tt
bes oday
  Лучшее в блогах
Сюжеты Афиша
Посты дня Репортажи дня Тексты дня Видео дня Фото дня
Умерла Инна Чурикова
15.01 число просмотров 7702 число записей 5
 
Закон для негодяев
15.01 число просмотров 10970 число записей 4
 
Прощай, Макдональдс!
10.03 число просмотров 6929 число записей 3
 
Бедная Камила
12.02 число просмотров 5673 число записей 4
 
Чеченские угрозы
3.02 число просмотров 6860 число записей 10
 
все записи
Реклама
Подождите.
Самое читаемое
Прислать свою ссылку
все котики дня
Как взломать правительство РФ: пошаговая инструкция
Как взломать правительство РФ: пошаговая инструкция число просмотров
dolboeb
 
 Почитал фрагмент переписки одного из наших недавно взломанных госдеятелей.
Медведев и Йотафон
Пытался проверить своё изначальное предположение, что причиной взлома послужило банальное разгильдяйство и техническое невежество обслуживающего персонала.

Выяснилось ровно то, что я и предполагал. Пароли от блогов госдеятеля не защищены никакими самыми общедоступными способами дополнительной авторизации (вроде подтверждения входа по СМС). Пароли известны очень широкому кругу сотрудников пресс-службы. Эти сотрудники не отличаются повышенной технической грамотностью, и не имеют никакой должностной инструкции, которая бы обязывала их, например, использовать шифрование при отправке служебной корреспонденции, не пересылать пароли от аккаунтов в открытом виде, и не пользоваться публичными файлопомойками для обмена конфиденциальной информацией. Им даже никто не предписал использовать один на всех, общий почтовый сервис, которым мог бы быть тот же, например, Gmail или Яндекс.Почта, но в собственном домене, одном для всех, с единой политикой безопасности.

Вот как выглядит шапка письма, внутри которого пересылается пост госдеятеля ему на утверждение — и, на всякий случай, пароль от блога пересылается в том же письме.
Переписка
То есть алгоритм работы над постом был такой.
Сперва некий сотрудник (условно: райтер) пишет текст и подбирает к нему иллюстрации. Или наоборот, он монтирует видео, и придумывает к нему подпись.
Дальше он должен отправить своё творчество вышестоящему работнику (условно: редактору).
Для этого он сохраняет текст и видео в разные файлы, закрывает их в архив RAR размером 211МБ, и выкладывает этот RAR в открытый доступ на файловый хостинг RedPost компании МТС (где райтер залогинен под своим адресом Gmail).
Сопроводительную записку с паролем от блога и своим билайновским номером мобильника он оставляет на том же хостинге. В качестве адресата указывает почтовый ящик редактора на Mail.Ru.
В скриншоте — шапка уведомления уже от робота RedPost, о том, что адресату (редактору) стал доступен некий RAR, выложенный на сервере до востребования.
Получив уведомление, редактор не прикасается ни к файлу, ни к письму, а жмёт на Forward, и пересылает публичную ссылку от робота (с запиской от райтера внутри) своему руководителю (условно: главе пресс-службы) на ящик Gmail. 
После этого глава пресс-службы, тоже ни к чему не прикасаясь, жмёт на Forward и пересылает всю цепочку (письмо райтера, письмо от робота, форвард от редактора) уже своему начальству — тому самому госдеятелю на Яндекс.почту. При этом явно подразумевается, что госдеятель сам скачает RAR с хостинга RedPost, разархивирует его на своём Макбуке, посмотрит видео, одобрит текстовую подпись, а дальше — на выбор. Либо сам зайдёт в свой блог по прилагающемуся паролю и опубликует, либо даст отмашку главе пресс-службы, и команда на публикацию отправится обратным ходом — с Яндекса на Gmail, оттуда на Mail.Ru, оттуда снова на Gmail.

Кому-то эта технологическая цепочка может показаться сложной для понимания. Но её и не нужно понимать. Принцип функционирования институтов, которые в 2014 году так работают с файлами, описан в Законе Паркинсона за 40 лет до появления первой веб-почты. Вопрос в другом.

Как я и предполагал, пароль от блога имелся у неограниченного круга лиц, каждое из которых обращалось с этой информацией вполне небрежно. То есть очень велика (порядка 100%) вероятность, что пароль от аккаунта увели совершенно случайно, в ходе банальной фишинговой атаки, среди целей которой не было никаких госдеятелей, а были обычные лохи, кликающие на ссылки и аттачменты без разбора. После чего организатор атаки получил доступ к куче аккаунтов в почтовых сервисах, платёжных системах, онлайн-банкинге и т.п. А тут вдруг приплыл бесплатный бонус в виде пароля от самого популярного русскоязычного микроблога — грех не порезвиться. И порезвились, целых 55 минут. Из чего делаем вывод, что даже такая минимальная защита, как уведомление о новых логинах с незнакомых адресов и клиентов, не сработала. То есть она либо не была активирована вовсе, либо она была привязана к телефонному номеру, владелец которого в тот момент спал, принимал душ, жил личной жизнью.

Остаётся последний вопрос: почему я не верю, что в Твиттере госдеятеля порезвился сам b0ltai, он же «Анонимный Интернационал». А вот ровно потому и не верю, что слежу за их деятельностью. Тот доступ к почте, который они используют для публикации чиновничьей переписки, уже сто раз можно было использовать для дефейса публичных аккаунтов в соцсетях. Но они никогда этого не делали. И если б им вдруг показалось, что в честь данного конкретного госдеятеля они хотят изменить традиции, то они бы, уверяю вас, нашли способ порезвиться от души в его Твиттере. Опубликовать там не пять, а пять тысяч сообщений. Пропиарить свои разоблачения прямыми ссылками. Сделать так, чтобы пресс-служба потратила не 55 минут, а 55 часов на разгребание «левых» твитов.

b0ltai использовал инфоповод со взломом Твиттера на полную катушку, за что честь ему и хвала. Никогда ещё педерасты из ФСО не были так близко к признанию, что в их штат берут только пассивных. 

Но по факту самого взлома я уверен, что всемогущества b0ltai тут банально не требовалось. Просто пароль от аккаунта полоскался на ветру. Его нельзя было не проебать — и его банально проебали.

Терпеливым пользователям, дочитавшим до этого места, в утешение могу предложить несколько красивых фоток, всплывших во взломанной переписке. Вот, например, вид на Киевский вокзал и Москву-Сити с вертолёта:
Москва Сити
Или вот ещё Поклонная гора:
Поклонная гора
В какой-нибудь Венеции или Америке, чтобы такую фотографию сделать, нужно целых 160 долларов вертолётчику за проезд заплатить (в Катманду ещё самолёт для этой цели используют, но те же $160). 
Венеция с вертолёта
А в России ФСО не даст никакому вертолётчику возить туристов над ближней дачей Сталина. Зато у нас любой желающий может взломать аккаунт госдеятеля, и тут уж никакая ФСО не помешает. Потому что вся тема защиты персональных данных отдана в России на откуп жуликам и ворам. Которые жульничать и воровать умеют отлично, а вот защищать персональные данные — увы.
 
Обсудить в блоге автора
 

Сюжет по теме
Взломанное правительство Взломанное правительство
число просмотров число постов
Твиттер Дмитрия Медведева был взломан на протяжении часа. Аккаунт премьер-министра объявил, что ему стыдно за действия правительства, он уходит в отставку и станет свободным фотографом. Ответственность за взлом взял на себя блогер Шалтай-Болтай, пресс-секретарь Анонимного интернационала
Такой хоккейн нам не нужен
  
Такой хоккейн нам не нужен Во время матча между соперниками произошла массовая драка. Только вместо обычного для таких историй пятиминутного штрафа, некоторые игроки получили заключение в СИЗО
 
Я жива. Я дышу. Я выбралась из Крокуса
  
Я жива. Я дышу. Я выбралась из Крокуса Да, в списках я - Казинская Елена Александровна
 
Этот пост для тех, кто умеет системно думать, размышлять, критически мыслить
  
Этот пост для тех, кто умеет системно думать, размышлять, критически мыслить Какая цель была у терористов? Какие были требования? Ни один теракт не проходил без выдвижения требований и без цели.
 
