Алекс Стах (ранее Antonij Kenzo) (aleksstah) wrote,
Алекс Стах (ранее Antonij Kenzo)
aleksstah

Как взломать правительство РФ: пошаговая инструкция

Оригинал взят у dolboeb в Как взломать правительство РФ: пошаговая инструкция
Почитал фрагмент переписки одного из наших недавно взломанных госдеятелей.
Медведев и Йотафон
Пытался проверить своё изначальное предположение, что причиной взлома послужило банальное разгильдяйство и техническое невежество обслуживающего персонала.
[прочитать дальше]
Выяснилось ровно то, что я и предполагал. Пароли от блогов госдеятеля не защищены никакими самыми общедоступными способами дополнительной авторизации (вроде подтверждения входа по СМС). Пароли известны очень широкому кругу сотрудников пресс-службы. Эти сотрудники не отличаются повышенной технической грамотностью, и не имеют никакой должностной инструкции, которая бы обязывала их, например, использовать шифрование при отправке служебной корреспонденции, не пересылать пароли от аккаунтов в открытом виде, и не пользоваться публичными файлопомойками для обмена конфиденциальной информацией. Им даже никто не предписал использовать один на всех, общий почтовый сервис, которым мог бы быть тот же, например, Gmail или Яндекс.Почта, но в собственном домене, одном для всех, с единой политикой безопасности.

Вот как выглядит шапка письма, внутри которого пересылается пост госдеятеля ему на утверждение — и, на всякий случай, пароль от блога пересылается в том же письме.
Переписка
То есть алгоритм работы над постом был такой.
Сперва некий сотрудник (условно: райтер) пишет текст и подбирает к нему иллюстрации. Или наоборот, он монтирует видео, и придумывает к нему подпись.
Дальше он должен отправить своё творчество вышестоящему работнику (условно: редактору).
Для этого он сохраняет текст и видео в разные файлы, закрывает их в архив RAR размером 211МБ, и выкладывает этот RAR в открытый доступ на файловый хостинг RedPost компании МТС (где райтер залогинен под своим адресом Gmail).
Сопроводительную записку с паролем от блога и своим билайновским номером мобильника он оставляет на том же хостинге. В качестве адресата указывает почтовый ящик редактора на Mail.Ru.
В скриншоте — шапка уведомления уже от робота RedPost, о том, что адресату (редактору) стал доступен некий RAR, выложенный на сервере до востребования.
Получив уведомление, редактор не прикасается ни к файлу, ни к письму, а жмёт на Forward, и пересылает публичную ссылку от робота (с запиской от райтера внутри) своему руководителю (условно: главе пресс-службы) на ящик Gmail.
После этого глава пресс-службы, тоже ни к чему не прикасаясь, жмёт на Forward и пересылает всю цепочку (письмо райтера, письмо от робота, форвард от редактора) уже своему начальству — тому самому госдеятелю на Яндекс.почту. При этом явно подразумевается, что госдеятель сам скачает RAR с хостинга RedPost, разархивирует его на своём Макбуке, посмотрит видео, одобрит текстовую подпись, а дальше — на выбор. Либо сам зайдёт в свой блог по прилагающемуся паролю и опубликует, либо даст отмашку главе пресс-службы, и команда на публикацию отправится обратным ходом — с Яндекса на Gmail, оттуда на Mail.Ru, оттуда снова на Gmail.

Кому-то эта технологическая цепочка может показаться сложной для понимания. Но её и не нужно понимать. Принцип функционирования институтов, которые в 2014 году так работают с файлами, описан в Законе Паркинсона за 40 лет до появления первой веб-почты. Вопрос в другом.

Как я и предполагал, пароль от блога имелся у неограниченного круга лиц, каждое из которых обращалось с этой информацией вполне небрежно. То есть очень велика (порядка 100%) вероятность, что пароль от аккаунта увели совершенно случайно, в ходе банальной фишинговой атаки, среди целей которой не было никаких госдеятелей, а были обычные лохи, кликающие на ссылки и аттачменты без разбора. После чего организатор атаки получил доступ к куче аккаунтов в почтовых сервисах, платёжных системах, онлайн-банкинге и т.п. А тут вдруг приплыл бесплатный бонус в виде пароля от самого популярного русскоязычного микроблога — грех не порезвиться. И порезвились, целых 55 минут. Из чего делаем вывод, что даже такая минимальная защита, как уведомление о новых логинах с незнакомых адресов и клиентов, не сработала. То есть она либо не была активирована вовсе, либо она была привязана к телефонному номеру, владелец которого в тот момент спал, принимал душ, жил личной жизнью.

Остаётся последний вопрос: почему я не верю, что в Твиттере госдеятеля порезвился сам b0ltai, он же «Анонимный Интернационал». А вот ровно потому и не верю, что слежу за их деятельностью. Тот доступ к почте, который они используют для публикации чиновничьей переписки, уже сто раз можно было использовать для дефейса публичных аккаунтов в соцсетях. Но они никогда этого не делали. И если б им вдруг показалось, что в честь данного конкретного госдеятеля они хотят изменить традиции, то они бы, уверяю вас, нашли способ порезвиться от души в его Твиттере. Опубликовать там не пять, а пять тысяч сообщений. Пропиарить свои разоблачения прямыми ссылками. Сделать так, чтобы пресс-служба потратила не 55 минут, а 55 часов на разгребание «левых» твитов.

b0ltai использовал инфоповод со взломом Твиттера на полную катушку, за что честь ему и хвала. Никогда ещё педерасты из ФСО не были так близко к признанию, что в их штат берут только пассивных.

Но по факту самого взлома я уверен, что всемогущества b0ltai тут банально не требовалось. Просто пароль от аккаунта полоскался на ветру. Его нельзя было не проебать — и его банально проебали.

Терпеливым пользователям, дочитавшим до этого места, в утешение могу предложить несколько красивых фоток, всплывших во взломанной переписке. Вот, например, вид на Киевский вокзал и Москву-Сити с вертолёта:
Москва Сити
Или вот ещё Поклонная гора:
Поклонная гора
В какой-нибудь Венеции или Америке, чтобы такую фотографию сделать, нужно целых 160 долларов вертолётчику за проезд заплатить (в Катманду ещё самолёт для этой цели используют, но те же $160).
Венеция с вертолёта
А в России ФСО не даст никакому вертолётчику возить туристов над ближней дачей Сталина. Зато у нас любой желающий может взломать аккаунт госдеятеля, и тут уж никакая ФСО не помешает. Потому что вся тема защиты персональных данных отдана в России на откуп жуликам и ворам. Которые жульничать и воровать умеют отлично, а вот защищать персональные данные — увы.



Subscribe
promo aleksstah june 4, 2016 17:26 63
Buy for 20 tokens
Берлинские часы Я как-то писал, что я увлекся коллекционированием часов. Точнее их фото. В каждом городе есть часы. На башне, на столбе, на стене и не мыслимо еще где )) правда последний вариант я еще не встретил :) Публикую очередную коллекцию собранных мною фотографий с городскими часами.…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments