Русский
Русский
English
Статистика
Реклама

Ржд

Самый беззащитный уже не Сапсан. Всё оказалось куда хуже

13.01.2021 10:12:44 | Автор: admin
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост Самый беззащитный это Сапсан в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО РЖДпрокомментировали результатыэтого расследования. Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого Ну, он из фана. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал Сапсанов функционирует как положено и не нуждается в доработке, заявил Евгений Чаркин.

То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали злоумышленником и Юным натуралистом.

К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите найдёте её там сами.

И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.


Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО РЖД Чаркин Евгений Игоревич и возможные последствия под катом.

Всё началось с гипотезы


В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: Есть ли жизнь за прокси?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!



То есть за роутером с прокси есть ещё один Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

Только на тот момент я недооценивал масштаб незащищённости, который я случайно нашёл.

В поисках Немо владельца системы


Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и съел собаку на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

Кстати, заходите в Телеграм чат RouterOS Security t.me/router_os

Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect ещё тот геморрой

За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.



А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств
Причём более 1000 штук микротики. Огромное количество устройств с заводскими паролями.

Вот некоторые из найденных сервисов с паролями по умолчанию:

1. Камеры наружного наблюдения подавляющее большинство.



Ещё камеры






Даже офисы внутри



Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

2. Ip-телефоны и FreePBX сервера также большое количество.




3. IPMI серверов:

Asus

Dell (их подавляющее большинство)


Supermicro

Из серверов виртуализации встречаются ESXi, Proxmox и oVirt



Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)


5. Системы управления ИБП



6. Внутренние сервисы





Что-то похожее на мониторинг состояния систем обеспечения здания.


Система управления кондиционированием и вентиляцией


Различные системы управления табло на перронах :-)

Эта самая красивая


Некий терминал, но внутри модифицированный дебиан.

Таких нашёл около 20


Кстати, аптайм у него почти год:




6. Сетевое оборудование



Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть Кстати, туннели через них тоже замечательно подымаются.

Не полный кусок лога по прокси.



Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

И все же кто же хозяин?


Думаю, что уже все и так догадались.

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

Это здец. Сеть просто в решето.

Причём это устройства по всей РФ.

Например, вот это вокзал Уфы

Антропово Костромской области


Развёрнута профессиональная система видеонаблюдения.

Нашёл презентацию по вокзалам.

macroscop


Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

Как же так получилось?


Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.



То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже

Получилась вот такая картина:

  1. Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
  2. Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
  3. Запускаю интенсивное сканирование хостов у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
  4. Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
  5. Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
  6. С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
  7. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN

Российские железные дороги провели проверку после взлома мультимедийной системы поезда Сапсан одним из пассажиров, критических уязвимостей не обнаружено.

Так дайте ответ, Евгений Игоревич, какой Юный натуралист проводил расследование и не заметил гнездо со слонами?



У меня лично есть всего три варианта ответа на этот вопрос:

1. У Вас исходно плохая команда.

Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.



2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.



3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.



Стоимость уязвимости


Что есть защищенная система? Защищенная система это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все, подытожил директор по информационным технологиям ОАО РЖД.

Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.

Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.

Рандомно выбранная из списка установленных модель стоит ~13к рублей.



А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного максимум штук 10.

Гипотетическому злоумышленнику потребуется:

  1. Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;
  2. ННаписать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;
  3. Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать часа два.

Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.

Двигаемся дальше.

Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.

А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны

Кажется счёт уже уходит за миллиарды

Что нужно изменить, чтобы снизить вероятность возможных последствий?


Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые зияющие дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

Заключение


Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то живёт.

Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.



Все информационные системы уязвимы априори. Когда их вскроют зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис с которым взаимодействует пользователь системы, а не всю сеть РЖД

Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм RouterOS Security: t.me/router_os

Кстати, Евгений Игоревич, с повышением!



Источник

Подробнее..

О театре или почему всем плевать

21.01.2021 00:20:21 | Автор: admin


На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации.
А большая часть тех, кто с безопасностью не связан вообще, высказывает какие-то уж совсем фантастические мнения, граничащие с теорией заговора.


В данной статье я сделаю попытку разобраться, без упора на информационную безопасность и поделиться своими мыслями, так что надеюсь, воспринято это будет правильно.
Под катом мой личный анализ и попытка расставить точки над "ё".
А также несколько эксклюзивных железнодорожных фоточек...


Безопасность


If the goal of security is to protect against yesterday's attacks, we're really good at it.

