Январская история с незаконным доступом в сеть производителя сетевого оборудования Ubiquiti получила неожиданное продолжение. 1 декабря ФБР и прокуратура Нью-Йорка объявили об аресте бывшего сотрудника Ubiquiti Николаса Шарпа (Nickolas Sharp). Ему предъявлены обвинения в незаконном доступе к компьютерным системам, вымогательстве, мошенничестве с использованием телекоммуникационных систем (wire fraud) и даче ложных показаний сотрудникам ФБР...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56279
Как это может быть? Впн упал, и вместо того, чтобы дропать трафик, просто перенаправлял его как есть?
я уверен, что Коля тоже задается этим вопросом
Несколько удивительно, как все эти высокоплачиваемые айти-специалисты пользуются сервисами для домохозяек. Ну и впны вроде никогда не были анонимными, кто-то их использует для незаконной деятельности? Просто поразительно.
Так это ж нач отдела. Уже достижение, что он git clone смог запустить.
По ходу анонимность в оформляемых на собственное имя VPN подписок гораздо выше, чем во всяких там TOR'ах и I2P
Стопудов там просто выписку из банка проверили, где было написано что он за vpn платил.
>>> когда ему представили документы, показывающие, что в июле 2020 года он приобрёл там 27-месячную подписку, сослался на то, что кто-то взломал его PayPal аккаунт.
> кто-то взломал его PayPal аккаунт.Вот это самое смешное. т.е. кто-то взломал пэйпал аккаунт чела. Ничего больше не купил, не потратил. Только оплатил себе впн сервис. И именно в тот период, когда был совершен взлом.
Сам же специялист, в свою очередь, даже не заметил взлом аккаунта и то что с него был оплачен какой-то там сервис.
Какими-то ещё более белыми нитками это сложно пошить.
Ну вообщето это "презумпция невиновности", он не обязан доказывать ничего, инопланетяне прилетели и купили впн с его счета, пусть прокурор дальше запросы шлет, ему за это деньги платят.
Оплата со счёта это уже доказательство. Аргументы в стиле "а это были не наши зелёные человечки" прокатывают только на идиотах.
>Сам же специялист, в свою очередь, даже не заметил взлом аккаунта и то что с него был оплачен какой-то там сервис.Вполне реально, у меня у карты привязаной к PayPal отключенно уведомление о платежах и двежениях средств и я её не часто проверяю, пару раз в месяц. С неё автоматом списывается за VPS, больше никак не использую потмоу и проверять чаще нет смысла.
> Несколько удивительно, как все эти высокоплачиваемые айти-специалисты пользуются сервисами для домохозяекКак раз это не удивительно.
У сабжа opsecfail opsecfail-ом погоняет. Ничего особо нового.
Во всех областях спецом не будешь, но тут да, странно т.к. это просто базовые знания.
Да во втором параграфе вообще лажа какая-то написана, упал, засветился.
Коля какой-то баран. Мозгов не хватило чтоли качать с разных мест, а не своего дома? Тем более в штатах, где плюнь и в хотспот попадешь.
И этот человек руководством проекта в Ubiquity занимался? (facepalm)
Когда настоящие доказательства получены нелегально или их разглашение угрожает госбезопасности, а осудить человека хочется, то иногда фабрикуют поддельные легальные.
Когда того отпрыска российского чиновника повязали в Тае, выдали тоже какую-то совершенно фантастическую историю. Но у чувака венда стояла и рассказали какие данные она сохраняла и где. А ведь тоже могли сказать, что тор отвалился и передал все серийники. Нельзя недооценивать тупость людей. Просто если такое возможно, лучше это учитывать. Я вот совершенно сознательно отключаю впн, когда он начинает работать хуже прямого подключения (через впн связь как правило быстрее), но было бы неприятно, если бы он отключался сам по себе.
> через впн связь как правило быстрее???
это точно vpn, а не "ускоритель интернета" ?впрочем, у меня недавно было так: youtube-dl через torsocks качал быстрее процентов на 20.
но сейчас уже не помогает. подозреваю что сволочь-провайдер перенастроил шейпер.
или на трубе подсчитали с какой скоростью куда надо отдавать видео чтобы
не тормозило и зарезали всем до этой цифры.
Часто дело в роутинге, пакеты из Америки могут идти в Москву через Новую Зеландию и это далеко не самый эффективный маршрут. Для впн канал организован по более эффективному пути. Кроме того, есть CDN, и для стран третьего мира (ака вся европа, внезапно) выделяют самые убитые ноды. Иногда просто режут скорость.
Ширина канала прямым образом не зависит от его прямизны и величины задержек
Зато зависит от убитости местной сети.
> Зато зависит от убитости местной сети.Магистрали сложно назвать местными сетями. Они обычно не убитые. А вот если, например, экскаватор в очередной раз перережет кабель в Суэцком канале, то часть магистралей окажутся перегруженными.
Какой еще госбезопасности это же частная компания, госбезопасность тут и рядом не лежала
Госбезопасность - это когда руководство понимает, что они сами не справятся в нахождении и наказании преступника, да и полиция тоже, и начинает трясти свои связи в спецслужбах. И им помогают методами, какими не помогли бы обычным людям, даже если бы речь шла об убийстве. А по большому блату помочь лидирующей национальной компании, держателю "интеллектуальной собственности" и налогоплательщику - возможно. Разумеется, те, кто так помогут, заранее знают, что их методы так и останутся гостайной.
Дело не только в "интеллектуальной собственности". Убики, как циска, и atlassian, активно сотрудничают с американскими спецслужбами по программе перевода пользователей с self-hosted решений на облачные. Это вопрос национальной безопасности.
Понятно, что такие компании должны иметь определенный преференции от государства.
Это возможно исключительно из-за наличия в действие законодательства об "интеллектуальной собственности".
>спецслужбахПрокуратура. Хотя по американским меркам это спецслужба, ибо федеральная, а там это не любят.
ФБР уже приватизировали? Вот это новость, ждем ответной приватизации ФСБ.
Мелко мыслишь. Государство приватизировали. Уже давно везде так.
Г-н Сечин очень хочет.
Это который дзюдоист? Так он уже.
У него чек от PayPal был. Чего тут незаконного? Тут всем все понятно стало. Просто по логике: скачивали с ip от VPN -> чел купил этот VPN. А когда знаешь кто виноват найти доказательства порывшись в вещах уже просто.
Он сидел дома, со своего компа через сервис VPN домашнего провайдера.
Красаучик не позаботился даже об алиби.
представьте себе киллера который покурил и бросил окурок на точке выстрела :) хотя профики носят с собой левый пакетик с такими окурками
Он так и сделал.
…но фбровские опера не поняли прикола с окурком около домашнего роутера и показали выписку из банка
Ты жопой читаешь? Написано же через surfshark. И сервис не при чем, был обрыв связи, а он не настроил фаервол. Может конечно и сервис слил, а нам заливают про обрыв, но тут правду не узнаем.
> Он сидел дома, со своего компа через сервис VPN через домашнего провайдера.Так понятнее?
Программу которая при обрыве VPN лезет в обход еще поискать надо.
Даже без фаервола.
ага:Investigators say they were able to tie the downloads to Sharp and his work-issued laptop because his Internet connection briefly failed on several occasions while he was downloading the Ubiquiti data. Those outages were enough to prevent Sharp’s Surfshark VPN connection from functioning properly — thus exposing his Internet address as the source of the downloads.
Так говорит ФБР, а как оно на самом деле было никто не знает кроме Шарпа.
Не использовать killswitch это нужно быть идиоtом в чём я не могу его заподозрить.
Покупать на своё имя VPN, а не анонимно и не за крипту тоже значит быть идиоtом.
Не использовать промежуточный Tor (и бесплатный VPN опционально) тоже значит быть идиоtом. Обычно связка выглядит так VPN->Tor->(опционально бесплатный VPN)->VPN купленый анонимно за крипу.В Ubiquiti набирают идиtов? Вряд ли. Может кто-то просто не хочет афишировать, как вычислили человека?
И ещё обычно в начале делают два VPN т.е. связка будет типа VPN1->VPN2->Tor->(опционально бесплатный VPN)->VPN купленый анонимно за биток. Два VPN в начале нужны и как killswitch и как перестраховка на случай, чтобы через 10 лет не расшифровали траф. VPN1 рабоатет допустим через openvpn, а VPN2 работает через wireguard. Ну и обязательно гонять левый траф через VPN1 и через VPN1->VPN2 когда идёт работа.
Думаю идея понятна.
красаучик
Посвящается всем тем кто верит в "покупные" или бесплатные ВПН от корпорастов
По суду все будут всё представлять. Чудес не бывает. Тут явно судебный процесс.
Не все хранят логик в принципе, предоставлять нечего бывает. Но кто не хранят, а кто просто это заявляет понять невозможно.
Лох - это судьба.
А разве там в руководствах есть другие?!
Толи дело умнички и красавчики которым это руководство впаривает фуфло...а они радостно покупают покупают покупают...
Сказал чел который просиживает время на opennet вместо саморазвития? :) Уж точно не нам судить, он когда выйдет через годы у него будут накопления и пенсия, хорошая старость. А мы будем в своих сотах доживать, так что денег в лучше случае хватит на пару недель в год выехать в Турцию. А то и на лекарства хватать не будет и бесконечные очереди в поликлиниках.
Сколько веревочке ни виться, а конец будет
Как-то пошло звучит 🤨
Люблю твои смайлики! 🐻
вспомнился слоник с вечным кайфом...
Не плюй в колодец, пригодится воды напиться
Без труда не выловишь и рыбку из пруда.
Не беречь поросли, не видать и дерева.
Дважды в год лето не бывает.
Летом не припасешь, зимой не принесешь.
Не зима знобит, а весна.
Летом - пыль, зимою снег одолевает.
Придет осень, за все спросит.
>Дважды в год лето не бывает.У тех, у кого есть квартиры в обоих полушариях и деньги на перелёты - очень даже бывает.
Просто байка старая, не обновилась ещё.
Тысяча чертей! Я - самый известный пират в этих водах, после Николаса Шарпа конечно же.
Известность по плакатам с надписью wanted определяешь ?
Очередной вброс. Вы на имя этого "взломщика" посмотрите.15 человек на сундук мертвеца, йо хо хоу, и бутылка рома!
Глумление над гоями продолжается.
Вот. А использовал бы ссш-туннель, отделался бы лёгким испугом.
через пару хостов в разных странах не сотрудничающих с администрацией, через воздух...
> через пару хостов в разных странах не сотрудничающих с администрацией, через воздух...Через чем-нибудь дырявый комп. В конце-концов какер он или где?
"он руководитель, как Вы!"c vpn без килсвитча, да. Причем каким-то феноменально говенным, будь осторожен если тоже его используешь (схера ли он отваливается вообще?)
> "он руководитель, как Вы!"
> c vpn без килсвитча, да. Причем каким-то феноменально говенным, будь осторожен если
> тоже его используешь (схера ли он отваливается вообще?)Самое смешное, что в Surfshark есть киллсвитч. Его просто включить нужно.
Самое смешное, что все поверили что он не использовал killswitch. Просто кто-то не хочет показывать, как нашёл Шарпа.
> через пару хостов в разных странах не сотрудничающих с администрацией, через воздух...Чей-нибудь.
Не дезинформируйте читателей своей некомпетентностью
>По словам прокуратуры, Шарп подозревается в том, что в декабре 2020 года незаконно, пользуясь своим служебным положением и, соответственно, административным доступом к компьютерным системам Ubiquiti, склонировал из корпоративного аккаунта на Github на свой домашний компьютер около 150 репозиториев.Это какой-то бред.
1. Если репозитории публичные, то в ToS GitHub написано, что публикующий репозиторий даёт всем лицензию его склониговать
2. Если репозиторий приватный, то ведётся аутентификация. Поэтому подмена ip бесполезна.
3. Клонирование приватных репозиториев расследовать не имеет смысла, так как у клонировавших есть полномочия их клонировать.
В статье имеется в виду, что корпоратиынй - это приватный. Мне тоже интересно, как же он авторизовался. Хотя, мог создать акк, авторизовать (он же начальник), склонировать, удалить.
Создание акка явно начальником явно говорит о компрометации аккаунта начальника, и первым подозреваемым автоматически становится начальник.
>Это какой-то бред.его обьвиняют в шантаже, а предмет шантажа - собственность корпоративная. Имел доступ или не имел ничего не решает, у меня поди окно в доме открыто, это же не дает право влазить и воровать мои личные вещи.
там ссылка в конце новости на pdf c обвинением, там подробности расписаны.1. У Шарпа были полномочия клонировать репо в служебных целях, ему по должности положено. У него не было полномочий клонировать репо на свой домашний компьютер в целях шантажа.
2. Для клонирования Шарп использовал не свой персональный аккаунт, а админский акк, использовавшийся сотрудниками для задач, требовавших админских полномочий.
3. В логе доступа на гитхабе видно, что 20 декабря Шарп залогинился под своим аккаунтом со своего домашнего IP и прочитал список репо. Через минуту на гитхаб залогинился админский акк с пула адресов Surfshark и начал клонирование.
4. Четыре часа спустя, ночью 21 декабря, домашний интернет провайдер Шарпа лег. В это же время по логам гитхаба клонирование остановилось. Через 45 минут провайдер восстановил сервис, через минуту в логе гитхаба зафиксировано подключение под админским акком и клонирование с домашнего IP Шарпа. Через несколько минут обрыв, и подключение админского акка с VPN адреса.
5. 28 декабря инцидент был замечет другими сотрудниками Ubiquiti. Шарп принимал участие в расследовании, при этом морозился и делал вид, что в первый раз слышит про Surfshark.
Я пдфку не читал, далее мои догадки.1. Раз логи там смотрят, с безопасностью у них там не всё плохо. Раз кто-то может склонировать репку из дома, значит ограничения по IP в настройках не включены, значит так надо. Возможно что там практикуется WFH, и работникам разрешено клонировать домой репки. Если репки разрешено клонировать домой через инет, то фирма сотрудникам достаточно доверяет, и наверняка и флешки разрешены. Но проверяет - всё логируется и смотрится СБшниками и их скриптами.
