернет же есть, — через соц.сети можно)
Прикрепляю спутниковые снимки станции ПобожийВы бы поаккуратнее с такими скриншотами, вдруг это тоже раскрывает какие-либо тайны РЖД, все таки элементы критической инфраструктуры и плевать, что в Гугле доступно всем.
pass.rzd.ru/tickets/public/ru?layer_name=e3-route&st0=%D0%A2%D1%8B%D0%BD%D0%B4%D0%B0&code0=2048000&st1=%D0%A8%D0%B8%D0%BC%D0%B0%D0%BD%D0%BE%D0%B2%D1%81%D0%BA%D0%B0%D1%8F&code1=2050450&dt0=26.12.2020&tfl=3&md=0&checkSeats=0
Или ещё веселее — вагон отцепляют от одного поезда и прицепляют к другому. При этом второй поезд может следовать тем же маршрутов, что и первый, но, например, через час (!!!).
Это порождает глючий адов ад в бронировании. И именно так возникают ситуации, когда билетов нет, но от какой-то конкретной станции они есть, а потом опять есть, а потом опять нет.
325Э и 325Й могут быть основным поездом и «виртуальным», обозначающим прицепные вагоны.
1. Действительно существует куча вагонов вагонов беспересадочного сообщения, и это реально удобно для многих людей. Бывает даже целые поезда прицепляются к другим поездам.
2. ТО что вам кажется глюком по билетам, сложнейшая система распределения, основанная на приоритетах распределения и квот, для обеспечения доступности билетов по малым станциям, максимальной загрузки из пунктов формирования, ступенчатой загрузки составов по мере следования.
РФ очень большая, многие фишки покупки билетов остались со времен СССР для борьбы с перекупщиками. В системе продажи и бронирования очень нелинейная система продажи и доступности билетов
многие фишки покупки билетов остались со времен СССР для борьбы с перекупщиками.
какие такие перекупщики? Насколько я понимаю, сейчас есть только один официальный способ покупки билета — через РЖД напрямую (касса, сайт). Вроде как еще есть вариант через турагентства, но они все равно идут в РЖД и выписывают билеты на конкретных пассажиров по конкретным паспортным данным (не виртуальным). Мне сложно представить как в этой схеме можно спекулировать, может научите?
какие такие перекупщики? Насколько я понимаю, сейчас есть только один официальный способ покупки билета — через РЖД напрямую (касса, сайт).
Пес его знает, но еще совсем недавно железнодорожные билеты можно было купить в совершенно левых кассах с дополнительной комиссией (иногда даже весьма солидной). Давно не ездил, потому не могу с уверенностью сказать, что такие кассы есть и сейчас, но вполне допускаю такое.
Оформляли билеты они, конечно, через сайт РЖД. Причем ими часто заранее бронировались билеты на популярные направления, что иногда порождало ситуацию — в кассе РЖД на вокзале билетов нет, а в левой кассе есть.
Это вы в нагруженные дни на сапсан не пытались приобрести билет за два часа до отправления. В кассах билетов нет, но есть какие-то левые люди, у которых почему-то есть билеты с наценкой.
он может быть составным, и в этом случае правы оба источника.
А вообще, насколько я вижу, 325Э и 325Й — это разные маршруты, которые ходят через день. Один из Тынды, второй из Нерюнгери. Но, видимо, иногда их как-то объединяют, я перед праздниками встречал подобное на других направлениях.
Может (если это один раз), доехать на такси до Побожьево? Это 30 минут!
Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять подобные архивы нельзя, согласно статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации).
Не очень понимаю что противозаконного в скачивании и распространении этой информации? Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал. Разглашение коммерческой тайны тут тоже нет, ведь пользователь изначально не мог знать что информация ей является, да и к тому же вряд ли подписывал договор о неразглашении. Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?
Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
Не думай. Думаешь — не говори. Думаешь и говоришь — не пиши. Думаешь, говоришь и пишешь — не подписывай. Думаешь, говоришь, пишешь и подписываешь — не удивляйся.
Феликс Эдмундович Дзержинский
а к фильмам скачанным с торрентов эту логику можно применить?Нельзя. Потому что скачивая с торрентов вы ещё и раздаете, а это уже распространение. Даже если в настройках торрент-качалки/смотрелки указать «нулевую» раздачу, то что-то все равно утечет, а в данном случае
А вот смотреть и даже сохранять online видео из источников, не использующих торренты, в принципе не возбраняется, в т.ч и в той же Германии.
По его словам, основная проблема привлечения к ответственности конкретного пользователя – практически невозможно доказать факт, что нарушитель знал о нарушении авторских прав. Любой вправе обнародовать свое произведение и отказаться от взимания за него платы. «Большая часть населения даже не задумывается о том, что музыка, которая звучит из радиоприемника или фильм, воспроизводимый по телеканалу, платный. Платит за него радиостанция, телеканал и т. д., но пользователь не тратит ни рубля. В такой ситуации говорить о массовом привлечении к ответственности невозможно», – добавляет эксперт.
Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал
Это заблуждение, что публично доступная информация может быть вами использована на законном основании.
Попробуйте, скажем, в каком-нибудь копирастном деле отмазаться таким образом. Мол, нашли фотку знаменитости на доступном сайте в интернете и потому имеете право использовать её в рекламе своей фирмы.
Или нашли автомат Калашникова и решили тир устроить…
То есть самого факта кражи/взлома тут не будет, конечно.
Но будет другой факт не более законный — незаконное владение, незаконное использование, незаконное хранение…
Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?
1) Незнание закона не освобождает от наказания. А персональные данные довольно однозначно идентифицируются, что это именно они.
2) А вам зачем эта информация? Смотреть на неё и любоваться? Ну никому не говорите, что у вас это есть — и ничего вам не будет. А вот когда вы решите этой информацию поделиться или шантажировать или т.п. — вот тут то и начинается самое интересное.
нашли фотку знаменитости на доступном сайте в интернете и потому имеете право… ее разглядывать, сохранить, и даже распечатать и повесить например в туалете (не общественном!)
использовать её в рекламе своей фирмы.А вот это уже как минимум незаконное распространение, а то и незаконное использование.
А персональные данные довольно однозначно идентифицируются, что это именно они.Если вы зашли на страничку https://habr.com/ru/users/ то можете увидеть некоторые персональные данные юзверей. Например, у меня там реальная фотография, реальное имя и фамилия. У кого-то там могут быть указаны реальные телефоны, e-mail, и т.д. Но факт посещения вами этой странички ИМХО ещё не повод вас за это сажать.
когда вы решите этой информацией… шантажироватьА вот это уже «более другая» статья, независимо от того, как вы получили эту информацию, даже если вы владеете ей на законных основаниях, например опознав на опубликованной фотографии своего знакомого, скрывшегося с места ДТП.
Что-то вы тут все в одно намешали. Владение автоматом Калашникова это статья за незаконное хранение оружия, а вот в фильмах есть совершенно точно информация о правообладателях(копирайт)
Даже с точки зрения здравого смысла — скачать себе можно, делать доступными другим файлы скачанные из интернета (или с диска найденного на дороге) в общем случае нельзя — на вас ложится ответственность проверки источника и имеющихся прав на распространение. Или проще — факт владения информацией не обязательно обеспечивает право её передавать кому угодно.
Незаконного доступа или взлома не было
Для квалификации по ч. 1 ст. 272 УК РФ достаточно факта неправомерного доступа с копированием информации.
Неправомерный доступ к компьютерной информации — это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации.
По-хорошему бы надо коллективный иск к РЖД подать, с требованием компенсации. Тогда сразу зашевелятся. Но в нашей стране это малоперспективно.
Хм, чтобы понять, что мои ПД утекли, получается, мне надо скачать эту базу и проверить там себя...
в целом — да. Подавать на нарушение ФЗ-152 (режим хранения ПД)
Я так понимаю ответственность у того, кто распространяет, а не скачивает. Если скачали не торрентом и проверили только себя и удалили — вопросов быть не должно. В конце концов, иногда чужие данные можно получить ненарочно по чужой ошибке (на тезку, например).
