Когда я был маленький, у меня была желтенькая, потрепанная книжка Пети Хижняка "Пишем вирус и антивирус", треш ужасный, 1991 год всё-таки, и в предисловии автор пытался всех предупредить, что когда-нибудь вирусы доберутся и до атомных элекростанций. А я читал и смеялся. Потом в 1995 году я с удовольствием смотрел фильм "Хакеры". Задорно, молодежно. Смотрел и смеялся.
И у меня появилась мечта. С тех пор прошло много времени, и м̶е̶н̶т̶ы̶ мечты сбываются. Сводил меня Alexandr Galushchenko и на атомные станции, и во всякие другие интересные места. Только теперь мне совсем не смешно. От этих компьютерных штучек зависит жизнь каждого из нас.
А к дяде Саше, который показывал дыры в госухе, пришли неверные менты из Департамента защиты экономики (Киберполиция тут не при чем; вы знаете, за мной не заржавеет, но и наговаривать на них зря не буду), и помешали ему, помимо всего прочего, привезти больного сына в Украину https://www.facebook.com/alexandr.galushchenko/posts/2494787133894141 А сегодня один из наших волонтёров (пожелавший пока остаться неизвестным) показал мне прекрасное.
Раньше мы находили дыры в министерствах по одному, а теперь два сразу. Міністерство внутрішніх справ и Державне агентство з питань електронного урядування України Проёбаны ключи и формы загрузки для розыскных баз МВД. И у меня прямо руки зачесались, как в том старом фильме, добавить Гринчака Александра Васильевича, Кропиву Сергея Васильевича и Тимошенко Ивана Александровича из ДЗЕ Національна поліція України, отдел противодействия преступлениям в сфере систем управления противодействию преступности в финансовой сфере и отраслях экономики (блядь, еле выговорил) прямо в их собственную розыскную базу. Чтобы они почувствовали вкус украинского правосудия на собственной шкуре. К счастью, мы все взрослые, ответственные люди и болезненно законопослушны.
Всё найдено в открытом доступе, при помощи броузера сети Интернет. Ни одно министерство не пострадало. Arsen Борисович и Сергій Миколайович может вы ваших орлов из "информационного отдела противодействия экономическому противодействию" отправите дыры латать, вместо того чтобы активистам жизнь портить? Искать нужно там где потеряли, а не там где светло.
#FuckResponsibleDisclosure
И у меня появилась мечта. С тех пор прошло много времени, и м̶е̶н̶т̶ы̶ мечты сбываются. Сводил меня Alexandr Galushchenko и на атомные станции, и во всякие другие интересные места. Только теперь мне совсем не смешно. От этих компьютерных штучек зависит жизнь каждого из нас.
А к дяде Саше, который показывал дыры в госухе, пришли неверные менты из Департамента защиты экономики (Киберполиция тут не при чем; вы знаете, за мной не заржавеет, но и наговаривать на них зря не буду), и помешали ему, помимо всего прочего, привезти больного сына в Украину https://www.facebook.com/alexandr.galushchenko/posts/2494787133894141 А сегодня один из наших волонтёров (пожелавший пока остаться неизвестным) показал мне прекрасное.
Раньше мы находили дыры в министерствах по одному, а теперь два сразу. Міністерство внутрішніх справ и Державне агентство з питань електронного урядування України Проёбаны ключи и формы загрузки для розыскных баз МВД. И у меня прямо руки зачесались, как в том старом фильме, добавить Гринчака Александра Васильевича, Кропиву Сергея Васильевича и Тимошенко Ивана Александровича из ДЗЕ Національна поліція України, отдел противодействия преступлениям в сфере систем управления противодействию преступности в финансовой сфере и отраслях экономики (блядь, еле выговорил) прямо в их собственную розыскную базу. Чтобы они почувствовали вкус украинского правосудия на собственной шкуре. К счастью, мы все взрослые, ответственные люди и болезненно законопослушны.
Всё найдено в открытом доступе, при помощи броузера сети Интернет. Ни одно министерство не пострадало. Arsen Борисович и Сергій Миколайович может вы ваших орлов из "информационного отдела противодействия экономическому противодействию" отправите дыры латать, вместо того чтобы активистам жизнь портить? Искать нужно там где потеряли, а не там где светло.
#FuckResponsibleDisclosure
🔥1
Кстати, вчерашние базы розыска не единственный промах МВД. Тот же волонтер, который снова пожелал остаться неизвестным, нашел беспарольный скриптик для скачивания и загрузки файлов в Управлінні кримінального аналізу. Analytics hub, не хрен собачий. Вместе со всеми интересными скриншотами из фейсбука, а особенно с теми, где господа полицейские не поленились почеркать красным, будто бы в собственную ленту заглянул, а не в полицию, и прочей аналитикой. Тэг, правда, пришлось сократить до #ResponsibleDisclosure. Судя по тому, что сегодня лежал сервер МВД, и домена "uka" больше нет, недостающее слово описывает радости межведомственного общения.