А теперь смотрим. Прошлый и этот годы прошли под вывеской WFH. Если бы он действительно работал, у него дома уже была бы копия репозитория. И не надо было бы ничего выкачивать с гитхаба. А доступ к чужим, причём массовый - вызовет вопросы у СБшников. Я так предполагаю, что у них там простой скрипт, вытягивающий с GH логи, + база, каким сотрудникам с чем разрешено работать. Если сотрудник хочет вытянуть то, с чем он раньше не работал, то ему никто не мешает, но генерируется алерт, и просто к нему потом зайдут и он должен будет обосновать. Или даже не зайдут, а зайдут сначала к руководителю, и если руководитель скажет ОК, то рядовой сотрудник даже и не узнает, что его пасут. Это адекватный подход, не разрушающий рабочие процессы.
2. Вот это огромное палево, почище использования личного акка. Чел наверное хотел смешаться с остальными людьми с доступом к админскому акку. Если клонирование 1-2 репок рядовым сотрудником почти не вызвало бы подозрений и это можно было бы обосновать, то клонирование админом, который единственное что должен делать - это новых сотрудников прописывать, причём клонирование всего подряд - это реально инцидент.
3. Не имеет смысл юзать VPN когда ты и так аутентифицирован. Искать будут не среди тех, у кого есть vpn, а среди тех, у кого есть credentials для акка. Сразу ясно, что это либо инсайдер, либо кто-то взломавший инсайдеров.
4.1 атака корреляции трафика, классика.
4.2 если бы использовал wireguard, то соединение просто бы порвалось и восстановилось5. привлечь к расследованию главных подозреваемых - очень умный ход.
В общем, всё выглядит очень глупо.
>>>Я пдфку не читал, далее мои догадки.на опеннете это нормально Ж8-%
>>>Раз логи там смотрят, с безопасностью у них там не всё плохо.
в реальности это может быть настолько "не плохо", что за логами могут прийти к людям, вообще никаким боком к ИБ не относящимся - просто потому, что ИБ не подумали логировать ту дырдочку, через которую их поимели. Ну или дырдочку прокрутили, а ИБ не предупредили, такое тоже сплошь и рядом. вплоть до того, что ИБ нужно долбить - ребята, посмотрите вот ети логи!
>>>Я так предполагаю, что у них там простой скрипт, вытягивающий с GH логи, + база, каким сотрудникам с чем разрешено работать.
если речь идет о расследовании инцидента, и ты хотя бы просто рядом стоял, не надо предполагать, если чего-то не знаешь. так сразу и говори "не знаю".
в беседе с безпечниками очень помогает, когда десять раз им повторить, что вот здесь я говорю то, что знаю, а вот тут - я не знаю, потому не говорю. но если что, попробуйте посмотреть вот там и сям, возможно, там можно найти то и се.
Чтож, дурачка не жалко! Умный бы никогда не спалился.
Этому господину хватило ума занимать значительные должности в известных транснациональных корпорациях...
Стесняюсь спросить - а вы точно-точно умнее его?
Конечно - он-то хотя бы не сядет на десяточку и его не покрутят негры на отттакенных елдаках.Вот если б тому господину хватило ума тихо слиться с известной должности, пусть без выкупа но хотя бы с бонусами, а не спалиться по совсем уж глупости - тогда было бы можно завидовать.
Но ничего страшного, уверен что на это место уже кого-нибудь нашли.
> Конечно - он-то хотя бы не сядет на десяточку и его не
> покрутят негры на отттакенных елдаках.Пока Шарпу светит по максимуму 37 лет. Ну, это если он будет вести себя, как Рейзер. Не будет бычить и писать 700-страничные заумные возражения - может и условкой со штрафом отделаться. Если адвокаты хорошие попадутся.
> Вот если б тому господину хватило ума тихо слиться с известной должности,
> пусть без выкупа но хотя бы с бонусами, а не спалиться
> по совсем уж глупости - тогда было бы можно завидовать.Ну вот не хватило. Яхез сколько там плотют в той убиквити, но чел чо-то как-то продешевил с выкупом. $2m для должности Cloud Lead, не знаю, это много, мало?
Но там с умом все плохо, судя по обвинению. Чел сначала начинает рассылать резюме, на следующий день скачивает себе админские ключи. Нервы шалят, в отпуске давно не был? Яхез.
> Пока Шарпу светит по максимуму 37 лет.через пяток выйдет по удо. Если будет хорошо себя вести под негром, конечно.
Рейзер-то виноват лишь в том что женился на шлюхе, а этот, похоже, и впрямь жулик и вор, так что наверняка пойдет на сделку.
> $2m для должности Cloud Lead, не знаю, это много, мало?
так и те ж зажали - "и хрен с ними, с исходниками - новых намакачат!"
Так что меньше надо было просить, а не больше. Недооценил жадность босса.> Нервы шалят, в отпуске давно не был?
резюме рассылают когда отпуск уже поднадоел. Тут явно - намекнули что бонусов в этом году не будет, и performance review пройден на грани, так что об отпуске забудь. А у чувака ипотека, новая тесла и жена (или муж, я хз их нравы), видать, из Амазона выкинули без акций.
>а этот, похоже, и впрямь жулик и ворВ России таких любят. Не во всей правда, а только в Единой.
Ну нет, там тоже не всех таких любят, только некоторых. Если с правильными пацанами самбой не занимался и в хоккей не играл в детстве - то и партбилет на стол положить можно.А иногда вообще бывает как с Магомедовым - вроде и с правильными пацанами, был, состоял, участвовал - а даже лично сам правильный пацан отмазать не смог, и партбилет не помог.
А вот сынишку главного борцуна за детские права - помурыжив, отпустили. Хотя и вовсе беспартейный, да и папенька вроде как отплавался уже.
друх, в этой среде любят исполнительных дурачков, поверь. Пару раз угадал мысли начальства и тебя уже повысили. Главное - выражающее преданность руководству лицо.
Я не удивлюсь, если этот начальнег действительно не имеет к этому всему отношение.
> друх, в этой среде любят исполнительных дурачков, поверь. Пару раз угадал мысли
> начальства и тебя уже повысили. Главное - выражающее преданность руководству лицо.как будто это так просто! Угадать-то надо в тот момент, когда он не об голой бабе думает.
...а о голом мужике.
Сыры-то он успел куда-нибудь выложить? А то ж давно хочется обновить оборудование, которое эта кантора забросила.
Ты ядро полтора года назад перекомпилировать не мог, а сейчас самосборные прошивки патчить будешь? Прошивай OpenWRT, если поддерживается, и не парь мозг ни себе, ни людям.
Ты со своим оборудованием ему нафиг не нужен. У тебя нету 50 биткоинов (А если есть то ты их не отдашь)
> Сыры-то он успел куда-нибудь выложить? А то ж давно хочется обновить оборудование,
> которое эта кантора забросила.немножко выложил на keybase, но это быстро почистили
А у Шарпа на компе стояла OS Windows?
такой удар по лицу известной корпорации...
да, безупречную репутацию им сильно подпортит
Ещё и жадный, сцуко. Не мог отдельно ноут для таких целей купить и выкинуть после использования.
Шарп использовал отдельный ноут и отформатировал его после того, как его обломали с выкупом. Это тоже в обвинение занесли.Вообще всем, кто тут в каментах умничает насчет лоха с плохим опсек и не самого яркого яблочка в корзине, хочу напомнить историю пана Рейзера.
Который тоже был дофига умным. Нет, серьезно, очень умным. Но весь его умище не помешал ему хорошо влипнуть в истории с его женой. Весь его умище не помог ему даже минимизировать потери, когда всем вокруг было понятно, что Ганс присел. Судья предлагал Рейзеру минимальный срок три года в обмен на признание до суда.
Но Ганс был дофига умным, и в результате присел по _максимуму_. Ему все равно пришлось признаться, только в этот раз - чтобы заменить срок от 25 лет до пожизненного на срок от 15 до пожизненного. В 2023 году 15 лет истекают, но Ганс - все еще дофига умный - будет сидеть и дальше. Ровно потому, что дофига умный. Дофига умных, да еще удавивших жену на голом месте, правоохранительная система почему-то недолюбливает.
Если у этих историй есть какая-то мораль, то видимо, такая - не считай себя самым умным и не считай, что продумал все.
И наверняка не стоит копировать себе домой корпоративный админский AWS ключ и подключаться с этим ключом через VPN - на следующий день после того, как ты заслал свое резюме в другую хайтек контору, как это сделал Шарп. Через полгода этот факт может раскопать прокуратура и "возникнут вопросы".
>[оверквотинг удален]
> еще дофига умный - будет сидеть и дальше. Ровно потому, что
> дофига умный. Дофига умных, да еще удавивших жену на голом месте,
> правоохранительная система почему-то недолюбливает.
> Если у этих историй есть какая-то мораль, то видимо, такая - не
> считай себя самым умным и не считай, что продумал все.
> И наверняка не стоит копировать себе домой корпоративный админский AWS ключ и
> подключаться с этим ключом через VPN - на следующий день после
> того, как ты заслал свое резюме в другую хайтек контору, как
> это сделал Шарп. Через полгода этот факт может раскопать прокуратура и
> "возникнут вопросы".Безотносительно ума, его поступок продуманным и умным трудно назвать.
" - Честным надо быть! Как я!" (с) Остров погибших кораблей
Безусловно. Если ты собираешься устроить какую-то херню с использованием служебного положения, нужно очень хорошо подумать, а то ли ты делаешь.Хотя IRL встречается и не такая фигня.
