Против россиянского взлома нет приема21.06.2016 01:01

Как многие заметили, писать стал реже — не вижу особого смысла. Как мне кажется, по части местных мрачных дел всё уже понятно большинству, а «кто не понял — тот поймёт». Рунет обречен, идет неспешная и деловитая утилизация проекта. Людям в фуражках нужно какое-то время, чтобы разобраться в диковинном для них хозяйстве из проводов и серверов. С этим всё понятно, но вот на чем я хотел бы остановиться, пока интернет работает — на деталях этого процесса угасания.

Многие видели в последнее время множество личных нападок на Михаила Касьянова, в том числе видео с его лицом в центре перекрестия прицела. Тем более интересно посмотреть на возможности пацанов, которые буквально на днях взломали ИТ-составляющую его политической структуры, поломав сайт партии Парнас и выложив базу данных проголосовавших в открытый доступ. Я опускаю все политические подтексты и перипетии, связанные с праймариз партии Парнас (кому интересно, со всем этим можно ознакомиться вот здесь или ещё там), здесь меня интересует лишь пассивное и удаленное наблюдение за возможностями пацанов, которые деловито так осваивают интернет-просторы русскоязычной сети. А возможности у них такие, что их хорошо бы учитывать всем другим.

К примеру, вы завели себе почтовый ящик на gmail.com и думаете теперь, что Гугл не выдаст вашу переписку (и потому она в безопасности и приватности). С недавних пор это уже не так — с точки зрения приватности, теперь почта гугла, это такой же местный провайдер почты, как и mail.ru, и никакой санкции заморских гуглеров на чтение вашей почты для пацанов теперь не нужно, ведь физически всё храниться будет здесь. А помните, я писал о модели из условных трёх уровней приватности в своих постах Маркетологи в штатском или почему crypto суксь и Почему наша приватность обречена — вот эта модель здесь в действии и есть. Только с этой точки зрения и можно понять, что сегодня в этих-ваших-рунетах и происходит (попутно с учетом понятого сделать поправки в свои повседневные сетевые практики).

Но ещё раз — оставим политический аспект в покое, под катом краткие пояснения технарей «Парнаса» о технической сути случившегося. Определенно, есть над чем подумать.

Почему наша приватность обречена безопасность анонимность взлом

Против взлома нет приема

Фактически весь пост — это набор цитат. Тут излишне добавлять что-то от себя. И первая цитата взята отсюда:

По поводу взлома.

Как мы все знаем персональные данные теперь нельзя хранить заграницей, в противном случае будет нарушен федеральный закон. Зачем был принят этот закон, я думаю, всем понятно теперь наглядно. Не нужны никакие хакеры, когда можно просто прийти к хостеру/провайдеру и просто получить физический доступ к серверу показав ему красную корочку с надписью из трёх букв.

Пароли не хранились в открытом виде и никуда не записывались (хранится только хеш по требованиям информационной безопасности, но даже имея хеш нельзя получить оригинал пароля).

Следовательно, даже имея доступ к базе данных нельзя получить пароли в открытом виде, но тем не менее мы их видим.

Это значит, что они были перехвачены до момента записи в БД на промежуточном сервере, где балансируется нагрузка. Там они вынужденно хранятся короткое время в открытом виде в памяти сервера. Это можно сделать только имея физический доступ к памяти сервера (так как на диск это информация не попадает).

Таким же образом мог быть перехвачен пароль доступа оператора технической поддержки, что дало возможность опубликовать файл с личными данными части избирателей на сервере.

В условиях тотальной информационной слежки, вся суть IT безопасности сводится к тому чтобы держать сервера за границей. Вспомним недавний слив аккаунтов mail.ru, yandex.ru, российского google и недавний скандал с telegram и МТС.

Совершенно не понимаю, что имеет в виду Волков, когда пишет о дискредитации идеи электронной демократии. Дело-то не в идеи, а в условиях технической реализации этой идеи.

Почему наша приватность обречена безопасность анонимность взлом парнас касьянов шутка
Как страшно жить…

Гремучая смесь обстоятельств

Далее цитата, взятая вот отсюда:

Делаю предварительный вывод о том, что слив базы праймериз «Парнаса» — это именно совокупность действий злоумышленников и профнепригодности админов/программистов и менеджеров «Парнас».

Добавлю от себя — в базе аж три моих пароля, хотя регистрация была одна. Т.е. видать я забыл пароль и вводил разные, а это перехватывали
— Roman Dobrokhotov (@Dobrokhotov) May 29, 2016

Наблюдения:

  1. Файл database.xslx выглядит скорее не как дамп базы данных, а как данные, скомпилированные из некого иного источника. Например, как логи попыток авторизации, дополненные данными из базы данных. Свидетельство тому — колонка «пароли через пробел». Как известно, в таблице пользователей никто не хранит сразу несколько паролей, и нет обычной практики сохранять неправильно введенные пароли. А тут тупо сохранены все вводимые пароли, в том числе неправильные.
  2. Файл датирован 2016–05–26 23:45:35 (UTC) — то есть, создан за несколько дней до слива. Это говорит о крайне малой вероятности того, что администрация сайта выложила этот файл в открытый доступ по ошибке (вместо другого файла). Да и нет никакого разумного объяснения выкладывать некую «резервную» копию на какой-то файлообменник.
  3. Пароли в базе данных скорее всего были все же хешированы. Иначе, в database.xslx не было нужды выкладывать список «паролей через пробел», когда можно было выложить именно те пароли, которые есть в базе.
  4. Сайт Парнаса висит на IP 94.250.251.127. Если пошариться по соседним IP, то можно увидеть, что сайт размещен скорее всего на шареном хостинге ценой в условные 300 рублей в месяц, а вовсе не на собственном сервере.Самое печальное подтверждение этому в том, что вот она — панель ISPmanager, доступная по ссылке https://volna.parnasparty.ru:1500/ispmgr
  5. А это означает только одно — хостинг действительно шареный! Сайт праймериз висел и до сих пор висит на одном сервере с сотнями других сайтов и пользователей! Это даже не виртуалка, которая хотя бы логически изолирована!!! Это шареный хостинг, где все разграничения — лишь на уровне прав доступа пользователей!
  6. Сайт не только размещен в доменной зоне Ru (и может быть отключен в любой момент со стороны), но и хостится прямо в Москве у крупного хостера ISPserver.ru, к которому может зайти любой опер, открыв казенным сапогом дверь в их TIER 3.

Технический комментарий ПАРНАС по ситуации вокруг утечки данных избирателей на праймериз Коалиции ПАРНАС: https://t.co/hlhhcFnf9t
— ПАРНАС (@parnasparty) May 30, 2016

Таким образом, можно предположить три варианта, с помощью которых были стырены данные и опубликована «новость»:

А) Данные, представленные в распространенном database.xslx, слиты либо через прямой доступ к файлам сайта, либо через закладки, которые для специалистов (в этой сфере) часто не составляет особого труда установить при наличии доступа на сервер под другим непривилегированным пользователем.

Б) Со стороны провайдера так же не представляло никакой сложности получить доступ ко всем этим данным в любой момент времени и совершенно не привлекая к себе внимания админов сайта. Либо прослушиванием трафика, либо прямым доступом к данным на диске. ИМХО, это наиболее вероятная версия. Таки лавры МТС кому-то никак не дают покоя.

В) Либо третий вариант. Трафик был прослушан и расшифрован спецслужбами. Приватный ключ к SSL сертификату мог быть украден при совсем недавнем взломе сайта Парнас. Так как срок действия SSL-сертификата на *.parnasparty.ru с 05.07.2015 по 07.07.2016 г., то это говорит о том, что приватный ключ мог не меняться.

Отсюда делаю следующий вывод:

Учитывая, что помимо похищения персональных данных, была размещена еще и «новость» вместе с файлом данных, то варианты Б и В я почти исключаю, ибо вариант В не предполагает доступа к содержимому сайта, а вариант Б маловероятен, так как просить провайдера вносить изменения в содержимое данных клиента — это палево ещё то.

Наиболее реалистичный вариант — это А. То есть вариант, при котором доступ к содержимому сайта «Парнас» был получен через взлом (либо несанкционированное использование реквизитов доступа, похищенных иным образом) со стороны другого пользователя того же шареного сервера (хостинга).

От себя добавлю, что как по мне, наиболее реалистичный вариант — это сочетание А и Б, где хостинг-провайдер дает доступ, а те-кому-надо делают уже всю грязную работу под прикрытием легенды повседневного взлома. Подобные гибридные спайки сейчас стали фактически стандартом де-факто для ведения обезличенной прокси-войны со стороны государств.

@unkn0wnerror Самое смешное — они _требовали_ чтобы в пароле были буквы разных регистров и цифры — БЕЗАПАСНАСТЬ!
— rnkbb (@rnkbb) May 29, 2016

Б — Безопасность

И ещё цитата, это третья и заключительная реплика.

Всем у кого засвечена почта и другие аккаунты, которые привязана к мобильному. Даже если ваша почта и за пределами РФ.

В ближайшее время все ваши аккаунты могут взломать по уже накатанной схеме.

Отправляют запрос на восстановление пароля. Сообщение отправляется по СМС, но не доходит, а перехватывается оператором по запросу спецслужб. Теперь ваша переписка уже не ваша, а, возможно, даже часть уголовного дела.

По состоянию на данный момент —

Сайт ПАРНАС не функционирует по причине обрушения сервера в результате несанкционированного доступа. Идут работы по восстановления доступа.
— ПАРНАС (@parnasparty) May 30, 2016

А пока сайт висит, на моём блоге музыкальная пауза:

© Blogerator