Просмотров: 13063

Против россиянского взлома нет приема


Как многие заметили, писать стал реже — не вижу особого смысла. Как мне кажется, по части местных мрачных дел всё уже понятно большинству, а «кто не понял — тот поймёт». Рунет обречен, идет неспешная и деловитая утилизация проекта. Людям в фуражках нужно какое-то время, чтобы разобраться в диковинном для них хозяйстве из проводов и серверов. С этим всё понятно, но вот на чем я хотел бы остановиться, пока интернет работает — на деталях этого процесса угасания.

Многие видели в последнее время множество личных нападок на Михаила Касьянова, в том числе видео с его лицом в центре перекрестия прицела. Тем более интересно посмотреть на возможности пацанов, которые буквально на днях взломали ИТ-составляющую его политической структуры, поломав сайт партии Парнас и выложив базу данных проголосовавших в открытый доступ. Я опускаю все политические подтексты и перипетии, связанные с праймариз партии Парнас (кому интересно, со всем этим можно ознакомиться вот здесь или ещё там), здесь меня интересует лишь пассивное и удаленное наблюдение за возможностями пацанов, которые деловито так осваивают интернет-просторы русскоязычной сети. А возможности у них такие, что их хорошо бы учитывать всем другим.

К примеру, вы завели себе почтовый ящик на gmail.com и думаете теперь, что Гугл не выдаст вашу переписку (и потому она в безопасности и приватности). С недавних пор это уже не так — с точки зрения приватности, теперь почта гугла, это такой же местный провайдер почты, как и mail.ru, и никакой санкции заморских гуглеров на чтение вашей почты для пацанов теперь не нужно, ведь физически всё храниться будет здесь. А помните, я писал о модели из условных трёх уровней приватности в своих постах Маркетологи в штатском или почему crypto суксь и Почему наша приватность обречена — вот эта модель здесь в действии и есть. Только с этой точки зрения и можно понять, что сегодня в этих-ваших-рунетах и происходит (попутно с учетом понятого сделать поправки в свои повседневные сетевые практики).

Но ещё раз — оставим политический аспект в покое, под катом краткие пояснения технарей «Парнаса» о технической сути случившегося. Определенно, есть над чем подумать.

Почему наша приватность обречена безопасность анонимность взлом

Против взлома нет приема

Фактически весь пост — это набор цитат. Тут излишне добавлять что-то от себя. И первая цитата взята отсюда:

По поводу взлома.

Как мы все знаем персональные данные теперь нельзя хранить заграницей, в противном случае будет нарушен федеральный закон. Зачем был принят этот закон, я думаю, всем понятно теперь наглядно. Не нужны никакие хакеры, когда можно просто прийти к хостеру/провайдеру и просто получить физический доступ к серверу показав ему красную корочку с надписью из трёх букв.

Пароли не хранились в открытом виде и никуда не записывались (хранится только хеш по требованиям информационной безопасности, но даже имея хеш нельзя получить оригинал пароля).

Следовательно, даже имея доступ к базе данных нельзя получить пароли в открытом виде, но тем не менее мы их видим.

Это значит, что они были перехвачены до момента записи в БД на промежуточном сервере, где балансируется нагрузка. Там они вынужденно хранятся короткое время в открытом виде в памяти сервера. Это можно сделать только имея физический доступ к памяти сервера (так как на диск это информация не попадает).

Таким же образом мог быть перехвачен пароль доступа оператора технической поддержки, что дало возможность опубликовать файл с личными данными части избирателей на сервере.

В условиях тотальной информационной слежки, вся суть IT безопасности сводится к тому чтобы держать сервера за границей. Вспомним недавний слив аккаунтов mail.ru, yandex.ru, российского google и недавний скандал с telegram и МТС.

Совершенно не понимаю, что имеет в виду Волков, когда пишет о дискредитации идеи электронной демократии. Дело-то не в идеи, а в условиях технической реализации этой идеи.

Почему наша приватность обречена безопасность анонимность взлом парнас касьянов шутка
Как страшно жить...

