В таких историях, мне всегда кажется, что присутствует крыса. Просто потому…

02 Nov 2024

В таких историях, мне всегда кажется, что присутствует крыса. Просто потому, что я неплохо знаю своих, когда-то в прошлом, “коллег”, которых всегда некомпетентным дерьмом считал. И срался с ними при любом удобном случае.

Системный администратор в гос конторе, как правило это - уёбок. Как неожиданно, да?

Озлобленное, нежелающие обучаться, заскриптованное и окруженное журналами учёта журналов существо, профессионально выгоревшее уже на второй день работы и вечно жалующееся на то, что оно не будет что-то там делать, потому что ему мало платят.

Оно может втыкать вилки в розетку, что составляет до 90% их работы, с переменным успехом может поддерживать работу серверов, которые им разворачивала какая-нибудь шаражка на аутсорсе, исходя из ахуительных решений какого-нибудь фанерного it-инженеришки, никогда не видевшего как его высеры на практике работают. Для них даже есть рассылки с рекомендациями по безопасности, с лютым бредом, по типу RSA ключа распечатанного на бумаге, потом сосканированного и добавленного в документ (t.me/furcriminal/7638)

Возможно вы заметили что там немного странные ip адреса на скринах. Ну да, это РосТелекомовский чебурнет. Защищённая сеть, реально защищённая, шифрование в три слоя, по шифрованному соединению отправляются зашифрованные документы, и, всё это идёт через криптографический шлюз. Это приводит к тому, что сервер Майнкрафт, размещённый на государственном сервере, каком-нибудь, пинг под 240 даёт. Как вы понимайте, он чебурнет, только в журнале учёта журналов чебурнет. В остальном, это сплошная дыра с паролями “Admin12345!”

Как итог: в гос сетях полностью отсутствует аудит безопасности хоть какой-то. Текучка кадров приводит к тому, что пароли, тоннели, адреса белого списка добавленные уволившимся, постепенно уходят в паблик. Не желание работать у it-терпил и нулевое понимание процессов у их начальства, приводит к тому, что большинство систем работает, только потому, что систем много, а любителей их ломать - мало.

Снесли сеть тверской администрации. Десятки виртуальных машин, хранилища с бэкапами, сайты, почта, сотни рабочих станций - все снесли. У них не осталось ничего. Интернет не работает, телефоны не звонят, даже парковка сдохла. Никаких ддосов, никаких дефейсов. Что посчитали нужным - забрали. А то что от них осталось можно смело выкидывать в Волгу

Скриншот VMware vSphere: список Virtual Machines администрации Твери. Показано ~28 VM: 1B_NONX (Powered Off, 21.21 GB), 1c-bitrix-uksm, 1c-server, 21_PHP, 23_RVM, ag-app-server, ag-server, APP-SERVER, AIS MZ.NEW, ArcView, das-vpc-01/02, demo-windows-7, EP Kontrakde, garant-fadc, KSC, LanDocs3 DATA/WEB/WEB2/WEB3, LD3Test, mail, MonCP, MS SQL 2012, parking-ap и другие. Всего 49 объектов.

Продолжение списка VMware vSphere. Видны: LanDocs3.WEB3, LD3Test, mail (28.33 GB / 20.01 GB), MonCP, MS SQL 2012 (2.75 TB / 1.82 TB), parking-ap (1.74 TB), parking-front, pfn-vpc-01, Redis, RootCA, Server RZ, server-aisogd, server-auth, server-db-uni, server-db-uni-dev, server-queue, server-sps, server-s3fu, SXD, SkUD, TheBat (255.26 GB), vCenter-Server-Appliance (133.11 GB), VDS (224.77 GB), www.tver.ru2 (312.12 GB, Powered On), ZukunftServer (124.13 GB). Итого 49 объектов.

Скриншот Kaspersky Security Center 12, консоль администрирования. Управляемые устройства → Сервера. Всего устройств: 29. Критических: 14, Предупреждений: 0, OK: 15. В списке серверы: AISMZ, APP-SERVER, DC1, DC2, ESO-H0, ESO-H5, KSC (выполняется), LDTEST, MSSQL-AISMZ, ORACLE11G-SERVE, ROOTCA, SERVER-AISOGD, SERVER-DATA. Дата создания агентов — май 2019. Время 0:00, 26.10.2024.

Скриншот wiki-страницы «Сеть для транспорта». Таблица подсетей Коммутации Core-R1: подсеть 10.10.111.0/30 — IP АГТ 10.10.111.1, ЗАГС на Чайковского 31а; 10.10.111.4/30 — Гришин на Ерофеева 5; 10.10.111.8/30 — Правительство ТО, телефония; 10.10.111.12/30 — УФСБ, доступ к веб-камерам; 10.10.111.20/30 — MTS-LTE резервный канал; 10.10.111.24/30 — АРМ Охраны; 10.10.111.28/30 — Маршрутизатор video.adm.tver.ru. Ниже: Коммутация Core-R1 (другие сети) — VoIP-сервер, pfSense, ПТГО, МЧС ВКС. Сеть транспорта подведомственного оборудования.

Скриншот документа «Приложение №1. Требования к паролям». Раздел «Пароли НЕ ДОЛЖНЫ состоять из»: имени/отчества/фамилии, идентификатора входа, имён супруга/детей, личной информации (телефоны, номера пропусков, адрес, авто), только цифр или одинаковых букв, словарных слов, менее 6 символов. Раздел «Пароли ДОЛЖНЫ»: содержать строчные/прописные буквы, небуквенные символы, быть легко запоминаемыми.

Фото тетрадного листа в клетку с рукописными записями паролей. Вверху: «347770», «admin» / «DepAdm 321». Ниже: «АТС — DepAdm321, Хорошая Работа ХХХ 321». Инструкция настройки Asterisk: settings → Asterisk sip settings, application → Extensions, connectivity → trunks → add SIP (chan_sip) Trunk. «sip tel — Admin, 345 Admin». «spa 112, user: cisco, Работа ХХХ 321, admin: Хорошая Работа ХХХ 321».

Скриншот терминала (root@php-Server). Команда ls -la /var/www/. Листинг директорий: archive.tver.ru, cloud.odm.tver.ru, ds3XX.detrad.tver.ru, faq.odm.tver.ru, gp.odm.tver.ru, html, ksi.tver.ru, masterodoc.odm.tver.ru, new.obruz.tver.ru, old.tver.ru, pre.ksi.tver.ru, temp.tver.ru, tver.ru, verbiznes.ru, visitver.ru. Дата создания апрель–август 2021–2022.

Скриншот терминала (root@mail-Server). Команда ls /mail/adm.tver.ru/. Список директорий — почтовые ящики сотрудников администрации Твери: сотни фамилий (бурова, vasanova, borisov, gavrilin, кропина, матвеев и другие), системные ящики (absentmonitor, ahrcuris, adminstaff и т.д.).

*📋 Скриншоты VMware vSphere и Kaspersky Security Center администрации Твери: 49 виртуальных машин, 29 серверов + wiki-таблица подсетей с адресами УФСБ и камер.

Telegram: t.me/furcriminal/8679