Jump to content
Калькуляторы

Как кибербезопасникам подкинули кибернаркотики

Материал:

В воскресенье в совсем не пиковое для новостей время Илья Сачков, гендиректор довольно известной в кругах инфобезопасников компании "Group-IB" на своей странице в Facebook опубликовал пару скриншотов и скромно их подписал: "отлично! подаем в суд=)".

 

Полный текст

Share this post


Link to post
Share on other sites

Тут бы хорошо прикрепить опросник типа, на чьей вы стороне в данном конфликте))

- Group-IB

- Ростелекома

- Роскомнадзора

- ФСКН

- DrugSpace

)))

Share this post


Link to post
Share on other sites
Компания, которая позиционирует себя, как "одну из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий" располагается на т.н. "shared IP hosting", вместе с другими доменами, явно не принадлежащими данной ИБ-компании.

"и чё?"

"вы так говорить как будто это что то плохое"

Share this post


Link to post
Share on other sites

Не показатель: Сами чудилы - нефиг на шаред-хостинге сидеть.

 

Заботились-бы о репутации - сидели-бы как минимум на выделенном IP. А, скорее всего, на выделенном сервере.

Share this post


Link to post
Share on other sites

"и чё?"

"вы так говорить как будто это что то плохое"

Само по себе сидеть вместе с другими на одном IPv4 - ничего страшного.

НО. Если вы позиционируете себя как серьезную компанию, тем более в IT-области и тем более в сфере ИБ - тут только ради престижа и во избежание подобных ситуаций можно пару сотен руб. потратить на выделенный IP.

 

Но это ни в коей мере не значит, что - сами нарвались.

Вон, Касперский тоже весной висел на шаред IP и тоже в бан попал, например.

Короче, специфическая ситуация.

Share this post


Link to post
Share on other sites

НО. Если вы позиционируете себя как серьезную компанию, тем более в IT-области и тем более в сфере ИБ - тут только ради престижа и во избежание подобных ситуаций можно пару сотен руб. потратить на выделенный IP.

 

Дополню: Еще есть DoS/DDoS на соседа, перерасход ресурсов сервера соседом (если это VPS)...

 

Т.е. вы ВАШ собственный бизнес ставите в зависимость от дяди Васи/студента Пети, отношения к которым иметь не должны вообще никакого.

Share this post


Link to post
Share on other sites

А никому не кажется странным, что руководитель ит компании внезапно узнал что их сайт уже месяц как заблокирован?

зы, ростелеком, конечно, нехорошие люди, но вам не кажется смешной ситуация, когда производитель джипоа подает в суд на дорожников, да еще и хвастается этим?

Share this post


Link to post
Share on other sites

Это легко может быть IP Nginx proxy frontend их хваленой системы защиты от DDoS.

Сам хостинг при этом в другом полушарии на выделенном сервере.

 

При этом у сайта DNS roundrobin отдает десяток возможных IP. если один из них не работает [даже один из трех], это будет заметно только как небольшое замедление работы сайта в целом. Чтобы заметить это - нужно очень постараться.

 

Вот тут в картинках.

Share this post


Link to post
Share on other sites

А никому не кажется странным, что руководитель ит компании внезапно узнал что их сайт уже месяц как заблокирован?

Когда Илья Сачков дал пост в ФБ про это он еще и не подозревал - сколько времени Ростелек их блокирует и вообще - почему их блочат.

Ну после того, как мы (РосКомСвобода) ему открыли глаза - почему это произошло, у него оставалось 2 выхода или сливаться тихо с темы или всем видом показать, что настроены решительно несмотря ни на что.

Выбрали они пока второй путь, мы им желаем удачи и поможем, запрос есть такой))

Судебный процесс в этой области - лишним не будет.

Share this post


Link to post
Share on other sites

Выглядит как смачный ЖЫР...

Теперь все это пахнет судебным троллингом с одной стороны,

а с другой всем поддерживающим *банутые инициативы будет наука...

Edited by pers123

Share this post


Link to post
Share on other sites

Когда Илья Сачков дал пост в ФБ про это он еще и не подозревал - сколько времени Ростелек их блокирует и вообще - почему их блочат.

мдя, гдето тут ростелеком сравнивали с диплодоком, голова которого не знает что хвост уже едят. а этиу компанию с кем можно сравнить?

Share this post


Link to post
Share on other sites

мдя, гдето тут ростелеком сравнивали с диплодоком, голова которого не знает что хвост уже едят. а этиу компанию с кем можно сравнить?

А может это такой осмысленный троллинг? Размещаем свой сайт за CloudFlare. Ждем, когда Ростелеком там что-нибудь заблокирует (а но обязательно это сделает).

Потом пиаримся.

Share this post


Link to post
Share on other sites

А может это такой осмысленный троллинг? Размещаем свой сайт за CloudFlare. Ждем, когда Ростелеком там что-нибудь заблокирует (а но обязательно это сделает).

Потом пиаримся.

ога, хороший пиар "мы месяц не замечали неработающего сайта".

Share this post


Link to post
Share on other sites

Да, как правило те компании, который попадают под блокировку и говорят об этом, поднимают на пару недель - месяц трафик, кто-то на 20%, а кто-то и в два раза, как Лурк.

Но потом, траффик начинает постепенно падать и уже в долгосрочной перспективе идет его потеря, т.к. порядка 50% операторов в РФ блочат именно по IP.

Насчет 50% - так Ксензов говорил в сентябре этого года, было бы кстати интересна подробная статистика по этому поводу.

Share this post


Link to post
Share on other sites
Компания, которая позиционирует себя, как "одну из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий" располагается на т.н. "shared IP hosting", вместе с другими доменами, явно не принадлежащими данной ИБ-компании.
"и чё?"

"вы так говорить как будто это что то плохое"

Для именно IT-безопасников - да, это очень и очень непрофессионально. Нормальный безопасник должен иметь свою AS и быть защищён кастомными DDoS-protection с неочевидной коннективити. Ну, - если он себя позиционирует в качестве такового.

Share this post


Link to post
Share on other sites
Для именно IT-безопасников - да, это очень и очень непрофессионально.

"Group-IB" ИТ безопасниками являются только в глазах блогеров-журналистов. вся их деятельность это пиар.

вот они свою AS и зашифровали под cloudflare.

 

пару лет назад я тут (в том числе) интересовался современными методами противодействия DDoS. так вот, если не брать специализированные аппаратные решения типа цисок, то практически все что предлагается - это пачка nginx frontend тщательно замаскированная под что то другое, но периодически вылезающее ушами. таким методом чудесно фильтруется 93% типичных DDoS. то есть - этого достаточно в большинстве случаев. в тех случаях когда этого не достаточно - циска дохнет раньше (увы, был у меня и такой опыт, почему и начал интересоваться).

 

 

самые передовые защитники как раз "сотрудничают со всеми популярными хостинговыми площадками мира и размещают свое оборудование прямо там".

про оборудование смешно, потому что у hetzner в частности под VPS, dedicaded и collocation разные IP диапазоны датацентры и города.

фактически, берется VPS за 20 ейро, настраивается nginx, и проксируется через него трафик четырехсот сотен сайтов. по пять сотен ейро в месяц с каждого. модно. молодежно. пепси.

 

надо только попиариться немного через журналистов и блогеров.

Share this post


Link to post
Share on other sites
а с другой всем поддерживающим *банутые инициативы будет наука...

Совсем "наука" головного мозга у них случится когда у них власть кончится и они станут в ряды обычных граждан или когда обычным гражданам это надоест и будет произведена модерация.

Все почему то думают что власть не кончится или они успеют свалить по дальше. Некоторые уже живут по принципу: удержать власть чтобы выжить.

 

берется VPS за 20 ейро, настраивается nginx, и проксируется через него трафик четырехсот сотен сайтов. по пять сотен ейро в месяц с каждого. модно. молодежно. пепси.