Гремучая смесь обстоятельств

Далее цитата, взятая вот отсюда:

Делаю предварительный вывод о том, что слив базы праймериз «Парнаса» — это именно совокупность действий злоумышленников и профнепригодности админов/программистов и менеджеров «Парнас».

Наблюдения:
  1. Файл database.xslx выглядит скорее не как дамп базы данных, а как данные, скомпилированные из некого иного источника. Например, как логи попыток авторизации, дополненные данными из базы данных. Свидетельство тому — колонка «пароли через пробел». Как известно, в таблице пользователей никто не хранит сразу несколько паролей, и нет обычной практики сохранять неправильно введенные пароли. А тут тупо сохранены все вводимые пароли, в том числе неправильные.
  2. Файл датирован 2016-05-26 23:45:35 (UTC) — то есть, создан за несколько дней до слива. Это говорит о крайне малой вероятности того, что администрация сайта выложила этот файл в открытый доступ по ошибке (вместо другого файла). Да и нет никакого разумного объяснения выкладывать некую «резервную» копию на какой-то файлообменник.
  3. Пароли в базе данных скорее всего были все же хешированы. Иначе, в database.xslx не было нужды выкладывать список «паролей через пробел», когда можно было выложить именно те пароли, которые есть в базе.
  4. Сайт Парнаса висит на IP 94.250.251.127. Если пошариться по соседним IP, то можно увидеть, что сайт размещен скорее всего на шареном хостинге ценой в условные 300 рублей в месяц, а вовсе не на собственном сервере.
  5. Самое печальное подтверждение этому в том, что вот она — панель ISPmanager, доступная по ссылке https://volna.parnasparty.ru:1500/ispmgr
  6. А это означает только одно — хостинг действительно шареный! Сайт праймериз висел и до сих пор висит на одном сервере с сотнями других сайтов и пользователей! Это даже не виртуалка, которая хотя бы логически изолирована!!! Это шареный хостинг, где все разграничения — лишь на уровне прав доступа пользователей!
  7. Сайт не только размещен в доменной зоне Ru (и может быть отключен в любой момент со стороны), но и хостится прямо в Москве у крупного хостера ISPserver.ru, к которому может зайти любой опер, открыв казенным сапогом дверь в их TIER 3.

Таким образом, можно предположить три варианта, с помощью которых были стырены данные и опубликована «новость»:

    А) Данные, представленные в распространенном database.xslx, слиты либо через прямой доступ к файлам сайта, либо через закладки, которые для специалистов (в этой сфере) часто не составляет особого труда установить при наличии доступа на сервер под другим непривилегированным пользователем.

    Б) Со стороны провайдера так же не представляло никакой сложности получить доступ ко всем этим данным в любой момент времени и совершенно не привлекая к себе внимания админов сайта. Либо прослушиванием трафика, либо прямым доступом к данным на диске. ИМХО, это наиболее вероятная версия. Таки лавры МТС кому-то никак не дают покоя.

    В) Либо третий вариант. Трафик был прослушан и расшифрован спецслужбами. Приватный ключ к SSL сертификату мог быть украден при совсем недавнем взломе сайта Парнас. Так как срок действия SSL-сертификата на *.parnasparty.ru с 05.07.2015 по 07.07.2016 г., то это говорит о том, что приватный ключ мог не меняться.

Отсюда делаю следующий вывод:

Учитывая, что помимо похищения персональных данных, была размещена еще и «новость» вместе с файлом данных, то варианты Б и В я почти исключаю, ибо вариант В не предполагает доступа к содержимому сайта, а вариант Б маловероятен, так как просить провайдера вносить изменения в содержимое данных клиента — это палево ещё то.

Наиболее реалистичный вариант — это А. То есть вариант, при котором доступ к содержимому сайта «Парнас» был получен через взлом (либо несанкционированное использование реквизитов доступа, похищенных иным образом) со стороны другого пользователя того же шареного сервера (хостинга).