А почему Битрикс для хранения паролей по умолчанию, насколько я понял из статьи, до сих пор использует md5?
А в чем проблема? Вы научились ломать подсоленный md5?
2/3 паролей подбираются за часы и дни.
Конкретно в битриксе вот так (или было недавно так)
// arUser - из БД, arParams - введённые параметры авторизации
$salt = substr($arUser["PASSWORD"], 0, strlen($arUser["PASSWORD"]) - 32);
$db_password = substr($arUser["PASSWORD"], -32);
$user_password = md5($salt.$arParams["PASSWORD"]);
if($db_password === $user_password) {
/// авторизовать пользователя
}
То есть пресловутая соль тупо лежит в базе данных. Тут даже думать ничего не надо, доли секунд для брута 6-7 значных паролей. То есть я понимаю и все понимают, какой битрикс из себя устроен, но маркетинг делает своё дело. И фразы «Вы научились ломать подсоленный md5?» тоже. Не надо так, соль соли рознь.
Такое можно защитить штукой под названием pepper, которая не должна лежать в базе (идеально — в ENV, например в nginx/docker, в любом месте, отличном от папки с кодом сайта, чтобы при утечке И кода И базы всё равно брут был бы нереально долгим). Но всё равно если есть доступ к выполнению кода, оно обходится. Благо такое происходит реже чем простая утечка БД.
foreach(HASHES_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD)==HASH_FROM_DB)){
//...
}
}
}
превращается в
foreach(HASHES_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD + SALT_FROM_DB)==HASH_FROM_DB)){
//...
}
}
}
То есть время брута не уменьшается и не увеличивается. Единственное, где оно может помочь — если в базе пароль «123456» встречается три раза, то не получится его закешировать, и каждый «123456» надо будет брутить дважды.
Плюс существующие базы md5 и rainbow таблицы тоже уже не помогают, но нынче они толком и не нужны, спасибо видеокартам.
Но
Вы научились ломать подсоленный md5
вот это не имеет смысла. А вот с pepper-ом можно было бы даже остаться на md5. Не очень хорошо, но терпимо.
Претензии к нему в плане md5.
Безусловно, Вы правы. В идеале это password_hash + pepper.
У алгоритмов PBKDF2 и Argon2 имеют проблему в скорости выполнения, при потенциально большой загрузке (например начался онлайн экзамен, 60 студентов одновременно пошли логиниться) — это может завалить сервер, если он один. Но в некоторых кейсах разумеется такой путь имеет место быть
Ваш код предполагает, что соль одинаковая. Но никто не мешает делать соль рандомной для каждой записи в БД.
Почему? Будет не код приведенный выше, а
foreach(HASHES_FROM_DB, SALTS_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD + SALT_FROM_DB)==HASH_FROM_DB)){
//...
}
}
}
Вопрос именно в хранении в базе или отдельно. Или я недопонял?
foreach(HASHES_FROM_DB, SALTS_FROM_DB){
И вот так, лёгким движением руки, мы превратили O(n) в O(n^2) (не считая непосредственно перебора паролей). А также сделали бесполезным использование rainbow-таблиц, потому что в случае постоянной соли можно один раз рассчитать таблицу, и значительную часть паролей (распространённых) даже брутить не надо будет.
Радужные таблицы уже и так никто не использует.
Даже в презентации одной их техник перебора от 2014 года (https://hashcat.net/events/p14-trondheim/prince-attack.pdf) они перечислены в разделе устаревших методов.
Потому что пробрутфорсить эту значительную часть паролей в настоящее время можно гораздо быстрее, чем сгенерировать или скачать с интернета таблицы. При этом таблицы подходят только для коротких паролей — уже для 10-символьных они имеют невменяемый объем.
На каждый хэш приходится только одна соль, поэтому трудоемкость остается той же.
Да, действительно, это я затупил, извиняюсь. Сложность полного перебора действительно не меняется.Я подумал, что спор выше идёт о «единая соль на все пароли vs. индивидуальная соль для каждого». И, видимо, задумался о радужных таблицах, откуда у меня в голове и возникло увеличение сложности для индивидуальных солей.
История та же самая. Если нет соли, то пароль 111 имеет хеш 68f1927d51ddd7b49c381c7c7d006b813565e3b95f09136cdfc96f529a352a4e для сотен людей сразу.
Если есть соль, то возможно будет просто-напросто сбрутфорсить. Благо, SHA-3 очень быстрый, это скорее в минус, нежели в плюс. Я уже молчу про аппаратные реализации.
А вот если есть pepper, то уже неважно - у нас SHA-3 или md5.
А если pepper+Argon2, то вся эта история уже невозможна для взлома (при условии что утекла база, а не секреты).
База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома
Какая же это попытка, когда БД удачно скачана и уже доступна на всяких форумах. Это успех, а значит не попытка.
Если сказать "был взлом" — это равносильно признанию вины.
А если сказать "попытка взлома" — то как бы взлома-то и не было, была попытка, а значит, Ответственные Лица не виноваты.
Попытка взлома не удалась, поэтому данные отдали просто так)
Какая же это попытка
Удачная попытка.
Кэп.
А не так, сотрудника уволили? Уволили. А доступ к VPN, VDI, и прочим системам работает :)
Поэтому системы должны блокировать УЗ, АУЗ, КУЗ уволенных сотрудников на следующий день (в полночь) после увольнения.
не в полночь, а в момент регистрации заявления в кадровой системе, иначе еще остается полдня на всякие злодейства (смеюсь). Но даже обнуление в полночь — это уже лучше, чем ничего
ТУЗы тоже хорошо перетряхивать при помощи PAM'ов, если ими можно воспользоваться снаружи.
только не PAM'ов, а IdM. Здесь тогда основная опасность — понять КАКИМИ именно ТУЗами (СпУЗ) обладал и мог пользоваться уволенный сотрудник, не пропустить нужные, а сбросить пароли на всех
Спасибо!
Пока вижу что они обезличены :)
Уже нет канала :-/
mig126
Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
Феликс Эдмундович Дзержинский
Достоверность этой атрибуции — под сомнением, нет прямого первоисточника. Либо «это же все знают», или отсылка к непроверяемому пересказу пересказа.
а хеши брутятся на разПри коротких и словарных паролях, наверное? Что-то вроде
HFSyo4n4r*qvEF!jA|gXUqx"?yUqrJ\q
всё равно непросто сбрутить.один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль
один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль
Можете объяснить процесс вкратце?
ru.wikipedia.org/wiki/%D0%A0%D0%B0%D0%B4%D1%83%D0%B6%D0%BD%D0%B0%D1%8F_%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0
Если кратко и на пальцах, то это таблица всех возможных хэшей и паролей, оптимизированная для поиска.
Готовые таблицы лежат в сети.
К примеру, для паролей длиной не более 8 символов, состоящих из букв, цифр и специальных символов !@#$%^&*()-_+=, захешированных алгоритмом MD5, могут быть сгенерированы таблицы со следующими параметрами:
длина цепочки — 1400
количество цепочек — 50 000 000
количество таблиц — 800
При этом вероятность нахождения пароля с помощью данных таблиц составит 0,7542 (75,42 %), сами таблицы займут 596 ГиБ, генерация их на компьютере уровня Пентиум-3 1 ГГц займёт 3 года, а поиск 1 пароля по готовым таблицам — не более 22 минут.
Однако процесс генерации таблиц возможно распараллелить, например, расчёт одной таблицы с вышеприведёнными параметрами занимает примерно 33 часа. В таком случае, если в нашем распоряжении есть 100 компьютеров, все таблицы можно сгенерировать через 11 суток.
К сожалению, если пресловутый файл был отдан напрямую nginx-ом, битрикс этого не увидит физически, и будет упрямо сообщать, что попытки взлома были, и все они прекращены. Кроме этого, любой мало мальски популярный сайт будет сотню раз просканен всякого рода программами — прощупывателями, и любой мало-мальски популярный сайт на битриксе будет пестрить фактами «попытка взлома».
