В сети РЖД обнаружилась гигантская брешь, позволяющая даже обычным пользователям проникать в нее и получать доступ к критически важным системам. Они смогут подключаться к информационным табло на перронах, системам вентиляции и даже к камерам наблюдения, а опытный хакер получит возможность вывести их из строя на несколько дней или недель.
Взлом РЖД
ИТ-сеть «Российских железных дорог» (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.
LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД – к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.
В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для «творчества».
Камеры РЖД может просматривать любой желающий
По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.
Возможные последствия
LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка – в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.
Программа для работы с информационными табло
Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет – часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. «А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды», – добавил он.
Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. «Очень много признаков, что в этой сети кто-то “живет”», – написал он.
Комментарий РЖД
Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после «возможного» проникновения в сеть одного ее из подразделений компании не было. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», – рассказали CNews в компании.
В РЖД утверждают, что персональным данным ее клиентов ничего не угрожает
«РЖД непрерывно совершенствует собственную ИТ-инфраструктуру – одну из самых масштабных в России – тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», – отметили представители РЖД.
Громкий взлом через Wi-Fi «Сапсана»
В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда «Сапсан», о чем написал 15 ноября 2019 г.
Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. «Все настроено ужасно, одинаковые пароли везде – признак хорошего админа, и хранение данных в текстовых документах тоже гуд. … Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут», – написал @keklick1337.
«Сапсан» оказался не только быстрым, но и «дырявым» поездом
Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. «Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти», – подытожил @keklick1337.
В конце ноября 2019 г., по информации РИА «Новости», специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.
«Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за “фана”. Юный натуралист», – добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.
Это какой-то позор!
Комментарии
Обычно в результате взлома либо просто получают доступ к видеопотоку, либо возможность его подменить. Вывести из строя? Ходила байка, что какой-то компьютерный вирус умел физически разрушать жесткий диск, вводя его в резонанс. В IP-камере? Разве что как-то испортить её прошивку, если только это можно сделать удаленно.
Что то Лукьяненко вспомнился с Лабиринтом Отпажений и Панов Анклавы.
Данное утверждение справедливо только для MFM дисков на 16 разрядных компутерах IBM XT.
например у наружних камер стоят блоки микроклимата, и зачастую очень мощные, ведь всё унифицированно, а если блок стоит на большую камеру, в маленьком гермоблоке - физически напакостить, приведя фактически камеру к негодному состоянию очень легко.
Ребята, КИИ!!! посмотрите, с какого ФСТЭК с ФСБ чешутся и чешут всех с КИИ, реально ТБМец с информационной инфраструктурой творится.
Прошивку, например, стереть
Влить глючную прошивку - в результате кирпич.
Автор статьи - кулкакер, но почему-то не слыхал ничего про тот же tftp, который есть практически в каждой ip-камере. А рассказы-страшилки про заливку глючной прошивки и окирпичивание, КМК, он с 4PDA скорее всего скопипастил. И при этом еще удивляется реакции глав-ITшника на такую шнягу.
Мда ... Якунина убрали, а воз и ныне там.
А Вы верите любому сообщению в СМИ?
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
вообще не удивлён работал я в ИТ на железке... месяц, не выдержал руководства с "отпечатком фуражки" на голове, уволился
и кстати да - 90% сотрудников потомственные железнодорожники(с улицы берут когда совсем ж и кровь из носа надо запустить проект), я такого ни где больше не встречал
но правда замечу что ИТ там развивается, я например работал на проекте связанным с ИИ(маршрутизация вагонов)
Для госкомпаний это обычная практика. Вакансии́ никогда нет. Все расходится среди своих. Низкооплачиваемые специалисты - это пожалуйста. Но за такие деньги желающих нет.
.
Зато какой внутри теплый рельсовый фидонет расцвел, поверх критической инфраструктуры ;-)
А нужно не подвергать сомнению любой высер любого хакера?
*****
- Доктор! Мой сосед, хакер, всем говорит, что за ночь по семь раз взламывает РЖД!
- Так, и вы всем говорите!
А твои высеры несомненны.
А взломы были?
типичная новость в будущем времени.
Никакой хакер не получил доступ. А некто Mysterious grey-hat hacker Alexey (@LMonoceros) написал в интернете, что он
может 8 раз за ночьобнаружил уязвимость, через которую можно получить доступ к внутренней компьютерной сети РЖД.Ну так зашел бы, вывел бы матерное слово на табло чтоб показать крутость свою, словил в бы табло и утих бы. А так пустые слова.
Кроме того - разве это не уголовка?
Если бы он получил доступ к этой сети.. Если бы!
Только к системе видеонаблюдения, и к некоторым табло.
Я склоняют списать это на то, что сам аппарат РЖД априори не может контролировать каждый уездный вокзальчик, ну а тамошние спецы делают кто как может, чего уж...
Публикация на Хабре в данном виде может быть, но не очень, но если
Это точно уголовка. Причем даже не "кибер", а просто критическая инфраструктура, безопасность движения
Никогда такого не было и вот опять...
Если это правда, то это полный беспредел.
Неужели никто не ответит.
То есть дыры есть постоянные.
Город Волхов, крупный железнодорожный узел. Лет пять назад - когда там с международным тераризмом начали бороться? - на железнодорожном вокзале усилили безопасность. То бишь в зале ожидания из пяти имевшихся выходов два закрыли наглухо, один перевели в разряд служебных и на двух оставшихся для прохода пассажиров были поставлены рамки и аппараты для досмотра багажа. Соответственно, сейчас одномоментно в зале ожидания дежурят два охранника на аппаратах для досмотра, два охранника на рамках, еще один охранник на служебном выходе и старший смены. Это в основном корпусе. В соседнем здании, где расположены пригородные кассы, также дежурят как минимум трое охранников, бывает и больше. Кроме охранников в зданиях вокзала с прошлого года появились еще охранники на улице в жилетах с надписью СБР ( видимо Служба быстрого реагирования?) , дежурящие парами преимущественно у входа на вокзал. Итого: как минимум одиннадцать человек в любой момент времени охраняют безопасность пассажиров , следующих через станцию Волховстрой. Говорю как минимум, поскольку здания, соседствующие с вокзалом и пригородными кассами на протяжении метров пятидесяти в обе стороны связаны между собой забором, в котором для выхода пассажиров с перрона имеется две калитки, у каковых калиток при прибытии пригородных электричек дежурят также охранники, вот входят они в число этих одиннадцати или дополнительно к ним - я утверждать не берусь. Но как видите, к вопросам безопасности и противодействия терроризму на территории волховского узла руководство РЖД подходит серьезно. Через охраняемую территорию не прошмыгнет ни террорист со взрывчаткой, ни какой нибудь злоумышленник с марихуаной.
Впрочем, если у граждан возникает необходимость провезти через Волхов что то запрещенное, то всегда можно найти решение проблемы. Поскольку заборы с охраной тянутся на пятьдесят метров в обе стороны от вокзала, то любой желающий может спокойно дойти до конца забора и выйти на перрон к пригородным поездам или поездам дальнего следования.
Ну, в общем то изрядная часть местных именно так и поступает.
А вы тут про каких то хакеров толкуете.
об том же))
Вот камеры сломают прошивками хакеры..
... Трагедия века прям.
Сто лет жили без видеокамер.
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
Мне думается, что это полный ТБМ! Если бы я был где-то в руководстве, то была бы срочно созвана команда для круглосуточного оперативного решения этих проблем. Причем новая команда, ибо старая - на свалку. И не надо говорить, что бабла не хватает.
хм...вообщето у нас есть такое понятие как "критическая информационная инфраструктура" (КИИ, 187-ФЗ)
и как мне кажется (но это не точно). СКС РЖД должна бы туда входить
так почему не возбудились ФСБ, ФАПСИ, отделы "К" и прочая, и прочая?
проще по вконтактикам за картинки сопляков щепить?
Я не понял, удалось ли этим кулхацкерам переключить стрелку, снять блокировку блок-участка или организовать двойную продажу мест на пассажирские поезда (или хотя бы продемонстрировать такую возможность)?
Если нет, тогда о чём речь? Критичность событий разная. Например, электричку не выпустят в рейс с неисправной тормозной системой, а с частичной неисправностью освещения салона -выпустят.
А не беспокоит Вас что, что "кулхацуеры" могут в СПД пролиться? Если они могут, то что могут те, у кого есть пару сотен мегабаков бюджета на случай ядерной войны?
Зачем?
Чтобы вы тут орали - Ааа, дибилы, накрутили себе уголовную статью на ровном месте?
Раз
В интернете оказались персональные данные 703 тыс. из 732 тыс. сотрудников РЖД.
Два
на сайте «РЖД Бонус» (rzd-bonus.ru, в данный момент не работает) в свободном доступе находится MySQL-дамп базы данных этого сайта и два других файла (bash_history-файл и закрытый RSA-ключ). В bash_history, помимо пути к дампу базы данных, находился логин и пароль.
Это за последние месяцы.
Да бардак там, там бардак.
С безопасностью АСУ ТП полный швах. И не только в России.
Писал недавно про кибербезопаность паровозов тут https://aftershock.news/?q=node/933633. Основное написано еще в 2017, а собственно работы стартовали в 2015. А воз и ныне там...
достаточно ввести в гугле в строке поиска (не скажу чего) и он выдает кучу ссыл прямо на камеры по всему миру, можно не только посмотреть но и поуправлять ими. Скорее всего это рукожопость в недрах РЖД
А вдруг диверсия?
Я бы сказал "импортозамещение"!
Работаю в области ИБ с 2007 года. Залез в неё, казалось, что это может быть полезно людям, что нужно защищать информацию и прочий наивняк.
Так вот.
Ни разу не было такого, чтобы настоящий инфобез интересовал руководителей безопасности или инфобезопасности.
Интересуют бумажки, в которых написано, что в конторе все хорошо. Процентов 90% таких руководителей и исполнителей сами Widows не поставят, не то, чтобы иметь хоть малейшее понимание, что и как хакается.
Так как в реальности ИБшник может ничего не делать, и это не сказывается на работе вплоть до самого взлома, на эти должности набирают натуральных тупарей - родственников, хороших знакомых, бывших ментов и ФСБшников, возможно даже хороших оперативников, но с ИТ знакомыми на уровне "У меня на компьютере гугла нет, у меня яндекс".
Классика ИБ говорит, что целый класс проблем связан с защитой от собственных ИТшников, у которых ключи от всех информационных дверей. В реальной жизни только они и парятся реальной защитой(не бумажками) и хоть что-то в ней понимают.
А с теми, кто бегает и кричит, что всё плохо, поступают всегда также, как с главным антагонистом в фильме Крепкий орешек 4.
Последние лет 10 дикое желание свалить в другую отрасль. Держит только зарплата, связанная с ипотекой и детьми. (У ИТшников зачастую денег больше, но кто ж меня возьмет сразу на хор. должность без опыта. А пока опыта наберешься, банк тебя уже обанкротит и выселит).
именно. только стаж ещё больше. в части касаемой, максимально осложняем ИТникам, обоснованно, в рамках нормативной документации жизнь, но и тут есть встречное движение, им самим не хочется быть крайними. когда совместно команды понимают риски - многие проблемы снижают остроту, но и тут есть нюансы, как без них.
Точно так и есть.
А как камеру можно сломать так, чтоб менять пришлось? Я понимаю, отключить можно - но чтоб новую покупать пришлось - это как?
легко, к сожалению. и чем навороченее камера, тем легче.
Если почитать исходные статьи на хабре то проблемма вовсе не в камерах- камеры просто были приведены как наглядное доказательство доступа в сеть.- Там были привидены интерфейсы внурненних систем упарвления в том числе и стрелками и доступ к личным даннм пассажиров.
Личная особенность этого хакера - он скорее помогает избавится от уязвимостей чем использует их для каких либо противозаконных целей.
Несколько удручает реакция РЖД - они рассматривают подобные вторжения исключительно в негативном ключе стараясь сгладить и прикрыть существующую проблемму вместо решения....
Уотсорс он такой - лень и раздолбайство.
Ввели тестовый пароль, типа 111. Проверили. Систему сдали заказчику. Работает, а раз работает то не трогай. Кому надо за просто так бегать каждый месяц пароли менять.
Вот появился чижик-пыжик, залез в мягкое и теплое. Всем рассказал. Молодец.
Придёт системщик сменит пароль на 112 и опять забъёт на полгода, до следующего чижика.
Это не сеть РЖД. Точнее эта сеть к сети РЖД отношения не имеет. И доступа соответственно тоже.
Ох господа уважаемые.
Как Сисадмин вам говорю, что по матушке России, как ни прискорбно, в среде корпорашей столько информационного рогулья, что и представить сложно.
Сисадмин - это только верхушка айсберга.
Вы бы только знали, что нужно было сделать, что-бы заставить пользователей помнить свои пароли в фирме на 100 человек... а тут целое РЖД
А по теме с камерами... тут даже в статье намёки на рагулизм жирным шрифтом выделены.
Контекст ситуации намекает на отсутствие чего-то типа RADIUS. И из этого вытекает следующее.
Если некто смог подключиться к камерам, значит они работают по TCP, а значит что и пароль должен быть.... проблема в том, что камера использует свой собственный пароль и централизованно управлять паролями нельзя.
А значит, нужно N сотен студентов, для регулярного обновления паролей в ручном режиме.
С роутерами та-же история...
До кучи, видео нужно агрегировать, следовательно агрегатор должен как то узнавать, что камера обновила пароль, при том, что видео-поток прерывать нельзя из за соображений безопасности.
Так что уважаемым читателям не стоит думать, что тут всё так просто и однозначно.
Это всё не нужно менять. Это не реально и глупо.
В случае массовой смены оборудования, количество подобных головняков и дыр будет увеличиваться в арифметической прогрессии на каждую сотню камер.
Хуже того, что
рогулименеджеры опять дадут разнарядку напихать в систему железяк от разных вендоров, и РЖД потребуется еще три сотнирабовстудентов, что-бы этот зоопарк заставить работать.И еще нужна хотя бы одна цистерна этилового спирта для админов, что-бы разобраться ТОЛЬКО с VLAN-ами.
Вы бы лучше в ножки РЖД-шным админам расцеловали только зато, что вся эта бандура вообще работает, с нашими то
рогульёмэффективными менеджерами.А менеджерам паяльник в задницу и эту ссылку
https://ib.radiuscompany.ru/products/macroscop/
Спичь хорош и мощен. Еще раз - это не сеть РЖД. Ну как тебе объяснить. НИ ХЕРА НЕ РЖД
Пару лет назад делали систему видеонаблюдения на одном объекте РЖД. До сих пор охранников- сонных дядек в униформе, которые в мониторы смотрят и злоумышленников засекают, на том объекте нет. Пусть хоть хакеры пользу приносят, иногда в эти камеры подглядывать будут.
Ну ты же деньги получил с работы и теперь срешь на работодателя. Гавнюк
Страницы