UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости.
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
В поисках Немо владельца системы
Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Нашёл презентацию по вокзалам.
macroscop
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
- Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
- Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
- Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
- Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
- Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
- С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
- Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
Кстати, Евгений Игоревич, с повышением!
Источник
ramilexe
Это было круто! Читается как детектив. Неужели они не проводили никакой аудит?
DarkByte
На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.
xtelekom
Сталкивался с подобным, у нас и студентов не было. «распилконтора» присылала таблички которые надо заполнить, про наши сети, серваки и тд. Потом рисовали правильный отчет за много миллионов, все довольны.
inkvizitor68sl
Да всё проще, студентов наняли из МГУ ПС, скорее всего. За зачеты.
id_potassium_chloride
Некоторые студенты МГУ участвуют в соревнованиях CTF и они разнесли бы сеть РЖД на винтики судя без труда
inkvizitor68sl
МГУ ПС != Ломоносовский.
У РЖД есть свой прикормленный универ. Не то чтобы там все были глупыми, но самых толковых всё же не РЖД забирает.
deepel
Если за зачеты, то, скорее всего, троечников
exit13
Вот не надо так о студентах. Я в свое время очень даже неплохо находил дырки в таком болото-корпоративе :)
thatWhichMustNotBeNamed
истину глаголишь. Помню, как мы были 5ым суб-подрядчиком. И от общей котлеты в ~300кк получили только 9кк.
burzooom
5ым, то есть, не последним?
thatWhichMustNotBeNamed
нет, мы были крайними (как говорят в армии). И все номинально было по закону: каждый из вышестоящих взял себе какой-то процент работы, который был обязан взять, чтобы можно было нанимать суб-подрядчика, но вот деньги они за это брали по принципу Парето.
alexsertov
«Как вы смогли так точно описать, как делается на ржд?» — моя первая мысль,
«Наверное потому что так делается (почти) везде» — моя вторая мысль
lostpassword
Можете привести пример компании, которой по силам провести всесторонний аудит ИБ сети из 20000+ хостов за полгода и выдать отчёт, который не будет бессмысленной бумажкой? Я вот всерьёз сомневаюсь в существовании подобной компании.
DarkByte
Ну насчёт пол года я не уверен, звучит как овердофига для 20000+ хостов, если речь про анализ инфраструктуры и поверхностных анализ приложений. Если требуется углублённый анализ приложений, и особенно если с анализом исходников — то в таком случае оценка пляшет от объёма функционала конкретных приложений/объёма кода. И срок может меняться в зависимости от стоимости аудита (сколько человек на проект выделяется). Ничего нереального в таком объёме для аудита не вижу, и покрупнее системы проверяли, с нормальным отчётом на выходе.
Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.
Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.
lostpassword
Полгода — это овердофига? Оу. Я это писал и боялся, что скажете «очень мало».
Что-то я в это не верю, простите. Каким образом вы всё это делаете?Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.
Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).
Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.
DarkByte
Бывают сложные проекты. Невозможных пока не встречал.
Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».
Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.
Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.
lostpassword
Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».
Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.
Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.
DarkByte
Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.
Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.
Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.
Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).
Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.
lostpassword
В это я охотно готов поверить)
Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)
В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.
DarkByte
Второе через первое :)
neurozhayka-vokzal.ru: Non-existent domain — простите, но пример неудачный. Но возвращаясь к «аудит через пентест» (если так вообще можно выражаться) — попадаем во внутреннюю сеть условного ржд и проводя разведку изнутри находим сервер, обслуживающий данный домен или информацию о нём в документации.
Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.
И случае с тем же РЖД одного аудита будет не достаточно, так как он не даёт гарантии того, что админ Вася завтра не накосячит, не говоря уже о том, что банально могут не исправить все выявленные уязвимости. Можно долго фантазировать о том, как и что они могли бы сделать лучше, но боюсь что в итоге всё это разобьётся о банальный распил и что-нибудь в духе: «камеры сломали? ipmi без паролей? данные пользователей украли? а деньги не украли же? и в чём тогда проблема?»
gecube
С этим полностью согласен. Более того — это очевидно и лежит на поверхности. И это есть прич, почему внутри периметра должен быть 0trust и условно (минимально) полный tls. А то вся эта периметрическая защита из 90-х — фуфел. Любая дыра и мы приплыли.
Касательно того, что говорит коллега — я с ним полностью согласен. Полный аудит возможен только лишь при полной инвентаризации всех ресурсов айти и содействии со стороны айти департамента. Иначе это фуфел. Аудит может что-то пропустить (такое уже было и неоднократно).
Anrikigai
Вот, вот, сначала в сторону того же Zero trust надо двигаться начать. Какой смысл в текущем состоянии, чуть ли не в плоской сети, делать полный аудит?..
Простых рекомендаций по архитектуре достаточно.
Утвердить основные принципы, по которым выделяем сегменты, как между ними трафик инспектируем, зоны ответственности в конце концов… Потом уже можно копать детальнее.
А в плоской сети нагенерить всяких CIS Linux Benchmark для каждой машины и выдать толстенную пачку рекомендаций — действительно толку не будет, и скепсис совершенно оправдан.
Strigov
Если и проводили, то по бумагам на распиле, судя по всему.
ivan_safon
Возможно, даже и без бумаг провели)
Viceroyalty
Как мне говорил один человек занимающий хорошую должность «все, что ты говоришь — это техника, а основная задача ИБ — составить правильные документы, чтобы у регулятора не было претензий».
vanxant
Этот ваш «занимавший хорошую должность» ни разу не попадал.
Документы у РЖД составлены наверняка правильно. А значит там есть «группа реагирования на инциденты ИБ», «ежемесячные журналы аудита» и ещё штук 10-15 разных журналов, которые нужны по требованиям ФСТЭК и ФСБ. И в которых оптом в конце года достаточно большие дяди не глядя расписались. А должности, ФИО и подписи на явной липе — это уже подлог.
dn842
Ответ неправильный, поскольку в данном случае работает принцип «без бумажки ты какашка». Если аттестат соответствия есть на систему защиты ИС от регулятора значит всё защищено (даже если реально там бардак). Ну а если сломали, ну с кем не бывает, значит преступники и всё такое поскольку усомниться в бумажке от регулятора невозможно по умолчанию.
vanxant
А я не зря про журналы написал. На момент аттестации там, скорее всего, даже пытались хоть какой-то порядок навести — отобрать свистки, снести левый софт и т.д.
А уже потом неустановленные лица подключили неизвестные роутеры, поставили левый софт и установили пароли admin:admin.
Однако ж, раз в месяц или типа того это всё должно повторно проверяться уже силами конторы, об чём должен составляться отчёт, вноситься изменения в схему сети и прочую документацию. С подписями ответственных лиц. Каковые (подписи) — есть, а аудита явно не было.
dn842
Тут еще не факт, что вообще систему защиты создавали хоть какую то, поскольку если у них информация которая циркулирует в системе формально не подлежит защите согласно законодательства то и вопросов к ним вообще никаких. А вот к пентестеру вопросы у правоохранителей по результатам публикации данной статьи могут вполне возникнуть за несанкционированное вмешательство в работу ИС.
vanxant
У них обработка десятков миллионов ПДн в год, так что ФСТЭК заходил со всем пристрастием. «Здесь вижу здесь не вижу» на таких масштабах не работает.
Viceroyalty
Robur_le_Conquerant
понимаете, в чем дело. Подобные системы должны обслуживать и контролировать люди, несущие очень серьезную ответственность за то, за что они отвечают. У которых выбор моежт быть только один: или ты берешься за это и отвечаешь головой или не занимай эту должность. Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
lolhunter
Отвечаешь головой подразумевает оплату. Если ген директор отвечает головой за фирму, а ИБшник за ИБ — очевидно зарплаты у них должны быть сопоставимы.
Вот что-то я не вижу вакансий начальника ИБ с зарплатой в 2-3 миллиона в месяц ХОТЯ БЫ.
Areso
Вы много знаете главбухов с зарплатой в 2-3 миллиона в месяц, ХОТЯ БЫ?
Я вот много знаю главбухов (работал несколько лет по бухгалтериям), но ни одна из них не зарабатывала 2-3 миллиона в месяц.
На минуточку, главбух безо всяких допущений несёт личную ответственность, вплоть до уголовки.
Areso
Главбухи, кстати, еще нормально зарабатывают.
Гораздо более интересная должность — и более «родственная» — это инженер по ТБ.
Вот где откровенно маленькая зарплата ходит рука об руку с довольно высоким шансом попасть под уголовное расследование.
Yacudzer
Пром. безопасность — из той же оперы…
vedenin1980
Зато там требуется относительно невысокая квалификация. К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки (особенно в России).
titsi
Потому что бухгалтер «Лида Ивановна» скорее всего не захочет учить 100500 книг по программированию, и каждый раз все заново переучивать так как устарело, но вот работать в 1с и excel ей по силам.
JerleShannara
Если журналы в порядке и документы по инструктажам по ТБ соответствуют требованиям, то почти любое нарушение ТБ, повлекшее за собой смерть/инвалидность, легко списывается на сам труп/инвалида, ибо «вот он расписался, что ознакомлен, прошел и понял инструктаж».
FRiMN
Ну всё же руководство по головке не погладит за такое.
JerleShannara
Сомневаюсь, руководству лучше, если работник сам забил на ТБ (по бумажкам, а то, что у него страховка сгнила, ну....) и откинул копыта, чем если это будет вина юрлица.
AgataMuceniece
mrsantak
Разница между "человеком занимающим должность" и работником в том, что первый занимает должность, а второй — работает. Ожидать от первого какой-либо работы было бы странно.
Viceroyalty
Но без его указания никакой работы-то и не будет сделано.
Да и математически Ваше утверждение неверно: любой работник организации занимает должность, а работу кто-то все-таки делает.
mrsantak
Речь о том, что есть люди, которые находясь на какой-то должности выполняют свою работу. А есть люди которые эту должность просто занимают и при этом ни сами не делают ничего в рамках своей позиции, ни дают попасть на эту должность тому кто что-то будет делать. И заявление вида "Служба ИБ должна заботится о правильности бумажек, а не о, собственно, информационной безопасности" — это как раз про людей которые занимают должность, а не работают.
Robur_le_Conquerant
Знате, самое обидное то, что:
1. ничего не поменяется
2. никто не понесет за это наказания
Тут я много чего написал. Потом стер. Потом опять написал. И снова стер. Любой админ любой дороги расскажет все подробности. Но он не найдет того, кому бы были интересны его рассказы…
ajijiadduh
2. как это никто? автор статьи понесёт
lostpassword
А какой аудитор сможет такое найти?
У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.
В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.
DMGarikk
только вы этим заниматься не будете, потому что у вас и так дел полно, чем карты рисовать.
А вот если аудит у вас ежегодный, а по результатом вас премии лишают или еще чё пострашнее (pcidss может контору без лицензии оставить)… то хочешь не хочешь а будешь хотябы ПЫТАТЬСЯ приводить систему к тому чтобы при следующем аудите не теряя тапки затыкать дыры с трясущимися руками чтобы к окончанию аудита проблем не было
lostpassword
Будешь, конечно. Только ресурсы-то ограничены, и в итоге вместо задачи «Навести порядок в сети» получаем задачу «Успешно пройти аудит». Как говорится, конец немного предсказуем.
Anrikigai
Сомневаюсь, что при бардаке в сети успешно выполненная задача «пройти аудит» приведет к гораздо более серьезному бардаку.
Не все закроется, конечно. Что-то заметут под ковер. Но какие-то очевидные проблемы проще прикрыть, чем замаскировать.
Идеально не станет, но _очевидных_ проблем таки станет меньше, от злоумышленников потребуется больше усилий и квалификации.
lostpassword
Она не приведёт к более серьёзному бардаку, но полезный эффект будет меньше, ИМХО.
В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.
Мои мысли примерно следующие:
1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.
Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).
Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.
Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.
Anrikigai
Я думаю, мы про сильно разные компании говорим.
Скажем, мне не очень понятно, кто такие «мы» из «Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас?»
Не совет директоров же. Да и понятно, что «не все нормально, нужно больше золота».
В моем мире как один из вариантов — именно CIO/CISO заказывает аудит, с его результатами идет к руковдству, финансовому директору и т.п. и использует отчет как инструмент для обоснования дополнительного финансирование. Не он просто просит денег на невесть какую безопасность, а вот четко описано, где проблемы и к чему могут привести, если оставить все, как есть.
Но мир очень разный, я понимаю. Аудит ни разу не панацея :)
Кстати, и от софт-скиллз аудитора сильно зависит, будет ли он себя позиционировать как супер-пупер эксперат, который сейчас лохов научит, как жить правильно, или сможет установить контакт со специалистами, как человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу.
Разумеется, и в отчете для руководства должно быть не «вы набрали фофанов по объявлению, у вас все г...», а «мир изменился, то, что у вас было хорошо построено несколько лет назад, сейчас не дотягивает, опасно, надо адаптироваться»
lostpassword
Возможно. Я в таких кругах не вращался, может быть где-то неправ. Может быть, Ваша картина мира более близка к реальности.
Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?
Anrikigai
В моем мире помимо
есть и другие варианты помощи.Например, в примере выше: тот, кто поможет выбить дополнительные бюджеты на закрытие дыр.
Если же такие бюджеты ни в коем случае не нужны, потому что это ж придется что-то в сети менять, пусть и на более удобное и безопасное, а у нас времени на это нет…
Ну тогда да, сорян.
Jammarra
На самом деле все часто работает немного по другому. Ты знаешь как надо сделать хорошо. И знаешь что это потребует кучу бумаг, изменений в документации. И не факт что аудиторы одобрят.
Поэтому прячешь косяк от аудита или просто ничего не делаешь. Если явного косяка который обнаруживается аудитом нет.
Самое смешное что на многие вопросы "можно ли так сделать" не могут ответить даже аудиторы).
Хотя у аудита есть один плюс. Можно у руководство что то под него выбить. Быть то бабло или возможность даунтайма для работ. Но как сказал человек выше. Ты по факту и так знаешь что тебе сделать надо. Просто не всегда дают такую возможность.
DMGarikk
конечно, но без аудита вы скорее всего этого всего делать вообще не будете.
За за всю свою карьеру видел только одну контору которая реально упоролась по ИБ из-за аудита. в остальных всем было плевать… ну прям вообще плевать.
Я повторюсь, я видел что было в финсекторе до обязательных аудитов и видел что стало потом. стало ЛУЧШЕ. тоесть с 91 года по 2008й(или когда там 09й) всем было плевать с высоченной колокольни на ИБ, никто ни карты сетей не рисовал, пароли у всех были админ/админ, даже у уборщицы был доступ админский на компе.
gecube
Все так
Бумажку о соответствии ФСТЕК или PCI DSS вы сами себе выдать не сможете. И, соответственно, аудит нужен. Хоть какой-нибудь. У верифицированного (сертифицированного) перечня аудиторов. Можете считать это мафией. В целом, так и есть. Но цель аудита — это получить бумажку. Чтобы пол учить возможность оказывать определенный набор услуг населению и на этом зарабатывать деньги.
Valyaromanova
Вот и подключайся теперь к открытой точке доступе, лучше без интернета посидеть для своей же безопасности.
Andrey_Epifantsev
Так вродеж шифрование между сайтом и устройством? Злоумышленник в середине не сможет прочитать ваши данные, даже если будет владельцем точки доступа.
Securityhigh
А вот и не всегда, до сих пор много сайтов используют HTTP, имеются и государственные, в особенности областные. Некоторые онлайн-кассы до сих пор сидят на ******* HTTP. Да и кто запрещал SSL Pinning.
std
а что такое ssl pinning в вашем понимании?
marataziat
> SSL Pinning
Если вы про установку CA, то для нее нужен пароль администратора и доступ к компьютеру жертвы. Если вы про SSL pinning как про встроенный CA в нативные приложения, он только наруку играет тк кроме своего сертификата приложение никому не доверяет.
DaemonGloom
Скорее всего, имелся ввиду SSL Stripping для сайтов, которые не используют HSTS и не внесли себя в список preload в браузерах.
PsyHaSTe
Вот который раз убеждаюсь что лучше потратить 100 рублей на трафик в другом регионе и чтобы потом голова не болела за подмену сертификатов, просмотр какой-нибудь днс истории и прочего.
redmanmale
Так отменили же роуминг по стране.
PsyHaSTe
Ну я ездил недавно на кавказ, списалось дополнительно. Проверял баланс до выезда и после. Хотя, конечно, может и глюки.
Но вывод один: никаких "бесплатных вайфаев".
jryj
Достаточно включить ВПН и не беспокоиться об открытых вайфаях. Помогает застраховаться и от подстав провайдера с подписками и т.п.
Viceroyalty
Особенно — если это свой VPN
Milein
А вместе со своим VPN можно ещё и свой DNS сервер поднять и часть рекламы и зловредов блочить на этом уровне.
Viceroyalty
Lightsail-овского инстанса 512 MB RAM, 1 vCPU, 20 GB SSD от Амазон для этого хватит?
Milein
Под один мобильный девайс? Легко, у меня аналогичная конфигурация, и нагрузка на него так вообще не нагрузка.
Flammar
Так это наверное Абхазия была.
Viacheslav01
Много раз попадал в сочи, бац и ты всадил все деньги на разговоры через абхазского оператора.
Firsto
Мне в аналогичной ситуации Теле2 возместили все расходы.
PsyHaSTe
Ну тут вопрос уже что мне совего времени на разборки жалко чем 150 рублей которые за пару дней улетели
Firsto
По телефону поддержки за пять минут составили заявку, через два часа перезвонили, извинились и зачислили деньги на счёт.
pae174
Если HSTS Static на сайте не настроен то возможно выполнить атаку SSL Strip и перехватить весь трарик.
Если клиентская машина не умеет DNSSEC то возможно подсунуть ей левый ответ DNS и увести клиента на фишинговый сайт.
tmin10
SSL Strip в браузере легко заметить (для тех, кто в теме), не будет никакого защищённого соединения, урл будет http, замочков разных не будет.
iDm1
В том-то и дело, что «замочков» не будет. Актуальные браузеры отмечают http как заведомо небезопасное соединение, это невозможно не заметить.
Если речь идет о людях менее компетентных в данном вопросе, которые могут упустить такой нюанс, то они и VPN использовать тоже не будут. Потому выгода от VPN для защищенных соединений, среди которых и https, выглядит довольно призрачной.
pae174
> SSL Strip в браузере легко заметить
MithM может просто отдать клиенту вирус и после того, как она сработает, переадресовать клиента на настоящий сайт по самому настоящему HTTPS. Все замочки будут на месте. При таком сценарии развития событий ситуация визуально ничем не отличается от обычного редиректа http:// -> https://, просто перед редиректом клиент незаметно цепляет зловреда.
iDm1
Если можно выполнить код на клиенте с такими правами, что это может быть полезно вирусу, то все остальное уже не важно и получать можно любую информацию доступную этому клиенту как локально так и удаленно, да и вообще сделать с ним что угодно. Это уже другого уровня дыра, которая требует наличия уязвимости в ПО или эффективной социальной инженерии.
pae174
В браузерах встречаются уязвимости RCE вообще-то. Так что подсадка трояна через MitM открытой точки доступа вполне осуществима на практике и без какой-либо социальной инженерии.
SagePtr
Вот тут Mozilla как раз вовремя выкатил режим HTTPS Only
Leonid_E
И тут есть нюансы, https в ряде случаев перехватывается, в комментариях уже написали.
numb
Однажды, сидя с ноутом в Москве на Ярославском, пользовался их Wifi, чтобы котиков посмотреть. Написал мне коллега, с просьбой помочь с linux-сервером, который я ранее настраивал по SSH — ок, не проблема.
