1012

Отсутствие шифрования на гос. сайте

UPD - объяснение

Собственно удивило отсутствие SSL-сертификата на сайте госорганов

http://gov.ru/

Кстати даже на сайте Совета Безопасности Российской Федерации нет никакой безопасности))

http://www.scrf.gov.ru/

Да и к тому же, весь сайт написан на иностранных фреймворках

http://www.scrf.gov.ru/static/js/app.js

Из этого следует что весь трафик идет в незашифрованом виде, к тому же еще и метрика от google...
Хотя на сайте думы duma.gov.ru
Стоит метрика от Яндекса, НО, так же стоит счетчик от какого-то сайта https://smi2.net
Раз у них код стоит, значит они не рекламодатели, а продают граждан россии, типа кто, что смотрел на сайте, чтобы показывать им релевантную рекламу, то есть по сути зарабатывают на посетителях) Дума б...ть...

И да, судя по их HTML коду, сайт собирали в каком-то конструкторе, то есть тупо, зажали 5-10 тысяч на отрисовку нормального HTML кода, а собрал сайт чувак, который вообще не в курсе, что такое верстка и просто как в PowerPoint накидал кнопок, менюшек в визуальном редакторе и выкатил сайт

Там даже есть моменты, когда они тупо библиотеки даже не скачали к себе на сервер, если лягет гитхаб, то у них верстка тоже может лечь

И эти специалисты пытаются обезопасить интернет...

На ситуацию обратил внимание знакомый товарищ. Думаю стоит ожидать более развернутую статью на Гитхабе.

Товарищ мой, тег моё.

Дубликаты не найдены

+46

зачем шифрвание сайту единственная форма ввода на котором это форма поиска.

раскрыть ветку 1
-1
Фиг с ними с данными, а вот от атак МиМ тоже защищать бабушек надо жеж
+44
Скажите, зачем вам потребовался сертификат на новостном портале?
раскрыть ветку 13
+34

И при чем здесь JQuery и информационная безопасность?

Видимо автор сам только вкатился в айти неделю назад.

Да и вообще нахер это все сайту про новостной портал (SSL и прочее дерьмо)


Зы, зашел на сайт ЦРУ, открыл сурс код, и О ШОК, ТАМ ТОЖЕ БИБЛИОТЕКИ JQUERY

Пиздец.

раскрыть ветку 2
+18

Если у них - производственная необходимость, если у нас - распиздяйство, ты не путай .

раскрыть ветку 1
-6

Чтобы все желающие на пути от меня до новостного портала не собирали данные, какие новости я читаю.

раскрыть ветку 1
+3

Так… Паранойей Пикабушники не страдают… Тогда такой вариант - слышали про новости когда мобильные операторы вставляют рекламу в любые сайты, которые вы просматриваете через телефон? Так вот, это можно сделать не с любыми сайтами, а как раз таки с теми, которые не защищены сертификатом. Ну, смотришь gov.ru, всплывает баннер на пол экрана, нечаянный клик, и ворох платных подписок. Примеры такого поведения - https://habr.com/ru/post/142909/ , https://meduza.io/slides/mobilnye-operatory-podsovyvayut-abo...

https://pikabu.ru/story/bilayn_vstavlyaet_svoyu_reklamu_na_p... - вот история которая затронула рядового пикабушника. И так может случиться с каждым http сайтом.

-6

есть слух, что это помогает в seo

плюс  http/2 возможен только при https

раскрыть ветку 7
+11

Прокуратуре нужно сео продвижение? 👏

раскрыть ветку 6
ещё комментарии
+138

ТС, лучше сначала подробнее разобраться в проблеме, а потом срубать плюсы на бессмысленном "исследовании".

Во-первых, зачем сайту gov.ru SSL если он тупо является неким "меню" для перехода на другие сайты? Никаких данных не передается туда-сюда. Сайт ведь справляется со своими обязанностями, не так ли?

Во-вторых, у нас нет запрета на использование зарубежных фреймворков (тем более бесплатных). Поэтому можно делать и на них.

В-третьих, большинство государственных сайтов сейчас на хорошем уровне. И там где вы действительно получаете или отправляете какие-либо данные, то SSL присутствует.

В-четвертых, SSL сертификат стоит денег. Так что они сэкономили наши же с вами деньги :)

раскрыть ветку 70
+33
Да ты погоди, сейчас серт поставят, так будет исследование, что он выпущен зарубежным CA.
А вообще примерно тоже самое хотел написать. Ещё б исследовали что сайт использует зарубежный JS. Какой-то совсем уж невнятный вброс.
раскрыть ветку 14
+13

Ага. Надо было сайт на 1С писать, чтобы эти зарубежные JS не использовать)

ещё комментарии
+4

Цифры! Цифры-то арабские!

А на ближний восток сша постоянно лезет.. Совпадение?

раскрыть ветку 2
+1
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
+15

А как же примитивный lets encrypt? Все уже давно бесплатно и даже не требует усилий)

ещё комментарии
+26

@moderator, пост может и не преднамеренный выброс, но явно вводящий в заблуждение

+6
В-четвертых, SSL сертификат стоит денег

не обязательно, можно и бесплатный поставить, например от Let’s Encrypt

раскрыть ветку 1
0
Поставщик Let'sEncrypt банит организации, упомянутые в SDN-list (которые под санкциями). Просто для сведения.
+8

1) Нет, не справляется, до тех пор, пока можно подменить страницу и перенаправить на свой сайт

2) Проблема во внешних зависимостях. Да и метрики выглядят феерично.