Bruce Schneier

Безопасность это, по определению, состояние защищенности от угроз и способность системы сохраняться при их реализации.


Известно, что безопасность всегда компромисс между стоимостью осуществления атаки, размером ущерба и стоимостью принимаемых мер.


Потому, чтобы оценить степень безопасности, строится комплексная модель угроз, в которой рассматриваются:


  • Поверхность атаки, состоящая из набора векторов, по которым может провести атаку нарушитель.
  • Риски, являющиеся математическим ожиданием вероятности реализации атаки по вектору и суммы урона от успешной проведённой атаки.
  • Модели нарушителя собственно, те, кто будет атаковать, и что им это будет стоить.

Риски


Далее я буду рассматривать вопрос угроз и нарушителя предельно упрощённо.
В таких случаях, как с РЖД и прочей инфраструктурой, возможно рассмотреть три основных риска:


  • Гибель людей.
  • Повреждение инфраструктуры, и последующий серьёзный экономический ущерб, как от её восстановления, так и от задержек работы транспортной системы.
  • Изменение процессов, влекущее задержки, которые приводят к серьёзному экономическому ущербу: если домна вовремя не получит сырьё и остановится, перезапуск обойдётся дорого.

Модели нарушителя


День 200-ый

Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке.
Для получения перца процедуру следует повторить.

"Хакер в столовой"

Для упрощения разобьём нарушителей на следующие группы:


  • Нештатные и чрезвычайные ситуации. Пожары, взрывы, дожди...
  • Инсайдеры. Злонамеренный инсайдер это либо злой сотрудник, либо кто-то из групп ниже.
  • Случайные люди различные "зайцы", пьяные, грабящие вокзалы, "взломщики Сапсанов", взломщики билетов на электрички и более крупные, например, ворующие рельсы незаконно.
  • Иностранные спецслужбы вдруг украинцы или американцы устроят диверсию?
  • Ну и конечно, террористы под это клише обычно загоняют всех, кто не подходит в другие категории.

Нештатные ситуации


Хотя они не являются "активными нарушителями", для полноты картины надо их тоже упомянуть.
Железная дорога долгое время была основной транспортной сетью государства, и построена она так, чтобы нештатные ситуации не могли его парализовать.
Про дублирование систем управления, различные уровни системы, при отказе которых будут работать предыдущие и способы устранения нештатных ситуаций возможно рассказывать очень долго.
Но это не тема данной статьи, и останавливаться на этом я не буду.


Инсайдеры


Для простоты будем считать, что инсайдером может быть кто-то из групп ниже.
Возможность работы внутри и прямого доступа к системе даёт им бонус к ресурсам.
Это, больше, модификатор, и преследуют они разные цели.


Случайные люди


Это наиболее реальные и частые нарушители, хотя обычно и не причиняющие большого экономического ущерба государству.
"Хакеры", желающие "помочь", слить базу или помайнить биткойны относятся именно сюда.


Серьёзных ресурсов не имеют, разве что, энтузиазм. Собственно, защита от них уже давно есть.
Это не те люди, ради которых надо ставить три кольца охраны, металлодетектор и анализатор запаха.
Если это инсайдер, он может продавать на сторону ресурсы или секреты (например, возможность доступа в сеть РЖД), либо наносить экономический ущерб компании из эмоциональных побуждений.
Есть внутрикорпоративный СКУД и DLP, которые хотя бы как-то помогают бороться с инсайдерами данной категории.


Театр, описанный ниже, строится не вокруг них: это всё слишком банально и недостаточно зрелищно.


Другой вопрос: если даже они могут проникнуть в сеть, то что же говорить про остальных?


Службы


Подготовленные и обученные люди, которые сначала проведут разведку и будут действовать одновременно по нескольким векторам атаки.
За ними стоит мощное государство, т.е. их ресурсы и ресурсы атакуемой системы вполне сопоставимы.
При этом, ещё и могут работать в организации на должностях, полезных для "основной работы".


Зрелищность в их работе, чаще всего нежелательный побочный эффект. Человеческие жертвы их не интересуют, если они и есть, это либо "collateral damage", либо нужно для того, чтобы достигнуть цели.
А цель у них быстрее завершить войну победой своего государства, чего они добиваются путём нанесения максимального экономического ущерба государству в котором работают.


Действовать будут в случае войны или сильного обострения противостояния между государствами.
Поэтому, шпиономания была в моде в СССР.
Сейчас такого ещё нету, мода прошла, и про них мало вспоминают.


СБ РЖД, охраны и даже полиции недостаточно для защиты от таких нарушителей, и заниматься ими должна, прежде всего, контрразведка.


Террористы


The real targets of terrorism are the rest of us: the billions of us who are not killed but are terrorized because of the killing. The real point of terrorism is not the act itself, but our reaction to the act.
And we're doing exactly what the terrorists want.

Bruce Schneier

Собственно, это те, кого меньше всего.
Эти люди имеют ограниченные ресурсы, хотя и большие, чем у случайных одиночек.
Серьёзного экономического ущерба они не создают.
В их работе главное зрелищность и эффект в СМИ. Для этого им нужны человеческие жертвы.


Именно эта группа нарушителей является теми, от кого "модно защищаться".


Причины для этого вполне очевидны:


  • Зрелищность терактов. Залитые кровью вагоны, раскиданные человеческие органы, которые СМИ показывают крупным планом, смакуя детали, это действительно впечатляющее зрелище.
  • Вызываемое терактами "бурление масс", на котором возможно наработать "политический капитал". Следующий за терактом стихийный мемориал, всероссийский траур и грозно размахивающий кулаками на их фоне политик вызывают желание "что-то быстрее сделать".
  • Популизм то, что из этого следует.

Реальность же такова, что вероятность погибнуть в теракте крайне мала. И не потому что "хорошо защищают". Но об этом ниже.


Поддержка власти здесь до сих пор держится на мнении большинства. А мнение большинства формируется по обложке и по тому, что на виду. Поэтому, вместо того, чтобы с чем-то бороться, надо делать вид, что ты борешься.


Защита


Technical problems can be remediated. A dishonest corporate culture is much harder to fix.

Bruce Schneier

Что сделано


Каждый может посмотреть в газетах и почитать в Интернете, что у нас сделано:


  • Вокзалы стали режимными объектами, и для того, чтобы пройти на поезд надо себя ощутить немного в тюрьме, а каждый охранник имеет чуть больше прав, чем ты.
  • Везде заборы и камеры, отслеживающие всех и каждого, так что пройти через город, зачастую становится квестом для паркурщика.
  • Над понятием "неприкосновенности личной жизни" или "частной собственности" здесь лишь посмеются и покрутят у виска.
  • Коррупция. Во имя защиты возможно создавать секретные статьи расходов, права чьи-то ущемить, да и грохнуть без суда прямо в стране (во имя общего блага), а то и чрезвычайное положение ввести с комендантским часом. Какой уж там аудит и борьба с ворами, когда последние "борются" с убийцами?
  • Страна, как одна большая зона, в которой граждане, с точки зрения властей, потенциальные массовые убийцы. Не доверяют им. А за охрану себя от себя граждане платят из своего кармана.

Причина из-за которой на сообщение различных White Hat реагируют только после того, как была публикация в прессе, уже должна быть понятна:


  • Никакого серьёзного ущерба наносить он не будет. Даже пропажа БД клиентов несерьёзный ущерб, потому что таких баз от МВД и разных Сбербанков уже столько, что пробивом не занимается только ленивый. А поезда пускать под откос не будет он, потому что "White Hat" же.
  • Никакой защиты нет, и все, кому надо и так уже имеют РЖД в эту сеть доступ. Он же лишь показал то, что и так известно руководству.
  • После того, как была публикация, надо во-первых людям показать, что "мы работаем", во-вторых закрыть доступ недалёким script-kiddies, которые могут рвануть в сеть "по горячим следам".

Поможет ли


Сначала мне бы хотелось разобрать комментарий уважаемого tnt4brain.


Изначально системы централизации создаются на принципах защитного отказа, то есть возможность состояния никто никуда не едет она штатная, и именно в это защитное состояние переходят системы во внештатных ситуациях.
Да, плохо, да задержки, но принимается, что сохранность жизней и грузов важнее, чем потраченное время. Собственно, многое в регламентах поездной работы написано вокруг порядка действий во внештатных ситуациях вплоть до отправления и приёма поездов по путевым запискам, то есть при полностью недействующих средствах СЦБ.
Связь для этого, конечно, требуется, но сугубо в духе физическая пара проводов.

Это абсолютно верно, но больше относится не к целенаправленным атакам.


Управление стрелками и сигналами на станции может быть дистанционным, от поездного диспетчера за 700 км.

Выглядеть такой центральный пункт может, например, так:


Зал управления


Здесь действительно осуществляется более ли менее серьёзный контроль доступа.


Но физические приборы, проверяющие допустимость тех или иных сочетаний стрелок/сигналов, по-прежнему находятся в релейных помещениях.

Релейное помещение выглядит примерно так:


Релейка


И находится оно прямо на станции.


То есть после них что угодно, хоть старые кнопочные пульты, хоть компьютеры с мышками, хоть ПЛК и свитчи, но первичные зависимости, которые определяются согласно техническо-распорядительному акту станции при проектировании по-прежнему 100% локальные, и для их взлома нужен физический доступ в режимные помещения.

А вот и одно из таких помещений изнутри:


Пульт на станции


Это самая, что ни на есть обычная станция, которых тысячи.
Из людей там, кроме диспетчера, изредка приходящий электромеханик, двери часто открыты, ведь посторонних там не бывает.
Пройти туда очень просто. Есть же вообще безлюдные станции.
И в этом нет государственного секрета: нельзя поставить взвод охраны на каждую станцию.


Ну и это ещё не считая того, что по рельсам от сигнальной точки на локомотивные устройства передаётся кодированная информация как минимум о допустимой скорости на данном участке и закрытом/открытом состоянии след. светофора.

Кодированная, однако не шифрованная и не подписанная..


Короче говоря, на самом деле в СЦБ целый мир безграничных чудес и крайне остроумных технических решений, о которых можно долго и увлекательно рассказывать, но в комментарий это, конечно, не влезет.

Конечно это так, но есть и человеческий фактор, вот например, предупреждение электромеханикам:


Реле и предупреждение


Это означает, что если кто-то замкнёт реле (оно работает на размыкание и "красный" загорается, когда закорачивается рельсовая цепь колёсной парой, в результате чего питание реле пропадает), будет "вечно зелёный".
С учётом этого, перевести стрелки "навстречу" уже не кажется такой уж нереальной задачей.


Что касается предмета статьи интранета РЖД я учился по другой специализации, и могу только предположить, что описанная история всё же вопрос недосмотра. Думаю, полнее/точнее смогут прокомментировать их официалы, полностью знакомые с ситуацией.

Это не "вопрос недосмотра", и сеть управления не полностью изолирована, по крайней мере была.


Изо всего перечисленного вытекают ответы на следующие вопросы:


  • Поможет ли защита против случайных нарушителей? Не поможет, разве частично. Меры защиты, принимаемые сейчас для такой задачи избыточны, как "из пушки по воробьям".
  • Поможет ли такая защита против служб? Однозначно нет. Ведь по сути это видимость защиты, "серьёзных людей" она не остановит.
  • Поможет ли такая защита от "террористов". Поможет террористам. Ведь теперь не обязательно ждать у вокзала, изучать его, по камерам возможно понять, где больше народу, где удобнее пройти, где стоит охрана, ну а если доступ с роутера, через который всегда ходил, закроют, есть просто очередь на входе.

Напомню, что поезда здесь не взрывают относительно давно, ещё до "введения мер", а в "самом защищённом" метро "классический теракт" был последний раз лишь 4 года назад.


Театр безопасности


More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk.

Bruce Schneier

Картинка в заголовке честно слита отсюда, и как возможно заметить это выражение давно не новое.


Далее, я подробнее остановлюсь на разборе "театра", применительно к РФ, для тех, кто не был с данной темой знаком.


Его запустил в обиход Брюс Шнайер, в тесной связи с принятием Патриотического акта.


Проблемы "театра"


  • Театр дорог.
  • Театр понижает уровень жизни.
  • Театр опасен лично для вас.
  • Театр не решает проблемы безопасности.
  • Театр создаёт новые проблемы, серьёзнее предыдущих.

Театр дорог


На его организацию тратится много средств, которые могли бы пойти на решение проблем:



Каждая открытая станция требует дополнительной переделки:


  • Заборы.
  • Пункты контроля.
  • Дорогие системы видеонаблюдения, часто с распознаванием лиц, иногда с распознаванием эмоций и т.п..

Затем на станцию нанимается большое количество персонала:


  • Как низкооплачиваемого, для каждой станции, такого, как охрана.
  • Так более дорогого, такого, как психологи-профайлеры.
  • Периодически делается проверка качества работы этого персонала, что тоже деньги за эмуляторы, время сотрудников и т.п..

Пропускная же способность каждой "обезопашенной" станции из-за проверок снижается. Да и число людей, которые захотят данным транспортом воспользоваться, снижается тоже, хотя может и незначительно.


Также, неизвестно, распиливается ли на этом что-то, и если да, то какой процент...


Театр понижает уровень жизни


  • Снижается уровень комфорта из-за пустой траты времени на стояние в очередях там, где их может не быть, из-за снятых урн на станциях метро, и металлодетекторов пищащих на мелочь.
  • Чужие люди пытаются лезть в личное пространство. Да, "вам нечего скрывать", но может вы там везёте меховые наручники для подружки? Я был несколько раз свидетелем того, как охрана на Савёле кричала вслед нестандартно выглядящим подросткам: "Вон смотри, пидарасы снова пошли!"
  • Некомпетентный персонал, которым являются охранники, не знает правил и законов, потому может не пропустить вас, даже если вы не везёте ничего запрещённого.

Театр опасен лично для вас


  • Вас могут попытаться заставить нарушить закон, и вы будете за это отвечать. Часто из-за некомпетентности охраны. Отвечать вы можете по тяжёлой уголовной статье.
  • В очереди могут присутствовать люди, заражённые контагиозными инфекциями. Туберкулёз в открытой форме, COVID-19, грипп, сифилис (при бытовом контакте может передаваться), любые тропические болезни, которые могли привести "туристы", всё здесь рядом.
  • Вас могут просто обокрасть люди, работающие группой.

Театр не решает проблемы безопасности


  • Создаётся ложное ощущение безопасности, в результате чего, часть людей может не заметить реальных проблем.
  • Другим же обстановка "как в тюрьме" непривычна, и ещё неизвестно, сколько лет жизни отбирает такой постоянный стресс.
  • Принятые "меры" действуют лишь на симптомы, а средства на решение проблем не выделяется, и так как "меры приняты", вроде и решать нечего.
  • Многократно сказано про то, что принятые меры не уменьшают число жертв, в случае взрыва, например, в очереди. И чужое тело не сильно задержит осколки, имеющие поражающую способность. Если вы думаете иначе, и не понимаете, что это такое, лучше увидеть пример для всего-лишь РГД-5 с зарядом в 110 г. и без осколков.

Театр создаёт новые проблемы, серьёзнее предыдущих



Возьмём два вокзала:


  • Ярославский в Москве.
  • Главный вокзал Екатеринбурга.

Ярославский


Ярославский вокзал


На Ярославском вокзале пассажир, минуя здание, мог пройти к поездам дальнего следования.


Сейчас тоже может, если купит билет за 30 рублей на пригородную электричку.

На электрички такого контроля нет.
Затем нужно подождать, когда придёт очередная электричка, а специально обученный человек откроет ворота между пригородными и дальними поездами.
Куда идут пассажиры дальше всем плевать, да и не уследишь.
Ещё вариант пролезть через одну из дырок в заборе (где-то "электричковые зайцы" даже вели их реестр).
Безопасность, как здесь:



Сейчас нельзя пройти к поездам, не обойдя вокзал, а между проходом сразу от метро забор.
Пройти напрямую из метро тоже нельзя приварен забор.


Я не могу говорить с точки зрения пожарной безопасности, и что-то мне подсказывает, что в случае пожара, даже если ворота не откроют, пожарные их выбьют.


Но что насчёт давки? Ведь там бывают толпы, особенно когда приходит несколько поездов.
Если до "безопасности" в случае паники и возникшей давки затоптали бы несколько людей, скольких задавит сейчас толпа, которая упрётся в забор?


Екатеринбургский


Раньше это был красивый вокзал и выглядел он так:


Екатеринбургский вокзал раньше


Теперь он выглядит так:


Екатеринбургский вокзал сейчас


Хорошо, что там хотя бы люди вежливые: уронил выкидной нож из кармана, охрана сразу мне показала на это и посоветовала не торопиться.


Увы, это не могло длиться достаточно долго...


Кто виноват?


Ведь, если звезды зажигают значит это кому-нибудь нужно?
Значит кто-то хочет, чтобы они были?
Значит кто-то называет эти плевочки жемчужиной?

В.В. Маяковский

Театр существует, потому что он нужен.


Он нужен:


  • Людям, продающим оборудование. У них бизнес.
  • Службе, которую давно пора расформировать. У них бюджет.
  • Политикам. У них рейтинги.
  • "Террористам". Они частично добились своего.
  • Множеству людей, которые бегут от реальности и предпочтут иллюзию безопасности реальной безопасности и свободе.

Ещё когда-то высказывалось такое мнение, что есть инцидент произошёл на улице, транспортная полиция может сказать, что "это не наша зона ответственности".
Но, вокзал, как я понимаю, находится полностью в зоне ответственности транспортной полиции.


Что делать?


Об этом говорить не мне. Я лишь могу немного углубиться в тему напоследок.


Надо делать точно не то, что делается сейчас. Для начала, убрать заборы.
А деньги с продажи металла пустить на борьбу с терроризмом, например.


Когда по телевизору показывают очередное "маски шоу" с задержанием таджиков в Петербурге, стоит задуматься о том почему они:


  • Задерживают его уже в Петербурге, а не прямо на границе?
  • Вообще его задерживают? Показывают, как "хорошо" работают населению? Запугивают людей потенциальных "террористов"?
  • Вообще нуждаются в том, чтобы кого-то задерживать? Не имеют достаточно агентуры в сопредельных государствах? Не имеют возможности создать в приграничных государствах лояльное отношение?

Террористы не берутся из воздуха:


  • Если людям закрывать рот, не давать высказаться и плевать на то, что они хотят, продвигая лишь интересы меньшинства у власти, людям не остаётся ничего, кроме применения силы.
  • Если разрушать чужую страну, в которой были школы и университеты, поддерживать там диктатора и понижать уровень жизни людей до не возможного, а при этом ещё и продавать туда оружие, рано или поздно там появятся озлобленные вооружённые люди.
  • Если человек ходил только в медресе, и радикальному исламу вокруг нет альтернативы, негде учиться, а чтобы прокормить семью, он должен взять оружие в руки, это единственный путь для него.

Думаю, что нужно делать, понятно и так.

Подробнее..

(не)Безопасный дайджест пароли по дефолту, персданные в подарок и зарплата для фишеров

01.02.2021 12:14:39 | Автор: admin

Продолжаем собирать классические и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone.

У них

Заводская проходная

Что случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.

Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.

Слив-подряд

Что случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб.

Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля.

Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы засветили данные 150 миллионов пользователей тех же соцсетей.

Доплата за энергию

Что произошло: Британский поставщик электроэнергии Peoples Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках третьей стороны оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в Peoples Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия.

Кто виноват: По версии Peoples Energy, причиной инцидента стало неблагоприятное стечение обстоятельств. Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой Peoples Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были.

Международная заброшка

Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации.

Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai в рамках проверки на уязвимости, которую инициировала сама ООН.

Ограбление по-итальянски

Что произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете.

Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.

Новичок на миллион

Что произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.

Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с приданым коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции.

Цена любви

Что произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов.

Кто виноват: По одной из версий дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе.

Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу).

У нас

Зряплата

Что произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на левые карты под видом зарплаты и обналичили через банкоматы.

Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной начинкой. Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию.

Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.

Сим-сим, закройся

Что произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости.

Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты.

После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть дыры в безопасности. Пресс-служба компании, правда, публично выступила против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.

Подробнее..

Билет без некоторых русских букв

18.03.2021 22:21:23 | Автор: admin

Не так давно на Баше промелькнуло занятное открытие: в недрах системы бронирования ж/д билетов, оказывается, есть не все русские буквы. История вызвала массу домыслов в Тви, причём выдвинуты самые разные версии: от непрофессионализма инженеров РЖД до откровенной конспирологии. Всё проще, дело в истории железных дорог и советских компьютеров.

Всё началось в XIX веке

Первый проект по автоматизации сбора и обработки данных в серьёзных масштабах перепись населения США в 1890. Для фиксации данных была взята проверенная технология, придуманная для ткацких станков представление узора с помощью пробивки отверстий в картонных карточках. Так появились перфокарты, на них пробивались промежуточные результаты по округам, которые затем суммировались.

Перфокарты как стандарт хранения данных окончательно устаканились к концу 1920-х, стандартом стал формат IBM: 80 колонок по 12 отверстий. Тогда перфокарты применяли только для хранения и обработки числовых данных, о тексте речь не шла. Принцип был простой: каждая колонка одна цифра. Дополнительные 2 отверстия в каждой колонке служили для указания на промежуточный результат.

С появлением первых ЭВМ общего назначения стало необходимо как-то записывать на перфокарты и текст. В начале 50-х годов во время разработки IBM 701 первого коммерчески доступного компьютера была придумана довольно оригинальная кодировка текста специально для перфокарт, BCDIC, в дальнейшем расширенная до EBCDIC. Эта кодировка не имеет ничего общего со всем известной и ставшей мировым стандартом кодировкой ASCII, там не менее EBCDIC до сих пор используется в мейнфреймах IBM.

Конечно, никакой кириллицы в этой кодировке не было.

Кириллица

В СССР с 50-х годов ХХ века использовался тот же стандарт перфокарт IBM (8012), но вот кодировка символов, и даже направление записи, отличались. В стандарте IBM буквы, как и цифры, записывались поколонно, а в стандарте УПП (Устройство Подготовки Перфокарт) построчно, причем на каждый символ отводилось 8 отверстий, хотя фактически для данных из них использовалось только 7.

Более того, кодировка символов алфавита для УПП не соответствовала кодировке символов ВКД, принятой в первых советских ЭВМ (Урал и БЭСМ).

Из книги Алгоритмический язык ФОРТРАН, В.Я. Карпов, 1974 годИз книги Алгоритмический язык ФОРТРАН, В.Я. Карпов, 1974 год

Телеграф

На всё это разнообразие накладывался ещё два исторических фактора телеграф и телетайп.

Исторически телеграфные линии строились параллельно железным дорогам, и, конечно, железная дорога изначально была основным заказчиком и пользователем телеграфа. К началу XX столетия телеграфный аппарат был практически на каждой станции железных дорог Российской империи.

Телеграф тех времён использовал код Морзе сочетание точек и тире. Читать точки-тире и переводить их в буквы очень неудобно, поэтому довольно скоро появилось новое устройство, телетайп, представляющее из себя электромеханическую печатную машинку, передающую и принимающую данные по уже имеющимся телеграфным линиям.

Телетайп использовал свою кодировку, пятиразрядный код Бодо/Мюррея, который был стандартизирован, в том числе и в СССР, к началу 30-х годов. Для кодировки кириллицы использовались расширения кода Бодо/Мюррея, называемые регистрами.

Как азбука Морзе, так и код Бодо не включали в себя маленькие, строчные буквы. Весь текст передавался только заглавными.

К началу 50-х телетайпы, как и телеграфные аппараты за полвека до этого, были почти на каждой ж/д станции СССР, и часто не в единственном экземпляре.

Телетайп, ЭВМ и железные дороги

На железных дорогах телетайп применялся очень активно для диспетчеризации и координации поездов и грузов в них. Было сформировано несколько отраслевых стандартов кодирования данных о составах, о пунктах назначения и остановках, о тоннаже, грузах и тп. Многие из этих стандартов действуют до сих пор.

Примерно к середине 50-х стало понятно, что если к телетайпу прикрутить компьютер, то можно существенно оптимизировать движение грузовых составов, поэтому железные дороги стали одним из первых пользователей советских ЭВМ. Эксперименты по применению ЭВМ на ж/д начались в конце 40-х в самом деле, примерно в то же время, когда компьютеры только начали использоваться для расчётов в оборонке.

Важно понимать, что никаких мониторов в то время в составе ЭВМ не было в помине, данные в основном вводились через перфоленты или перфокарты, или напрямую с телеграфной линии, а результаты расчётов печатались на бумагу или выбивались на перфокартах.

В оборонке компьютеры в то время использовались преимущественно для математических вычислений (решение уравнений), буквы были особо не нужны, достаточно было принтеров только с цифрами и некоторыми знаками препинания.

На железных дорогах компьютеры с самого начала использовали не только для расчётов, но и для обработки данных о составах. Дополнительно к этому уникальной особенностью железных дорог относительно других отраслей было массовое распространение принтеров телетайпов позволяющих вводить с клавиатуры и выводить на бумагу не только цифры, но ещё и буквы, причём не только кириллицу, но и латиницу.

К середине 60-х телетайпов на ж/д станциях было несколько тысяч, если не десятков тысяч, но буквы в этих принтерах были только заглавные, а прошивка, преобразующая коды в буквы, была механическая. Обновить такую механическую прошивку для изменения кодировки не было никакой возможности, для этого надо было физически заменять устройство.

Пассажирские перевозки

Первые эксперименты по созданию сети продажи ж/д билетов начались в начале 60-х было принято решение попытаться автоматизировать билетные кассы Московского узла железных дорог. По косвенной информации, путём интриг и использования родственных связей разработка была передана аж в Ереван (Армения) и за основу была взята ЭВМ Раздан-3.

