![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Хм... на почитать из жизни
оригинал http://habrahabr.ru/post/273249/
зеркальце https://archive.is/GspZ9
...
Что стоит (предположительно)
Поиск в гугле выдает следующие результаты по запросам «ГУПО, Трал М, Галс, Нерпа М, НПП XXX».
Описанный в репозитории софт обслуживает вот это оборудование: раз, два, почитать можно еще тут.
Косвенно подтверждает правильность скомпрометированной информации следующая страница — три, в репозитории также находятся папки с названиями "nerpa-m,nerpau,nerpa-sdp,nerpa_vs,nerpa_sc". Их Вася не изучал, так что останавливаться на них не будем, но стиль программирования похожий. Там же на сайте указано, что срок службы данных изделий не менее 10 лет, т.е. если проги были поставлены в 2008 году, то они еще работают и, возможно, такие же дырявые (или это программные закладки, или перед выпуском в продакшн не закоментили тестовые строки).
Где стоит (предположительно)
Немного покопавшись в репозиториях, удалось выяснить следующие места обитания этого шедевра программисткой мысли.
1. Валдай (предположительно дом отдыха в Рощино, рядом правительственный объект;
2. Калининская АЭС;
3. Ленинградская АЭС;
4. Сочи (предположително дом отдыха «Бочаров Ручей», рядом правительственный объект, предположительно правительственная дача);
5. Москва (предположительно Дом Правительства Московской области);
6. Волгондоская АЭС.
Правда жизни
После озвучивания количества желаемых плюшек, заинтересованное лицо как-то пропало из поля видимости, оставив Васю в глубоких раздумьях о смысле бытия в современном мире и растущих без меры цен на оперативку. На общем совете было решено указать незадачливым админам на недостатки в безопасности, с указанием методов их возможного исправления. Также в адрес руководителя ОАО «НПП» ХХХ было направлено письмо с описанием найденных уязвимостей. Как обычно был дан двухнедельный интервал перед обнародованием написанной статьи, однако пришедший ответ Васю несколько обескуражил, приводится с некоторыми ремарками (аудитория все-таки культурная):
«Послушай м[аз]ило мне глубоко по[б]ую как ты получил или спи[н]дил эту информацию. Ты не представляешь в какое г[уа]но вляпался и если об этом узнает кто-нибудь еще то искать тебя будут всей страной а я лично тебя [покараю].» Пунктуация оставлена без изменений.
Эпилог
На общем совете было решено обнародовать часть информации в виде этой статьи, не сливая при этом сорцы в инет, хотя сторонники показать миру «это» почти победили.
Вася, конечно же, удалил сорцы, и забыл все, что увидел и откопал. За державу обидно только, если софт для армии и режимных объектов пишут [студенты] малопрофессиональные программисты, умудрившись при этом запихнуть пару-тройку закладок, а потом неадекватные и грубые люди, которые их наняли, продают «это» за немалые суммы государству. По информации с профильных форумов, стоимость подобного оборудования для армии и других ведомств составляет несколько миллионов деревянных. Надеюсь, что существующие уязвимости изготовитель устранил, но кто гарантирует что там нет других, не таких явных?
P.S.: На момент написания статьи сервак без проблем сканится со старыми дырками. RIP.
Исходники
UBChannel.cpp — pastebin.com/xnA9p80F
UKernel.cpp — pastebin.com/7AZpqkRX
UMainForm.cpp — pastebin.com/PJgdKGcY
зеркальце https://archive.is/GspZ9
...
Что стоит (предположительно)
Поиск в гугле выдает следующие результаты по запросам «ГУПО, Трал М, Галс, Нерпа М, НПП XXX».
Описанный в репозитории софт обслуживает вот это оборудование: раз, два, почитать можно еще тут.
Косвенно подтверждает правильность скомпрометированной информации следующая страница — три, в репозитории также находятся папки с названиями "nerpa-m,nerpau,nerpa-sdp,nerpa_vs,nerpa_sc". Их Вася не изучал, так что останавливаться на них не будем, но стиль программирования похожий. Там же на сайте указано, что срок службы данных изделий не менее 10 лет, т.е. если проги были поставлены в 2008 году, то они еще работают и, возможно, такие же дырявые (или это программные закладки, или перед выпуском в продакшн не закоментили тестовые строки).
Где стоит (предположительно)
Немного покопавшись в репозиториях, удалось выяснить следующие места обитания этого шедевра программисткой мысли.
1. Валдай (предположительно дом отдыха в Рощино, рядом правительственный объект;
2. Калининская АЭС;
3. Ленинградская АЭС;
4. Сочи (предположително дом отдыха «Бочаров Ручей», рядом правительственный объект, предположительно правительственная дача);
5. Москва (предположительно Дом Правительства Московской области);
6. Волгондоская АЭС.
Правда жизни
После озвучивания количества желаемых плюшек, заинтересованное лицо как-то пропало из поля видимости, оставив Васю в глубоких раздумьях о смысле бытия в современном мире и растущих без меры цен на оперативку. На общем совете было решено указать незадачливым админам на недостатки в безопасности, с указанием методов их возможного исправления. Также в адрес руководителя ОАО «НПП» ХХХ было направлено письмо с описанием найденных уязвимостей. Как обычно был дан двухнедельный интервал перед обнародованием написанной статьи, однако пришедший ответ Васю несколько обескуражил, приводится с некоторыми ремарками (аудитория все-таки культурная):
«Послушай м[аз]ило мне глубоко по[б]ую как ты получил или спи[н]дил эту информацию. Ты не представляешь в какое г[уа]но вляпался и если об этом узнает кто-нибудь еще то искать тебя будут всей страной а я лично тебя [покараю].» Пунктуация оставлена без изменений.
Эпилог
На общем совете было решено обнародовать часть информации в виде этой статьи, не сливая при этом сорцы в инет, хотя сторонники показать миру «это» почти победили.
Вася, конечно же, удалил сорцы, и забыл все, что увидел и откопал. За державу обидно только, если софт для армии и режимных объектов пишут [студенты] малопрофессиональные программисты, умудрившись при этом запихнуть пару-тройку закладок, а потом неадекватные и грубые люди, которые их наняли, продают «это» за немалые суммы государству. По информации с профильных форумов, стоимость подобного оборудования для армии и других ведомств составляет несколько миллионов деревянных. Надеюсь, что существующие уязвимости изготовитель устранил, но кто гарантирует что там нет других, не таких явных?
P.S.: На момент написания статьи сервак без проблем сканится со старыми дырками. RIP.
Исходники
UBChannel.cpp — pastebin.com/xnA9p80F
UKernel.cpp — pastebin.com/7AZpqkRX
UMainForm.cpp — pastebin.com/PJgdKGcY