От себя добавлю, что как по мне, наиболее реалистичный вариант — это сочетание А и Б, где хостинг-провайдер дает доступ, а те-кому-надо делают уже всю грязную работу под прикрытием легенды повседневного взлома. Подобные гибридные спайки сейчас стали фактически стандартом де-факто для ведения обезличенной прокси-войны со стороны государств.

Б — Безопасность

И ещё цитата, это третья и заключительная реплика.

Всем у кого засвечена почта и другие аккаунты, которые привязана к мобильному. Даже если ваша почта и за пределами РФ.

В ближайшее время все ваши аккаунты могут взломать по уже накатанной схеме.

Отправляют запрос на восстановление пароля. Сообщение отправляется по СМС, но не доходит, а перехватывается оператором по запросу спецслужб. Теперь ваша переписка уже не ваша, а, возможно, даже часть уголовного дела.

По состоянию на данный момент —

А пока сайт висит, на моём блоге музыкальная пауза:

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , , ,
Эта запись опубликована: Понедельник, 30 мая 2016 в рубрике МненияИстории.

5 комментариев

Следите за комментариями по RSS
  1. Сугроб Эмомали Микробов

    Не вдавался в детали, таких локальных событий повидал немало. Это еще одно. Когда будут сделаны выводы - тогда, возможно, почитаю разбор полетов.

    Спасение утопающих, понимаете ли. Б - это не только Безопасность. Это и безалаберность, баловство, бесы, бедолаги, бараны и т.д.

    А вот и музыкальная пауза, ближе к реалиям 2016, когда тянет тупо поржать над брыканием системных идиотов, которые уже прошли точку невозврата, живя в своём богемно-олигархическом военно-скрепно-духовномъ манямирке.

    https://www.youtube.com/watch?v=YWuaD1Sr-Lo

    Давайте выпьем же, музшчины, а!?

    А Вы, Игорь, все стращаете, пужаете и продолжаете сгущать краски? Тренд Рунета очевиден, тем не менее, регулятор пытается регулировать априори нерегулируемое.

    Каждый, кто хочет иметь хотя бы сетевую безопасность, может спокойно её себе обеспечить. То же самое касается и остального. Раз уж довелось жить в диком подобии государства, то надо понимать его принципы. Если оказаться в лесу, то каждый знает, нужны навыки, не надо жрать грыбочки, надо уметь ориентироваться и т. п., нужно уметь разжигать не только межнациональную рознь, но и костёр, тогда можно избежать многих проблем.

    Так и в отношениях "гражданин - государство". С шулером не надо играть в карты.

    Если сравнить с шахматами, то анон играет белыми. Другое дело, что оппонет не играет, он не умеет играть, он даже ходы не умеет делать, а пытается менять фигуры, швыряться ими или еще чего вытворять с доской, создавая и меняя свои правила по ходу игры. У гос-ва Ладья может ходить как угодно, как хочет гос-во. У анона Ладья и все остальные фигуры давно приравнены к пешке.

    На этом фоне в глазах гос-ва все гражадане - терпилы. Можно кивнуть, и скатиться к классике: вы делаете вид что платите, мы делаем вид, что работаем. Не гос-во, имтация всего и вся. В 21 веке, думаю, такие огрызки феодальных укладов обречены. Хотя умом эту страну не понять, тут возможно все, тем не менее, я вижу бессилие гос-ва, а не его силу.

    Ну вы держитесь там, вам всего доброго, хорошего настроения и DDoSвиданья.

  2. Сугроб Эмомали Микробов

    Пардон, что сразу не запостил, хотя у Слепака все песни такие, lol.

    https://www.youtube.com/watch?v=WRlhxKDCUc8

  3. Цитата: "видео с его лицом в центре перекрестия прицела"

    На самом деле: с перекрестием прицела в центре его лица".

  4. Алексашка

    Забавно, мишку2% "технично" отмазывают, смешно! ))

  5. Не понимаю, что люди находят в этих госдеповский шестёрках...

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз