LINUX.ORG.RU
ФорумTalks

Как Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона за нахождение уязвимости.

 , ,


0

3

Чувак зарегал субдомен wpad.sknt.ru и получил на свой роутер DDOS с запросом фалй wpad.conf из сети провайдера. Решил отключить привязку домена к своему ip, но DDOS не прекратился. Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения, ответа не получил... Стал звонить, где его тоже послали.. И взападло прову, выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

А далее получил приглашение к следаку с просьбой прихватить с собой 2,6 лимона, в качестве компенсации прову..

Подробности тут: https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_ab...

Даже в приличных конторах с публичным bug bounty вознаграждение не платят, если пострадали другие клиенты или было чтение чужих персональных данных. Если есть риск завалить систему, то обычно сначала пишут email «я тут хочу тут одну теорию проверить, ок?», и после ответа «ок, мы держим руку на пульсе» проверяют. А для проверки слива данных просто регистрируют на себя же второй акк.
Но с суммой в 2.5 ляма они опупели, думаю если он сообразит нанять нормального адвоката, то можно скосить до сотки.

snizovtsev ★★★★★
()
Ответ на: комментарий от torvn77

Безхозные вещи принадлежат нашедшему.

Ага, и заодно добавь что все недостаточно крепко прикрученное считается бесхозным.

Ты где таких коммунистических идей набрался? Даже если ты у себя на участке клад найдешь, даже в этом случае он тебе принадлежать не будет.

Единственный способ которым ты на этой планете сможешь легально овладеть чем-то бесхозным — это если ты в международных водах найдешь корабль без людей и по-моему до кучи он еще должен быть и лишен хода. Да и то там есть свои хитрости, но шансы у тебя будут неплохие. А в остальных ты будешь считаться вором.

morse ★★★★★
()

Жесткач какой-то. У прова юризм головного мозга, не иначе...

xwicked ★★☆
()
Ответ на: комментарий от vasya_pupkin

Давая ложные показания хозяин вещи совершает преступление.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Ну то что так будет считаться не значит что так будет справидливо.

«Справедливость» — понятие очень субъективное. Именно поэтому в нормальных странах руководствуются не справедливостью, а законами. Они, конечно, тоже иногда бывают неоднозначны, но все-таки не до такой степени как «справедливость».

morse ★★★★★
()
Ответ на: комментарий от morse

И в результате привыкшие к этому люди начинают вместо размышлений о том, как справидливо, обсуждать как это будет по закону.
Не важно справидливо или нет, что там по факту получается, раз с законом совпадает то так и надо.
Из-за таких негодяев человек уже потихоньку начинает приравниваться к вещи и морально вырождаться.

torvn77 ★★★★★
()
Ответ на: комментарий от snizovtsev

Но с суммой в 2.5 ляма они опупели, думаю если он сообразит нанять нормального адвоката, то можно скосить до сотки.

я думаю можно скосить до ничего, а то идиотами провайдера выставить, почему они доверили функцию конфигурации прокси своему абоненту, а когда он попросил это убрать, то проигнорировали. Потом он решил поиграться, и думал что выложил wpad.conf только для компов в своей локальной сети, но вышло иначе.

Правда чувак врет в своей истории, нельзя домен случайно назвать wpad. А если еще и первое его обращение к провайдеру было не «отключите мне услугу» а «А заплатите мне за баг», тогда конечно у чувака могут быть проблемы.

swelf
()
Ответ на: комментарий от torvn77

Зато в странах где законы не работают человеки просто-таки процветают! И смотрят на них моральные вырожденцы из своих загнивающих стран с главенством закона, и завидуют им черной завистью.

morse ★★★★★
()
Ответ на: комментарий от swelf

Правда чувак врет в своей истории, нельзя домен случайно назвать wpad.

В принципе вероятность так случайно назвать домен есть. Тем более 4 символа всего. Но не верится.

praseodim ★★★★★
()
Ответ на: комментарий от morse

Ты ложную альтернативу ставишь: или «закон» или «справедливость».

Просто не надо забывать, что закон - это не нечто абсолютное, а в идеале та самая справедливость, как ее понимает общество, выраженная в каких-то конкретизированных формулировках.

praseodim ★★★★★
()
Ответ на: комментарий от swelf

нельзя домен случайно назвать wpad.

Для виндузятника такое возможно, там такое слово на языке вертится(спицифика винды).

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от praseodim

Это не я ставлю, это @torvn77 ставит, говоря что «пофигу как по закону, важно, как по справедливости», очевидно противопоставляя эти два понятия.

morse ★★★★★
()
Ответ на: комментарий от torvn77

Ну мало ли к каким выводам может привести поворачивающиеся дышло.

Ты заметил как только что сам себе возразил? Знакомься: вот это «поворачивающееся дышло» и есть твоя обожаемая «справедливость». А именно — ситуация когда на закон кладут болт и вертят его как хотят, руководясь какими-то своими собственными соображениями о плохом и хорошем.

morse ★★★★★
()
Ответ на: комментарий от imul

А на бесплатных зонах у фринома такие требования

Какие требования? Ни разу с ними проблем не было. Разве что постоянно забываю продлевать и регаю заново.

KillTheCat ★★★★★
()

ССЗБ, надеюсь его посадят.

Пров тоже молодец, репутацию себе подпортит знатно.

KillTheCat ★★★★★
()

Проясните, на основании чего вообще пров давит на абонента. Если куча клиентов запросили конфигурацию прокси где-то на стороне, в данном случае у нашего героя, и перестали работать, то пров же никаким боком не несет ответственности перед пострадавшими абонентами, он интернет давал исправно, сами абоненты похерили конфигурацию своих устройств.

Т.е. в теории как мне кажется чуваку могут предъявлять претензии пострадавшие абоненты а не пров, но как-то спорно выглядит, что что-то выгорит.

swelf
()
Ответ на: комментарий от swelf

Ты мыслишь технически, а надо мыслить юридически. Был умысел: человек знал что и зачем делает. Было действие: человек настроил свой роутер специальным образом. И были последствия: куча людей осталась без интернета. Какбэ состав преступления готов.

А то что там «пользователи сами, а я и не при чем», то я тебе для сравнения приведу такую замечательную статью УК как «мошенничество». Она как раз тем и отличается от «кражи» что терпила «сам мне дал, а я и не при чем». Однако все еще реальная статья, и за нее можно сесть.

morse ★★★★★
()
Ответ на: комментарий от hateyoufeel

Странные какие-то друзья. Я вот сам в т-системс работаю, и мне ни хрена не стыдно. Почему им стыдно за чужие косяки? Или это именно твои друзья то венгерское решето выкатывали?

morse ★★★★★
()
Ответ на: комментарий от morse

не не, ты не понял.

1)наш герой никакого ущерба провайдеру не нанес, все пострадавшие абоненты, если они обратятся к провайдеру с заявлением «У меня не работает по вашей вине» будут посланы, потому что это их оборудование притащило не пойми откуда настройки, а у провайдер ответственность до шнурка в помещении и за работоспособность пользовательского оборудования он не отвечает. Поэтому никакой компенсации по SLA.

2)Простой пару часов никому никогда не компенсируется, потому что физикам и мелким юрикам просто не положено такого, а крупные юрики настроят уж свои сети, чтобы они не тянули настройки непойми откуда. К тому же как мы выяснили внутренняя сеть - не зона ответственности провайдера.

получается у провайдера нет «недополученной прибыли», нет выплат клиентам, которые он перепишет на нашего героя. Так с чего именно провайдер требует бабло?

swelf
()
Ответ на: комментарий от swelf

Наверняка юристы нашли там, как насчитать. Понятно что считали по максимуму, навесили там все что можно и нельзя. Работу колл-центра, работу инженеров, имиджевый ущерб, нагрузка на сети, итд.

morse ★★★★★
()
Ответ на: комментарий от morse

Наверняка юристы нашли там, как насчитать

знаю я этих юристов, прислали однажды претензию на почту. «Тут ваше оборудование оказывается у нас стоит, и там бесперебойник на 2квт макс мощности, ну так вот 2квт*24ч*365д*3, вы должны нам 100500 мильёнов», а то что через бесперебойник подключен свич на 5ватт, их не трогало.

Работу колл-центра

думаю они на окладе

работу инженеров

1)Эти точно на окладе

2)А в чем была их работа, если косяки на оборудовании клиентов? Заглушить порт нашего героя? Как бы туда устроиться, чтобы за такие инциденты получать сотни тысяч

нагрузка на сети

а она чего ради выросла, если интернет сломался у людей, она упала

имиджевый ущерб

До***б у нас провайдер, инженеры рукожопы, зато смотрите сколько платим, в счет внесли смету их работы, огого, а заплатить за имидж заставим абонента, хотя это мы тупые.

вообщем почитал, подумал, потом снова почитал. Я удивлюсь если провайдер хоть рупь получит с абонента.

swelf
()
Последнее исправление: swelf (всего исправлений: 1)
Ответ на: комментарий от swelf

Если абонент припрется в суд и вывалит там вот такую бадягу как ты только что написал, то его там обдерут как липку, и будет он всю оставшуюся жизнь работать за еду.

А вот если он наймет грамотного адвоката, да перестанет писать на пикабу всякого лишнего, а будет наоборот держать язык за зубами, то тогда возможно ему и удастся заключить с провом мировое, и отделается он всего лишь расходами на этого самого адвоката.

morse ★★★★★
()
Ответ на: комментарий от morse

Мы тут ужа на ежа натягиваем, выясняем исход суда, когда и дела то нет.

Но я просто высказал свое мнение, провайдер никаким боком даже не пострадавший, судя по данным от абонента. И ни в какой суд ему идти просто не с чем.

swelf
()
Ответ на: комментарий от KillTheCat

Зависит от домена первого уровня.

imul ★★★★★
()
Ответ на: комментарий от morse

а надо мыслить юридически

Закон что дышло, куда повернул, туда и вышло. Ясено пень, что у героя треда денег не хватит его повернуть куда надо, а так при их наличии можно провайдера заставить платить.

peregrine ★★★★★
()
Ответ на: комментарий от morse

и мне ни хрена не стыдно

Тебе и на компанию, где ты работаешь наплевать. Стыдно должно быть что такая шарага тебе деньги платит, где дурачков держат.

peregrine ★★★★★
()

Чувак зарегал субдомен wpad.sknt.ru и получил на свой роутер DDOS с запросом фалй wpad.conf из сети провайдера

Классика.
«Хакер Вася взломал своего провайдера. И сидит, как дурак, без интернета»

TheAnonymous ★★★★★
()

вины провайдера тут никакой, как и вины абонента. погуглил что такое wpad, и что оказывается, в моей десяточке, с которой сейчас пишу, включена опция «Автоопределения прокси сервера» и следовательно моя десяточка тоже шлёт запросы к wpad.isp.domain (специально не проверял, но судя по всему оно так работает).

получается, какая-нибудь контора протокол придумала, внедрила, включила по-умолчанию в клиентском оборудовании по всему миру(sic!), а теперь весь белый свет должен под это подстраиваться, так? мне как провайдеру было бы пофигу. откуда мне знать, что я должен зарезервировать wpad.isp.domain? в каком мануале к настройке dhcp/bind или т.н. «азбуке интернета» это написано? тут налицо все претензии к microsoft, например. microsoft «из коробки» должна предоставлять безопасную настройку ос, которая не проявляет активность в сети, и уж точно не станет обращаться к доменам в локалке за чем бы то нибыло.

прямо сейчас все кто сидят на десяточке флудят провайдеру в сеть, обращаясь к несуществующему, слава патрику, wpad.isp.domain, и типа норм? да нет, вот это как раз не норм.

Spoofing ★★★★★
()
Ответ на: комментарий от torvn77

Безхозные вещи принадлежат нашедшему

Это так только в твоём манямирке

Deleted
()

Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения,

А нужно было пейсать в саппорт соседнего прова.

kravzo ★★
()

Хм. Мне вот не верится, что он просто так, от балды взял и зарегался как wpad. Такое ощущение, что он знал, что делает. Тем более, что ник у него ни разу не впад.

Zhbert ★★★★★
()

завалил хренову гору клиентов провайдера :)

Ст. 274 УК РФ

Заголовок - желтизна.

CaveRat ★★
()
Ответ на: комментарий от torvn77

Ты правда не понял?

Этот кадум положил клиентов прова, воспользовавшись уязвимостью. За что и получил приглашение к следаку.

CaveRat ★★
()
Ответ на: комментарий от intelfx

Как тут уже правильно заметили, это личное дело абонента, что выкладывать на своих локалхостах и по каким протоколам.

Когда твои действия приводят к ущербу для третьих лиц - уже нет.

Это как устроить в своей хате потоп, и залить соседей снизу.

CaveRat ★★
()
Ответ на: комментарий от swelf

То, что они на окладе, никак не отменяет того факта, что некоторое время они потратили на разгребание последствий данного инцидента. И это время можно посчитать, а из этого - посчитать часть затрат.

CaveRat ★★
()
Ответ на: комментарий от Deleted

олени, потому что пользуются провайдером-оленем.

SevikL ★★★★★
()
Ответ на: комментарий от CaveRat

Этот кадум положил клиентов прова, воспользовавшись уязвимостью. За что и получил приглашение к следаку.

Между прочим, представим как бы гипотетически, что на комп с белым ip периодически долбятся с DNS-запросами. х.з. почему долбящиеся компы решили, что там может быть dns, но факт допустим.

И владелец такого компа решит «пошутить», подняв у себя DNS и перенаправив куда-то не туда эти запросы. И обвалит тем самым провайдера или какое-нибудь учреждение или еще что.

Будет виновен?

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от Deleted

В чем именно? Если конечно у него ума хватает не заявлять открыто, что он собирается кого-то «положить».

Или не dns, а вообще что угодно?

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Вредоносные действия и всё такое. По сути, это ничем не отличается от участия в ботнете.

Deleted
()

Провайдер сам виноват. Домен отключен. Домен не мог у абонентов столько дней в кэше висеть. Значит, даже если остались записи на сторонних dns серверах, то есть ещё варианты. На другой ip перекинуть временно хотяб. А всё от игнора, и прибавили себе работы.

boowai ★★★★
()
Ответ на: комментарий от praseodim

Ну а при ботнете тоже просто программа на своём компе, которая просто шлёт запросы на какой-нибудь сервер. Чотакова.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.