Два года прошло после Непети, и г̶р̶у̶п̶п̶а̶ м̶а̶л̶о̶и̶з̶в̶е̶с̶т̶н̶ы̶х̶ х̶а̶к̶е̶р̶о̶в̶ настоящих специалистов в информационной безопасности подводит итоги в УКРІНФОРМ. Итак, сделаны какие-либо выводы за пять лет кибервойны, и "ещё более сложное мирное время"? Что изменилось? Записывайте по буквам. Николай. Иван. Харитон. Ульяна. Яков. Ничего. Ядерные реакторы, укрзализныця, страховые компании, критическая инфраструктура в открытом доступе. Частный сектор уже хоть и с трудом, но осознаёт, что нолики и единички могут вставить на десять миллиардов долларов. А госуха продолжает пилить миллиарды на вашей безопасности, переваливая с больной головы на здоровую. На провайдеров, на железки и даже на мудрый украинский нарид, жаждущий жижитализации в каждом кармане, не понимая, что пилят сук, на котором не только сидят, но многим ещё на нём предстоит повисеть. #КСЗІ #ЗВІД #ДССЗЗІ #КМУ #a27
В записи
https://www.ukrinform.ua/rubric-presshall/2727634-druga-ricnica-kiberataki-notpetya-ci-gotova-ukraina-do-kiberagresii.html
В записи
https://www.ukrinform.ua/rubric-presshall/2727634-druga-ricnica-kiberataki-notpetya-ci-gotova-ukraina-do-kiberagresii.html
Укрінформ
Друга річниця кібератаки NotPetya: чи готова Україна до кіберагресії?
27 червня, 11:30 - Чи покращилася кібербезпека країни? Результати досліджень — Укрінформ.
Отъебись от меня государство,
Не хочу я заботы твоей!
Igor Dyadyura нашел прекрасное https://bit.ly/2X61Gtd По мнению наших жижитализаторов, эффективность телефонизации, минуя здравый смысл, заключается в количестве способов, которыми народ будет сам себя заёбывать, по возможности, разгружая чиновника от этой тяжелой и неблагодарной работы.
Взять ту же регистрацию. Много раз переезжал с места на место и ни разу мне не пришло в голову зарегистрироваться. Зачем? Неужели, если вам нужен мой адрес, вам так сложно поверить мне на слово? Вы хотите доверия с моей стороны, не доверяя мне? Не бывать тому. И в перепизди вашей ебучей тоже не буду участвовать. Не хочу.
― Но почему вы отказываетесь?
― Не хочу.
― Вы не сочувствуете детям Германии?
― Сочувствую.
― А, полтинника жалко?
― Нет.
― Так почему же?
― Не хочу.
Отмените регистрацию к ёбаной матери, вместо того чтобы запихивать её в смартфон, и тогда я (может быть) поверю в ваши благие намерения.
Не хочу я заботы твоей!
Igor Dyadyura нашел прекрасное https://bit.ly/2X61Gtd По мнению наших жижитализаторов, эффективность телефонизации, минуя здравый смысл, заключается в количестве способов, которыми народ будет сам себя заёбывать, по возможности, разгружая чиновника от этой тяжелой и неблагодарной работы.
Взять ту же регистрацию. Много раз переезжал с места на место и ни разу мне не пришло в голову зарегистрироваться. Зачем? Неужели, если вам нужен мой адрес, вам так сложно поверить мне на слово? Вы хотите доверия с моей стороны, не доверяя мне? Не бывать тому. И в перепизди вашей ебучей тоже не буду участвовать. Не хочу.
― Но почему вы отказываетесь?
― Не хочу.
― Вы не сочувствуете детям Германии?
― Сочувствую.
― А, полтинника жалко?
― Нет.
― Так почему же?
― Не хочу.
Отмените регистрацию к ёбаной матери, вместо того чтобы запихивать её в смартфон, и тогда я (может быть) поверю в ваши благие намерения.
У СБУ постик был, а теперь почему-то нет (Скучно им без картинок) Перед выборами наш ЦВК решил киберучения провести. Какие-то очень важные иностранные партнеры играли за красных, а СБУ, ДССЗЗІ, ЦВК и Киберполиция за синих. Украинцев за красных не позвали. Тренировались на чучеле ЦВК. В "кибер" разведка не отличается от атаки, так что ваши игры "по-стандартам-НАТО" бесполезны чуть менее, чем полностью.
