Пост для индексации, истории, предупреждения коллегам. Сегодня, 27.10.22, отключилась виртуальная АТС от Мегафона. У меня дежурная диспетчерская встала, номер вечно занят как будто. Рассылки от Мегафона нет, в новостях тоже ничего нет. Номера надо отвязать от АТС (отключить сим карту почему то называется) , тогда хотя бы на физические сим-карты проходить будет.
По поводу вилки цен. Понадобилось тут модернизировать систему вентиляции в закрытом паркинге. Нужно всего ничего - датчики влажности и голова, которая их считывать будет и реле включать, 6 штук. Обратился в две компании:
1)
- здравствуйте, компания 1, я почти долбоёб, но немножко шарю. Нужно в парковке вентиляцию включать, есть у вас что-то готовое?
-день добрый, есть у нас датчик1 и датчик2, головы подходят такие-то. Как програмировать вот вам методичка, там как раз для почти долбоебов, если что, можем за денежку по вашему описанию сделать.
-хорошо, заверните предварительный счёт, буду думать.
2)
- здравствуйте, компания2, я почти долбоёб, задача вот такая, у вас есть чо? У меня нихуя нет, мне похуй как оно работать будет.
- день добрый, у нас датчик-конструктор, как надо, так и соберем. Присылай тз.
- окай, вот тз, у вас голова есть, что бы этими всём управлять? У меня нету нихуя же.
- посовещаемся ответим.
Прошло 3дня.
-здравствуйте долбоёб, нужно уточнение к тз. Как у вас будут датчики общаться?
-мне похуй, мне нужно решить задачу, жду вашего комплексного предложения голова+датчики.
-какой протокол вам нужен?
-мне похуй, но пусть будет modbus rtu, у вас есть головное устройство под это? Мне нужно что бы эта хуета релюхами щелкала. Если есть голова, то пишите под нее, если нету, то хуйните реле в каждый датчик, сам соберу.
-а какой формат протокола вам нужен?
-не ебу, голова не выбрана, я от датчиков пляшу.
- мне нужно описание формата.
- бляяяяяя, у вас головных устройств нету что ли готовых? Ну пусть будет бренд1, если вам так легче, но если есть решения под бренд2, то похуй.
-дак бренд1 или бренд2?
-бляяяяяя, бренд1, побайтово не спрашивайте, не ебу, сами ебитесь, я же спрашивал, есть ли готовое решение.
-ладно хорошо.
Сколько ненужных телодвижений в сторону заказчика, на этапе оценки бюджета мероприятия.
Статья не моя, немного сокращена, оригинал статьи https://habr.com/ru/post/575626/
TL;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Исследование мобильных телефонов началось с простой идеи: можно ли использовать эти дешевые и доступные в любом магазине трубки для приёма СМС-сообщений на компьютер? Телефоны гораздо дешевле распространённых USB GSM-модемов, к тому же большинство моделей поддерживают 2 SIM-карты, а некоторые и до четырёх.
В силу почти полного отсутствия информации о наличии и возможностях AT-порта в современных телефонах, я решил купить несколько максимально разных устройств для проверки их функциональности.
Что я купил и что получил:
Были куплены почти случайные телефоны, ориентируясь по визуальной составляющей интерфейса на фотографиях и в видеообзорах и немногочисленной информации о SoC в интернете:
Inoi 101 (RDA8826/SC6533, 600₽)
DEXP SD2810 (SC6531E, 699₽)
Itel it2160 (MT6261, 799₽)
Irbis SF63 (SC6531DA, 750₽)
F+ Flip 3 (SC6531DA, 1499₽)
Довольно быстро я осознал, что с телефонами что-то не так…
Для снятия прошивки я воспользовался взломанной версией Miracle Box. Также юыла использована базовая станция 2G — удобный и лёгкий в настройке метод массового практического анализа вредоносной активности без предварительной подготовки каждого устройства.
Метод даёт доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету.
Моя конфигурация:
• bladeRF x115 ($650)
• Raspberry Pi 400 ($100)
• Открытое и бесплатное ПО базовой станции YateBTS
• Wireshark для анализа GSM и интернет-трафика
BladeRF питается от USB и не требует никакой дополнительной обвязки. Достаточно обычной дипольной антенны для начала работы.
Первое и самое «чистое» купленное устройство — Inoi 101.
Этот телефон не содержит вредоносных функций. Присутствуют типичные нежелательные вещи вроде меню СМС-подписок и платные игры, но устройство не выполняет какие-либо действия самовольно или скрытно.
Модель Itel it2160 сообщает «о продаже» через интернет, без предупреждения.
Flip 3 российского OEM-поставщика F+ cообщает «о факте продажи» через СМС на номер +79584971255, отсылая IMEI и IMSI в теле сообщения.
Я попытался получить подробности об этой функциональности у производителя. С компанией F+ состоялся следующий диалог:
Кнопочный телефон F+ Flip 3 в автоматическом режиме и незаметно для пользователя отправляет СМС-сообщения на номер +79584971255 при установке в него российских SIM-карт, причём отправленное СМС-сообщение не сохраняется в памяти телефона. Сообщения содержат IMEI-номер устройства, IMSI-номер SIM-карты, и три фиксированных значения.
…
Полный формат сообщения следующий: #IMSI#IMEI#250124#64#1# Где IMSI — IMSI-номер SIM-карты, IMEI — IMEI-номер телефона.
С какой целью данная функциональность внедрена в устройства F+?