Что-то у них не вяжется
  
Что-то у них не вяжется В моей голове не вяжутся две картинки: вечерняя от 22 марта и дневная от 23 марта
 
Смертная казнь - как отвлечение от проблем
  
Смертная казнь - как отвлечение от проблем Смертная казнь в недостроенном государстве может привести к ужасным последствиям
 
все записи
13 лет за мошенничество якобы за «блок на негатив»
  
13 лет за мошенничество якобы за «блок на негатив» Блок на негатив - тема, которой промышляли многие раскрученные каналы. Тут коса на камень нашла только потому, что были затронуты интересы очень крупного бизнесмена, если не сказать, олигарха? И это его люди порешали вопросики
 
"Мертвый ёжик", может быть, просто уснул
  
"Мертвый ёжик", может быть, просто уснул Если вы нашли "мертвого" ежа в холодные месяцы, не хороните его, не выбрасывайте в мусорное ведро...
 
Что не так с системой поддержки "единорогов"
  
Что не так с системой поддержки "единорогов" Я развёрнуто и на полном серьезе готов помочь всем интересующимся темой поддержки «единорогов» советом о том, что не так с нашими «единорогами». Совет можно получить по адресу г. Москва, Лефортовский Вал, д. 5 а/я 201, ФКУ СИЗО-2
 
Рост числа политзаключенных как новая проблема для ФСИН
  
Рост числа политзаключенных как новая проблема для ФСИН В силу специфики этой категории и роста её численности она становится уже не частной проблемой каждого СИЗО или ИК, а системной проблемой властей. То есть такой проблемой, на которую необходимо реагировать
 
Особенности предвыборного сезона 2023 в Москве
  
Особенности предвыборного сезона 2023 в Москве Небольшой аналитический доклад в четырёх частях о том, какие политические силы примут участие в выборах, какие у них сильные и слабые стороны
 
" Умер комментатор Василий Уткин. Сложный, понтовитый, с гонором и прекрасным русским языком. Он такой был один "
" Главный разведчик страны, глава СВР Нарышкин как-то хреново готов к допросам. Расколется на первом же. Больно смотреть "
" Нечастое зрелище подарили нам члены Совета безопасности РФ – круговая порука в прямом эфире. Завтра покажут художественное кино «Военторг наделяет международной правосубъектностью своих клиентов». "
" Посмотрела 1:16 из двух с лишним часов Don’t Look Up и должна сказать, что пока это самый страшный из всех фильмов ужасов, которые я видела в жизни. "
" Получение Нобелевской премии вносит Муратова в реестр иноагентов? "
" Этот арест ведь - открытое признание вины в попытке убийства. Неужто они сами не догоняют? Или нарочно? «Мы и убили-с». "
все записи
Как убежать из Северной Кореи
 
Как убежать из Северной Кореи Как жители КНДР перебираются в Китай и Южную Корею, кто эти люди, и на что они могут рассчитывать
Цена материнства: как рождение ребенка влияет на время, деньги и карьеру женщины
 
Цена материнства: как рождение ребенка влияет на время, деньги и карьеру женщины Цена материнства измеряется не только в деньгах, но и во времени, статусе, эмоциях, здоровье. Forbes Woman разбирается в экономике родительства
все записи
Арест адвокатов
Арест адвокатов
13 октября 2023 года Басманный суд арестовал трое защитников Алексея Навального — Вадима Кобзева, Алексея Липцера и Игоря Сергунина.
все записи
"Гардемарины, 1787. Мир"
"Гардемарины, 1787. Мир"
На экраны вышел фильм "Гардемарины, 1787. Мир", который уже назвали "государственной пропагандистской халтурой".
все записи
Умер Градский
Умер Градский
После перенесенного коронавируса и инсульта скончался Александр Градский. Блогеры рассказывают истории знакомства и дружбы с ним.
все записи
Русский Нобель
Русский Нобель
Нобелевскую премию мира 2021 года получили журналисты - главный редактор российской "Новой газеты" Дмитрий Муратов и основательница филиппинского издания Rappler Мария Ресса за их "усилия по защите свободы слова и самовыражения, что является основополагающим условием для демократии и прочного мира". Итоги премии раскололи российских блогеров.
все записи
"Сфумато"
"Сфумато"
Вышел из печати роман Алексея Федярова "Сфумато" - антиутопия, в которой описываются события, происходящие на территории нынешней России в 2025 году. Книга полна мрачных прогнозов и узнаваемых персонажей.
все записи
BestToday
АПН Северо-Запад Новая газета
Правда Беслана Election2012