Фактически вероятнее всего никто в следком (или куда там) не напишет никакое заявление, поэтому дела против юрлица не будет, а вот против какого-либо физлица — ещё как может быть (уже по статьям халатность или что то в этом роде).
Злоумышленникам удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей
Это потому что злоумышленникам больше ничего не нужно было.
Остальные файлы до сих пор доступны по прямым ссылкам.
Какие файлы? Те, что обычно лежат в хомяке пользователя: .bash* и .ssh/*
Вот так система, кхм, безопасности предотвратила, кхм, доступ.
Это фиаско, братаны. Урок вам: не делайте корень сайта в хомяке юзера с шеллом.
И не надо лицемерно писать, что «это была попытка взлома». Никакой «попытки взлома» там и отдаленно не было.
Скорее всего, произошло примерно следующее:
1. Сисадмины выдали учетку вебмастеру и в конфиге веб-сервера натравили корень сайта на домашний каталог вебмастера. Как вариант: создали учетку веб-мастеру с указанием домашнего каталога в корне уже существующего веб-сервера.
2. Вебмастер «не осилил» настройку .htaccess (ну или какой там вебсервер использовался), чтобы запретить отдачу вебсервером файлов, начинающихся с точки.
3. Пользователи Интернета, наткнувшиеся на доступность SSH-ключей (в статье про это сказано как «а также приватный ключ RSA») rzd-bonus.ru/.ssh/id_rsa.pub rzd-bonus.ru/.ssh/id_rsa — очень быстро расковыряли и всё остальное. «Остальным», видимо, оказался прежде всего .bash_history из которого были почерпнуты пути к другим файлам.
То есть, РЖД (точнее, Федеральная пассажирская компания) сами, добровольно, без всяких принуждений выложили в свободный доступ служебную информацию их сайта.
А теперь визжат о «попытке взлома».
Наткнуться на доступность файлов, лежащих в домашней директории, более вероятно. Видимо, в бесчисленных сканерах есть и такая проверка, хотя ума не приложу, как можно догадаться сделать домашний каталог корнем сайта. Если б я был автором такого сканера, у меня бы не хватило на это фантазии :))
Ржб бонус не равно ржд, учитывая море юрлиц в этой госкомпании. Поэтому тут предьявлять ещё и не понятно кому за решето в ит- системах
Смешное, браузер не может загрузить страницу. Мои полномочия всё…
Видимо все полезли менять пароль и оно упало.
В этой ситуации пожалуй радует, что много граждан не пренебрегают такого рода рекомендациями.
Эти ребята сначала запрашивают при регистрации гору ненужной информации, включая паспортные данные. Это всего лишь бонусная программа, почему бы просто не использовать основной аккаунт РЖД или просто дать уникальный номер карты и вход по этому номеру с паролем. Я все равно буду использовать её только при покупке билета на РЖД, который уже по меня знает всё (зачем-то).
Потом они самым глупым образом потеряли всю эту базу пользователей.
Потом они всем сразу направили письмо с просьбой сменить пароль. И заддосили свой же сайт.
В словаре напротив "идиоты" должен стоять логотип РЖД.
включая паспортные данные
Там фишка в том, что
- бонус можно получать и без аккаунта ржд, по данным билета, поэтому нужны данные паспорта
- бонус начисляется на конкретного человека, тогда как аккаунт ржд позволяет купить на других людей
Так что «зачем», я понимаю, но предпочел бы госуслуги прилинкованые, конечно.
Сейчас Вы ещё обнаружите, что эти поездки уже вбить нельзя.
Там вообще вся программа построена так, что бы с максимальной долей вероятности бонус не получить.
В итоге возможность доступа к учётке просто потеряна сейчас. Спасибо РДЖ. Это просто уже какая-то квинтэссенция идиотизма.
upd: Контрольный вопрос там таки был. Просто я из прошлого был ещё не столь умён как я нынешний и на вопрос типа «Модель первого автомобиля» отвечал ещё настоящим ответом, а не типа «JHU)&Y&*».
[Обновлено на 14:40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома