По мнению Александр Жарова, коллапс интернет-платежей связан с действиями бежавших на Украину сотрудников ФБК
Как считает Роскомнадзор, ложные блокировки устроили активисты Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александр Литреев и Владислав Здольников, рассказали человек, близкий к ведомству, и знакомый руководителя Роскомнадзора Александра Жарова. По их словам, Роскомнадзор попросил Министерство внутренних дел (МВД) провести расследование ложных блокировок.На прошлой неделе часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Среди заблокированных были интернет-кинотеатр Ivi, панель управления хостингом в кабинете пользователей хостинг-провайдера Selectel, сайт «Медузы».
Суть уязвимости такова. Операторы блокируют некоторые сайты, попавшие в список Роскомнадзора, по IP-адресу, привязанному к этому имени (в частности, сайты, использующие шифрованные протоколы). Если владелец уже заблокированного ресурса добавляет в список своих адресов IP-адрес любого другого сайта или какой-то его страницы, то добавленный ресурс также рискует оказаться заблокированным. Черный список Роскомнадзора содержит доменные имена и IP-адреса заблокированных сайтов, но проблема в том, что IP-адреса, соответствующие доменам, в списке меняются не так часто. А операторов штрафуют, если какой-то из заблокированных по решению суда ресурсов оказывается доступен.
Роскомнадзор использует для проверки доступности запрещенных сайтов комплекс «Ревизор», который сам выявляет текущие IP-адреса запрещенных сайтов из системы DNS (это система, в которой регистратор адреса сам прописывает IP-адрес, она есть в публичном доступе). Поэтому операторы тоже вынуждены выявлять такие IP-адреса самостоятельно, что в конечном итоге и приводит к ложным блокировкам.
Здольников – IT-консультант ФБК и директор компании Newcaster.tv, а Литреев – основатель Студии Александра Литреева, которая занимается разработкой сайтов и мобильных приложений, также он создал приложение «Красная кнопка», которое сообщает юристам о задержании их клиентов во время протестных движениях. Литреев и Здольников – авторы популярных каналов о кибербезопасности в Telegram (8200 и 14 000 подписчиков соответственно). Оба активно обращали внимание на уязвимость в системе блокировок Роскомнадзора, Здольников писал о ней еще в мае. Тогда он предупредил, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в белый список, т. е. попросил их не блокировать. Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером, из-за того что его IP-адреса оказались привязаны к заблокированному ресурсу.
По версии Роскомнадзора, рассказывают собеседники, Литреев приобрел более десятка заблокированных, но уже не действующих ресурсов, не исключенных из черного списка Роскомнадзора, к которым, по мнению чиновников, «прикручивались» IP-адреса других, добросовестных сайтов. Литреев признает, что действительно приобретал ресурсы, которые ранее были заблокированы, но использовать со злым умыслом их не собирался, никаких других IP-адресов не указывал, да и не успел бы. Он объясняет, что приобрел адреса для того, чтобы проанализировать уязвимость на собственных, принадлежащих ему ресурсах. Но вновь купленные им адреса очень быстро были удалены из реестра Роскомнадзора.О жалобах Роскомнадзора в МВД и кому бы то ни было ни Литрееву, ни Здольникову не известно.По словам сотрудника одного из крупных операторов связи и чиновника федерального ведомства, проблема уязвимости на различных совещаниях по кибербезопасности обсуждается с весны. Тогда, по их словам, начались точечные ложные блокировки, но Роскомнадзор эту проблему никак не решал. По мнению последнего, найти ответственного за подобные вещи невозможно, им может быть кто угодно.Проблему надо решать системно, а не путем поимки тех, кто указывает на недостатки существующего порядка блокировки, говорит он. Сотрудник крупного оператора сомневается, что за троллинг Роскомнадзора можно привлечь к ответственности.
Компания Qrator Labs, специализирующаяся на устранении DDos-атак, вчера уведомила клиентов об уязвимости в системе «Ревизор». За прошедшую неделю множество провайдеров сообщили о блокировке таким способом тысяч сайтов с разрешенной информацией, сотни тысяч пользователей столкнулись с недоступностью целевых сетевых ресурсов, указывает компания. «Мы вынуждены сообщить, что на сегодняшний день технического решения данной проблемы не существует Из-за особенностей сетевой инфраструктуры и реализации системы «Ревизор» в случае, если ваш IP-адрес был добавлен к записи заблокированного ранее домена, единственным способом повлиять на недоступность ресурса является прямое обращение к провайдеру услуг или к вышестоящим провайдерам IP-транзита», – говорится в заявлении Qrator Labs. Заместитель генерального директора Ru-Center по продуктам Андрей Кузьмичев говорит, что пока процесс внесения IP-адреса очень прост. Пользователь делает это в своем личном кабинете у того регистратора, который обслуживает домен. Это операция, которую так или иначе совершают все владельцы доменов, – после регистрации доменного имени к нему необходимо привязать сайт, т. е. указать IP-адрес того сервера, на котором сайт размещен, говорит Кузьмичев. Соответственно, чтобы указать вместо одного IP-адреса другой, тоже не нужно никаких специальных знаний или ресурсов, заключает он.
Человек, близкий к Роскомнадзору, уверяет, что ведомство уже ищет способ оптимизировать систему блокировок.
Представители МВД не ответили на вопросы. Представитель Роскомнадзора сообщил, что ведомство передает всю информацию о действиях лиц, причастных к атакам на законопослушные сайты, в компетентные органы. Информацию о Литрееве и Здольникове он комментировать не стал.
Как атаковали
В Ivi объяснили, что их IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me. В случае с «Ревизором» блокировка произошла благодаря привязке к сайту Ncsmedia.ru. Представитель Selectel говорит, что их ресурсы были блокированы при помощи сайта . Здольников в телеграм-канале описал схему, по которой действовал владелец домена dymoff.space. Он добавил в DNS IP-адреса многих сайтов, в том числе некоторые IP-адреса мессенджера Telegram, «Первого канала», Badoo, «Одноклассников», РЖД, РБК, Booking.com, Mail.ru, Facebook и др. В системе whois владельцы всех этих ресурсов не отображаются.Елизавета Серьгина
****
Здольников уехал к Вороненкову
Госпогранслужба Украины сообщила, что двое российских оппозиционеров попросили в стране политического убежища. Как стало известно Русской службе Би-би-си, речь идет об IT-консультанте Фонда борьбы с коррупцией Владиславе Здольникове и политическом активисте Александре Брусенцеве.Сами они подтверждают, что выехали в Киев, но говорят, что не просили предоставить им политическое убежище.В разговоре с Русской службе Би-би-си активисты уточнили, что покинули территорию России и выехали в Киев после того, как стало известно о жалобе, которую Роскомнадзор направил в МВД. В ней ведомство просило проверить сторонников ФБК, основанного оппозиционером Алексеем Навальным, так как считает, что они могут быть причастны к организации ложных блокировок интернет-сайтов.О письме Роскомнадзора в МВД утром 15 июня сообщила газета «Ведомости»: жалоба была направлена после того, как на прошлой неделе несколько сайтов, не внесенных в черный список ведомства, оказались заблокированы из-за уязвимости в системе блокировок.
Среди заблокированных были интернет-кинотеатр Ivi, панель управления хостингом в кабинете пользователей хостинг-провайдера Selectel и сайт издания «Медуза». Также с этой уязвимостью связывали масштабный сбой в работе онлайн-сервисов Сбербанка, оказавший влияние на пользователей еще нескольких крупных российских банков.
Узнав о жалобе в МВД, сторонники ФБК решили на время покинуть Россию и в ночь на четверг пересекли границу в пункте пропуска Троебортное-Бачевск. Сегодня в 14:48 госпогранслужба Украины сообщила о том, что двое российских оппозиционеров попросили в стране политического убежища.»Мужчины прибыли в пункт пропуска и, предъявив для контроля загранпаспорта граждан Российской Федерации, сразу выразили намерение получить защиту на территории Украины в связи с их политическим преследованиям на территории России», — сказано в сообщении госпогранслужбы.
«Во время фильтрационных мероприятий, которые проводились совместно с сотрудниками СБУ, было установлено, что данные граждане относятся к оппозиционному блоку Алексея Навального и за политическую деятельность подвергаются преследованию», — добавляют украинские пограничники.
Владислав Здольников и Александр Брусенцев (на фото) в разговоре с Русской службой Би-би-си подчеркнули, однако, что с просьбой о получении политического убежища к украинским властям они пока обращаться не намерены.
«Мы никому не отдавали наши паспорта, совсем недавно добрались до Киева и пока хотим выждать некоторое время, чтобы посмотреть, как будет развиваться ситуация вокруг жалобы Роскомнадзора в МВД, — рассказал Русской службе Би-би-си Владислав Здольников. — В зависимости от того, как будут развиваться события по этому делу, мы уже примем решение: возвращаться нам в Россию или нет».
Источник: BBC, 15.06.2017
****»Я беру разрегистрированные запрещённые домены и прописываю на них IP-адреса всего, что мне не нравится»
Александр Жаров
Встречайте штатного или внештатного сетевого хакера, предположительно, ФБК Навального и оппозиции:
Некий Александр Литреев — https://litreev.com (twitter:
(Раньше был только один заметный — некий Владислав unkn0wnerror; они знакомы и дружат-сотрудничают)
Александр Литреев, как видно по его сайту, делал ИТ-проекты для «Открытой России» (Ходорковский) и ФБК (Навальный) — см. сайт, клиенты, отзывы. Фактически, это единственное, чем он занимался. В комментариях Любовь Соболь (ФБК) и Николай Ляскин (на удивление… тоже ФБК). Проекты же:
— Карта для предвыборной кампании Любови Соболь;
— Интерактивная карта для кампании Николая Ляскина;
— Новый сайт «Доброй Машины Правды».
(Что делал для Открытой России не указано, но она указана первой в разделе «С нами работают».)
А сейчас Александр активно комментирует в СМИ некоторые инциденты (блокировку платежных гейтов и т.п.), вовсю рекламируя себя через свой telegram-канал (якобы по безопасности; @alexlitreev_channel). («Автор Telegram-канала «Сайберсекьюрити и Ко.» Александр Литреев».) На чем и засветился по полной — сидел бы молча, никто бы и не знал.
Я могу сильно ошибаться, безусловно, но на основе своего опыта и представления о жизни, я предполагаю, что именно он и/или его приятели-знакомые ответственны за сегодняшние взлом сайта Ярославской прокуратуры и гов сайта в СПб (комитета по вопросам законности, правопорядка и безопасности) с размещением там ролика «Он вам не Димон» для раскрутки акции Навального 12 июня. А так же… Об остальном он напишет собственноручные признания на своем телеграмм-канале (ниже цитаты) и в СМИ (завуалировано), да в общем и другие люди в твиттере пишут, а он подтверждает (тщеславие — оно такое). Про «видел 9 июня в списке заблокированных сайтов адреса банков и банковской системы 3D Secure».
Дополнительно к этому сейчас в памяти всплывает эпизод, который был не так давно, но он были примечателен: когда кто-то слил, что у РенТВ есть видеозапись нападения на Навального без ретуши некий Литреев написал в твиттере что-то типа: «Работаем парни». Но это так, косвеные мелочи.
Еще маленькая деталь с канала:
11.06.2017 17:20
Кстати, консультирую по вопросам информационной безопасности. Дорого и качественно. Обращаться по E-Mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
И описание из профиля в twitter: «Специалист по кибербезопасности, разработчик и предприниматель. Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. «
В общем, мы наблюдаем нового «полит-заключенного», но только если на него обратит внимание ФСБ. Ну, или (в этом же случае) будущего агента ФСБ — это уже будет зависить от силы убеждений вышеуказанного человека (при тех же условиях).
В целом, хочу сказать простую вещь для него: если ты мстишь, то мсти молча, чтобы об этом никто не знал. Для этого не надо красоваться, создавая каналы имени себя, а так же рассказываю о том, что именно и как ты делать будешь или уже сделал. Собственно, не делай, как делают большинство недалеких преступников — сами делают и сами же комментируют. Либо делай это тогда, когда это уже не представляет опасности для тебя (а это надо очень четко понимать). (Ниже будет понятно о чем речь).
Теперь, уже как вишенка на торте, у него еще есть реальный шанс прилипнуть лет на 5. Потому что именно он по полной причастен к блэкауту с РКН (неработе многих финансовых и других сервисов). И хайпанул он по этой теме также по полной.
Все нижеуказанные действия подпадают под состав ст. 274 УК РФ (я считаю, что и не только под нее, а речь о безопасности финансовой системы страны). И, полагаю, шутки очень быстро закончатся, когда один или несколько таких шутников присядут лет на 5 по результату своих «невинных» DNS-шалостей (самое забавное, даже среди знакомых мне людей есть пострадавшие от этих чудес).
Несколько цитат из его телеграм-канала — Сайберсекьюрити и Ко., названный его именем [@alexlitreev_channel] и который он целенаправленно рекламирует через СМИ (достаточно веселый канал, стоит почитать побольше), неплохие угрозы, и мотив личный вырисовывается, и технические возможности и навыки [мне лень сохранять, если кто хочет — пусть сохраняет; я думаю при случае подотрет]:
04.06.2017 12:02
Привет, РосКомНадзор.
В моих руках 18 доменных имен, которые вы заблокировали. Мне достаточно в DNS прописать IP-адреса сайтов, которые мне неугодны, чтобы сделать их недоступными у значительной части российских провайдеров.
#FirstAndLastWarning
¯\_(ツ)_/¯
04.06.2017 12:16
И да, это новая «Красная Кнопка».
…
05.06.2017 19:39
Так-с так-с так-с, друзья.
Как верно заметил мой дорогой товарищ Владислав в своём посте (https://t.me/unkn0wnerror/331), Роскомнадзор опять сказочно обосрался. Не удивительно, ведь организация, состоящая из тех, кто ничего не смыслит в работе сети и работающая по законам тех, кто ничего не понимает в современных технологиях (пламенный привет Ирине Яровой), по определению не может сделать ничего хорошего.
А тем временем, мы готовим сюрприз для наших недругов из РКН и воспользоваться им сможете лично вы!
Кстати, чтобы не пострадать от безалаберности этих говноедов (не буду стесняться в выражениях, будем называть вещи своими именами), пользуйтесь VPN сервисами. Например, @TgVPNBot — пожалуй, самый быстрый и стоит меньше стакана кофе в месяц.
…
07.06.2017 14:18
Как многим известно, из-за некомпетентных мудаков в РКН, сайт моей студии litreev.com недоступен у многих провайдеров. Это произошло из-за того, что РКН добавил IP-адрес всемирно известной CDN-сети CloudFlare в реестр запрещённых. За этим IP-адресом скрываются сотни, тысячи различных сайтов, полностью соблюдающих все законы РФ. Один нарушил закон — пострадали все, в том числе и я.
На мои письма РКН и МинСвязи отвечали отписками, мол, ваши проблемы, делайте, что хотите.
Ну вот я и буду делать то, что я хочу. Я беру разрегистрированные запрещённые домены и прописываю на них IP-адреса всего, что мне не нравится.
Более того, я делаю бота для Telegram, который поможет вам с лёгкостью делать то же самое.
Раз РКН считает, что может мешать мне заниматься _законной_ предпринимательской деятельностью, то я считаю, что я могу дать им сдачи.
Читателям из Роскомнадзора — мой пламенный привет.
И т.д.
Источник: сетевой дневник Андрея Спорова, 12.06.2017