Открываю консоль,
ssh username@servername.ru…
ssh-клиент ругается что не узнает сервер по отпечатку, а после и вообще требует пароль вместо авторизации по ключу.
И тогда до меня дошло, что там классический MITM.
С того момента, публичным WiFi, в принципе, перестал пользоваться
13werwolf13
частично проблема решается если сидеть на таких публичных точках завернув 0.0.0.0/0 в wireguard или openvpn например, но только частично
arheops
Скорее неправильно настроенный нат, который заворачивает весь траффик по 22му порту на один сервер(типо проброс, но студентами выполнен)
DimkoD
Вокзальный WiFi это ТрансТелеком по заказу РЖД, гляньте принадлежность IP, даже заинтересовали, когда сеть сдавалась никаких подстановок там не было, может в процессе эксплуатации запретили доступы по некоторым портам, а перенаправление вполне может быть на веб-портал
numb
Это было 2 года назад, уже не узнать, я сейчас далеко от Москвы.
Веб портал — маловероятно, т.к. подключение принял именно ssh-сервер.
А вот криводастроенный NAT вполне может быть.
Securityhigh
На дворе 2021 год, а ты только сейчас это понял? Что ж, жаль тебя)
Banketniy
Интересно, а если я попробую провернуть тоже самое на ласточке, не попаду ли я под уголовную ответственность?
Yuriy_krd
К сожалению, попадете :) УК РФ Статья 272. «Неправомерный доступ к компьютерной информации»
Osnovjansky
С одной стороны, вроде да, а с другой — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»
welovelain
точнее увидел открытую дверь и написал в интернете: по адресу такому-то дверь открыта! У них все в порядке?
Viceroyalty
Если они до сих не пытаются ее закрыть — у них лично давно все хорошо
da411d
Прошу заметить, автор не писал по какому адресу открыто.
Онтнаписал, что прошёлся по всех дверях, среди найденных открытых выбрал одну и туда уже зашел
tmin10
Правда, если продолжать аналогию, то не только увидел, а зашёл, посмотрел, что внури и как (бегло) и рассказал с фото…
Yuriy_krd
В общем случае, даже если дверь открыта — заходить нельзя (ст. 139 УК РФ). Но РЖД, походу, глубоко пофиг как на открытую дверь, так и на тех, кто шляется :)
P.S. тут должен быть анекдот про конкурс лентяев :)
khulster
И даже в этом случае он может получить иск за незаконное проникновение в жилище. А уж в случае с нашими гос. структурами, я бы точно не рисковал. Им же сейчас как воздух нужных «злоумышленники» которых можно будет публично рапсять.
Dubor
по этой статье судят не за сам доступ, а за, цитирую:
«Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
Yuriy_krd
Вы забываете о ч.4 (тяжкие последствия). При этом, необязательно, чтобы тяжкие последствия наступили. Достаточно, чтобы была создана реальная угроза таких последствий. Т.е. Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд? Могли. При отключении кучи камер Вы могли бы понизить уровень безопасности? Могли. Значит, Вас ждет наказание по ст.272 ч.4. (до 7 лет заключения).
Flammar
Norno
может…
F0iL
Среди скриншотов железок я вижу как минимум одну, подверженную Ripple20, и прошивку которой с высокой вероятности не обновляли (учитывая все остальное описанное). Так что от доступа для чтения до доступа на запись один шаг.
inkvizitor68sl
Управление стрелками и другой механикой/машинерией должно быть в отдельной РЖДшной сети, в/из которой нет доступа в интернет.
(и это не я придумал как должно быть, именно так они изначально и делали, судя по рассказам участников). И раньше жестко следили за тем, чтобы доступ не протёк, у сотрудников по 2 ПК стояло на рабочем месте, например.
Alexsey
Тем не менее судя по скриншоту как минимум read only доступ к данным из этой сети есть.
anonymous
Работал я когда-то в организации с двумя компами на рабочем месте… Только вот почта между сетями свободно ходила. Хотя за ней следили, надо признать. Не знаю, читали или нет, но за отправку файла однажды пришли люди с серьёзными лицами для серьёзного разговора.
inkvizitor68sl
«Почта ходила» делается двумя интерфейсами в сервере, между которыми forward не включен)
Ну разве что DNS должен разное отдавать ещё, но это мелочи.
Sap_ru
Ну, как бы там много мест, что ДУ работает через VPN тоннели из внутренней сети во внешний мир, либо между двумя точками внутренней сети. С кучей на коленке слабаных шлюз и компьютеров в древними уязвимыми ОС. При желании точно дальше можно было и до ДЦ докопаться и до компьютеров на которых диспетчерский софт крутится. А это уже и управление стрелками и управление светофорами.
Yacudzer
В понятие «состав преступления» входит субъективная составляющая — умысел субъекта. Т.е. если на суде будет доказано что не было злого умысла, значит и состава преступления нет. Другой вопрос, что еще доказать надо…
sourbarberry
Можно и без умысла убить человека, например. И тут уже будет состав преступления налицо.
Можно без умысла побродить по внутренней сети, потыкать ради интереса какие-то галочки. А потом поезд пойдет под откос.
Умысла не было, но люди пострадали.
Yacudzer
Речь идет про доступ к сети, а не действия (бездействия) после получения доступа…
burzooom
то есть, всех водителей, сбивших насмерть пешеходов — отпускать?
artemerschow
Водителей сбивших пешеходов по случайности и целенаправленно — уровнять в сроках?
burzooom
«не было злого умысла, значит и состава преступления нет»
а нет состава преступления — признать невиновным и отпустить прямо из зала суда.
artemerschow
Вам подсказать или сами додумаетесь до существования чуть более сложной системы квалификации преступлений, чем есть преступление и нет преступления? Может тогда перестанете приводить некорректные аналогии?
Xokare228
Это так не работает, там написано «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления», то есть уже должен быть состав, а состав это «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», а тут если что из этого и было, то только копирование, и то с очень большой натяжкой
levashove
Считаются ли тяжкими последствиями сгоревшие
пуканыв РЖД?Dubor
и снова надо читать формулировку целиком:
нет деяний (а именно, копирования, модификации, удаления и т.п.) — нет состава преступления даже для первой части, не говоря уже о четвертой.
reci
Что есть просмотр, как не копирование?
Dubor
суд не так работает (мы же говорим о том, попадает ли автор статьи под действие 272 УК?).
суд берет текст статьи, практику правоприменения данной статьи, а так же разъяснения верховного суда (если есть). и именно по ним и принимает решение.
а не вот эти все философские: «а если копнуть глубоко, то когда ты смотришь на объект, то ты создаешь в мозгу его копию в виде сигналов нейронов, а значит, если ты посмотрел, то ты скопировал» и т.п.
reci
Почему же философские, вполне конкретные законы техники — перед отображением на экране информация должна быть скопирована на устройство пользователя. А дальше — «как дышло повернут»…
janekprostojanek
Вы совсем «плохой»?
Или просто пытаетесь умничать?
Я подключился по RDP к терминалу. На моем экране выведено изображение рабочего стола терминального сервера. Я отключился. Докажите юридически, что на мой компьютер скопирована какая-либо информация с терминального сервера.
olsowolso
Копирование в зрительную память человека? Или речь про кэши браузеров и прочее? Считается ли юридически что я скопировал информацию, если я не нажал «сохранить как»/«копировать» в меню, условно говоря?
Dr_Faksov
«Ну тогда и за изнасилование сажайте, инструмент-то есть» — старый анегдот вспомнился. Вот я, теоретически, могу убить любого человека, к которому у меня есть физический доступ. И что теперь…
tmin10
А скриншоты не являются копированием информации? Т.е. была получена информация с камер, которая была скопирована и сохранена для иллюстраций в статье.
Dubor
а вот тут уже надо смотреть юридическую практику.
сам не готов вот прямо сейчас дать готовый ответ: по остаточным знаниям от второго образования могу предположить, что зависит от того, какая информация есть на скриншоте.
это как с порно: замазал/замылил первичные и вторичные признаки и уже не попадаешь под определение порнографии. хотя суть-то осталась =)
GAS_85
В данном случае они были получены из «открытых» источников.
Xobotun
Я вот думаю, не являемся ли мы тоже преступниками, посмотрев на скриншоты. Юридически же у нас не было права видеть интерфейс управления стрелками, верно? Для этого нужны соответствующие доступы, надо подписывать минимум трудовой договор с РЖД и чтобы управление этим интерфейсом входило в должностные обязанности.
А что до ч.4 – так мы все тут комментируем эту статью, наши комментарии могут прочитать и вдохновиться. Или мы в рабочем чате можем это распространить. И всё, сообщники. :D
hokum13
Ага, «организованной группой лиц, по предварительному сговору»… Впрочем абсурдность некоторых законов это не российское изобретение.
Dubor
зачастую, абсурден не закон, а трактовка закона лицом, не имеющим юридического образования.
ну пусть даже без юр. образования. просто лицом, даже не прочитавшего статью целиком и судящего о статье по ее названию.
что-то в духе:
— ага, в названии есть словосочетание «неправомерный доступ»! ой, а я видел скриншоты… меня посадят! как страшно жить в этой(tm) стране…
mrsantak
Абсурдность трактовок не отменяет абсурдность законов. Чтобы увидеть скриншот у себя в браузере вы его должны сначала загрузить, т.е. скопировать.
nat_gtx
Я случайно дизлайкнул, сорян. Браузер лагнул(
Flammar
Как можно ознакомиться с информацией, не скопировав её (хотя бы в ОЗУ ~«тонкого клиента»)?
F0iL
Приплести при желании легко что угодно. Залогинился в систему с дефолтным паролем — появилась запись в логе — содержимое лог-файла, а так же метаданные о его объеме и времени доступа были модифицированы, «эксперты» подтвердят — ну вы поняли.
vehicross
Полагаю, логи в большинстве своём не являются «охраняемой законом компьютерной информацией»
FRiMN
Запись в логе произведена не вами.
JerleShannara
Если то, что пишет логи, имеет сертификат нужного уровня, то увы, «сертифицированной системой (номер сертификата „№31337КУПИЛЗАБАБЛО/8888“) было обнаружено нарушение безопасности связанное с копированием информации с адреса 224.888.999.000, используемого гражданином Фунтом»
agat000
Скрин — копирование. Да еще и распространение.
В крупной полу-государственной конторе, где я работал, изображение в камер относилось к Коммерческой Тайне (КТ), например. Здесь — стратегический объект, скрины с камер. В общем ай-ай-ай.
Dr_Faksov
А может не зря? Умный человек получит с камер кучу информации: расположение постов охраны, как какой охранник службу несёт, внутренний распорядок, планы помещений, правила приёма грузов\курьеров. Это то что в голову взбрело.
И устроить на основании этого проникновение и вынос тела будет ГОРАЗДО легче и безопаснее.
agat000
Я знаю, и не спорю. Сам занимался техническими системами безопасности. Но мля многих это неочевидно. Подумаешь, камера, что там такого секретного, маразматики и параноики из СБ совсем от безделья маются уже.
ascheck
К сожалению, автор тоже попадает.
sazhyk
Да, автор попадает. Но даже если автора накажут по всей строгости закона, дыр в сети меньше не станет. Автора не наказывать надо, а связаться и распросить что да как. И чем быстрее, тем лучше.
kuznetsovkd
Это вы видимо не про Россию.
Evgen52
Забавное наблюдение. Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление. А тут обратная ситуация, хотя такая же уголовная статья. Двойные стандарты во всем.
P.S. Это не лично к вам. Не оправдание коррупции и других нарушений, не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны. Далеко нам ещё до правового государства (нам — всему человечеству) с таким самосознанием.
KivApple
Автор не получил материального профита, не устроил хаос своими руками и даже статья выше без определённых профильных знаний и усилий никак не поможет это сделать другим людям (это не туториал «скопипастите эту команду и вуаля, вы только что взломали Пентагон»). Он «только посмотрел» и обнародовал проблему.
А коррпуционеры не просто смотрят, а действуют.
psydvl
Ну поднять впн и подключиться к прокси среднепродвинутый пользователь интернета в России уже научился…
IMnEpaTOP
У закона есть не только «буква», но и «дух». И в целом закон (justice) это попытка упорядочить и формализовать такой феномен поведения высших животных как «справедливость» (тоже, кстати, justice, она же юстиция).
Так вот, «Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление.» Потому что преступление есть нарушение справедливости. А справедливость связана с ущербом и нравственностью.
Автор своими действиями наоборот пытается избежать общественного ущерба (который неизбежно однажды возникнет, если сор из избы не вынести) и призвать ответственных за сложившуюся ситуацию к соблюдению нравственности. По этому и реакция в двух описанных вами случаях у общественности совершенно разная.
А вот то, что такое приходится объяснять…
Pavel_The_Best
Справедливость для всех разная, поэтому нельзя говорить, что преступление — нарушение справедливости.
IMnEpaTOP
Ровно об этом я и написал. Преступлением называют нарушение закона. Но нарушение закона может быть по разному оценено людьми, на которых этот закон распространяется. Поскольку закон всего лишь попытка формализовать справедливость и эта попытка не может во всех случаях работать корректно.
В одних случаях формальное преступление людьми не оценивается как истинное преступление, если справедливость при этом не нарушена. Но то, что людьми оценивается как преступление, всегда будет нарушением справедливости.
JamboJet
Напомню, что есть отдельный вид преступлений — «без потерпевших лиц», по которому на развитом западе давно идут дискуссии о уменьшении, либо полной ликвидации наказаний.
Dr_Faksov
Вы правы про оценку. Я почему-то вспомнил про человека зарезавшего авиадиспетчера. Который убил его детей, уронив самолёт в озеро. И которого за это слегка поругали.
Вот я не могу этого человека осуждать, хотя он убийца, по букве закона.
Evgen52
Вы правы. Я, если что, не призываю наказывать автора. Проблема в том, что дух и справедливость для каждого могут быть свои. И вы правильно сказали, что закон — это попытка формализовать что-то, с чем согласно большинство. И на то они и формальные правила, чтобы к ним формально относиться. Иначе это не закон, а "понятия" какие-то. Либо мы стремимся к правовому государству и соблюдаем законы все, а не только удобные, либо получаем то, что есть сейчас. Я намерено в целях демонстрации это несколько утрировал.
Признаю, я был неправ в том, что сравнил конкретно этот случай с преступлением. Сейчас перечитал статью УК, там есть слова "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации". Так что состава преступления здесь, конкретно, нет. Прошу прощения за это некорректное сравнение. Однако недавно была статья про, кажется, "mew" атаки, когда данные незащищенных баз массово удаляли. И там уже явно есть состав преступления, но меня в коментариях упорно убеждали, что хакеры молодцы и робингуды, а владельцы серверов сами виноваты, что не запаролили их. Просто сейчас сработала ассоциация с тем случаем, хоть это и не верно.
Ещё раз. Я не оспариваю моральную сторону. Я нисколько не осуждаю ни автора, ни комментаторов. Более того, по справделивости и по моему личному мнению автор молодец, не надо его наказывать, я полностью поддерживаю. Я лишь хотел обратить внимание реакцию общественности на формальную сторону вопроса, как раз ту, что должна по-идее отличать правовое общество от жизни "по справедливости" ("по понятиям"). Без каких-то оценочных суждений, просто забавный факт. Дальше пусть каждый делает свои выводы. Или не делает. К сожалению, люди несовершенны, и чувство справедливости может быть у каждого своё. Ведь какой-нибудь депутат может совершенно искренне считать справедливым, что он кому-то помог, а этот кто-то его отблагодарил. "Упорядочить и формализовать" — вы верно подметили. Мой посыл был лишь в этом.
IMnEpaTOP
Всё же правовое государство, это государство благоденствия (ведь за этим оно и создаётся?), а не государство одной гребёнки.
Я не просто так начал со слов о букве и духе закона. Поскольку в правовых государствах судей обязывают руководствоваться не только лишь буквой закона, но как раз учитывать и его дух. И лишь после этого выносить вердикт, который может и не совпадать с буквой. Т.е. налицо механизм, который призван нивелировать несовершенство формализации, когда следование закону дословно повлечёт к созданию несправедливости, а не её охране и восстановлению.
Это я к тому, что из вашего ответа как-будто чувствуется готовность терпеть несправедливость, если это происходит по закону. И наоборот, противопоставление стремления к справедливости нормальному функционированию системы права. Хотя я не вижу причин, по которым правовая система, работа добросовестно, должна отвергать идею обеспечения справедливости и отказываться от механизмов, которые позволяли бы этим процессам сходиться.
Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.
Evgen52
Спасибо! Хочется надеяться и верить, что не только мне. Ради этого я и оставил тот комментарий, может кто-то ещё задумается и мир станет лучше :)
На мой взгляд, проблема вашего подхода в том, что он позволяет оправдывать коррупцию: зачем чиновнику терпеть "несправедливость" и отказываться от "благодарности" из-за того, что это не согласуется с каким-то там законом? Я бы не хотел жить в таком мире.
IMnEpaTOP
От благодарности (без кавычек) действительно отказываться не стоит, если чиновник способен оставаться беспристрастным после этого. А если не способен, значит следует отказываться даже тогда, когда коррупционное преступление не подразумевается.
Но вы сами поставили " ", ведь понимаете/чувствуете, что коррупция есть преступление не просто так.
Проблема коррупции как раз в том, что она создаёт несправедливость (неравенство доступа, нанесение другому вреда руками государства и т.д.) и люди способны отличать одно от другого. И оправдывать коррупцию такой подход позволяет лишь коррупционерам (но они так поступают в любом случае, на то они и коррупционеры, дающие и берущие).
Evgen52
Вы исходите из предпосылки, что справедливость и несправедливость — понятия абсолютные и одинаковые для всех. Я же вам намерено привожу максимально яркие и, возможно, слегка преувеличенные контрпримеры, чтобы продемонстрировать, что это не так. Коррупционер может считать несправедливым запрет на взятки. Террорист может считать несправедливым, что в мире есть люди других вероисповеданий, цвета кожи, пола, ориентации, чего-то ещё. Мы с вами считаем несправедливостью "неравенство доступа, нанесение другому вреда руками государства и т.д.". Кто-то будет считать несправедливым, что к его интеллектуальной собственности есть доступ у других лиц, а кто-то будет считать справедливым сделать чужое народным достоянием. Сколько людей, столько и мнений. Именно поэтому я использовал кавычки, ведь справедливость или нет тут весьма условна и субъективна, в отличие от закона, который общий для всех и зафиксирован документально. Он приводит всех к общему знаменателю.
Viceroyalty
Чисто формально действие повлекло несанкционированное изменение логов (это не моя идея, за такое, увы, уже привлекали)
questor
Да ладно? А что за случаи, не подскажете? А то что-то попахивает параноей, как если бы кто-то проходящий под камерой на Курском вокзале был обвинён в том, что он своей фигурой привёл к крушению электрички. Ладно ещё бы имя было бы drop database, а что-то уж совсем смех.
Xokare228
Немного из другой оперы, но похожий случай, цитата из ППВС, которая появилась там не случайно, а на основе вполне реальной судебной практики
Envek
Тут всё логично: если украл деньги, используя только штатные средства (типа «подглядел пин-код, потом взял телефон жертвы, вошёл в банковское приложение с этим кодом, перевёл себе все деньги») — то это кража, а не взлом. А вот если пошёл подменять корневые сертификаты в хранилище телефона жертвы, чтобы провести mitm для разузнавания этого пин-кода (и потом взять телефон жертвы и перевести себе деньги) — это уже взлом с кражей.
Xokare228
Я и не спорю, что логично, но чтобы судам объяснить эту логику понадобился целый Верховный Суд
Viceroyalty
Пруфов найти не смог, можете считать, что я пользовался непроверенными слухами.
Jef239
Да, примерно так.
Проведенным анализом сведений, размещенных в сети Интернет о фактах срыва дистанционного обучения школьников, установлено, что к ним может быть причастен пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», то есть человек, занимающийся потоковой трансляцией видео в режиме реального времени. Указанное лицо снимает прохождение видеоигр, а также розыгрыши (пранки), которые выкладывает на своем канале под названием «Russia Paver» на платформе YouTube.
Так, 27 марта и 6 апреля 2020 года были размещены видеозаписи, на которых блогер присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в том числе представлялся сотрудником Министерства образования Российской Федерации. Факты срывов онлайн-уроков имелись на территории города Санкт-Петербурга.
В настоящее время проводятся необходимые следственные действия и оперативно-розыскные мероприятия, направленные на установление всех обстоятельств происшедшего, а также местонахождения лица, совершившего данное преступление и привлечение его к уголовной ответственности. Расследование уголовного дела продолжается.
Dr_Faksov
Фраза немного не полная. Поробую так — Либо мы стремимся к правовому государству и все соблюдаем все законы. Это вроде полнее.
Но! В правовом государстве именно дух — на первом месте. Уголовный кодекс — информация для размышления для судьи, не более. Судья может назначить наказание которого в кодексе вообще нет.
Megakazbek
Возможно, что вы просто не сумели раскодировать желания людей и ввели себя в заблуждение этим наблюдением.
Моё предположение такое, что люди предпочитают, чтобы среди них не было злоумышленников, творящих вред. Иногда эта задача решается неотвратимостью наказания за нарушения законов, но в некоторых случаях — нет. Из-за того, что вы неверно интерпретировали, к чему именно люди стремятся, вам и кажется, что они хотят то одного, то другого, хотя на самом деле они во всех случаях хотят одного.
mSnus
Некоторые законы написаны откровенно плохо и многое не предусматривают. Их надо переписывать, а не прогибать людей под кривые правила.
Evgen52
Я к этой мысли и пытался подвести читателя: законы надо переписывать, а не нарушать. То есть если не согласны, то сначала меняем закон, а потом уже действуем.
ascheck
Вопрос философский. Лев Николаевич Толстой был иной точки зрения, например, и осознанно не соблюдал законы, с которыми не согласен. И он в этом не уникален.
Evgen52
"Справедливости" можно добиваться разными путями. Можно добиваться принятия и соблюдения "справедливых" законов и измения/отмены "несправедливых", а можно игнорировать и нарушать те законы, которые лично считаешь "несправедливыми". Коррумпированные чиновники, очевидно, идут вторым путём. Я лично за первый. Просто понятия справедливости у разных людей разные, чисто субъективные, а закон — это общая база для общества, она хоть как-то объективна, и логичнее отталкиваться от неё. Если смогли убедить большинство людей в том, что ваша "справедливость" хорошая и несёт добро, то есть смогли принять это как закон, то прекрасно.
ascheck
«Закон что дышло...»
«Дуракам закон не писан...»
«Законы пишутся для подчиненных, а не для начальства...»
«Не пойман — не вор»
Это не мои мысли и не мои взгляды, просто напоминаю, что они есть.
Мы уходим в философию. У меня достаточно давно и ясно сформировалась часть картины мира, касающаяся законов: они ничего не запрещают в полном смысле слова «запрет», они только обозначают возможное наказание. Факт наказания и его суровость зависит от живых людей, а не объективных фактов, это субъективные вещи. Аналогии с футболом вполне уместны, вспомните «руку Бога» и «подвиг Суареса».
Я Ваше мнение услышал, но не хочу вступать в полемику, предлагаю просто взглянуть на этот же вопрос под другим углом.
letchik
Вы упускаете один очень важный момент: Уголовное наказание не следует из-за слепого нарушения статьи УК, нужно ещё наличие состава преступления.
Одним из признаков состава в уголовном праве является объективная сторона преступления, часть которой — общественно опасные последствия, а также преступный умысел.
В данном случае ни того ни другого нет. Состав преступления отсутствует.
Когда мы говорим про нарушения ПДД и коррупции — объективная сторона на лицо.
Evgen52
Да, спасибо, я об этом уже написал в своём последующем комментарии и извинился. Был, правда, аналогичный спор под статьей про mew атаки недавно, и вот там уже был состав преступления, так как данные умышленно удалялись. Но реакция многих участников обсуждения была аналогичной: хакеры красавчики, научили нерадивых админов, что надо защищать базы. Невольно в голове сработал триггер и на эту статью.
ascheck
Если вы забудете закрыть дверь в квартиру и кто-то просто зайдёт, ничего не возьмёт, просто походит, может даже в бахилах, чтобы не напачкать — это не нарушение? А если он после этого на подъезде напишет «в квартире №ХУ не заперта дверь», тоже? Общественно опасные последствия налицо — повышение интереса к проверке структуры на прочность.
Я на стороне автора и надеюсь, что моральный аспект перевесит в головах уполномоченных лиц, но даже просто проникнуть в чужую сеть без согласия владельца — нарушение.
blind_oracle
Недавно кто-то там уголовно возбудился на "нарушение неприкосновенности жилища" какого-то любителя новичков и шпилей из ФСБ.
letchik
Если просто походит, ничего не возьмет и выйдет — то скорее всего дело так и закроют.
Из интернета:
«В то же время использование обмана, злоупотребления доверием для проникновения в жилище не образует рассматриваемого состава преступления, поскольку в этих случаях лицо проникает в жилище по воле проживающего в нем лица, хотя оно и находилось в заблуждении относительно тех или иных обстоятельств.» Проникновение в незакрытую дверь, можно квалифицировать как злоупотребление доверием, всё зависит от того, что будет говорить подозреваемый.
А вот если напишет — это уже будет совсем другая квалификация.
Dr_Faksov
Как ни странно — если войдёт, то преступление.
ne555
А вот автор (если он тот за кого себя выдает) прошлой статьи в чате пишет, что дело заводили (за доступ)
tmin10
Он тут ниже в комментах отметился тоже.
letchik
Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава. Сам факт наличия дела — не говорит о виновности, вину устанавливает суд.
И, простите, «дело заводили РЖД» это как?
ne555
Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава, и в справке о судимосте факт привлечения будет висеть до конца жизни.
Может юзер запятую пропустил перед последним словом, но лучше уточнить у него самого.
kspshnik
Факт привлечения — это постановление руководителя следственного органа, а не чих младшего дознавателя. И при закрытии по отсутствию состава такое постановление даже не выпускается.
spqr_voldi
С самосознанием всё нормально. Вопрос в том, *кем* и *в чьих интересах* принимаются законы.
lazer1064
Совершенно с вами согласен! Автор однозначно злодей, ибо его действия могут привести к тому, что Беллингкет уже больше не сможет ничего расследовать в этой стране и потом радовать нас феерическими результатами! Я категорически против этого, я требую развлечений, и не только про стирку трусов фигуранта, но и еще чего нибудь, а то так и со скуки сдохнуть можно!
Evgen52
Простите, но вы согласны не со мной. Я нигде не утверждал, что автор злодей, я не призывал его наказывать. Даже специально дисклеймер написал:
Я вообще не про автора писал, а про нюансы формирования общественного мнения.
jedecuz
Да, автор совершенно зря попытался взаимодействовать с организацией оставаясь в правовом поле.
Надо было максимально анонимно и широко распространить материалы по уязвимостям в сети, дабы организация убеждалась сама.
Dubor
чтобы решать, попадает автор под действие статьи или нет, нужно не ее название читать, а саму статью:
ascheck
Да бросьте… Просто проведите аналогии, применительно к себе: кто-то, допустим, подобрал пароль к Вашему ящику. Это не будет преступлением, пока он не уничтожит/заблокирует и т.п.? К тому же, даже банальные скриншоты — это копирование.
Dubor
суд принимает решение не по аналогиям, а по вполне определенным правилам: опираясь на текст конкретной статьи и практике применения данной статьи.
мы же говорим о том, «попадает ли автор под действие статьи?», а не про то, считаю ли я преступлением то, что кто-то сумел подобрать пароль к моей почте?
Trunk
Интересно, на каком этапе в РЖД сейчас процессы по категорированию и защите ОКИИ (Объектов критической информационной инфраструктуры)? Возможно уже все категорировано и защищено? По бумагам…
syrslava
Видимо, на этапе «Фотографировать здание вокзала запрещено, это стратегический объект!!»
Harwest
Да-да, при этом лично проходил на вокзале двухэтапный контроль с интраскопами: проводили в спец комнату попросили включить и показать зеркалку. При этом в том же рюкзаке лежал пакет с десятком огневых фальшфаеров и цветных дымовых шашек.
questor
"Театр безопасности"
DaemonGloom
"Ну хоть что-то у нас в безопасности."
El_Kraken_Feliz
Камеру вырубать надо?:)
ascheck
«попросили включить» — это другое. С ноутбуками та же история, просят включить, чтобы убедиться, что это ноутбук/камера, а не способ пронести на борт что-то что нельзя.
jok40
Вы не поняли сути прикола. Это бородатый интернет-мем.
PsyHaSTe
gresolio
EVolans
Всмысле на каком? Провели категорирование и отписались как все и все. Требования защитить насколько я помню нет. Плюс на это деньги то с бюджета пойдут — можно конечно за свой счет если разрешат, но вроде страна не на столько дураков, т.е. защищаться пол страны будет за наши налоги. Ощущение что вы 187-фз вообще не читали ниразу.
Trunk
Почему же нет требования защитить?
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
Сроки да — точно не определены и зависят от сроков проведения категорирования.
EVolans
Срок проведения категорирования уже прошел, краний насколько помню был 1 октября 2020 года, потому что подача окии был срок 1 сентябя 2019 года, а категорирвоание в течение 1 года со срока подачи ОКИИ.
Для вас «требование защитить», и «требования по/к обеспечению защиты» синонимы? Вы правильно заметили — сроков после подачи категорирвоания нет. И не будет в ближайшее время, прост опотому что это не возможно в ближайшие несколько лет по факту. ЭТо физические не возможно, нет ни оборудования, ни кадров, а там на минуточку от 5 лет светит минимум. Кто на это пойдет работать за копейки?
Scratch
Мне кажется, пока им реально не снести все камеры, они ничего не сделают. Опять отмахнутся и всё
dvserg
Да камеры — это только верхушка айсберга. С таким подходом и критически важные элементы управления уязвимы. Что стоит «звездатым» хакерастам остановить национальные ЖД перевозки в какой-либо критический момент?
F0iL
Например, там были интерфейсы управления ИБП, причем, судя по всему, больших ИБП. Кто знает, что именно за оборудование там к этим ИБП подключено?
Опять же, IPMI-интерфейсы серверов, и точно такой же вопрос, что именно на этих серверах крутится…
А уж конфигами сетевых маршрутизаторов так вообще можно много веселого наворотить.
HappyS
ну потом какой нибудь школьник по приколу положит все это дело, а будут орать что это байден взломал. коллапс будет колоссальный транспортный. перевозки грузов стоят миллиарды рублей, не говоря уже о том что там полюбому где то есть самописная древняя как *** мамонта система управления стрелками, и можно просто два состава воткнуть друг в друга.
vyo
Задача не из самых популярных, так-то говоря, чего бы системе и не быть заказной/самописной? Понятно, что она на деле дико корявая и далека от best practices, но самописность к этому же не обязательно приводит.
slepnoga
Вы эта, СУ СБЦ недооцениваете ))
Там до сих пор релейная автоматика на стативах, 60 вольт от телефона и все прочие дела и технологии времен главного железнодорожника Лазаря Кагановича.
Myxer
Поправьте меня, если я неправ, но когда оно все ляжет, то это никак не отразится на карманах тех, кто этим управляет. Зато когда это все надо будет восстанавливать значительная часть средств осядет в их карманах.
Так что получается они руководство напрямую финансово заинтересовано в наличии этих дыр и в действиях школьника.
Потом конечно скажут что он смотрел "берлинского пациента" и вобще завербован ЦРУ.
zetroot
Fallback до жезловой сигнализации не позволит
KivApple
Так это надо успеть среагировать. Ясное дело, что уже через сутки, если не меньше, поезда хоть как-то, но ходить будут. Но что мешает пользуясь эффектом неожиданности столкнуть/свести с рельсов несколько наиболее интересных поездов (а ещё бонусом заблокировать несколько интересных путей, жезловая сигнализация покорёженный поезд с пути не уберёт)?
JerleShannara
Железо в СЦБ делалось в те времена, когда ПК был Паровым Котлом, а не компьютером. Оно тупо не даст так выставить стрелки, пока будет исправным.
El_Kraken_Feliz
Вообще есть возможность пустить поезда лоб в лоб, отключив СЦБ
Так что глубоко в теории это не помеха
DMGarikk
этож каким образом то? руками переключая стрелки и заставив всех участников движения нарушить все существующие регламенты?
psydvl
Ну предположу что человек который переключает стрелки слепо верит тому что ему компухтер напишет
Так что да, чужими руками переключая стрелки в неподходящий момент
DMGarikk
стрелки практически везде прелеключаются автоматически. чтобы вручную переключить автоматическую стрелку, надо кучу бумаг потом исписать и чутьли не лично нескольких вышестоящих начальников в известность ставить
а ручные стрелки переключаются стрелочником по указанию диспетчера (по рации, а не по буковкам в комьютере… стрелочники у нас еще не доросли до своего компьютера), а тот в свою очередь верит не компьютеру, а графику движения поездов, схеме станции (в своей голове в первую очередь) и фактическому расположению подвижного состава там (тоже по сочетанию графика, своей головы и самое главно — рации)
Jsty
А данные о location поезда возможно сфальфицировать? Как они диспетчеру передаются? Может ли он увидеть поезд не там, где тот находится, а за 10 км до того местаб например, и на основе этого решение принять о переключении стрелок?
JerleShannara
Если отключить СЦБ, то поезд, условно говоря, перейдёт в «безопасный режим» с кучей ограничений, в том числе и по скорости и по действиям машиниста.
Sap_ru
Можно, например, перевести стрелку под составом. Или непосредственно перед составом — светофор-то переключится, но затормозить машинист всё равно не успеет.
DMGarikk
железо СЦБ сейчас уже апгрейдят
adictive_max
Прямо столкнуть или с рельсов свести — это сильно врядли. Там везде, где только возможно, защита от дурака зашита на аппаратном уровне, уж на таких критичных операциях — точно.
unC0Rr
Беглый поиск в гугле подсказывает, что перевод стрелок под поездом случается регулярно, а есть и вообще такое, меньше двух месяцев прошло:
Anrikigai
Вообще очень удивительны мне такие истории.
Там же везде телематика стоит. Светофору никто красный не включает, он сам зажигается, когда поезд на конкретный участок пути въезжает.
И выключается сам, когда поезд покаидает этот участок.
Поэтому бывают переезды, которые подолгу стоят закрытыми в отсутствие поездов. Условно говоря, Состав заехал на перегон, и остановился. Может электричка, а может просто технические какие-то работы.
И сами поезда не должны на следующий перегон выезжать, пока он не освободился…
Со стрелкой надо, пожалуй, в рамках одного такого перегона столкнуть.
Так что, возможно, случаи перевода стрелок гораздо более часто встречаются, чем мы об этом знаем. Просто при достаточном расстоянии предотвращаются автоматически (остановкой и потерей времени).
Norno
Вопрос же еще в расчетном пути торможения, одно дело когда надо «не догнать впереди идущий поезд» или «успеть остановиться до стоящего» и другое когда 2 поезда движутся навстречу друг другу, вполне вероятно, что как раз последняя ситуация и не решалась имеющейся системой. А у груженого товарного поезда инерция ого-го.
Anrikigai
Да, согласен.
Поэтому и полагаю, что такие инциденты на самом деле не так и редки.
Просто мы знаем о тех, когда звезды сошлись ну совсем уж неудачно.
Примерно как на дорогах — даже суперводители совершают ошибки. Но большинство из них корректируется другими. А ДТП происходят, когда несколько факторов сошлись.
Fragster
В реальной жизни там есть еще и желтый цвет, который сообщает о том, что дальше будет красный. Это при попутном движении. А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда. И это не один светофор, они установлены через каждые n метров (сколько этот n не знаю, но на прямой видно почти всегда несколько. Наверное есть какие-то нормы на это)
DMGarikk
там тоже по разному бывает, есть вариант когда они вообще не горят если направление 'встречное' и у машиниста есть инструкция что делать если светофор не горит и не закрыт скрещенными планками
Fragster
В open ttd это называлось path based signals, и служило для (имхо читерского) увеличения пропускной способности блоков со стрелками. Могу предположить, что на крупных станциях с большим количеством стрелок никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками. Как раз из-за не очень хорошего планирования (задержали отправку или кто-то приехал раньше) или перегруза станции. А «под поездом» переводят стрелки тупо потому что напутали. Ну или нет инфы, что он закончил движение по ней.
DMGarikk
1) никто не ставит — да
2) разруливается всё автоматикой, 'враждебный маршрут' просто не соберется… на некоторых станциях пути не кодируются и светофоры на них не стоят маршрутные… максимум маневровые, ответственность за сборку маршрутов несет диспетчер вместе с автоматикой… машинисту стоит только доступные сигналы смотреть и то что стрелка правильно переведена
не напутали, а чтото гдето глюкануло, реле залипло, не сработал концевик у стрелки… СЦБ очень сложная система и в ней как в любой сложной системе есть баги и всякие неявные глюки против которых есть костыльные обходы… и при нарушении регламентов (ремонта, обслуживания, сборки маршрутов) и происходят такие казусы
SH42913
Ну вот, спасибо за напоминание, теперь опять пропаду в OTTD на несколько дней :D
imm
Переходи на
темную сторонуFactorio, там тоже есть паровозикиSH42913
В Factorio ты делаешь транспортную сеть для себя, а в OTTD для людей! Ну и автобусов в Factorio нету :D
ardraeiss
Люди в OTTD лишь один из множества грузов.
Fragster
От организации транспортной сети зависит рост городов
Sap_ru
Светофоры действительно работают независимо и переключатся, но стрелку деспетчер-то может в любой момент перевести. Принудительно сбросить маршрут по ключу и перевести. Учитывая, что ДЦ уже давно электронное и сделано на говне — кривые программы на каком-нибудь QNX — то всё это более чем возможно.
Vrocheck
Диспетчер не может сбросить занятый маршрут, не может произвольно перевести любую стрелку. Автоматика в СЦБ надежнее людей, которые с ней работают.
Для таких «инцидентов» должно совпасть несколько факторов: неисправность + ошибка работника, или одновременная ошибка нескольких человек. При количестве инструкций на жд, ошибка человека — всегда нарушение чего-то должностного. Т.е. всегда есть крайние и не «назначенные», а действительно виноватые.
Поэтому работа в «поле» — сложна, ответственна и не благодарна.
А вот IT туда пришло сильно позже и не пропитано спецификой.
EvilBeaver
А точно?
Tomasina
www.youtube.com/watch?v=RdF6DaeOeX4
modestguy
Для того, чтобы начать что-то делать — нужно освоить бюджет )))
questor
Если им вырубят камеры — они просто посадят того, кто это сделал и попросят много мильёнов из бюджета. А если вырубят из третьей страны — обвинят каких-нибудь американских хакеров, удобно же.
Так что скептически оцениваю возможность изменить к лучшему таким способом, слишком там сильно забюрократизированная структура.
