dr.teeth

dr.teeth

пикабушник
поставил 29596 плюсов и 11738 минусов
отредактировал 0 постов
проголосовал за 0 редактирований
59К рейтинг 15 подписчиков 136 комментариев 72 поста 34 в "горячем"
7058

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер.

Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.
Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).


Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.


5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.


После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр

Показать полностью 1
0

Минкульт сдвинул «Приключения Паддингтона 2» на две недели всего за день до старта проката

Участники рынка считают, что решение связано с поддержкой фильма «Скиф».

«Приключения Паддингтона 2» должны были выйти в прокат РФ 18 января, однако Минкульт в последний момент выдал картине прокатное удостоверение с датой 1 февраля. Фактически ведомство решило за компанию «Вольга», когда ей показывать её фильм.


По мнению анонимного собеседника «Коммерсанта», скорее всего, Минкульт решил поддержать российскую картину «Скиф», также выходящую 18 января. Но это не может быть единственной причиной — так как историческая драма стоит на этой дате уже «три месяца».


Судя по всему, Минкульт также поддерживает спортивную драму «Движение вверх», ставшую самым кассовым российским фильмом в истории и не сбавляющую оборотов. Картина имеет все шансы пройти отметку в 2 миллиарда рублей.


Источник DTF


Перед вами постеры с  тремя фильмами:

Минкульт сдвинул «Приключения Паддингтона 2» на две недели всего за день до старта проката Министерство культуры, Фильмы, Российское кино, Вредительство, Конкуренция, Ярость, Dtf

Интересно, в Минкульте серьёзно считают, что аудитория этих фильмов хоть как-то серьёзно пересекается и стоит вводить такие неожиданные ограничения для фильма? Вопрос наверное риторический...

6

Первый канал и «Россия 1» практически проигнорировали поножовщину в школе Перми

Инциденту посвятили только четыре минуты экранного времени и все — внутри новостных программ.


Крупнейшие федеральные каналы России — Первый канал и «Россия 1» — посвятили только три и два сюжета поножовщине, произошедшей в школе № 127 в Перми соответственно. Как TJ рассказали в «Медиалогии», на «России 24» тему упоминали чуть чаще, но тоже только в новостных выпусках.


Больше всего упоминаний инцидента было на «России 24» — шесть, меньше всего — на «России 1» — два и Первом канале — три.


Как выяснила «Медуза», 15 января на Первом канале вышел утренний сюжет о конфликте двух учеников в школе и расследовании Следственного комитета. В 12:00 по московскому времени на канале ещё раз рассказали о поножовщине школьников, не упомянув версию со спланированным нападением.


Уже 16 января в новостном выпуске Первого канала показали новость на 40 секунд, где упомянули о 15 пострадавших и «проблемах с психикой у одного из зачинщиков драки». Инцидент упоминался только внутри новостных программ и не вошёл в вечерний выпуск новостей в 21:00.

На «России 1» сюжет об инциденте впервые показали в выпуске «Вестей» в 11:00. Новость поставили на 25 минуту программы и посвятили ей только минуту эфирного времени.


О каких темах рассказали в «Вестях» перед новостью о «драке двух пермских подростков на ножах»:

- пресс-конференция главы МИД Сергея Лаврова;

- сбор подписей за кандидата Владимира Путина;

- день открытых дверей в МГУ;

- похороны и прощание с Михаилом Державиным;

- гуманитарная помощь россиян для жителей Сирии;

- возвращение Балтийского флота в Россию;

- самая молодая чемпионка России по бильярду;

- прогноз погоды.


Больше о произошедшем в школе № 127 на «России 1» не упоминали: ни в выпуске «Вестей» от 20:00, ни в выпуске от 23:00.


16 января на «России 1» рассказали о поножовщине в Перми через минутный сюжет о приезде в город министра образования Ольги Васильевой и её предложении о реформах, которые помогут «исключить подобные ЧП в будущем». В «Вестях» от 14:00 о произошедшем в Перми никак не упоминали.


На РЕН-ТВ в новостных выпусках четырежды оповестили о «резне в пермской школе», но на YouTube-канале опубликовали только один сюжет от 15 января. В программе не упомянули версию о спланированном нападении и показали страницу «нелюдимого подозреваемого» во «ВКонтакте», где «не было ни одной записи».

На НТВ в программе «Сегодня» передали о «нападении двух мужчин на школу в Перми» в момент, когда события ещё развивались. В конце выпуска ведущая добавила, что «зачинщиками драки стали двое учащихся». Больше телеканал никак не освещал инцидент, в том числе в передаче «Итоги дня». 16 января в «Сегодня» от 13:00 только в конце выпуска рассказали о пострадавших и «нападавших, что были из благополучных семей».


Источник: TJournal

Показать полностью 1
207

В Париже мотоциклист в костюме Санта-Клауса помог задержать нарушительницу

Девушка сбила пешехода, но скрыться ей не удалось.

Пользователь YouTube под ником CHRIS-RS опубликовал 13-минутное видео, в котором снял, как он помог задержать нарушительницу на чёрном «Рено», сбившую мужчину на пешеходном переходе.


Сбив человека, девушка нажала на газ и попыталась скрыться. Мотоциклист начал погоню за ней по центральным улицам Парижа, несколько раз попросив её остановиться.


Мужчине повезло: во время преследования он увидел двух полицейских на мотоциклах и привлёк их внимание, рассказав об инциденте и описав автомобиль подозреваемой.


Правоохранители предупредили нарушительницу, что имеют право применить против неё оружие. Через несколько секунд девушка сдалась полицейским и была арестована.


В одном из моментов видео мотоциклист-Санта-Клаус признался, что «всегда хотел быть полицейским, но провалил вступительный тест при поступлении на службу». В описании к ролику он подчеркнул, что сбитый пешеход отделался незначительными травмами и его жизни ничего не угрожает.


P.S.: Само видео начинается с 40-ой секунды. После 6 минуты можно не смотреть.

via.

13

ЧопСтоп: Спецрасследование (Москва 24)

Специальный репортаж про беспредел ЧОП, их права и обязанности. Замечательное расследование про левых "охранников", а также про магическое воздействие на обывателя слова "Охрана".

Тест. Это фото сделано на дорогой смартфон или нет?

Сколько бы ни говорили, что смартфон нужен для работы, сложных вычислений, доступа к библиотеке всей человеческой мысли, это все отговорки. Мы-то знаем, что многие покупают его для одного — делать фоточки в инстаграм. И тут нет ничего зазорного. Мы редко помним, сколько ядер и мегагерц в процессоре телефона. Главное — насколько качественная камера.

Отличная работа, все прочитано!