Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.
Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.
LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».
Кот на камере наблюдения, к которой программист получил доступ
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
LMonoceros
Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.
Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:
- сетевому оборудованию;
- не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
- системам управления табло на перронах;
- IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии; IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
- ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию); мониторингу систем обеспечения зданий;
- системам управления кондиционированием и вентиляцией.
LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.
Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании. У меня лично есть всего три варианта:
1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.
LMonoceros
РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет, но пока подробно не прокомментировала находку программиста.
РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.
РЖД полный комментарий ТАСС
Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.
Это ж вроде они первые дружно на самую защищённую ось перешли? Ну там вроде всё на байкалах/эльбрусах крутится.. не?
Размещено через приложение ЯПлакалъ
А зря тему минусите, прочитал статью на хабре, парень красавчик. Вы же понимаете, что все эти ржд, газпромы, роснефти, вечно клянчат бабло из бюджета на всякие неибические проекты, в том числе и на информационные технологии. А потом получаем то, что описано в статье. В нормальной стране, этого Чаркина, после такой статьи, ни то что уволить, заставили бы всю ИБ за свой счет модернизировать, думается мне.
Это сообщение отредактировал сибиряк17 - 13 янв 2021 в 09:37
Это ж вроде они первые дружно на самую защищённую ось перешли? Ну там вроде всё на байкалах крутится.. не?
Дело не в них, а так называемой "касте" айтишников. Они же регулярно рассуждают, какие мол пользователи тупорылые, как им тяжело... по факту толпа тупорылых дармоедов, которые нахватались вершков и пальцы гнут, аж хруст стоит.
А зря тему минусите, прочитал статью на хабре, парень красавчик. Вы же понимаете, что все эти ржд, газпромы, роснефти, вечно клянчат бабло из бюджета на всякие неибические проекты, в том числе и на информационные технологии. А потом получаем то, что описано в статье. В нормальной стране, этого Чаркина, после такой статьи, ни то что уволить, заставили бы всю ИБ за свой счет модернизировать, думается мне.
Так может стоило статью СЮДА перенести? А не ссылку кидать?
А зря тему минусите, прочитал статью на хабре, парень красавчик. Вы же понимаете, что все эти ржд, газпромы, роснефти, вечно клянчат бабло из бюджета на всякие неибические проекты, в том числе и на информационные технологии. А потом получаем то, что описано в статье. В нормальной стране, этого Чаркина, после такой статьи, ни то что уволить, заставили бы всю ИБ за свой счет модернизировать, думается мне.
Ты нихуя не понимаешь, там - это не то!
А по факту - ты прав, и автор статьи красавчик Я в отличие от перврнахов прочитал её
Кто не в теме, тот в жизни не поймет какие системы применяются в РЖД и что с этим делать. Так, что узбагойтесь. Стрелки вы точно не переведете, особенно на релейных системах автоблокировки....
Как раньше хорошо было.. Чугунка, "столыпин", паровоз, кипяток. Лошадь в соседнем вагоне. Телеграф могли только взломать, споив телеграфиста. И не было шуток типа: ""Боюсь я в России на поездах ездить. На них самолеты часто падают..."
Это сообщение отредактировал Chapleen - 13 янв 2021 в 09:50
Дело не в них, а так называемой "касте" айтишников. Они же регулярно рассуждают, какие мол пользователи тупорылые, как им тяжело... по факту толпа тупорылых дармоедов, которые нахватались вершков и пальцы гнут, аж хруст стоит.
Ну дык ожижаемо. Моему племяннику после миэт сразу предложили куда то в кейджиби идти прогать за 45р... хотя любая контора московская от 100 платит..
Размещено через приложение ЯПлакалъ
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — подкатом. ....
А нормально пост оформить религия не позволяет? Или теперь достаточно названия и ссылки на источник? Статью прочитал информационная безопасность у pid ржд просто на высоте
А зря тему минусите, прочитал статью на хабре, парень красавчик. Вы же понимаете, что все эти ржд, газпромы, роснефти, вечно клянчат бабло из бюджета на всякие неибические проекты, в том числе и на информационные технологии. А потом получаем то, что описано в статье. В нормальной стране, этого Чаркина, после такой статьи, ни то что уволить, заставили бы всю ИБ за свой счет модернизировать, думается мне.
Тема не взлетела из-за оформления. Что за пижню он предлагает? По линкам побегать? Оформить текст самостоятельно не судьба? Зелени хочется, а уважать сообщество нах не нужно? Вот и не взлетел.
ну как бы "взлом" это сильно громко. но да. отношение к безопасности мягко говоря на отъебись. и нехер так посты оформлять.
Это сообщение отредактировал idk - 13 янв 2021 в 09:52
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com