Так появилась система Маршрут-1, которая, после примерно пятилетней отладки, начала обслуживать кассы Киевского вокзала. После введения в эксплуатацию систему переименовали в АСУ Экспресс, так она и называется до сих пор.

Особенности разработки ЭВМ в СССР

Как и везде в мире, первые компьютеры в СССР строились для расчётов в оборонке. Проектированием занимались сразу несколько коллективов, практически никак друг с другом не сотрудничавших, причём не только из-за секретности, но и из-за административной конкуренции (это когда борьба не за рынки, а за благосклонность партийного руководства). Такой расклад привёл к появлению сразу нескольких не совместимых между собой ветвей развития ЭВМ.

Более того, в погоне за госпремиями и весьма ограниченными материальными и людскими ресурсами, коллективы разработчиков и их кураторы иногда устраивали настоящие межведомственные войны. Высшим пилотажем считалось протолкнуть ГОСТ, не совместимый с разработками конкурентов и перечёркивающий многолетние результаты их труда.

Это чрезвычайно тормозило прогресс в целом, и после смерти главного титана советского компьютеростроения академика Лебедева, под руководством которого была разработана линейка ЭВМ БЭСМ, в начале 70-х было принято антисоломоново решение: скопировать в СССР штатовскую IBM System/360. Просто чтобы навсегда пресечь разброд и шатание.

На основе архитектуры System/360 предполагалось создать целую линию компьютеров разной мощности. Всё получилось и эти компьютеры вошли в историю как Единая Серия Электронно-Вычислительных Машин ЕС ЭВМ.

Разумеется, ЭВМ производства IBM не понимала кириллицу, но что ещё хуже, и стандартная к тому моменту ASCII была для System/360 не родной. Как выше уже упоминалось, основной кодировкой System/360 была EBCDIC.

При клонировании архитектуры в эту кодировку добавили кириллицу, но за основу взяли принципы, применявшиеся ещё в кодировках БЭСМ ВКД и УПП: зачем добавлять кириллические символы, похожие на латиницу, давайте добавим только те, которых в латинице нет.

Так появилась кодировка ДКОИ, ставшая стандартом для серии ЕС ЭВМ, а позже и весьма странным отраслевым ГОСТ-ом 19768-74.

Экспресс-2

АСУ Экспресс-1, в целом, была устаревшей и плохо масштабируемой с момента внедрения, поэтому после начала производства машин Единой Серии было принято решение переделать всё на ЕС ЭВМ. На основе этих машин была спроектирована и введена в эксплуатацию в начале 80-х АСУ Экспресс-2.

Понятно, что ради встраивания системы автоматизированных продаж билетов никто не собирался менять устоявшуюся кодировку имеющихся на ж/д телетайпов для этого надо было поменять сами телетайпы. То-есть в системе остались только цифры, знаки препинания и заглавные буквы, которые в телетайпах были почти все. Но вот зато в EBCDIC/ДКОИ они были не все, и поэтому в Экспресс-2 оставили только заглавные за вычетом русских букв А, В, Е, К, М, Н, О, Р, С, Т и Х, потому что их просто не было в ДКОИ. Конечному то пользователю билета совершенно всё равно, напечатана, скажем, буква М латиницей или кириллицей они визуально совершенно одинаковы.

Экспресс-3

С увеличением объёмов ж/д перевозок системы Экспресс-2 стало не хватать уже к концу 80-х, но в 1991 произошел распад СССР и стало не до этого. К вопросу вернулись только к концу 90-х.

Источник https://bit.ly/38VKEqzИсточник https://bit.ly/38VKEqz

К тому моменту сколь-нибудь серьёзных компьютеров производства РФ не существовало в природе, поэтому следующую версию стали делать на мейнфреймах IBM, просто чтобы всё не переписывать и внедрять поэтапно, соединяя новые узлы системы со старыми, на ЕС ЭВМ.

Вероятно, в новую систему мигрировало часть старого кода, в т.ч. сообщения об ошибках, записанные в кодировке только из заглавных букв с пропусками в кириллице.

Судя по всему, они там остались до сих пор, и именно на них и наткнулись разработчики, запостившие своё открытие на Башорг.

И, скорее всего, именно поэтому билеты в кассах РЖД до сих пор печатаются только заглавными.

Подробнее..
Категории: История it , Ebcdic , Ржд , Телетайп

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru