В сети РЖД обнаружилась гигантская брешь, позволяющая даже обычным пользователям проникать в нее и получать доступ к критически важным системам. Они смогут подключаться к информационным табло на перронах, системам вентиляции и даже к камерам наблюдения, а опытный хакер получит возможность вывести их из строя на несколько дней или недель.
Взлом РЖД
ИТ-сеть «Российских железных дорог» (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.
LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД – к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.
В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для «творчества».
Камеры РЖД может просматривать любой желающий
По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.
Возможные последствия
LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка – в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.
Программа для работы с информационными табло
Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет – часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. «А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды», – добавил он.
Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. «Очень много признаков, что в этой сети кто-то “живет”», – написал он.
Комментарий РЖД
Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после «возможного» проникновения в сеть одного ее из подразделений компании не было. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», – рассказали CNews в компании.
В РЖД утверждают, что персональным данным ее клиентов ничего не угрожает
«РЖД непрерывно совершенствует собственную ИТ-инфраструктуру – одну из самых масштабных в России – тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», – отметили представители РЖД.
Громкий взлом через Wi-Fi «Сапсана»
В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда «Сапсан», о чем написал 15 ноября 2019 г.
Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. «Все настроено ужасно, одинаковые пароли везде – признак хорошего админа, и хранение данных в текстовых документах тоже гуд. … Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут», – написал @keklick1337.
«Сапсан» оказался не только быстрым, но и «дырявым» поездом
Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. «Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти», – подытожил @keklick1337.
В конце ноября 2019 г., по информации РИА «Новости», специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.
«Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за “фана”. Юный натуралист», – добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.
Это какой-то позор!
Комментарии
Хорошо что у нас на вокзале нет электронного табло на перронах..
Злодеям ломать там нечего.
...(тетка в древний матюгальник объявляет - поезд приходит, поезд отходит)
Эти хакеры эту тётку наверняка в два счёта хакнут, эти хакеры ещё те Дон Джуаны.
Даже без тетки и матюгальника будет не критично..
Станция конечная, и поездов раз-два за сутки приходит.. Захочешь не опоздаешь, и не перепутаешь)
" Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них. "
- это ещё показывает что биосистемам, что людям что другим, невозможно доверять. биологические системы или с их участием много чем неспособны управлять
Тетка информацию голубиной почтой получает или по сети?
В окно смотрит, паровоз приехал. Паровоз уехал.. Да и на билетах время указано.
Перегонов нет до БАМа, особо пропускать там некого...может по рации или телефону связь с предыдущей станцией и с машинистом поезда.
Электровозы не ходят т.к сети нет ( по старинке тепловозы катают)
Сказочный. Просто сказочный...
Чё у вас в Рагульстане, всё по европейски там?
Диспетчеры только кнопки на компьютерах давят, и скоростные поезда отправляют в путь одним мизинцем..
----------------
Возимые радиостанции устанавливают в кабине машиниста, а стационарные — в служебных помещениях дежурных по станции. Связь поездного диспетчера с машинистами локомотивов осуществляется через ближайшую к локомотиву стационарную радиостанцию, управляемую дистанционно через проводной канал связи.
Понаберут сынков в "директоры" всяких конторок при РЖД, вот и результат на табло.
На этом погорела СССР, на этом догорает и США.
Дело не в сынках и дочках
Кто-то слетит с должности...
Это вряд-ли. У РЖД сотни, если не тысячи подрядчиков. Своими силами они только критические части обеспечивают. Остальное - на аутсорс.
В статье речь шла о системе видеонаблюдения и некоторых табло.
Поэтому IT-дилектора будет сложно накрячить в таких условиях, ведь он всё правильно сделал:
- ТЗ было составлено и завизировано руководством
- торги проведены, исполнители отобраны
- выбран самый недорогой вариант (то бишь, сэкономили бюджет, а это - политика с самого верха)
- работы выполнены, акты подписаны
- если всплыли косяки, то будьте уверены - по договору за всё ответственность несёт подрядчик, его и накрячат.
