15.06.2017

Рунет блокировал навальновец Литреев

По мнению Александр Жарова, коллапс интернет-платежей связан с действиями сотрудников ФБК
Как считает Роскомнадзор, ложные блокировки устроили активисты Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александр Литреев и Владислав Здольников, рассказали человек, близкий к ведомству, и знакомый руководителя Роскомнадзора Александра Жарова. По их словам, Роскомнадзор попросил Министерство внутренних дел (МВД) провести расследование ложных блокировок.

На прошлой неделе часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Среди заблокированных были интернет-кинотеатр Ivi, панель управления хостингом в кабинете пользователей хостинг-провайдера Selectel, сайт «Медузы».

Суть уязвимости такова. Операторы блокируют некоторые сайты, попавшие в список Роскомнадзора, по IP-адресу, привязанному к этому имени (в частности, сайты, использующие шифрованные протоколы). Если владелец уже заблокированного ресурса добавляет в список своих адресов IP-адрес любого другого сайта или какой-то его страницы, то добавленный ресурс также рискует оказаться заблокированным. Черный список Роскомнадзора содержит доменные имена и IP-адреса заблокированных сайтов, но проблема в том, что IP-адреса, соответствующие доменам, в списке меняются не так часто. А операторов штрафуют, если какой-то из заблокированных по решению суда ресурсов оказывается доступен.

Роскомнадзор использует для проверки доступности запрещенных сайтов комплекс «Ревизор», который сам выявляет текущие IP-адреса запрещенных сайтов из системы DNS (это система, в которой регистратор адреса сам прописывает IP-адрес, она есть в публичном доступе). Поэтому операторы тоже вынуждены выявлять такие IP-адреса самостоятельно, что в конечном итоге и приводит к ложным блокировкам.

Здольников – IT-консультант ФБК и директор компании Newcaster.tv, а Литреев – основатель Студии Александра Литреева, которая занимается разработкой сайтов и мобильных приложений, также он создал приложение «Красная кнопка», которое сообщает юристам о задержании их клиентов во время протестных движениях. Литреев и Здольников – авторы популярных каналов о кибербезопасности в Telegram (8200 и 14 000 подписчиков соответственно). Оба активно обращали внимание на уязвимость в системе блокировок Роскомнадзора, Здольников писал о ней еще в мае. Тогда он предупредил, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в белый список, т. е. попросил их не блокировать. Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером, из-за того что его IP-адреса оказались привязаны к заблокированному ресурсу.

По версии Роскомнадзора, рассказывают собеседники, Литреев приобрел более десятка заблокированных, но уже не действующих ресурсов, не исключенных из черного списка Роскомнадзора, к которым, по мнению чиновников, «прикручивались» IP-адреса других, добросовестных сайтов. Литреев признает, что действительно приобретал ресурсы, которые ранее были заблокированы, но использовать со злым умыслом их не собирался, никаких других IP-адресов не указывал, да и не успел бы. Он объясняет, что приобрел адреса для того, чтобы проанализировать уязвимость на собственных, принадлежащих ему ресурсах. Но вновь купленные им адреса очень быстро были удалены из реестра Роскомнадзора.

О жалобах Роскомнадзора в МВД и кому бы то ни было ни Литрееву, ни Здольникову не известно.

По словам сотрудника одного из крупных операторов связи и чиновника федерального ведомства, проблема уязвимости на различных совещаниях по кибербезопасности обсуждается с весны. Тогда, по их словам, начались точечные ложные блокировки, но Роскомнадзор эту проблему никак не решал. По мнению последнего, найти ответственного за подобные вещи невозможно, им может быть кто угодно.

Проблему надо решать системно, а не путем поимки тех, кто указывает на недостатки существующего порядка блокировки, говорит он. Сотрудник крупного оператора сомневается, что за троллинг Роскомнадзора можно привлечь к ответственности.

Компания Qrator Labs, специализирующаяся на устранении DDos-атак, вчера уведомила клиентов об уязвимости в системе «Ревизор». За прошедшую неделю множество провайдеров сообщили о блокировке таким способом тысяч сайтов с разрешенной информацией, сотни тысяч пользователей столкнулись с недоступностью целевых сетевых ресурсов, указывает компания. «Мы вынуждены сообщить, что на сегодняшний день технического решения данной проблемы не существует Из-за особенностей сетевой инфраструктуры и реализации системы «Ревизор» в случае, если ваш IP-адрес был добавлен к записи заблокированного ранее домена, единственным способом повлиять на недоступность ресурса является прямое обращение к провайдеру услуг или к вышестоящим провайдерам IP-транзита», – говорится в заявлении Qrator Labs. Заместитель генерального директора Ru-Center по продуктам Андрей Кузьмичев говорит, что пока процесс внесения IP-адреса очень прост. Пользователь делает это в своем личном кабинете у того регистратора, который обслуживает домен. Это операция, которую так или иначе совершают все владельцы доменов, – после регистрации доменного имени к нему необходимо привязать сайт, т. е. указать IP-адрес того сервера, на котором сайт размещен, говорит Кузьмичев. Соответственно, чтобы указать вместо одного IP-адреса другой, тоже не нужно никаких специальных знаний или ресурсов, заключает он.

Человек, близкий к Роскомнадзору, уверяет, что ведомство уже ищет способ оптимизировать систему блокировок.

Представители МВД не ответили на вопросы. Представитель Роскомнадзора сообщил, что ведомство передает всю информацию о действиях лиц, причастных к атакам на законопослушные сайты, в компетентные органы. Информацию о Литрееве и Здольникове он комментировать не стал.

Как атаковали

В Ivi объяснили, что их IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me. В случае с «Ревизором» блокировка произошла благодаря привязке к сайту Ncsmedia.ru. Представитель Selectel говорит, что их ресурсы были блокированы при помощи сайта https://sdfgw.website. Здольников в телеграм-канале описал схему, по которой действовал владелец домена dymoff.space. Он добавил в DNS IP-адреса многих сайтов, в том числе некоторые IP-адреса мессенджера Telegram, «Первого канала», Badoo, «Одноклассников», РЖД, РБК, Booking.com, Mail.ru, Facebook и др. В системе whois владельцы всех этих ресурсов не отображаются.

Елизавета Серьгина

****

"Я беру разрегистрированные запрещённые домены и прописываю на них IP-адреса всего, что мне не нравится"

ZHHHHHHHHHHHHHHHHHHH2356346543KMO 144966 00239 1 t218 000942
Александр Жаров

Встречайте штатного или внештатного сетевого хакера, предположительно, ФБК Навального и оппозиции:

Некий Александр Литреев - https://litreev.com (twitter: https://twitter.com/alexlitreev)

(Раньше был только один заметный - некий Владислав unkn0wnerror; они знакомы и дружат-сотрудничают)

Александр Литреев, как видно по его сайту, делал ИТ-проекты для "Открытой России" (Ходорковский) и ФБК (Навальный) - см. сайт, клиенты, отзывы. Фактически, это единственное, чем он занимался. В комментариях Любовь Соболь (ФБК) и Николай Ляскин (на удивление... тоже ФБК). Проекты же:

- Карта для предвыборной кампании Любови Соболь;

- Интерактивная карта для кампании Николая Ляскина;

- Новый сайт «Доброй Машины Правды».

(Что делал для Открытой России не указано, но она указана первой в разделе "С нами работают".)

А сейчас Александр активно комментирует в СМИ некоторые инциденты (блокировку платежных гейтов и т.п.), вовсю рекламируя себя через свой telegram-канал (якобы по безопасности; @alexlitreev_channel). ("Автор Telegram-канала «Сайберсекьюрити и Ко.» Александр Литреев".) На чем и засветился по полной - сидел бы молча, никто бы и не знал.

Я могу сильно ошибаться, безусловно, но на основе своего опыта и представления о жизни, я предполагаю, что именно он и/или его приятели-знакомые ответственны за сегодняшние взлом сайта Ярославской прокуратуры и гов сайта в СПб (комитета по вопросам законности, правопорядка и безопасности) с размещением там ролика "Он вам не Димон" для раскрутки акции Навального 12 июня. А так же... Об остальном он напишет собственноручные признания на своем телеграмм-канале (ниже цитаты) и в СМИ (завуалировано), да в общем и другие люди в твиттере пишут, а он подтверждает (тщеславие - оно такое). Про "видел 9 июня в списке заблокированных сайтов адреса банков и банковской системы 3D Secure".

Дополнительно к этому сейчас в памяти всплывает эпизод, который был не так давно, но он были примечателен: когда кто-то слил, что у РенТВ есть видеозапись нападения на Навального без ретуши некий Литреев написал в твиттере что-то типа: "Работаем парни". Но это так, косвеные мелочи.

Еще маленькая деталь с канала:

11.06.2017 17:20
Кстати, консультирую по вопросам информационной безопасности. Дорого и качественно. Обращаться по E-Mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

И описание из профиля в twitter: "Специалист по кибербезопасности, разработчик и предприниматель. Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра."

В общем, мы наблюдаем нового "полит-заключенного", но только если на него обратит внимание ФСБ. Ну, или (в этом же случае) будущего агента ФСБ - это уже будет зависить от силы убеждений вышеуказанного человека (при тех же условиях).

В целом, хочу сказать простую вещь для него: если ты мстишь, то мсти молча, чтобы об этом никто не знал. Для этого не надо красоваться, создавая каналы имени себя, а так же рассказываю о том, что именно и как ты делать будешь или уже сделал. Собственно, не делай, как делают большинство недалеких преступников - сами делают и сами же комментируют. Либо делай это тогда, когда это уже не представляет опасности для тебя (а это надо очень четко понимать). (Ниже будет понятно о чем речь).

Теперь, уже как вишенка на торте, у него еще есть реальный шанс прилипнуть лет на 5. Потому что именно он по полной причастен к блэкауту с РКН (неработе многих финансовых и других сервисов). И хайпанул он по этой теме также по полной.

Все нижеуказанные действия подпадают под состав ст. 274 УК РФ (я считаю, что и не только под нее, а речь о безопасности финансовой системы страны). И, полагаю, шутки очень быстро закончатся, когда один или несколько таких шутников присядут лет на 5 по результату своих "невинных" DNS-шалостей (самое забавное, даже среди знакомых мне людей есть пострадавшие от этих чудес).

Несколько цитат из его телеграм-канала - Сайберсекьюрити и Ко., названный его именем [@alexlitreev_channel] и который он целенаправленно рекламирует через СМИ (достаточно веселый канал, стоит почитать побольше), неплохие угрозы, и мотив личный вырисовывается, и технические возможности и навыки [мне лень сохранять, если кто хочет - пусть сохраняет; я думаю при случае подотрет]:

04.06.2017 12:02

Привет, РосКомНадзор.

В моих руках 18 доменных имен, которые вы заблокировали. Мне достаточно в DNS прописать IP-адреса сайтов, которые мне неугодны, чтобы сделать их недоступными у значительной части российских провайдеров.

#FirstAndLastWarning

¯\_(ツ)_/¯

04.06.2017 12:16

И да, это новая «Красная Кнопка».

...

05.06.2017 19:39

Так-с так-с так-с, друзья.

Как верно заметил мой дорогой товарищ Владислав в своём посте (https://t.me/unkn0wnerror/331), Роскомнадзор опять сказочно обосрался. Не удивительно, ведь организация, состоящая из тех, кто ничего не смыслит в работе сети и работающая по законам тех, кто ничего не понимает в современных технологиях (пламенный привет Ирине Яровой), по определению не может сделать ничего хорошего.

А тем временем, мы готовим сюрприз для наших недругов из РКН и воспользоваться им сможете лично вы!

Кстати, чтобы не пострадать от безалаберности этих говноедов (не буду стесняться в выражениях, будем называть вещи своими именами), пользуйтесь VPN сервисами. Например, @TgVPNBot — пожалуй, самый быстрый и стоит меньше стакана кофе в месяц.

...

07.06.2017 14:18

Как многим известно, из-за некомпетентных мудаков в РКН, сайт моей студии litreev.com недоступен у многих провайдеров. Это произошло из-за того, что РКН добавил IP-адрес всемирно известной CDN-сети CloudFlare в реестр запрещённых. За этим IP-адресом скрываются сотни, тысячи различных сайтов, полностью соблюдающих все законы РФ. Один нарушил закон — пострадали все, в том числе и я.

На мои письма РКН и МинСвязи отвечали отписками, мол, ваши проблемы, делайте, что хотите.

Ну вот я и буду делать то, что я хочу. Я беру разрегистрированные запрещённые домены и прописываю на них IP-адреса всего, что мне не нравится.

Более того, я делаю бота для Telegram, который поможет вам с лёгкостью делать то же самое.

Раз РКН считает, что может мешать мне заниматься _законной_ предпринимательской деятельностью, то я считаю, что я могу дать им сдачи.

Читателям из Роскомнадзора — мой пламенный привет.

И т.д.

Источник: сетевой дневник Андрея Спорова, 12.06.2017
Новые сверху Старые сверху

Оставить комментарий

Scroll to Top