Вот так взял и раскрыл главную коммерческую тайну сразу 93% поставщиков защиты от ддоса :)

Share this post


Link to post
Share on other sites
Вот так взял и раскрыл главную коммерческую тайну сразу 93% поставщиков защиты от ддоса :)

Без лоха и жизнь плоха. Нет денег нанять своего или пригласить на аудит хорошего специалиста - платите чужим.

Share this post


Link to post
Share on other sites

Конкретно в этом случае совсем не понятна суть претензий к РТ. Ни РТ, ни какой-либо другой оператор совсем не обязаны отслеживать кто там еще сидит на этих адресах и в решении о блокировке должны руководствоваться исключительно содержимым реестра за ведение какового отвечают вполне конкретные службы.

Share this post


Link to post
Share on other sites

содержимым реестра за ведение какового отвечают вполне конкретные службы

Стесняюсь спросить, кто из этих "служб" и каким именно образом ответил за базар :o

Share this post


Link to post
Share on other sites

Конкретно в этом случае совсем не понятна суть претензий к РТ.

Насколько я понял, в реестр был внесен не IP-адрес, а доменное имя. А РТ блокировал IP-адрес.

Так что претензия обоснованная.

Share this post


Link to post
Share on other sites

Стесняюсь спросить, кто из этих "служб" и каким именно образом ответил за базар :o

 

За "базар" для начала нужно спрашивать установленным образом. А если весь этот публичный

праведный гнев только ради возможности пообижаться на нехороших дяденек из РКН или ФСКН - не интересно.

 

Насколько я понял, в реестр был внесен не IP-адрес, а доменное имя. А РТ блокировал IP-адрес.

Так что претензия обоснованная.

 

Из статьи как раз не совсем однозначно следует что был добавлен именно домен, т.к. в одном месте речь

про "2 решения Госнаркоконтроля по блокировке IP-адреса", а далее уже рассказывают про доменное имя и

приводят скрин с решениями о блокировке по IP.

Share this post


Link to post
Share on other sites

Конкретно в этом случае совсем не понятна суть претензий к РТ. Ни РТ, ни какой-либо другой оператор совсем не обязаны отслеживать кто там еще сидит на этих адресах и в решении о блокировке должны руководствоваться исключительно содержимым реестра за ведение какового отвечают вполне конкретные службы.

Суть претензий:

1) есть рекомендации Роскомнадзора, как необходимо ограничивать доступ к запрещенным ресурсам, которые игнорирует Ростелеком;

2) из крупнейших операторов связи, в т.ч. тех, кто предоставляет магистральный трафик есть 2 компании, которые принципиально осуществляют блокировку по IP в массовом порядке - это Ростелеком и Билайн;

3) Ростелеком только с nn-ого захода предоставляет своим клиентам информацию о том, на каком основании ограничивается доступ к тому или иному ресурсу;

4) 139-ФЗ исподволь позволяет блочить по сетевому адресу (хотя явно такое не указано), но в любом случае - не обязывает это делать;

5) почему третьи лца должны думать за оператора связи - как им так бюджетненько внедрить DPI? А пока они будут продолжать блочить добропорядочные ресурсы. Циничненько так, мягко говоря.

 

Из статьи как раз не совсем однозначно следует что был добавлен именно домен, т.к. в одном месте речь

про "2 решения Госнаркоконтроля по блокировке IP-адреса", а далее уже рассказывают про доменное имя и

приводят скрин с решениями о блокировке по IP.

Мне казалось, что вроде явно указал в статье, что есть и IP в реестре (на котором в т.ч. висят инфобезопасники).

Домен - только drugspace.info

Edited by Temych

Share this post


Link to post
Share on other sites

Стесняюсь спросить, кто из этих "служб" и каким именно образом ответил за базар :o

За "базар" для начала нужно спрашивать установленным образом

А просветите, уважаемый ZeroMind, какой конкретно образ установлен для этого святого дела? :o

 

Без обид "на дяденек", но чтобы понять, чем рискует некто инкогнито, вынесший веридикт "этого смотреть детям до 80-ти лет низ-зя"

Или какие кары небесные ему предписаны за то, что "это страшное и запрещённое" давно переехало на другой ip, а законопослушные операторы без претензий на dpi блокируют что-то совсем другое

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this