РЖД взломали по-крупному. Хакеры добрались до тысяч камер наблюдения, сетевых устройств и даже к табло на перронах

Аватар пользователя eprst

В сети РЖД обнаружилась гигантская брешь, позволяющая даже обычным пользователям проникать в нее и получать доступ к критически важным системам. Они смогут подключаться к информационным табло на перронах, системам вентиляции и даже к камерам наблюдения, а опытный хакер получит возможность вывести их из строя на несколько дней или недель.

Взлом РЖД

ИТ-сеть «Российских железных дорог» (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.

LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД – к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.

В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для «творчества».

poezd601.jpg

Камеры РЖД может просматривать любой желающий

По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.

Возможные последствия

LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка – в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.

poezd602.jpg

Программа для работы с информационными табло

Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет – часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. «А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды», – добавил он.

Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. «Очень много признаков, что в этой сети кто-то “живет”», – написал он.

Комментарий РЖД

Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после «возможного» проникновения в сеть одного ее из подразделений компании не было. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», – рассказали CNews в компании.

poezd604.jpg

В РЖД утверждают, что персональным данным ее клиентов ничего не угрожает

«РЖД непрерывно совершенствует собственную ИТ-инфраструктуру – одну из самых масштабных в России – тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», – отметили представители РЖД.

Громкий взлом через Wi-Fi «Сапсана»

В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда «Сапсан», о чем написал 15 ноября 2019 г.

Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. «Все настроено ужасно, одинаковые пароли везде – признак хорошего админа, и хранение данных в текстовых документах тоже гуд. … Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут», – написал @keklick1337.

poezd603.jpg

«Сапсан» оказался не только быстрым, но и «дырявым» поездом

Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. «Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти», – подытожил @keklick1337.

В конце ноября 2019 г., по информации РИА «Новости», специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.

«Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за “фана”. Юный натуралист», – добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.

Авторство: 
Копия чужих материалов
Комментарий редакции раздела хакеры

Это какой-то позор!

Комментарии

Аватар пользователя Далёкий
Далёкий(5 лет 6 месяцев)

Хорошо что у нас на вокзале нет электронного табло на перронах..

Злодеям ломать там нечего. 

...(тетка в древний матюгальник объявляет - поезд приходит, поезд отходит)

Аватар пользователя юрчён
юрчён(8 лет 2 месяца)

Эти хакеры эту тётку наверняка в два счёта хакнут, эти хакеры ещё те Дон Джуаны.

Аватар пользователя Далёкий
Далёкий(5 лет 6 месяцев)

Даже без тетки и матюгальника будет не критично..

Станция конечная, и поездов раз-два за сутки приходит.. Захочешь не опоздаешь, и не перепутаешь)

Аватар пользователя ВладиславЛ
ВладиславЛ(2 года 2 месяца)

" Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них. "

- это ещё показывает что биосистемам, что людям что другим, невозможно доверять. биологические системы или с их участием много чем неспособны управлять

Аватар пользователя Кусан
Кусан(10 месяцев 4 дня)

Тетка информацию голубиной почтой получает или по сети?

Аватар пользователя Далёкий
Далёкий(5 лет 6 месяцев)

В окно смотрит, паровоз приехал. Паровоз уехал.. Да и на билетах время указано.

Перегонов нет до БАМа, особо пропускать там некого...может по рации или телефону  связь с предыдущей станцией и с машинистом поезда.

Электровозы не ходят т.к сети нет ( по старинке тепловозы катают)

Аватар пользователя Шабур
Шабур(7 лет 7 месяцев)

Сказочный. Просто сказочный...

Комментарий администрации:  
*** Пациент уличен в систематическом перевирании и манипуляциях, всегда требуйте точных цитат и ссылок ***
Аватар пользователя Далёкий
Далёкий(5 лет 6 месяцев)

Чё у вас в Рагульстане, всё по европейски там?

Диспетчеры только кнопки на компьютерах давят, и скоростные поезда отправляют в путь одним мизинцем..

 

----------------

Возимые радиостанции устанавливают в кабине машиниста, а стационарные — в служебных помещениях дежурных по станции. Связь поездного диспетчера с машинистами локомотивов осуществляется через ближайшую к локомотиву стационарную радиостанцию, управляемую дистанционно через проводной канал связи.

Аватар пользователя юрчён
юрчён(8 лет 2 месяца)

Понаберут сынков в "директоры" всяких конторок при РЖД, вот и результат на табло.

На этом погорела СССР, на этом догорает и США.

Аватар пользователя Алекс75
Алекс75(5 лет 8 месяцев)

Дело не в сынках и дочках

Аватар пользователя alexsword
alexsword(9 лет 3 месяца)

Кто-то слетит с должности...

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

Это вряд-ли. У РЖД сотни, если не тысячи подрядчиков. Своими силами они только критические части обеспечивают. Остальное - на аутсорс.

В статье речь шла о системе видеонаблюдения и некоторых табло.

Поэтому IT-дилектора будет сложно накрячить в таких условиях, ведь он всё правильно сделал:

 - ТЗ было составлено и завизировано руководством

 - торги проведены, исполнители отобраны

 - выбран самый недорогой вариант (то бишь, сэкономили бюджет, а это - политика с самого верха)

 - работы выполнены, акты подписаны

 - если всплыли косяки, то будьте уверены - по договору за всё ответственность несёт подрядчик, его и накрячат.

Аватар пользователя alexsword
alexsword(9 лет 3 месяца)

Не понимаю. Рутеры на аутсорсе, и пароли по умолчанию аутсорсеры ставят?  А заказчик не меняет, что аутсорсеры ставят и их работу не контролирует?

Хорошо иметь таких заказчиков. 

Аватар пользователя eprst
eprst(8 лет 9 месяцев)

Самое смешное, что, иной раз, заказчику и доступа нет к оборудованию. Такая, б, цифровая экономика построена, что страшно становится. Раньше надо было в сейф залезть и документ украсть, а это целая спецоперация, зато сейчас даже зад с дивана можно не поднимать - только клавиши потоптать.

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

Ничего непонятного. В статье речь шла в первую очередь о системе видеонаблюдения. Это совсем не по профилю РЖД. 99,9% за то, что эту работу для РЖД делают подрядные организации (причём, в каждом регионе - своя, судя по зоопарку использованных устройств), а сами РЖД-шники туда даже и не лезут. Если объявили конкурс и подрядчики упали по цене на уровень себестоимости проекта (как чаще всего и бывает, а то и ниже), то неудивительно, что они обязательно где-то на чём-то схитрят и сэкономят. Или не сделают лишнего

У РЖД же регламент на регламенте, у них есть договор, по которому вся ответственность на подрядчике. Вот они и не парятся. Их внутренние системы в порядке, там всё Ок. А в остальном - хоть трава не расти

Вообще, КМК, это дыра в процессе организации конкурсов. Я не понимаю, почему практически в 100% случаев определяющим фактором является цена решения. Ни разу не видел, чтобы в КД были критерии отбора более важные, чем цена. Наверное в каких-нибудь РВСН как-то по-другому, но в обычной жизни примерно так.

 

 

Аватар пользователя eprst
eprst(8 лет 9 месяцев)

Бывают случаи ещё смешнее. Руководство отдаёт на аутсортинг всё IT аффилированым (своим карманным) фирмам и, когда руководство меняется, начинается передел в пользу своих аффилированных. В силу специфики, это довольно затруднительно и начинают вкрячивать свои проекты в существующую структуру и получается такой жуткий зоопарк, в котором никто ни за что не отвечает и управлять этим бардаком - легче застрелиться.

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

Меня с командой однажды позвали, в качестве суб-подрядчика, на такое вот обслуживание КСБ одной из дочек "Росатома". Суровые тамошние IT-шники и безопасники просто посоветовали не лезть и не рыпаться "обслуживать". А если надо - то они и от руководства нужную бумагу выправят об этом. Ну мы поблагодарили подрядчика за оказанное доверие, развернулись, и ушли. Зачем в чужой войнушке участвовать? Тем более что да, лично нам предложили совсем уж крохи.

Аватар пользователя ДоброКот
ДоброКот(6 лет 8 месяцев)

Бывают случаи ещё смешнее. Руководство отдаёт на аутсортинг всё IT

тоже встречал такую ситуацию. в итоге всю конкурсную документацию на торги писал будущий победитель, ну и приёмка сделанного проходила весьма своеобразно

Аватар пользователя Des
Des(4 года 1 месяц)

Всем этим занимается компания "Вокзал-Инфоком". Лет 8 назад сам там работал, но недолго :)

Аватар пользователя alexsword
alexsword(9 лет 3 месяца)

А учредитель компании, небось, племянник кого-то из вице.

Аватар пользователя Des
Des(4 года 1 месяц)

Не в курсе. Сейчас посмотрел, а они уже обанкротились.

Аватар пользователя alexsword
alexsword(9 лет 3 месяца)

Топы РЖД в августе 2015 массово меняться начали.  

Рискну предположить, что тогда внезапно могли появиться проблемы и у некоторых подрядчиков.

Аватар пользователя AndreyTemp
AndreyTemp(5 лет 2 месяца)

в РЖД вход рубль а выход два. Там в субчики просто не зайти.

Про Белозерова вранье стану, но при Якунине была жесть.

Аватар пользователя Testudo
Testudo(1 год 9 месяцев)

Это в России? Вот если бы пару поездов разбили тогда слетели бы. А так даже по карману наверно бить не будут, наоборот предприимчивые люди еще и заработают на устранении дыр. 

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

Бить обязательно будут, и бьют. Подрядчиков, которые на конкурсе готовы падать до себестоимости проекта и даже ниже. Вот когда они начнут массово отказываться от таких конкурсов - тогда бить будут и организаторов конкурсов. Но это не точно smile1.gif

Аватар пользователя Virus
Virus(8 лет 9 месяцев)

Закрыли уже дыры, это мой товарищ ломанул, рждшники связались с ним, попросили помощи, запечатали совместными усилиями.

Аватар пользователя Abram Gutang
Abram Gutang(5 лет 7 месяцев)

"Кто-​то слетит с должности..."

Чубайсу ничего не было когда на С-Ш ГЭС агрегат выбило и сто человек утонуло.
Хотя он там был главный и за всё отвечал.
Так и тут - накажут админа Женю из Перми и всё на том.

Помните в Екатеринбурге на ЗиК-е крыша упала в цехе и кучу народу задавила?
Так ихнему главному (Клейну) ничего не было. Хотя трупы были.
Я за них переживал и специально отслеживал.

Аватар пользователя Аноним ip
Аноним ip(1 неделя 6 дней)

Наберут родственников по знакомству Чаркиных, потом ложки пропадают

Аватар пользователя verner
verner(5 лет 5 месяцев)

А сколько выстебонов было у безопасников. Не хватало еще козлам влезть в систему СЦБ.

Аватар пользователя mnk
Аватар пользователя eprst
eprst(8 лет 9 месяцев)

А чем вам ссылка не понравилась? На Cnews нет информации, что это копипаста.

Аватар пользователя vvelichko
vvelichko(9 лет 1 месяц)

На синьюс хакеры изнасиловали журналиста. Статья вообще не о том. 

Аватар пользователя Balbessed
Balbessed(6 лет 9 месяцев)

Никогда такого не было, и вот опять... smile14.gif

Аватар пользователя zonder
zonder(3 года 3 месяца)

провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных

Вот тоже недавно случаЙ был - взломали сервер предприятия и выкуп требуют. Спрашиваю: - у вас же всё в белую, обратитесь в полицию, а они в ответ: - полиция сервер заберет-опечатает и работать будет невозможно, а так заплатил и всё. Цифровизация, однако, всё по удалёнке, ляпота.

Аватар пользователя russo touristo
russo touristo(3 года 1 месяц)

ну да. им же еще и прилетит за утрату бдительности.

Аватар пользователя zonder
zonder(3 года 3 месяца)

А с удалёнкой, поди ещё и нелицензионные проги, с доступом из дома всем желающим...

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

Ну кто же им злобный буратина, если они про банальные бекапы, да даже на ту же флешку, не слыхивали?

Кто им лекарь, если они не дотумкали поставить аутентификацию по тому же рутокену? Ну на госуслугах даже всё уже давным-давно работает, хоть под виндой, хоть под огрызком. хоть ещё где.

Они поди ещё балансы на счётах сводят?

Аватар пользователя zonder
zonder(3 года 3 месяца)

Они поди ещё балансы на счётах сводят?

Полагаю, это не важно, всё равно продуманной системно, защиты для удаленной работы на домашних ПК нет. Бекап, конечно помог-бы, но сложностей взломщики, да с той же украдины, откуда "выдачи нет", доставить всё равно смогут.

Аватар пользователя Иван Жуков
Иван Жуков(6 лет 2 месяца)

Эффективные сэкономили на подрядчиках и/или сисадминах или там засланные казачки пригрелись? Это тебе не пресловутые закладки в процах и/или мелкософте! зы "..Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением" smile9.gif Ага-ага, ЦРУ уже боится.

Аватар пользователя anders2003
anders2003(1 год 10 месяцев)

Ничего удивительного. Обычная ситуация в госсекторе. Кумовство, полная некомпетентность, запутанные бизнес процессы, которые до конца никто не знает и регламенты на каждый чих с кучей проверяющих. Автор тут предположил, что закупка новых камер, если их вывести из строя, займет месяц. Это он большой оптимист. По всем процедурам, хорошо если за полгода успеют только на торги выйти и их провести. А там ещё заключение контракта, согласование спеки, поставка, монтаж и пусконаладка с согласованием доступа на объекты)) Больше года это все займет в лучшем случае, по моему опыту))

Аватар пользователя ЗлойСлесарь
ЗлойСлесарь(1 год 9 месяцев)
Ку­мов­ство, пол­ная неком­пе­тент­ность, за­пу­тан­ные биз­нес про­цес­сы, ко­то­рые до конца никто не знает...

 Обыч­ная си­ту­а­ция в гос­сек­то­ре

Ээээ... вы точно уверены, что только "в госсекторе"? По опыту - в некоторых частных картинка ещё хлеще. 

Аватар пользователя юрчён
юрчён(8 лет 2 месяца)

И так, блин, во всём мире, кумовство победило страны и континенты.

Весь компьютерный мир это дыра на дыре и дырой погоняет, цифровизация она такая, делают её безголовые, умных до принятия решений не допускают - кумовство это по определению не допускает.

Аватар пользователя AndreyTemp
AndreyTemp(5 лет 2 месяца)

как бы да ((

Аватар пользователя БМВ
БМВ(1 год 8 месяцев)

ну надо обвинить пендосов и ввести санкции 

Аватар пользователя vovbel
vovbel(5 лет 5 месяцев)

smile9.gif

Аватар пользователя pz_true
pz_true(8 лет 5 месяцев)

Вот теперь у меня будет параноя, че у меня там с дырами на оборудовании..

Аватар пользователя Roman Kiss
Roman Kiss(1 год 8 месяцев)

В IT лёгкая степень паранойи - это не баг, это - нужная фича

Аватар пользователя Владислав 1965
Владислав 1965(3 года 6 месяцев)

Уволят пару уборщиц + одного стрелочника и объявят, что угрозы не было, а виновные наказаны.

В кабинетах РЖД просто фантастическое количество некомпетентных лупоглазых полуидиотов с гонором на 1кв. метр площади.

В инкубаторах они их выращивают, что ли...smile8.gif

Аватар пользователя anders2003
anders2003(1 год 10 месяцев)

Так во всем госсекторе. РЖД здесь неуникальны, к сожалению. Но одно вселяет уверенность в завтрашнем дне, у наших партнёров тоже самое))

Аватар пользователя Владислав 1965
Владислав 1965(3 года 6 месяцев)

Но одно вселяет уверенность в завтрашнем дне, у наших партнёров тоже самое))

Наши "партнёры" меня меньше всего волнуют, так можно и до Африки досравниваться.

Катастрофа с управленческим аппаратом у нас, а не у них.

А для примера лучше гляньте на Китай.

Страницы