Leonid_E
Так и вырубить через омериканский прокси или впн :)
Pavel_The_Best
Не всё так просто
TimsTims
Viceroyalty
Они наживутся на закупке новых и скажут «ломайте есчо»
(сарказм)
imbasoft
По логике вещей РДЖ — это критическая информационная инфраструктура (КИИ, 187-ФЗ) и по данному случаю должны возбудится ФСТЭК, ФСБ как церберы данного вопроса.
Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.
Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.
Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.
LMonoceros Автор
Честно говоря, я много об этом думал.
С одной стороны весов — попасть под статью, а на второй — национальная безопасность всей страны.
Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы… Я дурак?
KorP
А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…
dakuan
Тут палка о двух концах. Если обратиться напрямую в РЖД или компетентные органы, то статья может точно так же светить (прецеденты были, к сожалению) и в этом случае публичная огласка и поддержка общественности может помочь автору.
KorP
Этичный хакинг, если это не касается вашей собственной железки/системы, это изначально палка о двух концах.
TheKnight
Что ж, остается пожелать вам удачи. Будем надеяться, что разум победит и все с вами будет в порядке.
Viktor_T2
Да, дурак, извини. Ты поимеешь проблем.
MartiniStar
Романтик. Да. Но уж точно, не дурак.
Miharus
Есть такой русский фильм, он так и называет «Дурак», там ситуация описана 1 в 1.
Barma2012
Совершенно верно!
Отличный фильм, кстати — всех россиян приглашаю к просмотру ))) Будет актуально.
sim2q
тяжёлый фильм, лучше Аритмию глянуть
AllexIn
Никакого описания 1 в 1 нету.
В фильме ГГ полный идиот, который вместо того, чтобы донести информацию начинает тупо истерить и выгонять людей на улицу.
Это как если бы автор статьи пришел на вокзал и начал орать, что все должны уйти, потому что сеть РЖД в любой момент может нагнуться. Согласитесь, совершенно идиотское поведение.
Так что, повторюсь, название фильма соответствует уровню интеллекта ГГ и не имеет отношения к автору этой статьи.
N1ght1ngale
Такие статьи, как мне кажется, лучше постить либо находясь не в России, либо с использованием всех возможных средств обеспечения анонимности.
Darth_Anjan
С одной стороны вы правы, и многие, я думаю, вас поддержат. А с другой стороны, мы же в России живём… Смотрели фильм «Дурак» (2014)?
nerudo
Я даже к нему финальную сцену придумал: рассматривает кто-то его бумажки с вычислениями, всматривается и говорит: «Так он же десятичную точку не туда поставил. Во дурак!!!»
rexen
Россия тут не уникальна. Достаточно вспомнить историю с Боингами 737 Max. Даже параллели со статьёй есть — например, Боинг «сам себя сертифицировал» — так же, как и «РЖД сам себя аудировал».
MartiniStar
Россия начинается с себя.
Это не фильм. Это человеческие жизни.
Вы знаете что он там нашёл?
Если согласились что не дурак, то понимаете что козырь в рукаве припрятал.
Вот лично яб, не поехала сейчас даже на электричке.
Дети ломанулись проверять, что там интересного есть.
Неее, не смотрела. ))) Мне уже по названию, не очень нравится. ))))
syrslava
У «Идиота» Достоевского тоже сомнительное название. Однако)
MartiniStar
Дурак не интересен, а идиот всегда.
Как правило, яркая личность с богатым внутренним миром )))))
wigneddoom
Я смотрел, фильм хорош, правильный посыл, интересная история. Но, что касается действий и поведения власть имущих, то какая-то клюква. Складывается ощущение, что сценаристы насмотрелись американских фильмов и натягивают их реальность, где действительна сильна местная власть в штатах, полиция подчиняется мэрии и т.д., на российские реалии.
MartiniStar
Мой комент не информативен.)
Оооо вы такой милый в этом ответе. (Смайлик с глазками из сердечек) )))
Вот настоящий рыцарь нашего времени, защищающий свою страну и обычных граждан.
(Смайлик с глазками из сердечек) )))
Власть будет иметь претензии, подумаем, поможем. Напишите на habr ;)
yewuv
К сожалению, тут уже вопрос не в том, накажут (не дай бог) вас или нет. А в том, заделают ли все дыры или ограничатся парой-тройкой указанных. И, к сожалению, при таком подходе к работе вполне вероятен второй вариант, то есть фактически безопасность никак не изменится.
outlingo
Там все средства распилены и занесены куда надо кому над ов нужных пропорциях, поэтому на выполнение работ денег нет. Поинтересуйтесь сколько там получает какой-нибудь «ведущий специалист» и потом попробуйте представить, пойдет ли на такую оплату спец достаточно высокой квалификации?
ascheck
Ой, вот в средствах они не особо ограничены. Когда РЖД надо, оно берёт из бюджета сколько надо. На что оно тратит — другой вопрос, но вопрос исключительно их желания, а не возможности.
reci
Предыдущий комментарий об этом и был)
Fragster
Вероятность того, что после этой статьи какой-то скрипт-кидди с нестабильной психикой это сделает сильно возрасла. Сецурити бай обсцурити, все дела. А Джо реально не Неуловимый в данном случае. Интересно только одно — автор действительно нарвался случайно, или все-таки был интерес?
Viceroyalty
У скрипт-кидди обычно нет цели сломать все на корню
ascheck
да, но есть минимум 2 случая в истории когда это делалось скрипт-кидди случайно.
Jsty
Можете привести примеры?
questor
Прямо говоря: да, вы дурак, могли бы сидеть и промочать в тряпочку. Когда за вами придут — опубликуйте кошелёк, куда можно перевести добровольные пожертвования на хорошего адвоката, попробуем отбить, как Голунова в своё время не дали посадить.
Vort123
Всего лишь надо было пожертвовать пиаром и опубликовать статью с одноразового аккаунта. Скрывая свой IP как во время исследования сети, так и во время публикации статьи. Если там такие специалисты, то цепочку прокси им не раскрутить, даже с помощью Яровой.
jawakharlal
как мне кажется -вам сейчас надо срочно валить за пределы страны, хотя бы на месяц.
questor
Я надеюсь, что УЖЕ. ДО публикации статьи.
lazer1064
А мне кажется, что для «фигуранта», ну который «берлинский поциэнт», и его коллег из беллингката есть новая тема для феерического расследования.
playnet
Месяц? Лет 5 минимум. Подруге жены так пришлось в турции остаться, уже третий год как. Липовое обвинение на родителей выдвинули, но и их арестуют если получится (я так понимаю, в розыск только внутри страны подали). Родителей до сих пор «судят».
MasMaX
Главное не на поезде
PsyHaSTe
Удачи вам. Не пропадайте из информационного поля, пишите что как
O5e2e2
Думаю найденные вами уязвимости наверняка мониторятся спецслужбами наших западных партнеров. И не только в РЖД.
O5e2e2
Ух ты!!! И в карман ему и наверх ему… :)
Представители спецслужб наших западных партнеров всегда на посту!
tehdima
Не дурак, но вызываешь сочувствие в хорошем смысле
Прекрасно понимаю эту боль и тягу к жертвенной справедливости, и, честно говоря, жертва абсолютно равноценная. Была бы если бы это на самом деле решило проблему.
Скорее всего, если это все до них дойдет, они спустят на тебя собак что бы замять эту тему под темой «УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ», потому что их основная задача не сделать хорошую систему, а прикрыть свои задницы.
И вот от этого еще грустнее, потому что поезда нужны не потому что они удобны и быстры, а потому что это критически важная инфраструктура в случае черезвычайных ситуаций и военных действий, и если эти ситуации возникнут по вине злоумышленников то им ничего не стоит и лишить нас этой инфраструктуры. Но это функционеры не видят за тенью своих годовых премий.
Я правда надеюсь с автором все будет хорошо, помню его еще по старым статьям про прошивки роутеров. Если мне не изменяет память то на хабре был прецедент преследования после какого-то пинтеста метрополитена.
Areso
До боли напомнило, когда нашли открытый ftp сервер МВД (?) Украины… и опубликовали это на Хабре.
ужасные, коварные, русские хакеры из интернетов, агась
А Хабр обозвали хакерским не то форумом, не то сайтом.
Буде посмотреть на развитие событий, как говорится.
Zolg
Это интернационально: ведь и в solarwinds123 оказывается JetBrains виноват
Louie
Пока никакого попадания под статью нету. Все, что опубликовано здесь — не может быть однозначно идентифицировано. Преступного умысла нет. Доказать, что именно вы получили доступ куда-то весьма сложно. Но это пока.
Рекомендую проконсультироваться с адвокатом на предмет дальнейших действий, т.к. при контакте с РЖД или правоохранителями придется обьяснять как и чего было. А в этом случае могут быть классические истории по Достоевскому, типа «Вы и убили-с».
Materializator
Экспертизу зачастую делают специализированные люди из специализированных номерных институтов. Так что уже можно собирать деньги на адвоката и экспертизы защитников.
Max-812
Нет. Вы честный и немного наивный человек. В современной России это уже почти исчезающий вид. :( Искренне желаю Вам удачи!
gxcreator
Ну, типа.
Надо было публиковать с фейка через тор.
dAllonE
Вам виднее. ?\_(?)_/?
Надеюсь перед публикацией вы оценили юридические риски, посмотрели на всякий случай видео о жизни в тюрьме и точно понимаете чем рискуете.
Лично мне, оценка «безопасности граждан моей страны» выше своей свободы не очень понятна. Вроде бы у IT специалистов нет особых проблем с переездом, можно просто выбрать страну с более защищенными гражданами, если очень беспокоит этот вопрос.
Viceroyalty
Нет, подозреваю, что Вы либо патриот, либо отчаянный человек, либо отчаянный патриот. Но все же лучше не рисковать.
SerJ_82
Товарищ, у вас случайно нет канала на Ютубе? =)) Рассказ был крайне интересен, и может есть такие же обучающие видео?))
sim2q
upd: глянул — профайл обжитый, эх… Удачи Вам!
up2: и нам — в не меньшей степени как юзерам всего вот этого
hamMElion
Вы не дурак — вы журналист. Задача журналиста находить, проверять и распространять информацию. Вы это сделали, причем отлично и профессионально. К сожалению, в России журналистов преследуют. Как можно скорее свяжитесь с профессиональным журналистским сообществом — вас защитят, им не привыкать. Профессиональное айти сообщество пока так, к сожалению, не умеет.
Второй момент — наведенная вами прозрачность на качество работы ответственных за это людей позволяет привлечь их к ответственности. И это им нужно реально бояться, а не вам. Вы просто сказали — а король-то голый. Очень-очень круто!
strcpy
Поступок идеалистический, вы видимо исходите из того, что вас окружают граждане. Но это не совсем так, это население, которое одобрило поправки в конституцию, которые в целом обеспечивают безнаказаность и стабильность феодальной системы.
dvserg
Да по сути здесь бы РКНу или какому-нибудь надзорному отделу МО за задницу хорошо взять разгильдяев от бизнеса. Любая критически важная для выживания страны в не мирное время структура должна быть защищена. Но «мы» можем только телеграмм пытаться блокировать.
BioHazzardt
ИЧСХ даже этого сделать не смогли
ximaera
Регулирование КИИ включает в себя также понятие преступной халатности, так что РЖДшникам также должно прийтись несладко.
vanxant
халатность наступает, только если есть ущерб (в прямых деньгах или здоровью-жизни).
sinneren
О, ведь это получается дешёвая, почти бесплатная защита. Зачем нужно тратиться на проектирование, интеграцию, поддержку такой системы, когда можно прикрыться такими влиятельными органами. Ведь если «дурак» влезет и что-то сделает, на него спустят всех собак, при том не своих, затраты — 0 (почти, издержки из той статьи расходов на камеры там, куда меньше, чем платить спецам хорошим. А ведь можно будет и попилить закупки в итоге, еще в наваре).
Areso
Не до всех дураков «влиятельные органы» могут физически дотянуться.
Пока Интернет окончательно не разрезали на лоскутное одеяло в пределах стран, всегда есть шанс, что там поиграется кто-то из нерезидентов.
sinneren
согласен. куда не дотянутся — там вон про издержки как я писал. А терр угроза как по мне за уши притянутое уж.
alexhott
Вот если автора начнут докучать, то в отместку от может написать всем этим органам и они будут вынуждены проверку провести, а без заявления не шевельнется никто, по бумажкам все чиннно.
svs422
Не только статья 272, но и 274.1. Можно посмотреть на этот счет накопленную судебную практику, интересные прецеденты уже были. Вот пример из блога моего коллеги, Валерия Комарова:
valerykomarov.blogspot.com/2020/11/2741.html
Если коротко — сотрудник сдавал экзамен для допуска к выезду и решил воспользоваться программой для обхода системы тестирования. Использование такой программы приравняли к «использованию компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации».
Так что, к сожалению, закон в этом случае может сработать, если применить аналогичную аргументацию. Но надеюсь, что предупрежден — значит вооружен, и автора это не коснется.
dakuan
Пугающая новость. При таком подходе к безопасности в этой сети запросто могут отыскаться не только незащищенные камеры, но и системы посерьезнее, с помощью которых злоумышленники могут натворить дел.
questor
Конечно найдутся. Вот например, под новый год опубликовали новость, что два года официальные лица в МВД пользовались чатиком в ватсапе, где публиковались передвижения первых лиц в государстве. Двести человек знало, Карл! Ни один не догадался, что это прямой слив информации! И это может быть завтра объявят фейком, но видя такие дыры, как в статье, очень сложно не поверить, что у нас в безопасности всё хорошо.
androidt1c
Вот совершенно наплевать, если утекут данные о передвижениях чиновников. А РЖД — это серьезно. А что у нас? Наказали кого-то из РЖД после предыдущей публикации. Скорее — наградили. А за чатик в ватцапе — сразу главу ГИБДД сняли. Наглядно — приоритеты властей!
Daimos
Видел комментарии, что туда дезу сливали, но в такое слабо верится.
KorP
Главное, что бы очередным «натуралистом» не объявили и товарищи в погонах не пришли.
AndreyDmitriev
Если там scada наружу торчат, то может там, внезапно и стрелки можно переводить?
Я много где на заводах работал, но такое впервые вижу. Обычно сеть проектируется разумно изолированной, а выходы в инет для сервисных целей защищаются несколькими замками.
questor
А ещё лучше: физически чтобы не было входа в изолированную сеть. Бывало, по два компа ставили на рабочее место: один в заводскую офисную сеть имеет доступ, другой — в АСУТПшную.
el777
Для защищенных сетей с уровня ДСП и выше только так.
Я когда услышал про это лет 20 назад смеялся — типа, вот чуваки даже про фаерволы не в курсе. Но на самом деле только так и можно. Кто знает какие есть дыры в самом фаерволе, его прошивке и т.п.? А они точно есть и только ждут своего часа.
Подтверждение — диверсии спецслужб против Иранской ядерной программы. Началось безобидно с возможности вставить флешку в USB, закончилось физическим распидорашиванием кучи ценнейшего оборудования, потерей наработанных веществ и нереальным убытком.
knotri
А где про это можно прочитать подробнее?
Naves
habr.com/en/post/159053
ru.wikipedia.org/wiki/Stuxnet
ну и далее по ссылкам
me21
Google stuxnet
onix74
Инфраструктура РЖД, насколько я понимаю, относится к стратегически важным объектам. Должно быть всё выверено, проверено и перепроверено, всё по протоколам и «чек-листам». Неужели везде у них норм, а в сети такой бардак. Судя по этой статье и по статье, на которую ссылается данная, сеть строил «сын маминой подруги». Не укладывается у меня в голове, что может быть такой бардак. И верю не до конца, хотя и понимаю, что много специалистов, которые только лишь сертификатные специалисты.
ert112
Хотели бы сделать РЖД безопасной — сделали бы. Кхе-кхе (с)
alamer
«Сын маминой подруги» зачастую сидит на аутсорсе.
Когда РЖД внедряли портал, с которого утекли персональные данные, мы с коллегами докладывали начальству о том, что персональные данные всех сотрудников после авторизации фактически в открытом доступе. Но никто не воспринял разработчиков из региона всерьез и отмахнулся.
При этом нашим системам регулярно устраивали аудит.
belyvoron
понимаете, в чём дело. У нас в стране есть ИБ «чтобы соответствовать по бумажкам» и ИБ для реальной защиты. И вот совершенно разные. Вплоть до того, что файрвол, который имеет сертификат ФСТЭК, не защищает ни от чего. По одной простой причине, чтобы получить сертификат ФСТЭК, вендор выпилил всё что не прописано в нормативных требованиях, то есть по факту 90% того, что имеет отношение к реальной защите в современных реалиях.
Поэтому потребитель строить сеть либо чтобы соответствовало, либо чтобы была хоть какая-то защита, либо и то и то, но в 2 раза дороже. Если ты КИИ, то не соответствовать ты не можешь.
force
Да-да. Давайте шифровать взаимодействие. Но для этого же нужно пароли/сертификаты/ключи где-то хранить, а это мы сразу попадаем на разборки с безопасниками. Ок. тогда не будем шифровать, нет паролей — нет проблем.
coolmiha
Вы нашли открытый прокси или vpn? Как вы через прокси (http? socks?) попали во внутреннюю сеть?
LMonoceros Автор
Я и то и другое нашёл. И не в одном экземпляре.
denisshabr
всё равно непонятно. VPN же требует пароль? Он был сохранён в микротике, в котором была открыта прокси без пароля?
Pavel_The_Best
Человек и так уже на статью наговорил наверняка. Вы хотите, чтобы он в открытый доступ выложил инструкции, как он эту информацию нашел? Чтобы пара школьников-хацкеров парализовала ЖД-перевозки в РФ, по сути уничтожив все надежды на нормальную жизнь?
Автор статьи довольно хорошо сохранил баланс между «я взломал РЖД, но я вам об этом ничего не скажу» и «запускайте вот этот скрипт и 600 людей умрут от столкновения двух поездов».
blind_oracle
Прокси без разницы куда делать коннект — внутрь или наружу. Если оно не настроено правильно, конечно.
saintbyte
Прям фильм про хакеров из 90х.
Хотя я подозреваю это проблемы роста — я каждый день удивляюсь как навнедряли технологий в РЖД — прям светлое киберпанк будущие. А по сути со всеми этими технологии — люди которые вот отличие от меня испытавают не радость, а раздражение «этими инновациями»
mentatxx
Зарплаты небольшие, мониторинга очевидно нет, результат понятен
u440
На счёт зарплат в РЖД — информация несколько не корректная.
Они там выше медианы рынка, причём прилично.
alamer
Откуда информация? Сам отработал там в IT. И знаю ребят в IT в москве. Найти оффер на x2 от той зарплаты, что платили там, было очень просто. Буквально неделю заняло
u440
Когда подбирал себе людей (банковский сектор, ИТ) несколько раз РЖД перебегал дорогу зарплатами. Что было несколько удивительно, так как слухи про них как раз были, что там всё ИТ в нищете.
DMGarikk
вы когда так говорите, приводите в пример вилку
ну там например 150-250/250-300 миддл/сеньор
а то может вы себе людей подбирали на 50-100к и вам РЖД дорогу перебегал (вообще мне сложно представить вменяемого ИТшника который туда пойдёт хотябы просто с резюме… туда ходят обычно потомственные железнодорожники… но там своя секта такая внутренняя)
u440
Банковское ИТ.
2016 год.
Jun back — от 80 килорублей.
Senior back — 180 — 250 килоруб.
Собственно говоря уже отсылка к банковскому сектору осведомлённому человеку должна была всё сказать.