В детстве участвовал в расследовании довольно смешного инцидента. зам финансового директора яхез как получил доступ к интим фоточкам главбухши на ее мобилке. после этого со своего компа зашел под ее аккаунтом по rdp на терминальный сервер, а оттуда разместил их на каком-то сервисе типа private-fotki.ua. Главбухша была дама видных статей и тут же огребла на корпоративный емейл кучу предложений познакомиться и сопричаститься.
надо было видеть, как главбухша пешком пришла в наш корпус на отшибе, чтобы изложить мне проблему - она даже позвонить стеснялась.
В итоге все кончилось более менее ничем. Фотки удалили, письма от парочек, желающих познакомиться, главбухше приходить перестали, я написал отчот о том, кто что и где делал по данным журналов регистрации, иии никаких оргвыводов не последовало. Зам фин директора уволили полгода спустя за то, что он был удило и в финансах.
но вот зачем он все это делал???
Интим фоточками то поделишся той шикарной главбухши?
>но вот зачем он все это делал???Просто он очень добрый и чуткий человек, он хотел устроить личную жизнь этой даме.
> дофига умный. Дофига умных, да еще удавивших жену на голом месте,
> правоохранительная система почему-то недолюбливает.Ну не на голом месте вообще-то. Она той еще сукой оказалась. Это конечно не давало право ее убивать, но тем не менее мужика понять можно. Там в ходе суда такие подробности про нее и ее бойфренда всплыли, что ему не случайно три года всего предлагали в обмен на признание.
> И наверняка не стоит копировать себе домой корпоративный админский AWS ключ и
> подключаться с этим ключом через VPN - на следующий день после
> того, как ты заслал свое резюме в другую хайтек контору, как
> это сделал Шарп. Через полгода этот факт может раскопать прокуратура и
> "возникнут вопросы".Ну там самое ключевое, видимо то, что он спалился с собственным IP-адресом из-за поведения сервиса. Остальное уже в сущности не важно. Кстати, вопросы о том, что в случае падения VPN работа может идти напрямую и как это пофиксить, здесь или на лоре периодически попадаются.
> Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адресА потом люди говорят, мол, не нужен вам kill switch в нэтуорк манагере.
А UFW настроить интеллект не позволяет?
>биткойновА так же андройдов, соленойдов и прочих дебилойдов.
>>биткойнов
> А так же андройдов, соленойдов и прочих дебилойдов."Еду на Порше, спасибо сатоши"© :-)
Мог бы и без VPN сбить ФБР со следа, надо было вымогать рублями на карточку сбера.
> Мог бы и без VPN сбить ФБР со следа, надо было вымогать рублями на карточку сбера.В этом есть зерно здравого смысла. Надо разделять деньги и юрисдикцию потенциальных исков.
>> Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адрес Шарпа."Счастливая случайность")))
> "Счастливая случайность")))Да нет ничего необычного. Запустил VPN, побродил браузером, закрыл вкладку, отключил VPN, а service worker спалил твой реальный IP. Вот такая вот секурность )))
ну как бы у его интернет-провайдера в логах доступа домашний IP-адрес Шарпа присутствует по умолчанию...вероятно речь про то, что VPN неожиданно прервался, и запросы которые шли через VPN- пошли через обычный канал...
Вот у меня например- все что ходит через VPN - живет в отдельных виртуалках. Которые при падении VPN- никуда выйти не могут в принципе. Ибо... профессиональная деформация.А товарищ все это делал на своем основном компе... Упс...
> ну как бы у его интернет-провайдера в логах доступа домашний IP-адрес Шарпа
> присутствует по умолчанию...Вот была сессия через один айпишник, а тут, внезапно, та же сессия, но уже с другого. Следовательно, можно провести атрибуцию всех предыдущих действий с реальным адресом. А то, что VPN провайдер подтвердил наличие контракта (даже без логов), лишь в копилочку доказательств.
> Вот у меня например...
Сиди и помалкивай, что у тебя, если ты действительно делаешь то, для чего нужен VPN. А то Коля вон тоже думал и всё-всё знал, а поймался на такой неосторожности.
>Сиди и помалкивай, что у тебя, если ты действительно делаешь то, для чего нужен VPN.Неожиданно :)
Работать работу на удаленке естественно...
Попробуйте... удобно :)
> у меня например- все что ходит через VPN - живет в отдельных виртуалкахУуу, какой...
И не говори. Будто использование виртуалки скрывает внешний айпишник )))
А айдишник процессора скрывает ?
> А айдишник процессора скрывает ?Да хоть архитектуру.
А почему бы и нет, если там правильная таблица маршрутизации?
впн до впс, на которой кач и тор.
Мощная дискуссия однако
Вот только vpn-провайдер тоже в сша и выполняет законы
Смотрим логи провайдера, смотрим логи vpn-провайдера, берём за жабры
"Счастливая случайность" - защита источника, практика фбр
> Смотрим логи провайдера, смотрим логи vpn-провайдера, берём за жабры
> "Счастливая случайность" - защита источника, практика фбрлоги vpn провайдера здесь таㅤщㅤеㅤмㅤта не нужны, чел уже прилип по логам гитхаба, своего интернет провайдера и выписке из своего пейпала.
Это косвенные
Прямые - логи vpn
Это обычный обман ФБР, они точно так же соврали когда поймали человека открывшего Silkroad 2 или Silkroad 3. Тоже якобы забыл про killswitch.
> пользуясь своим служебным положением и, соответственно, административным доступом к компьютерным системамФи. Неспортивно.
Пользуйтесь платными публичными VPN-ами, никто никогда не узнает, что это были вы и, разумеется, не раскроет вашу личность властям!
этот аноним сарказмирует, конечно. пользуйтесь бесплатными
Уязвимость? Да неее, вы чего, это наш главный инженер ВПН-ом балуется, он кстати уже пойман и наказан. Ещё и спецслужбам врать дерзит, вы представляете?
>Чтобы скрыть свой IP адрес, Шарп использовал VPN сервис Surfshark. Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адрес Шарпа.Перевожу: гебня пришла к мамкиным впнщикам с предложением, от которого трудно отказаться, в обмен все свалили на случайный обрыв.
Все довольны.
>>Чтобы скрыть свой IP адрес, Шарп использовал VPN сервис Surfshark. Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адрес Шарпа.
> Перевожу: гебня пришла к мамкиным впнщикам с предложением, от которого трудно отказаться,
> в обмен все свалили на случайный обрыв.
> Все довольны.Скорее сб этой конторы пришла к местной гэбне. А она уже сделала предложение.
А чо это за фирма вообще? Роутеры в китае заказывают? Зачем им 150 гитхубов? В чом слив заключался? В том что зонды ставят?
Что зонды ставят и сливать не надо, а вот где они - уже тайна
Так в ректуме же...
ТАЙНА!
То есть он идентифицировался на GitHub, зашёл в закрытые репозитории и скачал их. Но в таком случае ему бы и Tor не помог, раз он там сам идентифицировался. GitHub же ведёт логи.
он мог идентифицироватья под неким общим аккаунтом, который не был его персональным. А был известен многим...
И всё равно эта конспирация вычисляется.Один в больнице лежал, возле автомата кофе пил, третий в отпуске скалолазанием занимался и т.д. и т.п.
В итоге останется с полдюжины человек, трое из которых явно пользовались VPN. А дальше обыски и свидетели в помощь.
> известным журналистом по информационной безопасности, и слил ему "инсайд" об инциденте в Ubiquiti, который был опубликован 30 марта 2021 года (и возможно, стал одной из причин последовавшего падения акций Ubiquiti на 20%).Интересно открыл ли он перед этим позицию в шорт. Вообще инсайдераская инфа - это золотая жила.
>Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адресВидимо у них прокутарура тоже имеет своих поставщиков, раз догадывается, что IP адрес может засветиться при обрыве инета у провайдера.
Upd: при правильной настройке. Можно и быть ССЗБ.
тут все такие хакеры и иронизирователи, но дай бох хотя бы один из десяти знает, что при обрыве впн ОС услужливо подставляет маршрут по умолчанию, и хотя бы один из ста умеет правильно настраивать маршруты, чтобы при обрыве впн трафик никуда не сливался.
кто на ком стоял? (с) Булгаков
> но дай бох хотя бы один из десяти знает, что при обрыве впн ОС услужливо подставляет маршрут по умолчаниюДа это поведение по умолчанию везде. Другой вопрос, что есть куда более опасные, предательские способы спалить свой айпишник. Собственно выше я один описал и ни один не удосужился почитать про т.н. жизненный цикл Service Worker'ов )))
>>при обрыве впн ОС услужливо подставляет маршрут по умолчанию
>Да это поведение по умолчанию везде.Все же надо было выяснить кто на ком стоит, прежде чем... :)
Никто никуда ничего не подставляет.
Есть маршрут по умолчанию. Когда виндовс устанавливает соединение по VPN - она делает его метрику 1 а прежний маршрут по умолчанию- сильно больше...
В результате, все идет в новый VPN шлюз... Если линк падает- все начинает идти в прежний..."услужливо подставляет" "это поведение по умолчанию" :)
>>>при обрыве впн ОС услужливо подставляет маршрут по умолчанию
>>Да это поведение по умолчанию везде.
> Все же надо было выяснить кто на ком стоит, прежде чем... :)
> Никто никуда ничего не подставляет.
> Есть маршрут по умолчанию. Когда виндовс устанавливает соединение по VPN -
> она делает его метрику 1 а прежний маршрут по умолчанию-
> сильно больше...
> В результате, все идет в новый VPN шлюз... Если линк падает- все
> начинает идти в прежний...