Шон мрачно и заунывно затягивает песню: "А мы тую і-і-нфраструктуру розїбе-е-емо, а ми нашу славну Україну, гей, гей, розвеселимо!" Так что поздравляю The Security Service of Ukraine с прошедшими учениями, и обращайтесь, если что. https://ibb.co/KVZF4LC (Система дистанційного навчання членів виборчих комісій, яка розробляється в рамках проекту "Розбудова спроможності в проведенні навчання у виборчому процесі та підвищення обізнаності виборців", що здійснюється Координатором проектів ОБСЄ в Україні спільно з Центральною виборчою комісією) #FuckResponsibleDisclosure
Шон мрачно и заунывно затягивает песню: "А мы тую і-і-нфраструктуру розїбе-е-емо, а ми нашу славну Україну, гей, гей, розвеселимо!" Так что поздравляю The Security Service of Ukraine с прошедшими учениями, и обращайтесь, если что. https://ibb.co/KVZF4LC (Система дистанційного навчання членів виборчих комісій, яка розробляється в рамках проекту "Розбудова спроможності в проведенні навчання у виборчому процесі та підвищення обізнаності виборців", що здійснюється Координатором проектів ОБСЄ в Україні спільно з Центральною виборчою комісією) #FuckResponsibleDisclosure
Дальше у нас пойдёт речь о необучаемости. По классификации МКБ-10 F73 (умственная отсталость): "Ориентировочный IQ ниже 20 (в зрелом возрасте умственное развитие ниже развития в трехлетнем возрасте). Результатом является тяжелое ограничение самообслуживания и коммуникабельности". Міністерство охорони здоров'я України переименовало дважды ломанный говносайт в "old". Всегда так делают. #FuckResponsibleDisclosure #SQLi
P.S. Им бы подошел домен moz[.]gov[.]net
P.S. Им бы подошел домен moz[.]gov[.]net
Кто-нибудь мне объяснит, что это за нахуй лежит на сайте Судовой влады? Они там об СЕО ударились и перешли на барыжничество кряками? Или это русское школоло после уроков украинские суды вставляет. Может и для Окружного решения пишут, кто знает?... #FuckResponsibleDisclosure
HONEY POT или GLORY HOLE?
На тщательно оберегаемой дыре в старом сайте, приключения Міністерство охорони здоров'я України отнюдь не закончились. Кабінет Міністрів України бодренько отчитался о новой системе "Єдина державна база даних медичних оглядів" (Go, Go, Уго Борисович). Я процитирую немного жижитальных побед, ладно?
... Професійний медогляд є обов’язковою умовою роботи водіїв, людей, які володіють зброєю, та декретованих осіб - вихователів, вчителів, викладачів, студентів, працівників громадського харчування, торгівлі тощо. Тепер дані про такі огляди міститимуться в єдиному реєстрі медичних оглядів - надійно захищеній електронній системі. https://bit.ly/2FTywYS
Надежно защищенной системе. Надежно. Защищенной.
Богдан aka Xalerafera не поленился проверить. И тут же нашлись исходники чудо-системы, пароли к базам данных и учетка админа. В открытом доступе. Просто пришел и сказал "git clone". Без хакерской магии. Господа "11%" как вам идея, что можно просто взять и забрать результаты мед. осмотра? Полицейские, пожарные, инженеры. Всем нужна справочка.
И все эти справочки и всё, что к ним прилагается - в открытом доступе.
#FuckResponsibleDisclosure #жижитализация #gogro
На тщательно оберегаемой дыре в старом сайте, приключения Міністерство охорони здоров'я України отнюдь не закончились. Кабінет Міністрів України бодренько отчитался о новой системе "Єдина державна база даних медичних оглядів" (Go, Go, Уго Борисович). Я процитирую немного жижитальных побед, ладно?
... Професійний медогляд є обов’язковою умовою роботи водіїв, людей, які володіють зброєю, та декретованих осіб - вихователів, вчителів, викладачів, студентів, працівників громадського харчування, торгівлі тощо. Тепер дані про такі огляди міститимуться в єдиному реєстрі медичних оглядів - надійно захищеній електронній системі. https://bit.ly/2FTywYS
Надежно защищенной системе. Надежно. Защищенной.
Богдан aka Xalerafera не поленился проверить. И тут же нашлись исходники чудо-системы, пароли к базам данных и учетка админа. В открытом доступе. Просто пришел и сказал "git clone". Без хакерской магии. Господа "11%" как вам идея, что можно просто взять и забрать результаты мед. осмотра? Полицейские, пожарные, инженеры. Всем нужна справочка.
И все эти справочки и всё, что к ним прилагается - в открытом доступе.
#FuckResponsibleDisclosure #жижитализация #gogro
👍1
Прекрасный сервис для просмотра файлов на сервере Кіровоградська обласна державна адміністрація Открыть NAS в Сеть тоже гениальная идея. Радикальная транспарентность. #FuckResponsibleDisclosure
От чего я устал походу #FRD, так от воя про нищую, несчастную госушеньку, у которой денежек на зарплатку не хватает. А дадите денежек, так сразу всё сразу и наладится. Ходить по кругу мне не хочется, потому я приведу другой аргумент. У нас в стране около ста тысяч державных и тесно с державой связанных установ, в которых числится (назвать это работой язык не поворачивается) сильно больше миллиона человек. Больше чем в УССР (а там другое совсем было государство, вникающее жестко и без мыла во все аспекты жизни).
А теперь немного очевидных фактов.
Ни одна сложная система не может работать без присмотра. Разве что Вояджер-2, да и то, что-то там перешивали удаленно и денег он стоит космических. И если вы захотите по два админа на каждую городушку, и даже отдадите им все деньги мира, то их нужно двести тысяч человек. Столько в Украине нет. Даже если всех тестеров и быдлокодеров на пыхе отправить на курсы админов и безопасников. Нет. И не будет. И аутсорсить по-тупому тоже не выйдет, потому что контрактору тоже нужно сказать, что от него нужно. А руководящих работников бесполезно пиздить, потому что они не понимают, что от них хотят.
Потому выход тут довольно простой - сокращение функций государства, дерегуляция, приватизация государственных предприятий, сокращение количества служащих и укрупнение (но не централизация) систем. Тогда и на зарплату денег хватит. И спрашивать будет с кого.
А теперь немного очевидных фактов.
Ни одна сложная система не может работать без присмотра. Разве что Вояджер-2, да и то, что-то там перешивали удаленно и денег он стоит космических. И если вы захотите по два админа на каждую городушку, и даже отдадите им все деньги мира, то их нужно двести тысяч человек. Столько в Украине нет. Даже если всех тестеров и быдлокодеров на пыхе отправить на курсы админов и безопасников. Нет. И не будет. И аутсорсить по-тупому тоже не выйдет, потому что контрактору тоже нужно сказать, что от него нужно. А руководящих работников бесполезно пиздить, потому что они не понимают, что от них хотят.
Потому выход тут довольно простой - сокращение функций государства, дерегуляция, приватизация государственных предприятий, сокращение количества служащих и укрупнение (но не централизация) систем. Тогда и на зарплату денег хватит. И спрашивать будет с кого.
Я уже писал об эпических победах киберполиции на просторах интернетов https://www.facebook.com/sean.townsend.7777019/posts/345925356265727 Если кратенько, то человек сделал себе немного сайтов, которыми сам и управлял, и то ли решил их монетизировать js-майнером, то ли его проломили и поставили майнер.
Однако полиция решила, что он "вмешался в работу" собственных сайтов (sic!), и предъявила ему 361 часть 2. Как всегда случается в подобных случаях, юридическое говновозилово продолжалось год и один день, и закончилось сделкой (8500 штраф и 1001 за "экспертизу"). Статья к тому моменту мутировала в 361-1 ч.1 (изготовление вредоносного ПО)
Естественно, JS-майнер никакое не вредоносное ПО (не больше чем Boomerang или фейсбук, от которых мой i7 воет и срет под себя гигабайтами), и конечно же владелец сайта не может несанкционированно вмешаться в работу собственного сайта (просто по определению). Дармоеды в тактических носках в очередной раз ограбили, оболгали и принудили к самооговору невиновного человека, что совсем не новость.
У меня возник другой вопрос. А сколько стоила вся эта бурная деятельность бюджету? Сотни часов работы полиции, прокуратуры, адвокатов, судей и всей их блядской кодлы? Про репутацию (какая там в пизду репутация!) и сопутствующий ущерб просто молчу.
Однако полиция решила, что он "вмешался в работу" собственных сайтов (sic!), и предъявила ему 361 часть 2. Как всегда случается в подобных случаях, юридическое говновозилово продолжалось год и один день, и закончилось сделкой (8500 штраф и 1001 за "экспертизу"). Статья к тому моменту мутировала в 361-1 ч.1 (изготовление вредоносного ПО)
Естественно, JS-майнер никакое не вредоносное ПО (не больше чем Boomerang или фейсбук, от которых мой i7 воет и срет под себя гигабайтами), и конечно же владелец сайта не может несанкционированно вмешаться в работу собственного сайта (просто по определению). Дармоеды в тактических носках в очередной раз ограбили, оболгали и принудили к самооговору невиновного человека, что совсем не новость.
У меня возник другой вопрос. А сколько стоила вся эта бурная деятельность бюджету? Сотни часов работы полиции, прокуратуры, адвокатов, судей и всей их блядской кодлы? Про репутацию (какая там в пизду репутация!) и сопутствующий ущерб просто молчу.