4) Так, ну это реально не смешно.

раскрыть ветку 19
+4

1) О каком виде подмены идёт речь? С чьей стороны?

2) Проблема с внешними зависимостями заключается в необходимости аудита безопасниками всего стороннего кода (если мы говорим о серьёзных проектах). После аудита - проблемы больше не существует. Отказ от опенсорс-фреймворков - это из разряда "хочется хлебушка? Не иди в магазин, а сначала засей поле пшеницей..."

раскрыть ветку 3
-3

1. Ты и с SSL на стороне сайта можешь подменить сертификат и страницу, так что это не спасает.

2. Например? Согласен, что разные плагины могут нарушать безопасность сайта, но там сайты носят только информативный характер. Это не госуслуги.

4. Чего?

раскрыть ветку 13
0

Я ещё добавлю про 3). Когда в начале года Chrome  и следом остальные браузеры закрутили гайки и перестали пускать на сайты с самоподписанными/недействительными сертификатами - у меня куча сайтов перестала корректно работать, от госуслуг до сбера, выяснилось что реакция на отозванные корневые сертификаты у этих гигантов очень медленная, часть контента подгружалась по http, и прочие детские ошибки.

+1

Заходит юзер на gov.ru через бесплатный WiFi в отеле, а там форма входа через Госуслуги и надпись «срочно войдите для просмотра». Треть пользователей введёт.

И все, привет! Пароль у злоумышленников.

+1

Сайт создан 14 марта 1998 года. 21, мать его, год назад!

http://gov.ru/main/page2.html :)

+1

Сэкономили? Его по любому сделали за пару миллиардов какой-нибудь госзакупкой, где победила ооошка, зареганная за день до закупки с уставным  капиталом десять косарей...

+1

Согласен. Автора поста совсем не туда понесло.

0

1. SSL нужен не только на сайтах, на которые отправляются данные. Без шифрования невозможно убедиться в том, кто действительно прислал ответ. Потому туда можно интегрировать все что угодно (см. beef framework - как это сделать за 15 минут).

2. Скоро без SSL вообще ничего работать не будет. И хотя обсуждения идут довольно давно, тем не менее, рано или поздно это случится. И Гугл, и Яндекс, и вообще все вендоры браузеров настоятельно рекомендуют использовать ssl на сайтах, причем на любых.

3. ISP охуели, они в нешифрованные соединения интегрируют свою рекламу, трекеры и прочий блот.

4. Есть российские доверенные CA. Которые существуют на деньги налогоплательщиков в том числе.

-1

Давайте добавим в пост? @BigNail,

раскрыть ветку 3
+3

Это объяснение не совсем (а местами совсем не)верное.

SSL можно сделать бесплатно (как например LetsEncrypt сертификат у пикабу), защищать стоит даже переходы внутри сайта.
В #comment_143897397 этой ветке всё корректно расписано.

-6

Серьезно? Вы спрашиваете у человека, который вбросил, стоит ли добавить информацию, разоблачающую его ложь, в пост?

раскрыть ветку 1
ещё комментарии
-13
В-четвертых, SSL сертификат стоит денег. Так что они сэкономили наши же с вами деньги

вот глупые, могли бы купить серт за 10 лямов и на откате положить себе в карман хороший кусок

раскрыть ветку 2
+2

Ты не смог в сарказм

раскрыть ветку 1
-5
Спасибо, прочитал пост и поставил плюсик. Прочитал твой коммент забрал плюсик обратно, поставил плюсик тебе.
ещё комментарии
+6

просто фейспалм после "Да и к тому же, весь сайт написан на иностранных фреймворках"

раскрыть ветку 2
0
а разве отечественные существуют? и какая разница то какой фреймворк? я начал эту всю хрень изучать совсем недавно, но даже я удивился
раскрыть ветку 1
0

без понятия. может и существуют. тут дело в акценте на "отечественность", а значит, якобы, "безопасность"

+5

jQuery - не фреймворк, а библиотека.

раскрыть ветку 1
0

Вражеская! 🤣

+5

если лягет гитхаб,


Не лягет, не переживай

раскрыть ветку 2
+8

Лягет гитхаб - в мире будут проблемы покруче поплывшей вёрстки на гос сайте.

раскрыть ветку 1
0

Весь мой сарказм о слове "лягет"

+22

Может подскажете зачем на тупой инфо странице хттпс? По идее сертификат нужен при попытке логиниться где-то. Плюс Гугл срется, но ущемляет не с- сайты.

раскрыть ветку 44
+13

А это, видимо, услышал звон, не знаю где он. Сайт тупо каталог ссылок на другие органы в разных краях, нет никаких форм для логина или ввода каких-либо персональных данных. Ежу понятно что ssl там как зайцу пятая нога, еще и за деньги.

+2

Чтобы все желающие на пути от меня до тупой страницы не собирали данные, какие разделы сайта я читаю.

0
Например налепить всплывающей рекламы.
раскрыть ветку 4
0

Налепите на Гов.ру?

раскрыть ветку 3
-5

Без хттпс есть легкая возможность встраивания вредоносного кода в страницу.

раскрыть ветку 9
0

Встроете на гов.ру? Это же легко по-вашему...

раскрыть ветку 8
-13
Так поддомен генпрокуратуры тоже без ssl. При этом имеет форму для обращения граждан. Отправляемые файлы и заявления могут быть перехвачены. Собственно все поддомены этого сайта не имеют шифрования
раскрыть ветку 8
+10

Если ты с сайта генпрокуратуры РФ лезешь в интернет-приемную, то попадаешь в хттпс. Сертификат конечно летсэнкриптовский, но хоть что-то. 😂 

Так что опять промазал.


И да, есть зеркало генпрокуратуры с хттпс.

+4
Есть госуслуги, и не просто с хттпс а с ГОСТовой эп для логина, которые могут выпускать только "православные" УЦ с аккредитацией минкомсвязи. Ты бы реально разобрался в вопросе сначала, потом уж писал. А так на корявый хайпожор похоже. Типо все говно, не знаю почему, но говно.
+3

Форма у совбеза на стороннем сайте, там есть ссл. Вот апи у них без SSL, но там открытые вроде данные...хотя есть токен, спрашивается тогда зачем

+5

Скажи честно, ты не заходил на страницы генпрокуратуры, где передаются данные, требующие защиты и там как раз присутствует шифрование. И ты после этого сетуешь, мол эти чиновники безопасностью интернета занимаются, хотя сам невнимателен и скорей всего имеешь поверхностные знания в ИТ.

раскрыть ветку 1
0

А главное - фейкать одно удовольствие сайты без ссл.

раскрыть ветку 2
-14

а зачем хттпс, а зачем корс, а зачем бояться xss, а зачем вам приватность в мессенджерах, а отдайте ключи от телеграма.


а зачем у нас люди, некомпетентные ни в одном деле, принимают законы?

раскрыть ветку 17
+7

Так зачем на информационной странице https?

ещё комментарии
+6

А зачем такие же некомпетентные люди, типа автора поста, пилят посты?

ещё комментарии
+5

Ты этот набор умных названий написал оттого что знаешь или что-то умное хотел сказать? 🤣

ещё комментарии
+4

Бери выше - сайт написан на иностранном HTML и CSS, какие уж там фреймворки - кругом одни латинские буквы! Это не по-нашему!


А про "лягет гитхаб" — это хорошо, нефиг всякие фаерволы выдумывать, когда все сситемы чебурахнутся от не загруженных с CDN библиотек хоть у кого-то в башке зачешется, что пора перестать выдумывать чепуху в той отрасли, в которой власть имущие на разбираются

+35

Предлагаю домены duma.gov.ru и gov.ru перерегистрировать на хостинге в Норвегии. У них домен первого уровня вроде ".no" называется...

раскрыть ветку 11
+10

Думаю стоит ожидать более развернутую статью на Гитхабе.

Автор имел ввиду порнхаб?

Но я буду смотреть на хабре.

раскрыть ветку 3
+7

судя по тому, что я на гитхабе иногда вижу в коде - он может порнохаб за пояс затнкуть

раскрыть ветку 2
0

Кстати домен Gov.no стоит чуть больше 2к рублей

раскрыть ветку 6
0

Это где?

Везде занят(

раскрыть ветку 2
0

подарим нашему правительству в складчину? Вот реально не жалко.

раскрыть ветку 2
+6

Да нахера он там всрался, этот SSL? Мне гуглохром орет об опасном домене, могут спионерить деньги и карты без шифрования, а то что левый сайт по продаже дисков по 146 Тб за 999.99 работает на SSL это нормально, так можно, контора огонь, наебалова нет. Или тому подобные фишинговые или типа того страницы с вводом данных карты напрямую на странице. Везде SSL и мнимая безопасность. Людей только лишний раз подкупает своей мнимой безопасностью и заставляет вестись на развод.

раскрыть ветку 2
+1

Летсэнкрипт чисто для шифрования соединения нужен, поэтому его может любой получить. А вот серьезные сертификаты, которые удостоверяют продавца  - уже денег стоят. Просто раньше нас предупреждали если реально какая-то проблема с сертификатом, а сейчас предупреждают даже в том случае, если сертификата нет и соединение соответственно - не зашифрованное.

раскрыть ветку 1
+1

Вообще мы ушли от темы. Пост гавно вброс, автор - мудак кармодрочер и дилетант, решил словить плюсов и хомячки заплюсовали пост. Сила пекабу, чего уж там.

+6
Про иностранный фреймворк - жирненько :)
+4

В синагоге идут выборы раввина. Все предлагают Рабиновича. Встает Хаймович:

— Я могу сказать свое мнение?

— Пожалуйста, говорите.

— Вот вы предлагаете Рабиновича, а между прочим у него дочь — проститутка.

— Хаймович, что вы говорите! У Рабиновича вообще нет дочери. У него четыре сына — и все!

— Ну, я сказал свое мнение, а вы решайте.

+2

Иногда надо скачать несколько корневых сертификатов чтобы пустило на тот или иной сайт.
А так многие подобные сайты при переходе по ссылке, скажем из почты, считаются "неблагонадежными")

раскрыть ветку 8
-1

Пример такого сайта дай.

раскрыть ветку 7
+1

ПИК ЕАСУЗ считается неблагонадежным.
а для электронного бюджета нужны корневые

раскрыть ветку 6
+5

Идет по деревне баба, видит - у соседской уборной двери нет, а внутри заседает хозяин. Тужится.

- Петрович, - говорит она ему, - ты бы хоть дверь навесил!

- Э-э, да чего тут брать-то...

раскрыть ветку 2
0

Тут больше показателен анекдот  «программист и солонка».

В незапертый сортир Петровича могут встроить гарпун, который при следующем использовании больно войдёт в ягодицы.

-3

Да у нас пиздят не то что дорого, а то что плохо лежит, так что и говно спиздят и стены им обмажут

+4
Чувак, хороший HTML - это не 5 и не 10 тысяч и даже не долларов. Конечно там конструктор - контент явно не верстальщиками создаётся.
ещё комментарии
+3

Smi2 - помойка, практически контент-ферма.

Зачем нужен сертификат и защищённое соединение для простого текстового сайта? Как минимум, чтобы всякое говно не могло так легко встраивать туда свою говнорекламу и подменять ссылки.

+15

На разработку, как всегда, были выделены пару миллионов .

Иллюстрация к комментарию
раскрыть ветку 3
+6

Миллиардов. Опомнитесь! За пару миллионов никто пальцем не пошевелит!

раскрыть ветку 1
-1

За пару миллионов пару кнопок только добавить на сайт смогут

0

И два студента, которые работали за дошик

+2

На всех страницах, где передается инфа, требующая защиты, стоит шифрование. А данный сайт лишь является глобальным меню, с которого уже идет переход на сайты гепрокуратуры и т.д. Где на страницах, требующих шифрования (оно не везде нужно) имеется шифрование. Но хомяки схавают пост от некомпетентного автора и плюсики поставят.

+3

Жалобу в спортлото стоит ожидать?

раскрыть ветку 1
-1

сами с гитхаба форкнут

+1

Занимаюсь в том числе и настройкой доступа к электронным площадкам. Конечно же просто поднимать шум увидев http. Кстати, друг твой тот еще кулхацкер если считает отсутствие доступа по https исключительно виной сайта. Для доступа на портал он не нужен, а вот с настройкой доступа в защищенные ЭП разделы приходится порой, особенно на изначально настроенных не мной машинах, изрядно попотеть. По поводу рекламы - даже на защищенном соединении все что вы делаете на любом сайте уходит в ту же Я.метрику и прочие, тут ssl не поможет.

По поводу системы защиты доступа на подобные платформы можно накатать вообще целый обширный пост, но если кратко - запилили очень серьезную, хорошо защищенную систему, вбухав кучу денег, но позже проебали все полимеры. Теперь из-за экономии в дальнейшей поддержке системы приходится для работы обманывать её, повторюсь, ИЗНАЧАЛЬНО хорошо защищенную. И интересный момент. Вообще дополнительный ключ даже для хозяина стоит денег, тем более должно быть проблемно его скопировать злоумышленникам. А по всей россии защитой от копирования являются всего ДВА пароля. При наличии трех попыток ввода до блокировки. Это конечно уже не проблема системы, а распиздяйство людей, её продающих.

0

"Да и к тому же, весь сайт написан на иностранных фреймворках"


Вы предлагаете ещё один jQuery свелосипедить?)

0

Тут что-то все пиздят на эльфийском... ни хуя не понятно

0

Пф! С начала 2019 года ввели обязательную регистрацию на сайте zakupki.gov для участия в электронных торгах. Там и КриптоПро и прочие хрени, вроде как, присутствуют.... Но! Рекламный спам от разных "перекупов" по, например, банковским гарантиям, начинает сыпаться на почту раньше, чем уведомления о регистрации от торговых площадок))))

раскрыть ветку 1
+2

Странно, мне не приходит никаких рекламных писем.

-1

Дума б...ть...
Хоть и оффтоп, но ровно такие же мысли были час назад.
Плачу штраф на госуслугах через сбер.

Посредник выдаётся - газпромбанк.

Оплата штрафа с комиссией.
Плачу государству на государственном сайте государственный налог через госкорпорации - и комиссия. Мелочь конечно, но это какой-то позор.

раскрыть ветку 1
+1

Убрали с 24 июня 2019 по 23 июня 2020 года комиссию при оплате через госуслуги платёжной системой Мир

-1

"Зачем информационному сайту сертификат":


шифрование обеспечивает не только конфиденциальность информации, но и ее целостность.


Без сертификата любой посредник может при передаче изменить страницу или любую ее часть по собственному желанию, заменить содержимое, встроить свой вредоносный или рекламный (что одно и то же) код и т.п. Поэтому любая "инфа" требует шифрования.

раскрыть ветку 1
+1

Не любая, шифрование требует ресурсов и обращаться к нему нужно выборочно .

MITM, в данном случае, нецелесообразен .

-1

Ты че, не знаешь главное условие работы почти всех госсайтов? Надо добавить их в надежные сайты в настройках браузёра? =)

0
ТС, я уже писал в комментах однажды.
Зайди на сайт ФСО. Вот там истинная жесть творится в исходном коде
раскрыть ветку 3
0

У вас есть доступ к исходникам сайта? Или вы исходным кодом называете то что прилетает клиенту?