> "услужливо подставляет" "это поведение по умолчанию" :)метрика тут не при чём.
нетворкменеджер, dhcp клиент, и ещё фиг знает кто восстанавливают маршрут по умолчанию при падении впна.
1) route add -host айпи.впн.сер.вера gw основ.ной.шлю.з
2) route del default
3) подключаем впн, наблюдаем в route -n единственный маршрут к 0.0.0.0/0 - через впн
4) отключаем впн, наблюдаем в route -n единственный маршрут к 0.0.0.0/0 - через основной шлюз, вежливо подставленный нетворкменеджером (или dhcp клиентом, или ещё хз кем), который заметил, что впн упал, а хозяину как-то же надо попасть в интернетлично я с причиной разобрался и костылей понаставил, а с вами делиться не стану, ищите сами.
> 2) route del defaultключевой пункт.
после падения впна этот основной маршрут магическим образом возвращается обратно.
"автор оставляет эту задачу для самостоятельного решения любопытному читателю"
а зачем костыли?
route del default - это точно ключевой пункт.
Но не с того боку.
В настройках интерфейса удалите route default.
Ну и естественно без dhcp :)
Так надо в инкогнито свои чёрные дела делать.
Иногда даже в --temp-profile
>Однако, после случайного обрыва связи у его интернет-провайдера в логах доступа "засветился" домашний IP-адрес Шарпа.Лень было найти левый wifi? Или просто незнание базового принципа любого хакера - никогда не используй оборудование и каналы связи привязанные к твоей личности.
Рассуждать о базовых принципах и само собой разумеющихся сущностях хорошо глядя на произошедшее со стороны...
Вы бы в этой ситуации действовали совершенно разумно и все бы предусмотрели как Декстер...
Безусловно.. Какие могут быть сомнения.. :)
Бред какой то. Я не верю в то что он не использовал тор и вымогал деньги через домашнюю сеть. 100% У человека в ноутбуке ssd и при удалении информации ее невозможно восстановить, а если hdd, то он бы форматировал с перезаписью что бы ничего невозможно было восстановить. Ну банально через открытые точки мог бы подключится, раскрытый вай фай. Даже с телефона. В июле 2020 он приобрел 27 дней подписки у впн, а письмо анонимное отправил в январе 2021. Ничего что подписка давно кончилась? Лажа короче.
Подписка закончится в октябре 2022 года.
>>>В июле 2020 он приобрел 27 дней подписки у впн, а письмо анонимное отправил в январе 2021. Ничего что подписка давно кончилась?ну вот автор новости тоже не верил, что слова "27-месячную подписку" можно понять, как 27-дневную. а поди ж ты...
Тоже часто вижу что ник много говорит о человеке.
Эмоции ... всё дело в них. Челу очень захотелось денег или отомстить, а контора очень не хотела прослыть лохом. В итоге чел плохо продумал и наделал ошибок, а контора прилично заплатила за результат.
Хочу отметить, что все комментарии по новости хорошие и обсуждение интересное, что бывает не часто.
Так никто и не написал про его мотивы. А было бы интересно. Два ляма он клянчал постфактум. Значит, не в деньгах было дело. Вот что подтолкнуло его на этот поступок? Наверняка, спец такого уровня 2 ляма получил бы и так в виде зарплаты за год работы. Совершенно непонятно.
> 2 ляма получил бы и так в виде зарплаты за год
> работы. Совершенно непонятно.дык, чего непонятного - работы - получил бы (правда, еще и отпахать надо весь тот год), а безработы - не получил бы.
Это ж ср-ная сшашка, там нет наших прекрасных законов о труде, заставляющих ловить неудобного сотрудника на проходной на опоздании на пять минут (с риском потом все равно проиграть суд)pink slip с зарплатой ровно за отсиженные часы, и досвидос без всяких лишних соплей если в трудовом контракте явно не написано иначе (обычно не написано потому что понятно что там еще будет при этом автоматически).
Видимо, именно такая перспективка и замаячила.
Это каким лохом надо быть, чтобы со своего айпишника воровать данные на свой комп?! Не мог что ли воспользоваться услугами Интернет-кафе? Странный парень... Правда про таких говорят:"Лох - это судьба!"
В интернет-кафе стоят камеры слежения.
В мусорку рядом с интернет-кафе или кафе где бесплатный свободный wifi (такие есть в США) кидаешь ретранслятор wifi и юзаешь wifi подальше от камер.
А что, разве это не возможно, что Шарпа самого поломали через уязвимость в юбиквити и демонстративно использовали его собственный аккаунт?
Возможно. И хороший адвокат смог бы объяснить зачем стрелок переформатировал ноут если ничего не знал о происходящем...
Ну заметил какие-то подозрительные явления и отформатировал диск, решиа что просто троянца схватил - на его месте так поступил бы каждый.