Цифра в России №33 от 19/11/2019

Microsoft хочет сохранить GitHub, законсервировав ее текущие разработки на долгосрочное хранение во Всемирном арктическом архиве на острове Щпицберген на случай "страшного суда". А правительство России мечтает "посчитать" пользователей пока несуверенного Интернета. Тем временем участник "Хабра" доказал, что сервера поездов "Сапсан" уязвимы. Не спят и банковские мошенники - они усилили "работу" по автолюбителям.

Недавно компания Microsoft приобрела GitHub, популярную платформу для совместной разработки. Теперь руководство Microsoft намерено законсервировать на долгосрочное хранение 6000 репозиториев программного обеспечения с открытым исходным кодом во Всемирном арктическом архиве на острове Щпицберген. Храниться репозитории с GitHub будут на специальном инновационном носителе информации, разработанном собственными инженерами компании. Он отличается повышенной надёжностью и способен веками без повреждений беречь информацию.

На носитель от Microsoft поместили исходный код операционных систем Linux и Android, Rust, Ruby, Python и другие языки программирования, популярные веб-платформы, криптовалюты Bitcoin и Etherium, инструменты разработки искусственного интеллекта (AI) и многое другое.

Важно, что это не единственное хранилище для GitHub, в данный момент строятся и другие подобные сооружения. Поэтому можно с уверенностью сказать, что если произойдёт катастрофа планетарного масштаба, то GitHub точно её переживёт, по крайней мере, частично. В то же время получается, что эта катастрофа ожидаема, по крайней мере – вероятна.

Некоторые наблюдатели отмечают, что данные GitHub, помещенные в хранилище являются именно текущими разработками. Это может значить, что их хотят сохранить в преддверии близкой опасности. Хотелось бы надеяться, что это не так.

Справочно:

С 2006 года на Щпицбергене функционирует Всемирное семенохранилище, созданное по инициативе ООН. Также его называют «Всемирное хранилище судного дня». Это большой тоннель, который уходит под гору и содержит в себе огромное количество образцов семян, заложенных туда на случай глобальной катастрофы.

Недалеко от «Хранилища судного дня» располагается Всемирный Арктический архив, построенный в 2017 году на месте заброшенной шахты. Уже почти три года там хранятся архивы Ватикана, а также книги, фильмы и вообще всё материальное наследие, которое может  «пережить человечество». В Arctic World еще хранится документация Европейского космического агентства и ряда других крупных научных западных организаций.


В Правительстве РФ хотят больше знать об интернет-аудитории: для этого государство пересчитает пользователей у интернет-компаний. Предоставлять информацию об аудитории должны будут сами сайты компаний, данные будут отправлять организации, специально уполномоченной для этого государством. Те интернет-сайты, которые на это не согласятся, не смогут размещать рекламу.

Соответствующие поправки в законы о СМИ и об информации подготовил Роскомнадзор совместно с крупными медиакомпаниями. О намерении чиновников создать государственный счетчик для интернета стало известно еще в сентябре. Власти хотят знать, какой контент смотрят граждане в сети, и видеть площадки, наиболее сильно влияющие на общественное мнение. В проекте поправок не определен круг сайтов, которые должны будут представлять данные уполномоченной организации, – в большей части поправок используется термин «интернет-ресурс». Какие именно данные должны представлять сайты - также пока не ясно, Роскомнадзор определит методику измерений, когда поправки уже будут приняты.


Обсуждают уязвимость поезда «Сапсан». Наиболее полно история отражена на сайте телеканала 360О. По данным телеканала, пользователь «Хабра» рассказал, что за 20 минут сумел взломать Wi-Fi «Сапсана» и получить доступ к информации о пассажирах. В свою очередь РЖД утверждает, что не хранит на серверах поездов значимой информации.

По словам пользователя «Хабра» keklick1337, для подключения к Wi-Fi в поезде система требует ввести номер вагона и места, указанные в билете, и последние четыре цифры паспорта. «Значит, „Сапсан“ у себя локально хранит данные о всех пассажирах, кто на каком месте. А что, если проверить, насколько трудно к ней получить доступ. Мне понадобился только NMAP (инструмент для сканирования IP-сетей) и пара публичных эксплоитов (программа для поиска уязвимостей в ПО). Данные для авторизации в системах я описывать не буду, дабы не обидеть РЖД (на всех „Сапсанах“ данные для авторизации одинаковые)».

Программист утверждает, что смог получить доступ к данным пассажиров текущего и предыдущих рейсов «Сапсана». При этом он отмечает, что все пароли внутри системы были одинаковыми, сервер, на котором хранится вся информация, один, а оперативной памяти на нем мало — поэтому и не работал Wi-Fi. При этом весь процесс взлома с его слов занял всего 20 минут, и то  из-за того, что «сервер лагает».

В пресс-службе ОАО «РЖД» сообщили каналу 360О, что проведут технологическое расследование. При этом отметили, что на сервере информационно-развлекательной системы поездов «Сапсан» не хранят персональные данные пассажиров: «Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО „РЖД“, фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным в соответствии с действующим законодательством РФ и хранятся на сервере ИРС не более одного дня».

Забавно, но по словам РЖД, сервер, о взломе которого сообщалось, «не связан с внутренней сетью ОАО или другими внутренними сервисами управления, а разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов».


Все чаще банковские мошенники работают «по автолюбителям». Схема такова: у человека есть один или два неоплаченных штрафа, мошенники присылают SMS с собщением, что он снова нарушил, но есть возможность оплатить все имеющиеся штрафы со скидкой и указывают реквизиты, по которым можно это сделать.

Нередко сообщение написано от номера 900 - расчёт, на то, что у человека автоподписка на штрафы от Сбербанка. Он, решив, что лучше оплатить со скидкой, делает эту оплату в приложении Сбера или любом другом, - то есть нажимает «оплатить», перейдя по ссылке в сообщении, и всё, деньги ушли.

Это чисто “психологическая” история. Основные “терпилы” – менеджеры среднего звена, привыкшие “кнопкотыкать” в смартфон. Наблюдатели из Telegram-канала @infernal_money отмечают еще один важный момент: «такие СМС приходили и раньше, но в них не было указания на ваши имя, а теперь ваше имя есть и это наводит меня на грустные размышления.  Получается, что злодеи знают о наличии штрафов именно у вас, но не знают данных вашего автомобиля (то есть утечка не через ГИБДД), значит – это снова слив через банки».