раскрыть ветку 2
-3
Во-первых, можешь открыть сайт и заметить отсутствие намеков на бэкенд. Во-вторых, логично, что под исходным кодом я имел ввиду именно доступный код из браузера
раскрыть ветку 1
-3

Думаю что не все в курсе о встройке провайдерами рекламы на сайтах без SSL.

-5

У кого то ещё были сомнения об "уровне" 99.99 госпроектов?

Каждый из них - дикое говнище, сделанное криворукими "специалистами" из говна и палок, потому что из безумно жирного куска бюджета денег осталось только на такое.

-5
Даже gov как бэ намекает, какой уровень безопасности таких сайтов :-D
ещё комментарии
-2
Самое лучшее доказательство того, что хакеры влияющие на выборы в США не имеют к властям РФ никакого отношения
раскрыть ветку 1
+3

скорее доказательство того, что автор поста уж точно не виноват.

-3

Да все банально. Использовать иностранную криптографию на гос  сайтах запрещает закон, а отечественный ГОСТ поддерживается 2мя отчечественными браузерами  и старым ишаком. Причем в 2х из трех случаем требуется еще и лицензия на криптопро.

-4
Спасибо за своевременный сигнал! Мы уже выделили из бюджета 5 млн. на детальный анализ проблемы, 30 млн. на устранение, а также 40 млн. на НИОКР по поддержке отечественной криптографии в ssl в браузерах по умолчанию.
На следующей неделе объявим конкурс на сайте госзакупок
-2

Ты товарищу скажи, что мой товарищ сказал, что большинство гос. сайтов, причем не только этой страны, имеют дыры шо пиздец

-2

Вы удивитесь, но в Сбербанк онлайн подключены и метрика и Гугл аналитика. Маркетинг превыше безопасности в нашей стране.

-4

О, такими темпами роскомнадзор гитхаб заблокирует.

-13

...угу. Я как-то лет 20 тому hotel помочь родному пердприятию с продажами и забацал в хэтэмээл красивый шаблон сайта без текстов и картиног, но получилось оч красиво и шустро для того времени.

Тырнет был тока у меня, ГИ и ГД. ГИ - дядя лет 42, пьющий, но прогрессивный. Пасатрел - одобрил. Круто, мол, звездуй к ГД.

ГД - тетя 34 лет. Правильная, но тупая до тошноты. Прихожу, стучусь.

-Вайдити!

-ГД, здрасьте, вотъ, я тут это... Короче... вотъ. (клац-клац, тыц-тыц).

- О, я-я! Дас ист фантастиш! Оставь мне диск, я паиграюс.

Вечером звонок:

- Скока хочишь?

- 150$

- Многа... сайт нам ни нужен.

Назавтра зашел за диском. ГД нет на месте. Потом она в командировку на Сейшелы уе... хала, потом в отпуск. Вопщим, диск пропал.

Я уволился через года 4 (все это время у предприятия не было ничего, кроме 2 имэйлов).

В 2008 году по старой памяти решил поискать, че там у х... ГД.

Ага - нашел свой сайт, сшитый пэхапэ-Франкенштейном в стиле заводской малотиражки, без картинок и с 80% мертвых кнопок.

Поржал.

Да, а ГД таки посадили на 4 года, за кредитные мохинацыи.  Вышла в конце 2012 года.

раскрыть ветку 4
+8

Я вас читал, и кровь лилась из глаз моих. Нельзя же так злоупотреблять коверканьем слов.

раскрыть ветку 3
+1

эх, молодежь... не понять вам пажилова падонка.

-4
Вайдити! Пасатрел? Вобщим, мохинацыи.

Течёт?)
раскрыть ветку 1
ещё комментарии
-4

Не страна, а пилорама!

Пилят тута, пилят тама.

-6

Нам, патриотам, срывать нечего!

раскрыть ветку 1
0

кроме майки и трусов

ещё комментарии
-2
Ура, подвод выделить ещё 456 млн на переделку сайта.
-4

помню было похожие разоблачение год назад.

чувака вроде штрафанули и посадили

-12

Прикольно, но не удивительно. Удивительно, что граждане всё ещё ждут эффективных реформ в буржуазной демократии, где хорошо станет всем.

ещё комментарий
Похожие посты
49

Информационная безопасность не дремлет

На днях сдавали "аппаратно программный комплекс" представителям заказчика. Представители проверяют комплектность оборудования по спецификациям. В спецификациях так, как было в накладных - например, сервер отдельно и отдельно то, что в базовую платформу не входит. Диски, память, резервные блоки питания и т.п. Диски снаружи торчат, тут все просто, процессоры и память мы в диагностическом интерфейсе показали, что установлено, а сетевых карточек и БП там не видно. Но они снаружи видны тоже, только надо за шкаф заглянуть и в жопку серверу поглядеть. Но там, где шкафы стоят тесно и пролезть за шкаф заказчик физически не может - не помещается :)

Я могу. Я говорю, давайте я ща сфотографирую и покажу вам, что все на месте.

- Да, да, - говорит мне представитель заказчика, только вы мне с телефона покажите, а не пересылайте. А то у нас всё секретно-конфиденциально, вот некоторые не понимают этого, посылают фотографии и нарушают режим. А если что-то переслали, считайте всем разгласили.