Не понимаю. Рутеры на аутсорсе, и пароли по умолчанию аутсорсеры ставят? А заказчик не меняет, что аутсорсеры ставят и их работу не контролирует?
Хорошо иметь таких заказчиков.
Самое смешное, что, иной раз, заказчику и доступа нет к оборудованию. Такая, б, цифровая экономика построена, что страшно становится. Раньше надо было в сейф залезть и документ украсть, а это целая спецоперация, зато сейчас даже зад с дивана можно не поднимать - только клавиши потоптать.
Ничего непонятного. В статье речь шла в первую очередь о системе видеонаблюдения. Это совсем не по профилю РЖД. 99,9% за то, что эту работу для РЖД делают подрядные организации (причём, в каждом регионе - своя, судя по зоопарку использованных устройств), а сами РЖД-шники туда даже и не лезут. Если объявили конкурс и подрядчики упали по цене на уровень себестоимости проекта (как чаще всего и бывает, а то и ниже), то неудивительно, что они обязательно где-то на чём-то схитрят и сэкономят. Или не сделают лишнего
У РЖД же регламент на регламенте, у них есть договор, по которому вся ответственность на подрядчике. Вот они и не парятся. Их внутренние системы в порядке, там всё Ок. А в остальном - хоть трава не расти
Вообще, КМК, это дыра в процессе организации конкурсов. Я не понимаю, почему практически в 100% случаев определяющим фактором является цена решения. Ни разу не видел, чтобы в КД были критерии отбора более важные, чем цена. Наверное в каких-нибудь РВСН как-то по-другому, но в обычной жизни примерно так.
Бывают случаи ещё смешнее. Руководство отдаёт на аутсортинг всё IT аффилированым (своим карманным) фирмам и, когда руководство меняется, начинается передел в пользу своих аффилированных. В силу специфики, это довольно затруднительно и начинают вкрячивать свои проекты в существующую структуру и получается такой жуткий зоопарк, в котором никто ни за что не отвечает и управлять этим бардаком - легче застрелиться.
Меня с командой однажды позвали, в качестве суб-подрядчика, на такое вот обслуживание КСБ одной из дочек "Росатома". Суровые тамошние IT-шники и безопасники просто посоветовали не лезть и не рыпаться "обслуживать". А если надо - то они и от руководства нужную бумагу выправят об этом. Ну мы поблагодарили подрядчика за оказанное доверие, развернулись, и ушли. Зачем в чужой войнушке участвовать? Тем более что да, лично нам предложили совсем уж крохи.
тоже встречал такую ситуацию. в итоге всю конкурсную документацию на торги писал будущий победитель, ну и приёмка сделанного проходила весьма своеобразно
Всем этим занимается компания "Вокзал-Инфоком". Лет 8 назад сам там работал, но недолго :)
А учредитель компании, небось, племянник кого-то из вице.
Не в курсе. Сейчас посмотрел, а они уже обанкротились.
Топы РЖД в августе 2015 массово меняться начали.
Рискну предположить, что тогда внезапно могли появиться проблемы и у некоторых подрядчиков.
в РЖД вход рубль а выход два. Там в субчики просто не зайти.
Про Белозерова вранье стану, но при Якунине была жесть.
Это в России? Вот если бы пару поездов разбили тогда слетели бы. А так даже по карману наверно бить не будут, наоборот предприимчивые люди еще и заработают на устранении дыр.
Бить обязательно будут, и бьют. Подрядчиков, которые на конкурсе готовы падать до себестоимости проекта и даже ниже. Вот когда они начнут массово отказываться от таких конкурсов - тогда бить будут и организаторов конкурсов. Но это не точно
Закрыли уже дыры, это мой товарищ ломанул, рждшники связались с ним, попросили помощи, запечатали совместными усилиями.
"Кто-то слетит с должности..."
Чубайсу ничего не было когда на С-Ш ГЭС агрегат выбило и сто человек утонуло.
Хотя он там был главный и за всё отвечал.
Так и тут - накажут админа Женю из Перми и всё на том.
Помните в Екатеринбурге на ЗиК-е крыша упала в цехе и кучу народу задавила?
Так ихнему главному (Клейну) ничего не было. Хотя трупы были.
Я за них переживал и специально отслеживал.
Наберут родственников по знакомству Чаркиных, потом ложки пропадают
А сколько выстебонов было у безопасников. Не хватало еще козлам влезть в систему СЦБ.
А почему не дали нормальную ссылку на хабр? https://habr.com/ru/post/536750/
А чем вам ссылка не понравилась? На Cnews нет информации, что это копипаста.
На синьюс хакеры изнасиловали журналиста. Статья вообще не о том.
Никогда такого не было, и вот опять...
Вот тоже недавно случаЙ был - взломали сервер предприятия и выкуп требуют. Спрашиваю: - у вас же всё в белую, обратитесь в полицию, а они в ответ: - полиция сервер заберет-опечатает и работать будет невозможно, а так заплатил и всё. Цифровизация, однако, всё по удалёнке, ляпота.
ну да. им же еще и прилетит за утрату бдительности.
А с удалёнкой, поди ещё и нелицензионные проги, с доступом из дома всем желающим...
Ну кто же им злобный буратина, если они про банальные бекапы, да даже на ту же флешку, не слыхивали?
Кто им лекарь, если они не дотумкали поставить аутентификацию по тому же рутокену? Ну на госуслугах даже всё уже давным-давно работает, хоть под виндой, хоть под огрызком. хоть ещё где.
Они поди ещё балансы на счётах сводят?
Они поди ещё балансы на счётах сводят?
Полагаю, это не важно, всё равно продуманной системно, защиты для удаленной работы на домашних ПК нет. Бекап, конечно помог-бы, но сложностей взломщики, да с той же украдины, откуда "выдачи нет", доставить всё равно смогут.
Эффективные сэкономили на подрядчиках и/или сисадминах или там засланные казачки пригрелись? Это тебе не пресловутые закладки в процах и/или мелкософте! зы "..Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением"
Ага-ага, ЦРУ уже боится.
Ничего удивительного. Обычная ситуация в госсекторе. Кумовство, полная некомпетентность, запутанные бизнес процессы, которые до конца никто не знает и регламенты на каждый чих с кучей проверяющих. Автор тут предположил, что закупка новых камер, если их вывести из строя, займет месяц. Это он большой оптимист. По всем процедурам, хорошо если за полгода успеют только на торги выйти и их провести. А там ещё заключение контракта, согласование спеки, поставка, монтаж и пусконаладка с согласованием доступа на объекты)) Больше года это все займет в лучшем случае, по моему опыту))
Ээээ... вы точно уверены, что только "в госсекторе"? По опыту - в некоторых частных картинка ещё хлеще.
И так, блин, во всём мире, кумовство победило страны и континенты.
Весь компьютерный мир это дыра на дыре и дырой погоняет, цифровизация она такая, делают её безголовые, умных до принятия решений не допускают - кумовство это по определению не допускает.
как бы да ((
ну надо обвинить пендосов и ввести санкции
Вот теперь у меня будет параноя, че у меня там с дырами на оборудовании..
В IT лёгкая степень паранойи - это не баг, это - нужная фича
Уволят пару уборщиц + одного стрелочника и объявят, что угрозы не было, а виновные наказаны.
В кабинетах РЖД просто фантастическое количество некомпетентных лупоглазых полуидиотов с гонором на 1кв. метр площади.
В инкубаторах они их выращивают, что ли...
Так во всем госсекторе. РЖД здесь неуникальны, к сожалению. Но одно вселяет уверенность в завтрашнем дне, у наших партнёров тоже самое))
Наши "партнёры" меня меньше всего волнуют, так можно и до Африки досравниваться.
Катастрофа с управленческим аппаратом у нас, а не у них.
А для примера лучше гляньте на Китай.
Страницы