DMGarikk
Банковский сектор — это не только сбер. я вот к чему. далеко не все банки и связанные с финсектором организации платят по рынку
outlingo
Угу. Начальник отдела 300, 4 подчиненых по 50, в среднем 100. Знаем, да
gecube
когда звали в Сочи — там лаборатория у РЖД — зарплаты были сильно ниже рынка… Но это возможно я испорчен столичными ожиданиями (Северная Столица и Москва)
playnet
Везде по стране будет ниже москвы, это да. А вот питер уже может быть не сильно выше средних.
Для опытного девопса 200к в мск это маловато, для питера уже норм и думаю выше среднего. А в регионах да, там и 80 может быть круто.
mentatxx
Это не сложно проверить (вдруг за 10 лет многое поменялось)
Например, программист в Москве — от 60К, в Нижнем Новгороде — от 40К
team.rzd.ru/career/list/job/programmist
u440
Москва. 2020 год. Крупный вендор.
Программист бэк-энд junior (в терминах РЖД — «программист») — от 40 килорублей.
anonymous
Ну, если у РЖД "программисты" это сплошь джуны, то я, честно говоря, не удивлен описанному в статье.
Ну и с вашим "крупным вендором" явно что-то не так, в СПб (зарплаты которого от Москвы обычно отстают) 40к — это уровень скорее даже интерна/трейни, а не Джуна.
DmitryLTL
А куда вы думаете устраиваются толпы проходимцов курсов? Им же где-то надо начинать. На всех смузи не хватает.
around84
а сыров и того меньше =)))
nnick44
Да, безалаберность полнейшая и какое то ощущение что это не только в РЖД
t911
«И чё!?» (с)
Логика топа скорее такая — то, что система не окружена рвом с крокодилами и не обнесена колючкой под напряжением, не означает, что можно легко залезть и открыть замок простой отмычкой.
Те кому надо инфой свободно пользуются, молча…
Кто навредит — легко найдут и покарают.
Имхо проще и дешевле ловить и наказывать, чем строить крепостные стены вокруг сарая.
Yuriy_krd
С таким бардаком, который описан в статье, думаете, это возможно?
t911
Это не бардак, а контролируемый хаос)))
questor
Слово "контролируемый" выглядит лишним в этом предложении.
Strohmann
Интересно, ты даже специально зарегистрировался, чтобы высказаться ;) Или уже поступил госзаказ на формирование восприятия статьи и приступили к выполнению?
t911
Ну да, решил выступить адвокатом дьявола.
И при чем тут госзаказ!? Я привел лишь одну из причин, почему в ржд все так сложилось. Не нужно параноить.
SignFinder
«Не подкармливать троллей». Отсутствие реакции на подобные посты ИМХО — лучшая реакция.
Хотя на хабре это не пройдет-публика тут не проглотит «Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.»
u440
Банан — иногда это просто банан. Не стоит придумывать (или проецировать тайные страсти) лишнего. Хабр славится своей «оппозиционной» картиной мира, но кроме борцов за независимость от разума и штатных пропагандистов на окладе существуют просто разумные и думающие люди. Которые просто высказывают своё личное мнение.
Которое почти всегда не совпадает с мнением борцов за всё хорошее и против всего плохого.
anonymous
Нюанс как раз не в несовпадении мнений (среди борцов за все хорошее разногласий тоже полно), а в том, что зачастую ваши "разумные и думающие" люди грубо пытаются изнасиловать элементарную логику и отчаянно натянуть сову на глобус, не говоря уж вотэбаутизме и прочих грязных приемах. Что и вызывает у местных обитателей диссонанс и обоснованные подозрения.
Да и в целом, как уже не раз было сказано раньше,
Да уж, чего это я, наверное это действительно просто неравнодушные граждане, молчав столько лет, решили наконец-то поучаствовать в почему-то именно в политической дискуссии и специально для этого зарегались на Хабре...
vanxant
Это в обе стороны работает. 86% берут массой, 4% за (N, M, ...) — организованностью и партийной дисциплиной.
No offence, просто наблюдение.
Viceroyalty
А что делают остальные 10%?
vladkorotnev
Жрут попкорн и молча наблюдают за побоищем :-)
DGG
Логика примерно такая, что если инкассаторов всё-равно грабят и любой инкассаторский автомобиль всё-равано можно раздавить танком, это не повод возить деньги в такси в картонной коробке
t911
Банк и привокзальный ларек все же разные по значимости и охране вещи.
Действует принцип целесообразности.
DGG
А аффтор как бы далеко не в системы управления ларьком влез
andreyverbin
Там scada системы торчат, теоретически поезд под откос можно пустить.
anonymous
Найденные дыры очень знатные, нисколько это не хочу преуменьшать.
Но очень надеюсь, что «поезд под откос» таким образом пустить невозможно.
Даже если пустить два поезда на встречу на одном пути — есть же механизмы принудительного торможения, если такое произошло, если я ничего не путаю.
Которые реализованы уже на базе семафорной сети на основе просто того что колесной парой замыкается контакт между рельсами.
То есть несмотря на всю серьезность найденных уязвимостей (оставить РЖД без камер видеонаблюдения – это действительно очень стремно) – кажется что настолько жесткий прямой ущерб все-таки невозможен.
Возможно я ошибаюсь, все-таки это совсем не моя сфера интересов и знаю я её в основном по статьям на хабре же :)
ilialin
.
Norno
Выше приводили ссылку как из-за ошибки (буквально) стрелочника, столкнулись 2 поезд, так что, видимо, имеющиеся защиты отрабатывают не все возможные ситуации.
slavai
Нет. Системы СЦБ не дадут. Для опасных действий потребуется физическое участие ДСП либо старшего механика СЦБ.
Однако ж нарушить график движения поездов — легко.
unC0Rr
Ага, например, реализуется приведённый в статье сценарий, и вся РЖД остаётся без камер на месяц. Ладно, нашли-покарали, а ничего, что вся РЖД без камер осталась на месяц, не смущает? А если это будут иностранные диверсанты, и покарать не получается, так и сидеть без камер РЖД?
t911
А если марсиане или метеорит!???
А может это вовсе и не баг, а фича?))) А может даже перепись натуралистов…
Госструктура она как женщина — глупо искать в ее поступках и решениях прямую логику.
ПС. ох и заминусили ли то)))
ximaera
О, ну самое правильное было ещё и сексизмом сейчас полирнуть, да.
t911
Тебя это задело? Странно, в профиле вроде мужской пол указан.
Вообще то была метафора.
u440
+1
Viceroyalty
Пока только -30
MartiniStar
«Женя… Чаркин ты ли это» (с) )))
KivApple
Автор указал вариант как можно простыми (справится школьник с гуглом) действиями нанести ущерб на миллиарды рублей и значительно ослабить безопасность (лишить видеонаблюдения) всех объектов РЖД на месяцок. Ну, допустим, даже поймаете вы хакера (только если он из дружественной страны) и дальше что? Миллиард он вам не вернёт, хоть вы его четвертуйте. Если из-за ослабления безопасности случится теракт, жертвы не воскреснут от посадки виновного на двадцаточку.
Вы можете привести пример из «офлайна», где настолько значительный ущерб может нанести за несколько часов человек с улицы?
u440
Водозабор для мегаполиса?
KivApple
Вы про вариант отравления воды?
1. Нужен доступ к боевым отравляющим веществам в нужных количествах
2. Нужен физический доступ (из другой страны не провернуть, высоки шансы поимки на месте в процессе)
3. Пострадает много гражданских, но не военных и первых лиц государства (т. е. стратегическая безопасность страны вне угрозы)
Viceroyalty
4. Нужно не быть замеченным иначе люди просто останутся без воды, не более
u440
Про него.
1. Для злодеев, особенно с господпиткой от партнёров — вполне проходной вариант.
2. У нас нет железного занавеса. Да и местных исполнителей можно нанять.
3. Вполне объективная цель для террористов.
4. Без воды мегаполис на 11 млн. человек это техногенная катастрофа приличного масштаба, не так ли?
Понятно что там сложностей ну очень много, и служба «Водоканала» по плотным патронажем ФСБ и наверное ещё кого. Но чисто теоретически — вполне возможный вариант.
unsignedchar
Террорист — не человек с улицы.
u440
Школяры тоже бывают весьма изобретательными. Вспомним хотя бы юношу, построившего дома рентгеновский аппарат и делавшего снимки руки. Подкладывая фотопластину на стену с соседями.
ValdikSS
Построил он его в сарае (или гараже), и испытывал там же. Ник у парня был sifun.
levtsn.livejournal.com/323151.html
u440
Сифун как раз построил вундерваффе в квартире.
Свой экспириенс он публиковал на форуме. Пошагово.
По ссылке есть фото «гаража»: https://www.yaplakal.com/forum28/topic292999.html
Areso
Стоит на сигнализации.
Охраняется вооруженными людьми.
Собственно здание водозабора стоит еще на одной сигнализации.
Видеонаблюдение.
На всех емкостях стоят пломбы.
Почти все системы контролируются — вплоть до того, что открытие ёмкости вызывает состояние тревоги в scada системе.
Перепады давления (как следствие предыдущего пункта) — аналогично.
Не забывайте, что они там имеют дело с ядовитыми химикатами (хлоркой), а также имеют в части локаций прекурсоры (что тоже добавляет пару-тройку слоев «защиты»).
Имеют изолированную не-интернет сеть (радиорелейка + проводная сеть на каких-то лохматых стандартах).
Вроде ничего не забыл.
p.s.: бывший сотрудник водоканала.
kvazimoda24
Главное, чтобы это всё не было настроено так же, как на РЖД.
Areso
1. Старые системы не являются надежными с точки зрения взлома, имхо. Единственная их защита — их физическая обособленность и стандарты, в которые молодежь просто не умеет, но если есть доступ, то набедокурить можно.
К примеру, водоканальские сети передачи данных обслуживаются поколением 55-65 лет.
2. Новые системы системы, которые строятся на современных стандартах, настроены примерно также как на РЖД, да.
Более того, в рамках разных инфраструктурных вливаний и всеобщей цифровизации происходит планомерное замещение старых систем новыми, и вот по поводу новых у меня тоже были определенные опасения.
Честно, пароли не проверял, надеюсь, что не по умолчанию :)
Сам работал с ERP системой и с биллингом; компьютерные системы, скады, аналоговые сети были в соседних отделах.
И да, зарплата курам на смех (как из анекдотов про «почему инженерам так мало платят?»), поэтому средний уровень специалистов и их мотивации тоже не фонтан.
u440
Аналогичная ситуация и в энергетике — переход на новые стандарты при сохранении старых подходов и оценки опасности на уровне «к нам влезет краб Моссада».
playnet
Мы часто купались в водоёмах «не купаться, охранная зона водоканала», никаких заборов и охраны. Хотя сам водозабор где-то далеко был.
unsignedchar
Мимо. Ничего из того, что может закинуть туда человек с улицы, сквозь фильтры не пройдет. А что пройдет — будет в гомеопатических концентрациях.
Areso
Можно «закидывать» то, что уже есть на станции. И это, имхо, более страшный вариант.
К примеру, из недавних факапов, ставших публичным:
realt.onliner.by/2020/06/24/chto-sluchilos-s-vodoj
unsignedchar
Человек с улицы это не сделает.
Areso
Человек с доступом до Скада системы сможет отравить половину города.
И да, если раньше для этого нужно было иметь человека среди персонала, то теперь, в век всеобщего интернета вещей (IoT, где s значит безопасность), уже необязательно.
Достаточно вывести Скаду в общую сеть предприятия и иметь контур управления, доступный по локальной сети…
unsignedchar
Это не совсем человек с улицы. И что он на самом деле может сделать? Отключить обеззараживание? Это быстро заметят, и воду набирают не из болота… Вряд ли. Отключить обеззараживание и добавить в воду ботулотоксина какого-нибудь? Это совсем не человек с улицы.
Налить очень много хлора? Заметят сразу.
Выпустить весь хлор в воздух? Не думаю, что тесть такая кнопка.
Но в солонку нагадить сможет без особого труда, конечно же.
juray
Так вроде сильно мало где еще осталось хлорирование газообразным хлором (если вообще осталось), соли — гипохлориты гораздо безопаснее и удобнее.
KivApple
Ну то, что есть на станции, даёт слишком явные признаки, что с водой что-то не то. Подавляющее большинство людей её либо не выпьют совсем, либо выпьют недостаточные количества для серьёзного вреда здоровью. В новости нет никакой информации о пострадавших.
Ситуация неприятная, но не смертельно опасная. Для реальной угрозы нужно подмешать то, что не меняет в значительной степени вкус и запах воды (есть ли такое на станции?). Плюс чтобы это сделать из злого умысла нужен физический или виртуальный доступ на станцию. В новости нет ни слова о взломе, а на Хабре не было ни одной публикации о столько больших отверстиях в очистных сооружениях РФ. То есть человек с улицы идёт мимо.
u440
А если человек идёт не мимо, а на водохранилище? До станции водозабора?
unsignedchar
Гомеопатия тогда.
Gryphon88
Вы предлагаете грузовик азида в воду всыпать, или что?
u440
Я ничего не предлагаю, я рассматриваю такую возможность и степень её вероятного использования разного рода индивидуумами и организованными группами таковых.
Gryphon88
Если вкратце, то притравить водохранилище так, чтобы умерло много людей, может не любой, а так, чтобы не нашли, почти невозможно, уж очень своеобразная химия и в больших количествах нужна.
Areso
Вы себе представляете, как это работает?
Давайте поясню, упрощенно.
Генерально, у нас есть два популярных варианта:
1) качаем воду со скважин — это наиболее предпочтительный вариант, даже если рядом течёт река или есть водоём. Земля выступает фильтром.
2) забираем воду с водоёма. Вода забирается не с поверхности, а на определенной глубине несколькими системами. Закинуть туда что-то вероятно, но обычно это место находится под наблюдением. Без акваланга и прочих шпионских штук, тупо загрязнив водоём, мы получим хорошо если, не знаю, лишь небольшую долю от загрязнения в системе. Считайте функцией кубически обратно пропорциональной от расстояния до заборной системы.
Дальше предстоит пройти систему фильтрации. С одной стороны — это довольно эффективная штука, с другой — она эффективна не для всего.
Имхо, сложно, и надо иметь представление о том, что будет отфильтровано, а что — нет.
u440
Москва не питается со скважин. Она питается с водохранилища. Т.е. п.2
И вот тут конечно вопрос в степени технической (и химической) подготовки злоумышленника.
Areso
Я говорил про общие случаи, понятно, что от города к городу могут быть различия. Где-то одно, где-то другое, где-то оба варианта для разных районов (к примеру, в Минске, который я сегодня здесь уже упоминал). К примеру, где я работал, у нас использовались только скважины.
artemerschow
Daimos
Минск например питается с кучи скважин по городу, плюс два района с водохранилища.
victor_2004
Понимаете ли… если у злоумышленников есть возможность тормознуть перевозки на РЖД… это залет на уровне нац безопасности. Ибо по рельсам в том числе и войска перебрасывают.
Если вдруг кто-то перейдет границу, а у нас не будет возможности оперативно перебросить резервы — то уже будет пофигу кого искать и карать.
А если у этого кого-то такая возможность будет… то это в принципе полный провал.
speshuric
Тормознуть — это одноразовый акт. А вот мониторить перемещения военной техники, нефтепродуктов, стратегически значимых продуктов — это интереснее.
u440
Это можно делать с обычным смартфоном без доступа в сеть РЖД. Достаточно группы в VK :)
Viceroyalty
Дешевле, пока не погибнут пассажиры
A114n
Даже если погибнут пассажиры — всё равно дешевле. Жизнь в РФ стоит смешные копейки. Зять Путина ковёр на свадьбу купил дороже, чем выплачивают компенсации за гибель россиянина.
Собственно, поэтому никто ничего и не будет исправлять.
Viceroyalty
lazer1064
Успехов вам в карании живущих в США или в Канаде, например.
maggg
Это всё по-настоящему пугает.
Matisumi
Это просто жесть. Государственные компании с IT — это как обезьяна с гранатой. Им сказали — надо, выдали гранату (цифровизацию), а что с ней делать они понятия не имеют. И тот факт, что граната еще не взорвалась — просто счастливая случайность.
blind_oracle
Либо просто кто надо уже давно там заложил "фугасы", подключил их к CnC и ждёт команды...
lostpassword
Вы всерьёз думаете, что частные компании как-то по-другому относятся к IT?)
Подобный хаос скорее от размеров компании зависит и от количества филиалов / площадок, а не от государственная / частная / российская / зарубежная.
nakamura
Детектив прям! Занимательное чтиво.
Товарищ майор наверно негодуйе.
Harwest
После этого Чарина должны просто уволить.
Но не в этой стране.
around84
Премию дадут. За быстрое и профессиональное реагирование на проблему ИБ.
vanxant
Да тут подлогом попахивает как минимум. Вообще можно было бы бомбануть прокуратуру
questor
Которая ответит отпиской "по произведённой проверке факты не подтвердились" и потом всю новость объявят фейком?
vanxant
А скриншоты разных кастомных систем автор в пеинте нарисовал?
PS. Вы хоть представляете, сколько может стоить замять такое дело совсем без последствий?
loderunner84
И сколько же стоит замять это дело?) Если и виновные и прокуроры в одной ОПГ?) Какой канал может выпустить подобное расследование? Дождь?) Который смотрят 2,5 человека. Кому Вы что будете доказывать? 80 процентам обыдлевшего населения? Которые уже отчетливо начали понимать, что лучше рот лишний раз не раскрывать и в ненужном месте в ненужное время не оказываться. Которые предпочтут молча платить возрастающие налоги, чем иметь неиллюзорный шанс ощутить на собственной шкуре произвол блюстителей порядка. Вот Вам материал. Все в Ваших руках. Действуйте))
vanxant
Да нет там никакой ОПГ, там совершенно разные ведомства, у которых ближайший общий начальник — премьер. В сложившейся ситуации сразу нескольким силовым ведомствам светят очень жирные палки и звёзды на погоны, а против них какой-то замдиректора госкомпании.
playnet
«замдиректора» со своими связями и крышей. И возможностью перевести стрелки ниже.
vikarti
Ну могут сказать что это такой ханипот большой для ловли хакеров и реально никакие команды отдать нельзя (а видеоролики — закольцованы). А сведения о доступе — отсылаются куда следуют.
Правда обратное достаточно просто доказываться (камеры конкретных вокзалов ж идентифицированы — пройтись под ними).
lazer1064
прокуратура не бомбанется, она в танке. А вот бомбануть пынинскую задницу очередным расследованием от «фигуранта» — это да, сработает еще как.
lostpassword
Не соглашусь.
По такой же логике, за каждый крупный взлом нужно увольнять начальника ИБ. За каждый крупный простой — увольнять начальника IT. А лучше вообще всех топ-менеджеров, сразу, пачкой.
Только вот проблема в том, что в крупных корпоративных сетях такое положение вещей часто складывается. И если после каждого подобного факапа всех увольнять, то полные кадровые чистки будут происходить каждые полгода.
Как это исправить — сказать сложно, но увольнение директора IT точно не поможет.
DimaBron
С каждым прочитанным абзацем у меня челюсть отваливалась все ниже и ниже.
Потом я подумал — ну и что, навредить то все равно наверняка не получится. А нет, получится. Моя челюсть упала снова и уже не поднималась.
Автору детектива, конечно, благодарность. Надеюсь, скоро будет позитивное продолжение.
around84
не хотелось бы, чтобы господин Чаркин (или его подчинённые) сделал автора крайним. А эти могут…
around84
Работал в компании, у которой растут ноги из красно-серого гиганта.