ОК, - говорю, нешто мы не понимаем. Конечно, конечно, как можно! Режим же!

Сфотографировал, показал, демонстративно удалил с телефона.

Не стал огорчать людей, что у меня Google Photo автоматически отправляет все фотографии в облако :)


PS. Нет, гостайны там нет на самом деле, подписок я не давал и ничего интереснее жопы обычных серверов Lenovo SR630 на фотографию не попало, так что я совершенно чист перед законом и совестью. Там, где есть реальные секреты, я так не делаю да туда со смартфоном и не пускают.

487

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского».

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского». Россия, Новости, Хакеры, IT, Кибербезопасность, Персональные данные, Взлом, Информационная безопасность

Члены хакерской группировки «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского» Руслана Стоянова, осужденного за госизмену. Об этом говорится в заявлении для СМИ лидера хакеров Константина Козловского. По его словам, недавняя утечка данных клиентов Сбербанка — «мелкое событие» по сравнению с тем, что делали «лурки».


«Стоянов ломанул весь „Сбербанк-лизинг“ — компанию-разработчика Сбербанка для физлиц — и весь Северо-Западный филиал Сбера, — заявил Козловский. — Весь Domain Admin. Представьте, есть огромное здание Сбера, Domain Admin — ключ ко всем дверям в нем».


В подтверждение слов Козловского указывает на листы из уголовного дела хакеров — распечатки их общения в мессенджере Jabber во время взлома (события 2016 года). «Все, я главный домен админ Сбера», — пишет пользователь с ником Meg. «Закрепись, пожалуйста», — просит его Cashout. «Работал бы Ваш файл, закрепился бы, наверное», — отвечает Meg, сообщая позже, что смог отправить СМС-ку от Сбербанка.


«Мне, Козловскому, следствие вменяет использование ника Cashout, — заявил „URA.RU“ лидер хакеров. — Ник Meg же следствием не вменяется никому. По делу видно — он взламывал Сбер и многое другое. <…> Уже четвертый год все мои попытки рассказать, что Meg — это Стоянов Руслан из „Лаборатории Касперского“, разрушаются о нежелание властей слышать правду».


«На одном из ближайших заседаний суда мой подзащитный и его товарищи намерены потребовать установления личности, скрывающейся за ником Meg», — заявила агентству адвокат Козловского Ольга Кезик.


В деле «лурков» есть распечатка журнала операций вируса (см. СКРИН), которые также можно расценить как подтверждение взлома серверов Сбербанка в 2016 году — пояснения этого «URA.RU» представил другой участник группировки Александр Сафонов. «URA.RU» направило запросы — из «Лаборатории Касперского» ответ к моменту публикации не поступил, в Сбербанке заявили, что не комментируют данную тему.


Источник: https://ura.news/news/1052403240

Показать полностью
41

Напомнило (про мошенничество)

Прочитав данный пост
https://pikabu.ru/story/mikrofinansovyie_kompanii_s_ikh_koll...,
больше похожий на крик души, вспомнил и своих историй, вот одна из них:

Длинная преамбула:
Работал в маленькой фирме по IT-аутсорсу, забирали всю головную боль клиента в части IT на себя и делали это хорошо.
Одним из клиентов была организация занимающаяся системами безопасности, СКУД, шифрование, непроницаемые стёкла, изоляция помещений и прочее. В определенный момент начали платить с задержкой, а потом и вовсе "денег нет, простите", ну как ребята не гордые понимаем, что если уйдём они совсем загнутся, продолжаем обслуживать без энтузиазма, выставлять счета, а там уже как смогут, так и оплатят.
По итогу по прошествии где-то полу года, надо было им на месте сделать кой чего
- Платить будете?
- Денег нет, простите.
- Очень надо?
- Прям вчера.
- Ладно, будет время, сделаем.
- ок.
- ок.
Приезжаю через пару дней и как человек любопытный, начинаю узнавать что да как и от чего так грустно, и таки им есть чего рассказать. Далее фабула:
Работала себе бухгалтер, назовем Епифания, три года, нареканий нет, все чётко и правильно и вот пришёл день, когда она решила, что пора уходить покорять новые высоты. Замену нашли, дела передали шустренько и до свидания, тут-то и начали всплывать занимательные факты. Первое, оно же главное, закрывающие или какие-то там документы находились в процессе работы уже нового бухгалтера в самых разных местах офиса, что наталкивало на мысли о глобальной проверке, чем и занялись. В процессе оказалось, прошаренная Епифания, вполне успешно вписывала в счета фирмы однодневки, через которые выводила бабло; проводила оплаты в общем-то даже не совершённых услуг, а настоящие счёта, которые должны быть оплачены, по тем или иным причинам откладывала, так же творила ещё чего-то, но суть, думаю, ясна. По итогу в сухом остатке получилось, что за три года, неоплаченных счетов на более 500! лямов и ни единого доказательства, по которому можно взять за попу, диск качественно форматирован спец прогой и восстановлен (типо с нулевой спстемой и был), в счетах все чисто, ибо до фирмы, от которой не осталось даже упоминания, не говоря уже о фиктивном директоре, особо не докопаться и все в таком духе.