>>> Нет информации.
Почему о ней не заявляется на официальном сайте, коробке или инструкции устройства?
>>> Потому что этот функционал внедрён не нашими инженерами.
Как обрабатываются полученные данные?
>>> Нет информации.
Какому юридическому или физическому лицу принадлежит номер +79584971255?
>>> Нет информации.
03.06.2021: Мы занимаемся решением данной проблемы. На новых ревизиях с новой прошивкой такой проблемы нет. Однако новая прошивка несовместима со старой ревизией телефонов. Как только в сервисе появится новая прошивка для старых ревизий я Вам сообщу.
15.06.2021: В сервисный центр поступила прошивка SW06 в которой решена эта проблема, обратитесь в ближайший сервисный центр из списка по ссылке https://fplusmobile.ru/support/ для перепрошивки Вашего телефона.
На просьбу выложить обновлённую версию прошивки в открытый доступ получил отказ и игнорирование дальнейших вопросов.
DEXP SD2810 от российского бренда сети магазинов DNS.
Опасный телефон, расходующий деньги мобильного счёта.
• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт IMEI, IMSI
• Обращается к CnC в интернете и выполняет его команды
• Отправляет платные СМС на короткие номера с текстом, полученным с сервера
DEXP не ответил на запрос о вредоносной функциональности.
Модель SF63 от российского OEM-поставщика Irbis.
Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.
• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт зашифрованные данные на сервер
• Обращается к CnC в интернете и выполняет его команды
Результаты
4 из 5 телефонов содержат незадекларированную функциональность, из них:
• 2 модели расходуют деньги со счёта (отправляют данные после покупки через СМС/интернет);
• 1 модель выходит в интернет и отправляет платные СМС-сообщения на короткие номера;
• 1 модель пересылает входящие сообщения через интернет.
Кто виноват?
Прежде всего виноват бренд, под которым продаются телефоны. Бренд заказывает разработку самого устройства и прошивки для него у OEM-производителя, но не проверяет конечное устройство на наличие незадекларированных возможностей. По какой-то причине, многие бренды не выкладывают прошивку на сайт, а отправляют обновлять устройство в сервисный центр в случае проблем.
Бренды F+ и BQ отрицают проблему или умалчивают о ней.
OEM-производитель готов внедрить любой каприз бренда или производителя сторонних модулей, за ваши же деньги.
Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами. Минцифры (бывший Минсвязи) проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи, но не функциональность конечного устройства.
Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации [...] рассмотрело Ваше обращение о производителе оборудования ООО «Ф-Плюс Мобайл» и сообщает следующее.
Согласно Положению, Минцифры России осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере связи [...]
Информируем, что средства связи, указанные в Вашем первоначальном обращении, прошли процедуру обязательного подтверждения соответствия Правилам применения оборудования радиодоступа. [...]
Следует отметить, что в соответствии с Правилами при декларировании телефонных аппаратов для сетей подвижной радиотелефонной связи проверка наличия или отсутствия отправки коротких сообщений в автоматическом режиме не предусмотрена.
Федеральный государственный надзор в области защиты прав потребителей осуществляется уполномоченным федеральным органом исполнительной власти – Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор).
Что делать?
Мобильных телефонов огромное количество, проверить их все невозможно.
Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности, но и стоят в 2-4 раза дороже «отечественных» аналогов;
Читайте отзывы перед покупкой: лучше купить проверенную модель, давно присутствующую на рынке, с безупречной репутацией, чем рисковать с новинками;
Отслеживайте поведение нового телефона после покупки в течение суток, по детализации оператора;
Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность.
https://habr.com/ru/post/575626/
upd:
https://habr.com/ru/post/575626/comments/#comment_23437702
Считать-то можно, только толку-то: Nokia 8110 4G тоже что-то слал, раз в несколько дней. Слал даже при отключённом интернет-соединении и не сконфигурированных профилях, по 15 рублей за попытку…
Где-то на яндекс.маркете мой отзыв с одной звездой лежит в том числе и по этому поводу (можете поискать, там у меня аватар такой же как и тут, ссылку же на коммент яндекс скопировать не даёт)
Ахтунг, серьёзные щи, я предупредил.
Для меня этот пост сродни въетнамским флешбекам. В классе с 10 по 11й любимым развлечение наших девочек, у кого грудь уже выросла, было вот так же подсаживаться и просить списать что либо. Само задание им было не интересно, им было прикольно смотреть, как задрот ростом в 150см пытается справится с нахлынувшими гормонами, стеснительностью, попытками подавить встающий член и не смотреть в сиськи, чтобы остатки мозгов на месте сохранить. Дык вот, осознание того, что ты им нахуй не нужен в сочетании с сексуальным возбуждение - это то ещё моральное удовольствие. Из плюсов, я счас могу спокойно спать даже в обнимку с голой женщиной без последствий в виде секса и никаких усилий прикладывать не нужно, все в мозгу автоматизированно.
6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.
Первый информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.
Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.
Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно. Технически это может попасть под некоторые статьи УК РФ, например, ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.
Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.
При этом по сообщению РИА Новости
"Шестого ноября зафиксирована попытка взлома программы лояльности "РЖД Бонус", в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов", - сообщили в РЖД в субботу.
via Habr.com
У меня во дворе дети убили телевизор духовными скрепами ¯\_(ツ)_/¯ фото не моё
Подскажите, что за респираторы и тип фильтров? Он 1980 г.в.,но маркировки нигде нет.