А теперь вдумайтесь, государственная компания, занимающаяся защитой информации, комплексной защитой целых объектов от и до, была обчищена изнутри и может только смириться.
Сам, мягко говоря, афигел от этой истории, а потом понял, что это повсеместно.
Так почему же в нашем государстве, получая белую ЗП, платя налоги, отдав долг родине и живя более менее как цивилизованный человек, все равно ощущаешь себя как в темном переулке, где слышно перешептывание о том, как тебя обокрасть? Выводы делайте сами
P.S. Имена, названия компаний и прочее не называю по понятным причинам. Всем котиков :)

467

Катастрофа ИТ в госсекторе

По мотивам поста про плохую работу ЕГР ЗАГС (https://pikabu.ru/story/_6217894).


Ремарка - в 2005-2007 годах я отвечал за информационный обмен между налоговой, полицией (ПВС/ГИБДД), БТИ, Росимуществом, ЗАГСом, ФССП. Помимо этого работал с информационными системами  Роспотребнадзора, ГО ЧС, местного самоуправления, Почты России, ЖКХ, ЦЗН.


Из указанных систем самая простая информационная система у органов ЗАГСа, а самая сложная у налоговой, во многих органах по тем или иным причинам информационные системы фактически не используются (или создаётся иллюзия использования).


С информационными системами в бюджетном секторе сейчас ситуация катастрофическая и это проблема не только органов ЗАГСа, это всеобщая проблема. С государственными ИС я работаю на протяжении 13,5 лет, поэтому своеобразная подборка причин и следствий этой катастрофы. Причин и следствий по настоящему очень много, поэтому "топ-10".


Сразу оговорюсь - я не буду топить за конкретную программу/решение/технологию. Каждому решению есть своё время и место.


1. Откаты. Ценники практически на все государственные системы заоблачные, так что "подрядчик наварился, а заказчик ничего не получил"... Ну думаю, что это будет что-то из области фантастики и поверить в такие расклады может только школьник (и то начальных классов). Тема избитая, останавливаться не будем.


2. Безграмотность административного персонала заказчиков. Технические задания на информационные системы должны (и по закону даже обязаны) писать заказчики. По факту ТЗ пишут "свои" подрядчики и естественно под себя. Это связано с тем, что специалистов, достаточно квалифицированных для составления ТЗ, у государственных/региональных/муниципальных заказчиков практически нет. В итоге системы собираются по принципу "сделать по минимуму и разгрузить склады нахрен не нужного барахла". Как я это понял? Если проанализировать ТЗ, то видна их несбалансированность. Техническое решение информационной системы эффективно только тогда, когда оно сбалансировано. Когда отдельные элементы системы работают "под предел" или вообще перегружены, а другие элементы работают на единицы процентов, то очевидно что система плохо сбалансирована и "простаивающие" элементы можно и нужно заменить на более дешевые аналоги. Присматриваемся и понимаем, что оборудование работающее на доли процента - это устаревшие  и дорогие решения. Коммерческим организациям это оборудование уже не интересно в принципе (т.к. есть более новое и дешевое), а бюджету можно впарить и притом втридорога. Ключевые параметры оборудования и программного обеспечения заказчики не знают (и знать не хотят), порядки цифр, технологии и т.п. вообще для заказчиков абстрактные вещи.


3. Безграмотность пользователей. Тут можно только всплакнуть. Меня уже очень много лет интересует вопрос (моя версия в конце абзаца) - как можно пользоваться интерфейсом социальной сети и тупить в более простых? На мой взгляд для обычного бюджетного пользователя компьютер - это просто некоторая шайтан-машина к которой боятся подойти.


4. Безграмотность исполнителей создающих ИС. Это, кстати, вообще феерично. Любой специалист знает, что задачу можно решить разными путями. Есть более эффективные, есть менее эффективные, естественно есть "через жопу". Так вот ГОС ИС это обычно "через жопу". Для "непосвящённых" объясню просто - есть некоторые правила построения ИС, естественно что правила - это не фиксированные законы и при определённых обстоятельствах правила нужно нарушать, но вот отдельные моменты проектов ИС... Это реальный сказочный звиздец. Системы которые по всем канонам и здравому смыслу должны быть централизованными делают распределёнными и наоборот. Системы используют приёмы которые вообще в голову придти не должны. Например, печально знакомая бюджетникам "Криста" имеет несколько интерфейсов работы с шаблонами, умудряется терять свои библиотеки (лежащие в папке программы), делает полную синхронизацию вместо отправки изменённых данных, интерфейс выбора, логика и формы в одном файле... Уже 9 лет я пытаюсь понять что нужно курить, чтобы это написать. Для тех кто "не в теме" объясню на доступных аналогах. Представьте, что у вас есть:

- отдельный Word для файлов начинающихся на А, Б и т.д.;

- что периодически приходится вынимать и вставлять жесткие диски для запуска ОС;

- для замены 1 буквы в тексте Вас заставляют перепечатывать на компьютере всю страницу;

- что в магазине продаётся мясорубка с куском мяса, причём сделано так, что эта мясорубка может прокрутить только вставленный кусок мяса.

Бред? Бред. И такой бред повсюду. В итоге многими системами сложнее пользоваться, чем просто в офисе формочки заполнять и в Excel считать (хотя должно быть наоборот). Причём это не ошибки - это просто реальный чемпионат идиотизма. Такое чувство, что подобные ИС пишут студенты 2-3 курса для получения допуска к зачётам по прогулам.


Для тех кто начнёт говорить про "специфику" - во-первых это далеко не уникальные продукты и у подобных ИС есть много аналогов (по сути это всё вариации ERP-систем, коих овердохрена) в т.ч. с открытым кодом, во-вторых подобные "особенности" не могут быть заложенными со стороны заказчика принципиально - они даже не подозревают об этих особенностях разработки ПО, в-третьих это нарушение правил подтвердивших свою эффективность в течении десятилетий и которые пишут в каждом учебники программирования.


Недавно попросили глянуть новую программу, разработка 2018 года, служит для заполнения определённой формы отчётности. Данные хранятся в FoxPro. Кем нужно быть, чтобы для хранения ОДНОГО документа (с NoSQL данными по сути) и использовать для этого БД выпущенную в 1988 году? Зачем там вообще БД?


Оцените уровень маразма (помним, что программа разработана в 2018 году): разработчик этой программы берёт NoSQL данные (для хранения которых все уже много лет XML/JSON используют), создаёт под неё (естественно избыточную, причём это принципиально не обходится) реляционную модель данных, потом берёт эти данные загоняет в древнюю базу данных, потом видать понимает, что хрень спорол и выгружает в собственный (упрощённый) аналог JSON. У меня на это нет слов - конвертируем данные в заведомо неподходящий формат, затем конвертируем данные обратно. Данные - числовые т.е. реляционная модель данных тут вообще неприменима в принципе.


Ну и ещё маразмы, коротко:

- Локальная структура проектируется как информационная система регионального уровня. Данные, которые актуальны непосредственно "на месте", собираются "на месте", потом передаются "в регион", потом возвращаются "на место". Второй режим - чисто локальная работа. Вот нахрена гонять данные в 2 противоположных направления? На вопрос "а нахрена собственно" идут пояснения достойные лучших наркоманов мира. Аналогичная система, основной задачей которой является координация регионального уровня, проектируется локальной. Так же маразмы идут, когда локальная система аппаратно проектируется как "клиент-серверная" (сервер с виртуальной машиной в которой установлена обычная ОС с обычным софтом), в итоге этот маразм просто забросили.

- Шаблонное решение тиражируемое в десятки мест. То есть одно и то же серверное решение применяется к системе со 500 узлами и с 10.

- Развёртывается доменная структура и Home версия ОС на рабочих станциях.

- Под систему передачи коротких текстовых сообщений (аналог СМС, протокол обмена обычными СМС поддерживается) собрана система "компьютер - сервер - компьютер - контроллер".

- Под 4-10 каналов связи с максимальным трафиком 10 Мбит/с используются Cisco 2960 (одна из топовых конфигураций), а под 2-х канальную систему с проектной нагрузкой 53 Мбит/с ставят бюджетный Dlink.

- В качестве маршрутизатора (чистый NAT, даже без файервола) используется Windows Server

- "Упрощённый" браузер "для более быстрой работы" (нет JavaScript, чисто GET/POST запросы) установщик весит 340 Мб, страница быстро жрёт ОЗУ, за 20 минут отжирается 1,4 Гб ОЗУ. Через час работы плюнули и открыли страницу через обычный.


5. Устаревшая программная и научная база. Я полагаю ответственные за разработку ИС сотрудники во-первых пенсионного или предпенсионного возраста, во-вторых работают в ВУЗах. Иначе я не могу объяснить почему современные системы используют популярные в образовательной среде и малоэффективные в современном продакшене анахронизмы, которые были актуальные 10-30 лет назад. Я не говорю, что эти решения "морально устарели", где-то мне это даже импонирует. Но это не решения сегодняшнего дня, сегодня для использования этих решений нет никаких объективных причин. DBF/FoxPro/Internet Explorer и прочие старички. Радует, что отдельные элементы стали актуализироваться, но пока их число очень незначительно.


Это особенно обидно, потому что:

Во-первых качество разработки программного обеспечения в России достаточно высокое, студенты и ИТ компании очень достойно смотрятся на мировом фоне.

Во-вторых отдельные программы требуют устаревшее оборудование и системное программное обеспечение. Последний реально вопиющий случай (своеобразный рекорд) - это в 2011 году искать железо под Windows 95 т.к. железка (лабораторный прибор за 700к) подключается через COM-порт и имеет драйвера исключительно под 95.


6. Отсутствие стимулов к развитию информационных технологий. Технологии в госсектор внедряются "для галочки", не смотря на положительный эффект заинтересованности во внедрении ни у кого нет. Пользователи (на всех должностях) не хотят учиться, многие боятся (совершенно справедливо, кстати) что программа легко может заменить большую часть чиновников.


7. Низкие зарплаты технического персонала. Информационные системы, это всё-таки достаточно сложные системы и для обслуживания требуется уровень специалиста несколько выше обычного эникея. Зарплаты в бюджете очень печальные, в лучшем случае 25-30 % от рыночных (специалистов с аналогичной нагрузкой и квалификацией). В итоге специалисты уходят из бюджета, а системы без должного обслуживания достаточно быстро разваливаются или работают на небольшую долю реальных возможностей.


8. Самодурство чиновников. Знания об информационных технологиях чиновники получают судя по всему из фильмов и ре