Сейчас срочно соберут совещание и будут думать, кого назначить виноватым. По результатам долгого и нудного совещания найдут кого-нибудь из ИВЦ, лишат премии, возможно уволят…
И спокойно разойдутся пить чай с лимончиком.
koshi-dono
От того, что это кажется таким привычным и естественным, меня тошнит.
Alendorff
istepan
Переживаю за автора.
LMonoceros обзаведитесь телефонами правозащитников и адвокатов, предупредите близких и друзей, дайте им так же эти телефоны.
LMonoceros Автор
В личку кидай. У меня нет адвокатов
hMartin
Лучше сразу договориться с кем-нибудь из Агоры(известная международная правозащитная организация, живет донатами)
Насколько помню, специалист по интернетам — Дамир Гайнутдинов, чатик Агоры в телеге легко гуглится.
У меня не было проблем с законом, но был вопрос по о перс.данных, он достаточно быстро ответил в личке.
istepan
До недавнего времени знал только Агору, но их сайт почему-то сейчас закрыт на тех. работы.
Напишет Плюшеву в телегу: t.me/PlushevRepBot
Это известный журналист которые освещает события из ИТ. У него наверняка есть контакты нужных людей. К тому же он поможет осветить в СМИ ситуацию.
McKinseyBA
Судя по UPD, проблем не возникнет. Хотя бы отблагодарили (молчу про bounty) или запугали?
akryukov
Вы считаете, что свидетельство "статья была отредактирована" достаточно для такого вывода?
McKinseyBA
Мне интересно КАК все закончилось о чем и спросил автора. Карьера Чаркина показывает его не самым большим дураком и полюбовный исход выглядит ожидаемым, впрочем дождемся ответа автора.
starfair
Не удивлен, к сожалению. В бытность работы в одной из региональных госструктур, столкнулся и вынужден был работать долгое время с сисадмином, который когда то давно самостоятельно выучил что то в UNIX ещё древних времен, и был приглашен в формировавшийся отдел автоматизации. А потом по накатанной оставался на своей должности, прикрывая свои вопиющие косяки тем, что если его выгонят, всё рухнет (а могло, так как бардак был такой степени, что и правда разобраться в нем почти нереально, а поднят параллельно нормальную среду и переводить под неё, не давали бюджет). Так вот к чему это я, был случай, когда после модернизации аппаратной части сети (на её слабость данный админ всегда упирал), остались без пароля интелектуальный свичи от Cisco (хотя делал вроде бы сертифицированный интегратор), и один сверх меры умный маменькин сынок, прийдя на работу к мамочке, легким движением мышки, просто разорвал в клочья работу нескольких отделов, банально запретив работу оптического порта, по которому шла связь между этажами. Ну и что? Думаете кто то пострадал? Ага! Как бы не так! Всегда найдётся крайний злоумышлиник или растяпа (в данном случае — интегратор оказался виноват, хотя сеть принимал этот горе админ), на которого свернут. А начальник только получит премию за очередное решение трудной ситуации, которую он, по сути и создал.
Так что статья страшная по сути если задуматься, но меня не удивляет ни разу. Схемы понятны. И эти госзакупки, в таких вопросах это огромное зло. И никакой экономии в итоге не приносит. И это касается не только безопасности, но и вообще очень многих сфер.
grub-itler
Так всеж ради бабла. Вот эти ваши сервисы для людей, удовольствие от выполненной работы, расширение горизонтов — все не нужно, т.к. на деньги по факту не влияет. И не будет влиять ни при каких условиях.
vanxant
Понимаете, то, что на вокзале условного Пердюйска может работать профнепригодный админ это одно. А вот то что у них корпоративная сеть на 10 часовых поясов без вланов, мсэ и прочего — это уже «в консерватории» виноваты.
starfair
Согласен. Хотя, у нас и не Пердюйск и выплаты через нас проходили свыше 65% от бюджета региона. И все социальнозначимые, и любая задержка в работе — это полный абзац, как говорится. Но повезло, что вовремя сделали децентрализацию именно по финансовым потокам, и такие проблемы отчасти не возникали, так как очень большой кусок задач стал решаться уже на местах. И если где что и зависало, то в масштабах районов и решить там на местах всё таки проще, ибо объёмы решаемых вопросов всё же куда меньше. А иначе, могли все эти косяки оказаться куда печальнее.
JPEGEC
Эвон как. У нас везде админы, оказывается, повально обученные на спецкурсах UNIX, а вам не свезло.
Может и программисты там не все образование имеют в части Visual Studio?
starfair
Ну, в этом вопросе немного проще. Специализированный софт писался на стороне по началу. Да и писан он был сперва на Cliper а потом поддержку осуществляли местные программисты переписав все под FoxPro. Но вообще, с реальными зарплатами которые платят в госсекторе разработчикам, там сильные квалифицированные кадры не придут даже. То же самое наверное относится и к админам. Хотя, я в свою бытность умудрился пройти полный курс системного инженера под Window Server 2003 (правда без сдачи экзаменов в Microsoft на MSСE), но к этому товарищу даже и близко лезть не стал, ибо уж очень он специфический был. А в другом подразделении всё более менее по уму тогда сделал и админил, хотя там и была сеть из отбросов, которые показались устаревшими этому горе админу нашему.
Ну да не суть! В РЖД то поди и зарплаты совсем другие, и по идее элиту среди спецов могут себе позволить переманить, а подиж — такая ситуация! :(
DMGarikk
чёто у меня прям нервный смех начался ;)))
РЖД это фактически госконтора с соответствующим отношением и зарплатами.
мне помнится предлагали должность начальника ИТ отдела одного депо, и заниматься внедрением SAP которое тогда только началось… и зарплата была… космические 55тысяч рублей!!.. я отказался… должность через полгода закрыли из-за превышения ФОТ… вместе с отделом (сократив тех двух несчастных которых успели набрать)
9660
Понимаете, суть в том что «знание unix» это совсем не рокетсайнс.
И откровенно говоря, большинство именно самостоятельно его «выучивают». Как и программисты Visual Studio. Поэтому претензия в данном моменте звучит несколько странно.
Человеческий фактор «я царек этого мирка» да, обычное дело, особенно в госструктурах.
starfair
Ну, ситуация не в том, что человек сам выучился на UNIX, хотя в 80-х, в СССР это был ещё тот квест и достижение! Я про то, что человек остался на том же уровне и просто банально не хотел повышать свою квалификацию, хотя находился на очень опасном с точки зрения безопасности функционирования месте. И кстати, самого UNIX подобного в качестве серверов или рабочих станций тогда у нас и не было. Он пришел сразу на Nowel NetWare 2.1 Затем, с огромным трудом его фактически заставили перейти на Microsoft NT ну и там по нарастающей. Но, при этом ни одних курсов или чего то подобного. И на деле рулили какие то его помошники, при том, что так же не шибко то обученные. Я же не про конкретного человека написал, а про то, что кто то успел сесть на хорошее место, или его поставили, а квалификацию свою повышать мягко говоря не спешит. А если он не квалифицирован даже в элементарных понятиях по современным вопросам сетевой инфраструктуры, как он может компетентно понимать, что делают другие, пусть и нанятые специалисты? Тут как минимум надо на одном языке разговаривать, а не так как мне приходилось разжевывать что такое домены с точки зрения Microsoft AD, маршрутиризация, и сетевая безопасность в настройках Cisco. При том, что я вообще по профилю своей работы занимался техсапортом по рабочим станциям, но просто больше некому было хоть как то разбираться в том, что за херь творится в нашей сети, и мой начальник, очень ответственный человек, поручил в это вникать. И думаю, в РЖД ситуация примерно такого же сценария. Поставили нужного человека с примерным образованием. Тот набрал чьих то племянников, сыночков и т.д от нужных людей, и несколько реальных спецов, которые сидят на низовых должностях, и просто устали в конце концов биться за безопасность, с учетом того что они получают меньше всех. В итоге интегратор и делал как хотел, а проверять тупо некому, ибо компетентным уже не надо, а ответственные за это — просто не знают как проверить работу. Конечно, наверное есть и аудит, но хороший аудит и стоит хорошо, и на нём скорее всего сэкономили конкретно
ru6ak
grub-itler
Куда смотрит совет директоров?… Кто-нибудь позвоните Путину!
blind_oracle
Позвонил, трубку не берёт
hollycon
Узнает из новостей или доложат. Распорядится разобраться. Те, кому надо будет разбираться, пойдут сразу к генеральному, он должен быть в курсе ибо это его хозяйство. У генерального есть зам по информационным. Генерал сам не станет вникать, отправит к нему. Внезапно Чаркин снова на коне.
Профит.
drap_hap
Скорее всего, как обычно: Эксплуатации платят мало и туда идут не самые квалифицированные сотрудники, а интеграторы с заказчиком пилят откаты и на работы по внедрению нанимают студентов.
По сути, пентест уже выполнен за бесплатно. Но вангую, что кардинально ничего не поменяется, максимум настроят микроты.
MartiniStar
А в аэропорту такое может быть?
На атомных электростанциях?
Даже по предоставленной инфе. в статье, выглядит серьёзно.
Про что автор не написал, думать страшно.
В этом вопросе ламер, но если бекдор есть в управления стрелками…
Можно столкнуть два пассажирских на перегонах.
istepan
Такие проблемы больше свойственны для госпредприятий и монополий.
У АЭС обособленные физически сети, как я понимаю. Судя по видео urbanturizm (как он кстати? Совсем не слышно), туда даже цифровой носитель в любом виде не пронести.
Аэропорты не относятся к монополиям и госпредприятиям, представлены в виде отдельных компаний, со своим ИТ штатом.
Вроде у РЖД когда-то был свой изолированный интранет. В начале 2000-х общался с сотрудником.
MartiniStar
Спасибо за пояснение.
Как мне казалось, ОАО «РЖД» Железнодорожный комплекс, который имеет особое стратегическое значение.
А тут такой бардак.
playerro
Имеет. Бардак. После истории с трусами это вообще не удивительно
ProFfeSsoRr
AndreyDmitriev
Ну иногда для сервисных целей и на «изолированных» предприятиях делают внешний вход для обслуживания — мне довелось с таким работать. Двадцать лет назад выглядело это так — в цеху стоял сейф, в котором была телефонная розетка, isdn модем и висел неподключенный кабель. Для сервисного сеанса надо было договориться на определённое время с главным инженером и начальником смены. В назначенный час сейф открывался и кабель подключался к розетке. Я звонил модемом на определённый номер и логинился. При этом у меня три пароля было — для модема, сети и конкретной системы. Всё, что я делал, логгировалось. На всё время обновления у телефонной розетки и обновляемой системы дежурили два сотрудника. После обновления телефонный кабель отключался, и всё это обратно запиралось на ключ. Интернет добавил некоторое количество головной боли, поскольку решили подключение оставить постоянным, но для доступа раздали сервисным инженерам сторонных организаций этакие чипы-таблетки и считыватели.
acDev
МШ (urbanturizm) уже давно в СИЗО сидит. Чекисты хотят на много лет за решётку упрятать. ТГ канал с инфой: t.me/msh_urbanturizm
Yuriy_krd
Андрея МШ же «приняли» органы за госизмену. В сентябре были суды. А так да, его ролики были просто бомбой.
AndreyDmitriev
Такое может быть где угодно, где руки растут из известного места, и где думают этим же местом, а не головой. Сейчас промышленность компьютеризирована и автоматизирована, и в некоторых случаях необходимо иметь доступ извне, и ничего особо страшного в этом нет, если делать грамотно, благо технологии позволяют.
Для жизненно важных цепей есть аппаратные средства защиты. Гораздо сложнее защититься от инсайда (нашумевший stuxnet был таким), но и тут можно продумать сценарии и векторы возможных атак. А здесь всё просто «на блюдечке» лежит, судя по скриншотам.
Shaman_RSHU
Одна дочка Росатом из Петербурга, которая занимается проектированием уже несколько лет ищут архитектора по ИБ. Но вся проблема в том, что за предлагаемую з/п туда никто не идёт. Но никто ничего конечно делать там не будет, т.к. как и в РЖД, некоторые должности передаются по наследству, а всё что ниже никого не интересует.
AndreyDmitriev
В немецких компаниях выделенный инженер по ИБ в штате не всегда — иногда просто нанимают стороннюю компанию. РЖД могла ведь просто нанять компанию, скажем, того же Касперского для ревизии и реструктуризации инфраструктуры — он давно хочет в промышленность, и вот — вполне конкретная задача. Думаю, без распилов средств не обошлось бы, куда ж без этого, но зияющие дыры закрыли бы — там работают более-менее вменяемые разработчики.
Shaman_RSHU
У нас менталитет другой, чем в германии. Не все наши интеграторы ИБ «одинаково полезны» :) Обычно это формальный подход к заказчику — не на шаг влево/вправо от ТЗ. Не думаю, что РЖД способно разработать вменяемое ТЗ для этих работ.
Но согласен — даже в такой ситуации зияющие дыры закрыли бы.
Viceroyalty
.
pae174
> На атомных электростанциях?
Чарин этот, кстати, когда-то был главным по ИТ в Росатоме :-)
AllexIn
Ох… Ждём нашествие школьников на РЖД сервисы…
Интересно, успеют что-то предпринять, прежде чем всё начнет падать?
knxx
Не успеют, предположу что уже к обеду любопытные руки пролезут внутрь и начнут мародёрство
Возможно даже уже давно кто-то внутри сети и потихоньку продает оттуда информацию
Securityhigh
Что там продавать? База даже в открытый доступ утекла, все эти снимки с камер — нищета. Разве что на атаку пойти могут и свалить РЖД.
knxx
Базы, доступы, ржд же не маленькая структура — всегда найдется что-то интересное.
Zibx
РЖД занимается не только перевозкой пассажиров. Это ещё и перевозка ресурсов, переброс армии и поезд с ядерными боеголовками которые катаются по транспортной сети и маскируются под обычные. Не удивлюсь если последние нельзя заметить напрямую на общей схеме, но можно обнаружить их призраков, например, переключающиеся семафоры, стрелки, шлагбаумы, депо в которые нельзя заехать хоть место и есть.
u440
Последний «Баргузин» снят с боевого дежурства в 1998, если память не изменяет. Теперь всё что ездит с боеголовками делает это на резиновых колёсах :))
ule90
конечно успеют: «жестко наказать натуралистов-злоумышленников, что б другим неповадно было! Что б видели открытую калитку с надписью ржд и боялись даже посмотреть в эту сторону, не то что б заходить и топтать газоны!»
YuriM1983
Я хотел написать какую-нибудь шутку, но это ведь капец. Причём за государственные (т.е. в т.ч. мои) деньги.
Andrey_Epifantsev
Вроде как РЖД деньги зарабатывает, а не катает всех бесплатно за счёт налогоплательщиков.
Areso
РЖД, конечно, зарабатывает.
Но государство им денег в долг даёт, причем много и довольно регулярно.
Каждый раз придумывают всё новые схемы.
Одна из последних — «вечные» облигации.
ascheck
Вам понравится: в какой-то кризисный год РЖД взяло в долг у государства, деньги не пригодились, оно их вернуло, а проценты, накапавшие на счёт, оставило себе. Точных цифр не помню, но нагуглится, думаю, без проблем.
SandroSmith
Ну, всё правильно. Корова — государственная, а всё что она даёт — молоко или телят, это уже наше.
wigneddoom
Да вроде как не бесплатно, но в убыток катает всех за счёт налогоплательщиков.
vorphalack
с учетом того, что пишут про кухню самого движения поездов и состояния путей и ПС — не знаешь с чего первого начинать хвататься за голову.
lamerok
Тут однозначно проблема в культуре безопасности, которую должно высшее руководство насаживать сверху. Если все так запущено, значит все делается — лишь бы быстрее — поднял VPN, поработал, забыл — уволился, VPN так и висит.
Конечно автоматизированные средства проверки помогут, но все равно основная проблема — это человек, и тут нужно высшему руководству насаживать такое поведение, которое бы не позволило приводить к тому, что мы видим. А так конечно УЖОС, напоминает мне времена, когда мы были админами на кафедре и юзали сервер кафедры еще 5 лет после окончания универа, пока его не поменяли физически, потому что всем было пофиг, что там вообще стоит и поднято.
geleos27
Я конечн прошу прощения, но каким чудом все это еще не легло от какогонибудь шифровальщика?
Harwest
Зачем шифровальщики если можно завалить сразу пачку серваков — там IPMI интерфейсы торчат в локалку.
geleos27
Я не очень искушен в средствах выведения IT систем из строя)
Суть вопроса — каким чудом инфраструктуру не зацепило массово распространяющейся вирусней / атаками коих в последнее время вагон.
outlingo
Деквалификация. Тех кто мог сделать код что в любую щель пролезет давно понанимали большие компании, а нынешний молодняк в большинстве своем… Не слишком хорошо знаком с основами, скажем так. 90% даже про syn/ack не слышали, а уж воспользоваться каким-нибудь HTTP CONNECT через прокси для сканирования удаленной сети для них как магия.
Viceroyalty
Да и просто лень, каждое телодвижение для улучшение вирусни — это де делать надо, а кому не лень много делать — тот работает
CherryPah
Потому что нестандартно. Абсолютно не сложно для таргетированной атаки (что и показал автор), но не стандартно для бота.
*Глянул логи с ФВ*
Ботам сканерам ищущих цель для шифрования не интересен микротовский winbox и постройка обратных туннелей. Они там самбу ищут или 3389 с admin/admin или еще какую-нить легковоспроизводимую ботом в автоматическом режиме дырку. Человек к этому процессу вообще не подключается, благо обозначенных RDP с admin/admin в интернете еще хватает на хлеб с маслом
compilator
И после этого остаются люди, которые не верят, что горе-ФСБ-шники смогли так обделаться
QDeathNick
Да, аналогия напрашивается, и я тут ещё столкнулся с «дырой в безопасности» не совсем в госструктуре, но тоже наглядно видно, что верхушки расслаблены и не видят необходимости заботиться о ИБ.
Раз уж начал, расскажу без деталей, сегодня глава канцелярии Романовых по глупости спалил свою переписку, чудно было почитать про «заговоры» императорского двора, не думал, что люди в 21 веке таким бредом всерьёз занимаются.
syrslava
Как-то тема «как я нашёл первый прокси» осталась неясной. Автор подразумевает, что это произошло случайно при обширном поиске в интернете по неспецифичным критериям, или я что-то не понял?
ascheck
Автор не искал вход именно в РЖД, он сканил интернет на открытые прокси и среди найденных оказался сабж.
denisshabr
так все и поверили.
drap_hap
Это не важно
vikarti
Интересно, сюжет WarGames (там же в самом начале — товарищь просто искал скриптом перебирал номера и искал где модемы, и нашел) сейчас в России ТОЖЕ реализуем? (с поправкой на технологии) или хоть тут сделали нормально?
kurilovigor
Этим вопросом следует заниматься не Чаркину, а ФСБ (в перерывах между стирками)
ascheck
Учитывая статус РЖД, дыры в его безопасности вполне могут стать входной точкой для проникновения в сети других организаций и структур.
talbot
Учитывая что у РЖД полно интеграций со СМЭВ, реализация подобного сценария—вопрос времени.
mayorovp
Ну, это уже от админов СМЭВ зависит. Насколько бы тесная интеграция не требовалась — она всё равно ограничена протоколами, по которым работает сама СМЭВ, а их список довольно ограничен — так что не думаю что специально для РЖД кто-то вертел там спецдырки в защите.
Другое дело, есть ли там вообще защита в СМЭВ или всё так же плохо...
ascheck
Можно только гадать. Но мне кажется вполне реалистичным такой сценарий:
криворукиржд: вы запарили! у нас ничего не работает, откройте доступ с наших IP, дайте рута и всё!
инженеры СМЭВ: ну ок…
u440
Сценарий в отношении СМЭВ не реалистичен. Вероятность 0%.
Я работал со СМЭВ.
SeregaSA73
дел.
Securityhigh
Мне кажется зря он вообще на Хабр это написал.
GarretThief
Всё понятно, очередной злоумышленник и натуралист, а "уязвимостей, которые бы влияли на утечку каких-то критических данных, нет". И вообще, мультимедийный портал "Камеры РЖД" функционирует как положено и не нуждается в доработке.
Viceroyalty
«Все должны быть честными и вести себя хорошо, тогда и не будет взломов»
Viceroyalty
Забыл тег сарказм — наловил минусов
ivanovdev
Зря вы эту идею с камерами им подсказали
Alext12
КМК это самое безобидное из того что можно сделать.
Securityhigh
Напугало меня твое отношение к своей безопасности, один узел VPN/Proxy. Я бы для такого использовал хотя бы связку Tor и Proxy или просто Tor. Пусть пострадает скорость и потрачу не 20 минут, а 25, но меня потом не отправят по УК 272, тебя спокойно могут.
blind_oracle
Я думаю автор не дурак и себя как надо защитил. Не домой же он внп строил...
MacIn
Здесь нужно не РЖД пинать, а писать в прокуратуру и ФСБ, так как это вопрос транспортной безопасности. Они быстрее, причем физически, допинают до сведения.
Автор, вы написали «куда следует»? Я бы сейчас подал обращение на Лубянку со ссылкой на вашу статью.
KorP
Хотите, расскажу, как я недавно пытался сообщить о физической неисправности инфраструктуры на ЖД?
Не хотите? Ну ладно, слушайте.
На одном из пешеходных переходов между станциями, по несколько километров до каждой, от влаги заглючила сигнализация — часть светофоров горит красным, а часть зеленым. Не критично, но, гипотетически, к трагедии привести может.
Есть, думаете, номер, по которому можно сообщить? Хрен там плавал. Звони на общую горячую линию, стой в очереди с теми, кто узнает про стоимость билетов.
Пробиваешься до оператора — «ок, мы перенаправляем вас в службу приема обращений граждан, срок рассмотрения — до месяца», там туси вместе с теми, кто жалуется на грубого проводника.
Принимают твое сообщение — чин по чину, дают номер регистрационный, но предупреждают, что пока они спустят обращение по инстанциям из Москвы, до месяца может занять.
И спрашивают "а вы не можете дойти до соседней станции и там сообщить устно — это быстрее будет".
Sequoza
Вот только кого? Жители Воронежа снова напряглись.
Gryphon88
спортлотоХабр ещё не самый плохой вариант.fruit_cake
У нас с многоквартирного дома упал какой-то сетевой кабель и лежал на проезжей части. Мы неделю звонили во все возможные инстанции и никто не знал чей это кабель. Машины по нему ездили и всем было всё равно. Я взял ножницы по металлу и перерезал его, на следующий день приехала бригада и вернула его на место (у кого-то что-то перестало работать и он соответственно об этом сообщил).
welovelain
Автор, если вы не связались с РЖД предварительно, то вы и поставили эту систему под большую угрозу уже сейчас.
И правильно будет, если огребете проблем.
Это как коды запуска ракет найти и вывалить их в сеть с утверждением "смотрите, я помогаю стране — видели какая безалаберность". =/ Вроде давно понятен алгоритм действий всех этичных хакеров — до упора стараться сначала связаться с уязвленной компанией. Не говорите, что этого не знали.
syrslava
комменты здесь же
habr.com/ru/post/536750/#comment_22534544
artemerschow
Обращаться есть смысл только когда компания адекватная и есть вероятность, что тебя услышат, а не отмахнутся как раньше и ничего не исправят. Или не подадут в суд и ничего не исправят. А такие примеры есть. Не говорите, что этого не знали.
AvioD
А судьи кто, адекватная компания или нет, и заслужила ли она возможность закрыть уязвимости до того, как они были опубликованы? Субъективное мнение? А у меня вот, может быть, оно другое — для меня все какие-то неадекватные, все не нравятся. Мы уж либо говорим о некой этике подобных взломов — и всегда придерживаемся ее. Либо творим что хотим.
Автор проделал нужный и полезный труд, вне сомнений. Как и вне сомнений то, что этим бардаком в РЖД должен срочно кто-то заняться. Но позиция автора по этому вопросу «Безопасность граждан превыше моей свободы», этот геройский настрой — выглядит, по меньшей мере, очень странно.
Слить в публичное пространство данные о уязвимостях системы, даже не предприняв попыток сообщить что-либо РЖД — означает подвергнуть прямой опасности своих сограждан. Где гарантии, что вот прямо сейчас, какой-нибудь умник не сломает что-то критичное в одной из систем РЖД, что может привести к аварии, с человеческими жертвами? Или что прямо сейчас кто-то не загружает данные о проданных билетах за последние лет 10?
Желание проучить РЖД и пропушить их на активные действия, за халатность и отписки с юными натуралистами мне понятно. Мне не очень понятно — почему это делается ценой таких потенциальных жертв для людей, которые вообще ни в чем не виноваты.
syrslava
Я обычно, перед тем как на хабре что-то комментировать, стараюсь хотя бы по диагонали просмотреть все комментарии, чтобы увидеть, поднималась ли где эта тема. И многим скромно рекомендую делать так же.
AvioD
Мой ответ предназначался конкретному сообщению именно в этой ветке. Давайте не засорять комментарии обсуждением того, где и как нужно писать.
artemerschow
Да понятно, что тут нет и не может быть четкого алгоритма когда так поступать, а когда эдак. Да, субъективное мнение, опыт предыдущих обращений, история общения компании с внешним миром, характер причин уязвимости. Я почти на 100% уверен, что если бы причина возникновения такой проблемы выглядела бы хоть немного как ошибка, случайность, а не общий наплевательский подход, то автор предварительно бы попытался связаться. Или если бы в истории с сапсаном ответ был бы иным.
Ну и да, даже мой максимально скромный опыт подсказывает, что порой, увы, пока не пнёшь, не полетит.
AvioD
А в чем проблема отправить содержание этой статьи в РЖД, хотя бы за сутки-двое до публикации? Вот в ФСБ советуют еще писать. Они точно не поставили бы автора в очередь с теми, кто прибытие поездов по телефону уточняет.
Ну РЖД, предположим, пнули. А пассажиров за какие грехи пинаем?
artemerschow
А ещё автора статьи тут романтиком называют)
KivApple
Ну рандомные действия школьников (которые за несколько часов побоялись что-то делать, раз до сих пор нет новостей о крахе РЖД, и скорее всего не будет), возможно, лучше, чем спланированная атака террористов или зарубежных спецслужб в нужное время (и им эта статья никак не помогает, так как они уже знали, если хотели, дырка совсем большая, а автор не выложил совсем уж пошаговый туториал).
AvioD
Наверняка лучше. А вы уверены, что из зарубежных спецслужб прямо сейчас никто с огромным интересом не копается в сети, жутко довольный такой свалившейся с небес халяве?
На мой взгляд, если уж лезть в это, с целью «сделать мир лучше и безопаснее», то нужно делать это максимально последовательно и качественно. Подход «Я вот нашел, вам рассказал, а дальше мои полномочия все», мне в крайней степени не нравится.
Что-то нехорошее сейчас случится и будем с горечью все поговорки вспоминать на эту тему, в стиле «Хотел как лучше, а получилось, как всегда» и «Благими намерениями дорога в ад выстлана»
Viceroyalty
Вот уж кто-кто а ведущие спецслужбы найдут как куда-нибудь влезть без помощи автора
u440
Вы преувеличиваете степень профессионализма спецслужб. Как наших, так и их.
Viceroyalty
Израильские обошлись без блогеров ломая иранские центрифуги, и наши, вроде, давно не ведущие
alias1923
Краснодарский край, РЖД
lenta.ru/news/2020/12/29/bomb
Желающих испортить спокойную, мирную жизнь далеко искать не надо
AcidVenom
2 часть все забывают. У человека проблемы с головой.
G1lgamesh
Я очень надеюсь, что автор пребывает не в РФ. И уже знает, куда подаваться за политическим убежищем, на случай, если статья получит огласку. Не удивлюсь, если с такими дырками можно будет накопать расписание перевозок, в том числе для вежливых людей.
drap_hap
Честно говоря, сомневаюсь, что он не за VPN сидел.
Loggus66
Автор имеет акк на Хабре и пиарит ТГ канал. Что-нибудь по связке «IP из логов Хабра + телефон и круг контактов на ТГ» да найдётся.
alias1923
Хорошо хоть в нефтегазовой компании все хроршо с ИБ… А нет, показалось.
amarao
Вступаете в недобровольные сексуальные отношения с РЖД? Вступайте! Главное, не раскачивайте в процессе!
Sn0wsec
«Все настолько плохо, что даже хорошо»©… что способом борьбы с подобным уровнем некомпетентности, автор выбрал огласку и привлечение общественности с помощью статьи… Но существует вероятность, что проблему это не решит, а только усугубит последствия, а вся ответственность за последующие действия «мамкиных кибер-злодеев» ляжет на плечи автора. Тонкая грань между grey/white даже не всегда до конца понятна специалистам, что уже говорить о прокурорах и судьях. Безусловно определяющим фактором будут намерения, автор хочет чтобы «мир стал более безопасным», но способы достижения этой цели, по моему мнению выбраны не «самые оптимальные», плюс повествование из статьи можно прямо копипастить в чистосердечное признание, с точки зрения прокурора. Последствия для РЖД описанные в статье — как угрозы «национальной безопасности», а вся ответственность за действия других после публикации статьи и даже действия тех нашел эти дыры до статьи, к сожалению на авторе.
Поэтому хотелось бы уточнить, почему выбран подобный способ, почему не воспользоваться общепринятой методикой responsible disclosure, как стандартом индустрии и наиболее надежным способом — сделать «мир более безопасным» и избежать проблем для себя любимого?
botyaslonim
В РЖД, судя по многочисленным свидетельствам, жуткий блат и кумовство. Поэтому наверх часто всплывает самое некомпетентное. Вы им про технологии, а они спросят: сколько у тебя денег и кто твой папа? Ну вот и всё…
sicambr
Разработчики БЖРК считают их ракетный комплекс невидимым на сети РЖД.
Но виновным назначат натуралиста.
pae174
БЖРК действительно невидим на сети РЖД. Просто потому что его не существует уже лет 20 примерно.
DMGarikk
ну если смех откинуть, то реально многие считают что БЖРК был очень хорошо замаскирован под реф.поезд, хотя даже самый последний стрелочник знает что эти вагоны — военные. это надо совсем быть далеким от ЖД чтобы не понимать этого
а учитывая что вагоны БЖРК ремонтировались в пассажирских депо (у нас народ развлекался раскладывая механизм открывания крыши и упоров… это, на секундочку, было в 80е годы… я не застал но мне много про них рассказывали), и никто не заставлял персонал подписывать бумаги о неразглашении… то… я незнаю какая там была такая особо секретная военная тайна
mk2
Ну, военная тайна это скорее "а где этот поезд катается прямо сейчас". И чтобы когда он на боевом дежурстве, его не могли уничтожить до пуска ракет. Сейчас конечно с таким отношением туда на ремонте могли бы пихнуть gps приёмник и получить полный маршрут.
DMGarikk
а мне вот интересно, ведь даже 'неизвестно где катается' — это срывает график основных перевозок и о нем знают все диспетчеры как минимум… поскольку им приходится всех задерживать когда он едет.
Evgen52
Я не в теме, но предположу, может диспетчеры и не знают? Для них он, может, выглядит как обычный поезд в системе. Надо им развести два состава, для чего детали о том, что внутри у них?
DMGarikk
ну у них же есть график движения поездов чутьли не на несколько дней вперед. чёт я сомневаюсь что эта штука имеет отдельную нитку в графике и вообще будет заранее записываться туда.
F0iL
А что мешает эту штуку провести в системе как обычный товарняк, которые, я так полагаю, передвигаются без регулярного расписания?
DMGarikk
вы ошибаетесь, ВСЕ поезда по ЖД передвигаются по расписанию
некоторые бывает ставят вне графика, НО они всёравно получают свою нитку графика и некое подобие 'расписания'
дело тут не в регулярности, а в том что расписание движения поездо расписано на несколько дней, а может недель вперед (тут уже я за давностью лет подробностей не помню)
F0iL
Ну даже если расписание движения расписано на несколько дней или даже недель вперед — то что мешает, опять же, в это расписание «вне графика» добавить секретный военный поезд под видом обычного товарного, перевозящего например уголь или автотехнику?
В любом случае, решения о перебазировании этой серьезной пепяки наврядли принимаются спонтанно типа «а поехали завтра», наверняка это тоже планируется заранее.
sicambr
Речь не о старом, о "Баргузине".
pae174
Старый уже сдали на лом. Новый сначала пытались строить, но потом отказались от этой затеи и свернули проект — там тупо кончились деньги. Так что по крайней мере до 2027 года его даже в планах нет.
Googly1
Очень недеюсь, что автор достаточно запутал следы своей регистрации: удалил email, писал из Tor и тд.
Спасибо за подробную статью!
Буду благодарен за новые, в стиле вредных советов ИБ.
bougakov
Автор для иллюстрации серьёзности проблемы использует не те картинки. Дайте я помогу.
Вот на Евгения Игоревича смотрит генерал Пол Накасоне, командующий United States Cyber Command. Интересующимся этой личностью предлагаю погуглить «Иран + Nitro Zeus».
Согласно принятому американским конгрессом H.R.5515 — National Defense Authorization Act for Fiscal Year 2019 его ведомство активно поощряется делать закладки («implants») в гражданских сетях («grid» — электросети, транспорт) вероятных противников с целью «deter, safeguard or defend against attacks or malicious cyberactivities against the United States.»
Статья в New York Times утверждает, что американцы перестали полагаться на уговоры и увещевания, и теперь целенаправленно в рамках гос. программы ставят закладки в ключевые элементы российской инфраструктуры. С 2020 года, согласно National Security Presidential Memoranda 13 генералу за такими действиями не надо бегать на утверждение к президенту.
Цитата:
Описанные автором дыры наводят на мысль, что их можно использовать для системного нарушения движения поездов. Если их нашёл автор, то подчинённые генерала — и подавно. Описанный автором риск порчи камер — это цветочки. Если после очередной шалости вроде взлома SolarWind американцы решат ответить ударом по РЖД — поезда по стране будут ходить по маршрутам, рассчитанным в тетрадке, а стрелки будут переключаться месяцы вручную, пока всё будет востанавливаться. По каскаду это приведёт к сбоям в отраслях, зависящих от ж.д. поставок — сначала мазута и нефти, потом остальных.
KivApple
+ Несколько десятков сошедших с рельсов/столкнувшихся поездов в день Х, если захотят (кстати, это ещё повреждение и/или блокировка путей на часы/дни)
А если поезда и время правильно выбрать… РЖД не только гражданских возит.
bougakov
Ну вот, наконец-то обсуждаем проблему в терминах, которые понятны ребятам из Ипатьевского переулка, дом 4.
Sequoza
Чем-чем а дырами это назвать точно нельзя.
blind_oracle
А как? Дырищи? Открытые двери? Провалы? :)
Areso
Немного не дотягивает до Триумфальной арки.
Oxyd
Скорее перетягивает. Это уже как двери ангара для Боинга.
Viceroyalty
Отсутствие заборов
Sequoza
Зря иронизируете. Моя ошибка, это дыра в безопасности, но это не то, о чем говорит комментатор выше.
Зафакапились инеграторы, админы или отдел безопасности. Но комментатор винит «Пол Накасоне» вместе с United States Cyber Command, которые, видимо, выступали подрядчиками РЖД.
Конкретно этот случай — мимо.
blind_oracle
Он про вину ничего не говорил, просто его комментарий гораздо более наглядно иллюстрирует последствия такого разгильдяйства. В нужный момент, вполне возможно, кто-то из ведомства этого товарища нажмёт кнопочку и РЖД ляжет.
Sequoza
Это вот так что-ли:
2 абзац — представление генерала.
3 абзац — внедрение закладок.
4-5 абзац мастерство перевода в стиле RT:
Позвольте для вас выделить немного больше слов для выделения контекста, который чуть меняет смысл высказывания:
Далее в статье:
С каких пор "...impossible to know without access to the classified details of the operation.." и "..there is no evidence.." переводится, что «NYT утверждает»? Потенциально возможно, но это такая же инфа, как и русские хакеры.
5-ый абзац — немного про последствия взлома ржд, не забыв, конечно, упомянув зачем-то американцев, мстящих за SolarWind.
Извините, но, как мне кажется, посыл явно не про важность дисциплины и ответственности на работе.
iDm1
Кстати акцентировать внимание на том, что такими дырами в безопасности могут воспользоваться иностранные спецслужбы идея хорошая. В текущей политической ситуации это может гораздо лучше побудить РЖД и других заняться безопасностью своих сетей, а не посадкой «натуралистов».
bougakov
Что значит «могут»? Нужно исходить из предпосылки, что «давно смогли».
Для понимания — над планом «Nitro Zeus», который должен был был оставить Иран без энергосетей и прочей инфраструктуры в случае обострения кризиса, трудились тысячи людей. Думаете, они с 2016 года ничем новым не занимались?
namikiri
Немного не по теме, но после подобного как-то сомнений в необходимости Эльбрусов стало чуть поменьше. Вся статья — сплошь «вражеские» технологии. Нет, я не топлю за повальное импортозамещение, но, тем не менее, не хотелось бы страдать из-за политических распрей где-то там.
Anrikigai
Все эти «вражеские» технологии тупо были халатно сконфигурированы.
Не о каких «закладках» в них речи не идет.
Какая разница, не сподобился админ пароль установить на Mikrotik или на Эльбрус?
И пропаганда «а вот угрохаем кучу денег, перейдем на отечественное, и станет безопасно» очень опасна.
wigneddoom
Разница есть, если где-то упоминается Mikrotik, значит сетевой инфраструктуры нет, от слова совсем.
Anrikigai
Вы считаете Микротики таким шлаком, что отечественное изедлие сразу будет значительно лучше?
Боюсь, ему даже до уровня Микротика придется долго расти. Если, конечно, это не будет какой-нибудь Huawei с переклеенной этикеткой.
P.S. Хотя я и вполне позитивно отношусь к Микротикам я тоже считаю, что сеть в такой крупной организации должна строиться на оборудовании более высокого класса.
Но в данном случае выбор оборудования для построения сети отнюдь не главная проблема. И на Миктротиках можно было бы сделать значительно более безопасно. И на Cisco с дефолтными паролями и не настроенными ACL получить такое же решето…
wigneddoom
Нет, я не считаю Микротик прям шлаком, вполне себе хороший продукт для своих целей. Просто практика показывает, что люди пытаются Микротиками затыкать дыры. Но для этого нужны знания и умения.
Банально у Циски есть программы обучения, сертификации и т. д. Поэтому я считаю, что ПТУ'шник с сертификатом Циски более умелый чем эникейщик с Микротиком.
Опять, если человек надрессирован, на всяких курсах, экзаменах, то у него под коркой головного мозга отложатся знания, о том, что нужно менять пароли, конфигурировать ACL и т. д.
P/S. Простите, что мне лень искать эту статью на Хабре. Но она была, где говорили о том, что сетевые инженеры ещё нужны. Они действительно нужны, но в противовес им всегда ставят девопсов, админов, и даже всяких эникейщиков. А потом получают такие факапы.
DikSoft
Другое дело, что по цене он сильно доступнее и попадает в кривые руки часто, но явно это не вина оборудования и производителя.
wigneddoom
О, не знал. Это безусловно плюс. Надеюсь они включат в курс, что всегда надо менять дефолтные пароли.
vladkorotnev
ИМХО, такие вещи не должны быть в курсах, а прямо на уровне ОС, как приглашение логина.
Т.е. воткнул роутер в розетку при первой распаковке — он DHCP поднял, но нифига не роутит, и по всем интерфейсам настройки выдаёт только запрос установить пароль, с проверкой по критериям стойкости, чтобы уж совсем на отвали не выставляли. И пока пароль не пропишешь, пользоваться оборудованием не можешь.
F0iL
В некоторых местах такие правила установлены на уровне законов:
leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327
Лично в прошлом году релизил новые прошивки некоторых устройств, продаваемых в том числе в US, чтобы соответствовать.
playnet
Речь не про ДЦ, а например вокзал вне столиц, с парой компов — настоящая циска не даст вообще ничего в такую же цену (то есть linksys с лейблом циски — всё-таки не циска), а просто подобный функционал будет стоить в 5-10 раз больше. И для чего? Для шильдика циско? Для «хейтим микроты»? И опять же, не циской единой, в своих нишах juniper не хуже например. Бонусом — циска это сша, а там не просто закладки обязательны, но даже просто за разглашение этих закладок циске светят проблемы.
Anrikigai
Я и не цисковод, и не спец по микротикам, вполне могу ошибаться.
Но мне кажется, что у Микротика отсутствует централизованное управление. Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.
А я апологет централизованного управления. Тем более при отсутсвии достаточно квалифицированных кадром «на местах» особенно важно, чтобы основные настройки прилетали из центра.
Уж лучше сделать «стандартный набор правил» (для нескольких типов вокзалов) и разрешить чуть больше, чем необходимо в конкретной точке, нежели отдать полностью на откуп локальному персоналу, когда каждый настраивает, как бог на душу положит.
Это стоит денег, тут абсолютно согласен. Хоть Cisco, хоть Huawei, по любому дороже.
Кстати, у Huawei вроде есть централизованное управление, нана циске свет клином сошелся.
playnet
А что должно входить в «централизованного управления»? cli у микрота есть, цепляется к тому же ansible.Подгрузка конфигов по tftp? А если был сбой питания и всё включилось одновременно, или канал лежит при ребуте? Микроты — они ведь быстро грузятся, это не веб-смарт хп, которые у нас 5+ минут грузились. И получится что роутер готов раньше остальной инфраструктуры. А на одной из прошлых работ было плановое выключение, и после включения ничего не смогло загрузиться. Потому что «для удобства» был DHCP со статическими адресами в настройках, вот только 2 дхцп были… в виртуалках. А все хостноды вирт кластера — тоже были с dhcp, и в итоге кластер не взлетел, ноды не поднялись, сеть не ожила. Поднимали её руками потом.
Так что статические конфиги прямо в роутере это ок, а для руления — ssh и cli.
Вообще, есть конечно SDN (software-defined networks), но что-то мне подсказывает, что сейчас это будет бОльшим злом. Вот лет через 30-40…
Anrikigai
В данном контексте (мы говорим о безопасности, а не к примеру, настройках BGP), я под централизованным управлением понимаю инструмент, в котором удобно управлять политиками на устройствах разных моделей по всей сети. На огромных в ЦОД, на средних в головном офисе, на мелких в удаленных подразделениях из пары компов (камер, СКУД).
Безусловно, можно через ansible рулить Микротиками. Но многих ли вы знаете, кто так делает, скажем, на фаерволе в ЦОД?
Если я могу дать обычному безопаснику или сетевику инструмент для управления правилами фаервола, в котором он визуально понятно задаст их хоть для центрального Интернет фаервола, хоть для ЦОД, хоть для мелочевки удаленной, он будет этим пользоваться, создавать правила «по запросу»,
Если же ему придется писать плейбуку (вероятно с параметрами, ибо объект «видеокамера» един, но имееет разные IP на каждой площадке)…
Меня терзают смутные сомнения, что даже специально выделенному погонщику с кнутом удастся добиться нормальных гранулированных политик, а не «разрешено все, кроме уж совсем явных гадостей».
Можно еще поговорить на тему аварийных ситуаций. Скажем, залил удаленно новые правила доступа и сам себя отрезал.
На Cisco, пока не сказал «записать», можно попросить кого-то просто перезагрузить устройство и вновь обрести контроль.
Можно ли так на Микротике, я не уверен.
Насколько безопасно новую прошивку заливать?
Сердце не екнет, запустить самописную плейбуку, обновляющую сотню удаленных микротиков?
Я не хочу разводить холивар на эту тему. Тем более советовать выкинуть Микротики и заменить на что-то другое. Ни в коем случае.
Но касательно «централизованного управления» я все-таки считаю так:
Можно управлять Микротиками через ansible? Да, можно.
Можно это назвать системой централизованного управления?
«Мы управляем нашими микротиками централизованно» сказать можно.
Но это будет все-таки то, о чем я писал в самом начале: «Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.»
ajijiadduh
the dude не подходит под централизованное управление?
mikrotik.com/thedude
Anrikigai
О, что-то появилось.
Класс!
playnet
года 2 как появилось…
DikSoft
Знааачительно больше, чем 2 года )
gecube
можно… safe mode называется или вроде того
merlin-vrn
del
Meklon
Можно в Safemode редактировать конфиг. Если связь оборвется и ты не сможешь подтвердить, то устройство откатит изменения.
namikiri
Вот.
Anrikigai
Да, к сожалению мысли, что «Эльбрусами» нужно заняться не для решения этой проблемы, а после приведения всей системы в порядок, я действительно не уловил.
bougakov
увлечение «Эльбрусами» — это симптом болезни, а не лекарство.
В бизнесе есть разделение на «капитальные затраты» (CAPEX — железки) и «операционные» (OPEX — работы, услуги, зарплаты). Если деньги вваливаются в железки, а обслуживающие их люди получают низкие зарплаты — это симптом того, что с управлением что-то не то (либо некомпетентны, либо набивают карманы, либо и то и другое). Коррупционные схемы легче реализовывать на капитальных затратах — событие разовое, проще скрыть.
Понятный пример — установка металлоискателей на вокзалах или закупка томографов без вложений в ставки и обучение врачей. Деньги освоены, ленточку перерезали, отчитались — но лучше не стало.
ascheck
Крайне странно Вы приплели сюда CAPEX и OPEX… В разных производствах их соотношение разное, никакого прямого указания на качество управления оно не даёт.
Крупные разовые закупки на миллиард менее заметны, чем 100 контрактов с подставными фирмами на обслугу по 10-50к в месяц? Тоже спорно.
Я не оправдываю наши структуры, но не согласен с озвученной логикой.
San_tit
а что исправит наличие вместо микротика с дефолтным паролем какого-нибудь РКСС/Русьтелетех или еще чего-то с таким же дефолтным паролем? «Вражеские» технологии носят критический характер тогда, когда у вас всё остальное защищено нормально, а так замена микротиков на отечественное железо эквивалентно решению вопроса о материале изоляции кабеля, когда у вас метр через метр на нем без изоляции вообще.
namikiri
Да, видимо, это не было так очевидно, как я себе представлял, но, оставляя комментарий про Эльбрус, я подразумевал, что всё остальное должно быть приведено в порядок. И не пытался выставить процессор собственной разработки как панацею ото всех бед, а, скорее, как решение одной из проблем безопасности.
San_tit
Да нет, это всё понятно, но эта самая минимальная проблема по сути, и решать ее надо будет тогда, когда всё (на самом деле, существенно более дешевое) уже сделано (я про уже существующие системы, при сборке новых есть смысл использовать доверенное оборудование сразу).
Безусловно, стимулировать и помогать развивать производство оборудования надо еще «вчера», но оно вообще не панацея от халатности и недостаточного профессионализма кадров.
namikiri
Комментарий, просто, был к соответствующей заметке, а не ко всей статье в целом. Потому он и такой.
in_heb
закладки закладками, а оставлять дефолтный пароль на устройствах и обвинять в этом американцев это что-то из серии «Обама испражняется в подъездах»
ну да конечно, сотрудники ЦРУ лично конфигурят микротики в РЖД
Areso
Миром правит не тайная ложа, а явная лажа©
namikiri
Вот тут я всё пояснил.
DimkoD
Не нужно иностранных, у нас достаточно отличных архитекторов и инженеров кто сделает сеть, но благодаря таким вот IT-директорам их к работе не допускают. Товарища нужно увольнять с профнепригодностью по специальности, но надежда что это случится очень маленькая.
Хорошие сети у нас на частных предприятиях существуют, это не фантастика, там где люди действительно этого хотят — всё сделано красиво
tangro
Автора, без сомнения, найдут и посадят. Ну или найдут и посадят кого-то другого, кто попадёт под руку. Конкретно этот один открытый шлюз закроют. Выпустят прес-релиз «была проведена проверка безопасности, критических проблем не обнаружено». Всё остальное останется, как и было.
AcidVenom
БРАВО LMonoceros. Позор ржд.
maksipes
Евгений Чаркин занимается самым обычным саботажем на своем рабочем месте, ИМХО.
botyaslonim
Вредитель. Дело Промпартии
Sergey-S-Kovalev
Делай добро так что бы не узнали и не смогли найти.
Zverienish
И наверное сертификаты ФСТЭК и ФСБ есть о соответствии требованиям.
Robur_le_Conquerant
вы знаете, как получаются эти сертификаты? Да, именно так. Вы правильно подумали.
vanxant
Ну раз вы «понимаете», то расскажите нам тут на хабре, как получают эти «сертификаты». И, заодно, что это за неведомые такие «сертификаты».
Valya-roller
Что-то мне подсказывает что получение доступа к админским панелям управления камерами может дать не только картинку с пирона, но и картинку внутри сервера (Remote code execution). Я просто уверен что многие из этих камер не обновлялись годами и повысить привилегии до уровня «сервер админ» сможет любой школьник.
F0iL
Более того, там IPMI интерфейсы больших серверов торчат открытые, что дает возможность или получить доступ к консоли сервера, либо загрузить его с подсунутого ISO-образа и читать/модифицировать содержимое дисков, если они не шифрованы (а они скорее всего не шифрованы).
Valya-roller
а ну точно же. в таком случае нет слов, одни эмоции.
sscoodd
Смотрю с уровня принадлежащего ржд завода: айти хозяйство постепенно ветшает, ибо все делается по остаточному принципу.
Зарплаты у айти специалистов (да и у всех вообще, кроме топов) совсем небольшие, толковый спец на такое не согласится. В результате остаются не особо мотивированные и/или опытные, а задачи выполняются по принципу минимизации затрат сил. Что уж говорить о развитии — принцип работы чисто реактивный, не дёргайся, пока не просят.
Бюрократия такова, что любые, даже критически важные закупки нужно проводить через казначейство. Недавно был свидетелем ситуации, когда в 6 рейде вышли из строя два диска и критическая система жила на грани краха пару месяцев, пока решался вопрос покупки.
Купить что-то в ЗИП — нереально, не согласуют. Купить что-то для развития — только через тендер, где все равно все произойдет так, что новый сервер доедет изрядно похудев на комплектующие/характеристики.
Автору респект, картина маслом: бесконечное "кроилово" приводит к тотальному упадку, что в сфере айти вылилось в дырявые сети и реальную угрозу остановки стратегической отрасли. Да и это же лишь фрагмент картины. Стоит закопаться поглубже, там вообще отверзнутся бездны особенностей национального хозяйствования…
playnet
1) диск «горячего резерва» (hot spare). При покупке массива заявляется как обязательный, и что без него вообще никак. Чуть более заумно — и проканает. Ну или собирать сразу с ним из того что есть
2) гарантия. У HP вплоть до того, что утром приезжает курьер «у вас диск сыпется, вот замена». Работал в гос конторе, там на гарантию не скупились.
sscoodd
1) Так точно.
2) а вот тут наоброт.
BigDrive
Я так понимаю перевести стрелки на путях и столкнуть пару поездов это уже не составляет труда?
Это же живые люди, это уже серьезные аварии. Как выше люди писали надо обращаться с этим не в РЖД, а в ФСБ, тут дело жаренным пахнет.
Daimos
Ну не всё так просто, перевод стрелок контролируется и блокируется, чтобы маршруты не пересекались. Так же как и включение светофоров.
Там надо серьезно в код влезть, чтобы вручную так просто переключить можно было. А местами и невозможно будет, где еще СЦБ не такое компьютеризированное полностью.
Zibx
Палить нахождение в системе управлением стрелками будет только дурак. Настоящий злоумышленник поменяет местами ядерную боеголовку с цистерной мазута, после чего прицепит эту боеголовку к поезду с порохом и всю связку встроит в поезд перевозящий бумалуп куда-нибудь в Воронеж.
Jabberwocky
Ядерная боеголовка ездит только с охраной живыми людьми и отдельным эшелоном. Железнодорожники знают только что литерный поезд (что везет — не знают, максимум знают что есть какая-то степень негабаритности) и маршрут ему прокладывают.
tomoto
Превосходно. Но честно говоря я думал, что автор не живет в РФ. Если честно, выйди эта статья в 2020 я бы посчитал ее лучшей в теге телекомуникаций. Отличный подарок на новый год.
iliabvf
А вот теперь главное, чтобы не взялись за вас, чиновники бывают очень обидчивые и глупые.
vikvvv
Спасибо за статью! Надеюсь что здравый смысл победит, не в последнюю очередь благодаря таким людям как автор.
madcatdev
Статья хорошая, проблема действительно есть.
Не понравился только этот абзац:
Все эти камеры, металлодетекторы с рентгенами, заборы и охрана — по большей части существуют для отмыва денег (по меньшей — для глобальной слежки за людьми и создания угнетающей атмосферы "как на зоне"), никакой реальной безопасности они не дают.
Очень хорошо про это рассказано в этом видео .
artemerschow
Или в этом :)
wigneddoom
Или в этом
u440
Теракты предотвращаются на 99% агентурной работой. И где-то 1% — системами безопасности.
Наверное везде, кроме КНР и КНДР.
wigneddoom
Очень смелое заявление о 99%. Согласен, оперативная работа и предотвращение преступлений — это то чем в первую очередь нужно заниматься. Но теракты есть, и лучше пусть как у нас в России массовые мероприятия ограждают бетонными блоками или мусоровозами, чем какой-то фнатик проедет на грузовике по толпе.
u440
Возможно. Как и то, что я скорее всего имел в виду теракты типа волгоградских.
В ходе проведения Олимпиады в Сочи по окрестным горам/лесам сидело N групп ССО (ФСБ, ГРУ и прочие). Было перехвачено довольно много групп идущих на проведение терактов во время Олимпийских игр. Так что да — заслоны тоже работают.
Но подозреваю, что гораздо больше террористов приземлили ещё на старте, по наводке от информаторов и агентов.
alex-khv
Где об этом можно прочитать, проверить?
u440
Не знаю.
https://yandex.ru/search/
https://topwar.ru/43486-fsb-otchitalas-o-predotvraschenii-teraktov-vo-vremya-olimpiady-v-sochi.html
https://www.championat.com/other/article-3234693-terakty-oboshli-storonoj-olimpijskij-sochi.html
olekl
Да кому оно надо было там теракты устраивать? А спецслужбы там, емнип, занимались подменой анализов, а не ловлей неуловимых террористов…
u440
Как видно из сообщения выше — были персонажи, которым было интересно «там устроить теракт».
olekl
Точнее, «фсб об этом отчиталась». В этом посте ржд тоже отчиталась, что у них все ок с безопасностью, а во всем натуралисты виноваты.
u440
Ваше право — верить или не верить, это дело хозяйское.
У меня есть подтверждения вышеописанного от участника с нашей стороны (ССО). Ему я верю, соответственно вышеприведённые публикации для меня верифицированы.
На этом предлагаю спор закончить — переубеждать кого-либо на «хабре» дело бесполезное :)
Bearpuh
Как то давно, когда была такая WiMAX сеть Starnet рядом с Yota, я нашел несколько уязвимостей в ней и в их устройствах: модемах, роутерах, впрочем как и в йотовских и написал подробное письмо в Starnet со всеми техническими деталями — никак не отреагировали. К слову сказать — не задавался целью, случайно мимоходом обнаружил. Писать статью на хабре даже мысли не было. Не знаю, может быть мне тоже стоило тогда хайпануть))).
Автору могу только пожелать удачи, она ему пригодится.
Max-812
Рисковый вы человек, автор. Они же не дыры будут затыкать, а вас искать и на вас собак вешать. По другому они не умеют. :(
Bruce_Robertson
Автору — браво! Сохранил статью на всякий случай, если вдруг будут принуждать к удалению. Ведь Россия настолько сурова, что по Bug Bounty в ней могут и срок дать.
maledog
Собственно это только кажется, что крупные корпоративные сети хорошо защищены. Никогда не преследовал цели взлома, но админское прошлое оставляет осадочек. Как правило оказывается что хорошо защищен в лучшем случае периметр, а когда попадаешь во внутреннюю сеть, как подрядчик, то выясняется что изнутри защита или отсутствует или слабая. Где-то забудут закрыть буфер обмена и монтирование каталога по RDP, где-то можно туннель во внешний мир или к своему компьютеру. Да и когда работал админом у нас тоже не очень было с защитой от утечки данных. Вроде ты все закрыл и зарегулировал и акт и приказы за подписью генерального есть. А приходит кто-то из топов и требует открыть ему доступ куда угодно, при этом не отключая от локалки, или разработчик требует прямой порт наружу для отладки на неопределенный срок, но когда дело доходит до того чтобы сообщить что срок закончился, то иногда оказывается что и разработчик месяц как уволился, но выясняешь ты это только сейчас, так как никто не требовал заблокировать его доступы.
alexhott
Пробовали когда-нибудь устроиться работать по IT специальности в госучреждение или то что является его наследием (энергетика, ЖКХ, железные дороги и тп)? Там зарплаты в два раза ниже рынка. Студенты идут подтянуть скилы на годик если никуда не берут, или сидят люди овер 50 дорабатывая до пенсии.
Развернуть систему — нанимается подрядчик, может и хороший, делает, показывает что работает — ОК. Потом местные спецы лезут туда и меняют настройки. А может и подрядчик с этим оборудованием имел мало опыта и не закрыл лишнего.
Аудит там проводится и нормально проводится, по тендеру конторой в которой хорошие спецы. По результату выдают отчет с моделями уязвимостей и кучей таблиц и текста толщиной с войну и мир. Но на исполнение этот отчет попадает в руки местных спецов, которые его на полочку кладут. А начальство напугавший покупает систему за стопитсот мильенов, которая на регулярной основе выдает отчет с 10000 строк, и чего с ними делать никто не знает, вернее знает но не может.
Bearpuh
Я работаю в госе. ЗП в полтора раза выше чем на предыдущем месте в коммерции.
Тут не совсем в этом дело. Я пока не встречал ни одной крупной или не оч крупной организации, в которой все было бы хорошо в плане ИБ. Могу только сказать, что данный вопрос «на коленке» не решается. Нужна система во всем — система и политика паролей/ключей, организации доступов, система предотвращения вторжений, система логирования действий админов и пр.пользователей, система алертинга, постоянное сканирование дыр и уязвимостей и т.д. Фаервол на выход вообще никто не настраивает)) Я встречал специалистов, которые все это умеют и знают как организовать, но сталкиваются с хотелками архитекторов, разрабов, топов, как тут уже упомянули и система рушится.
Вообще, самые большие дыры — в головах. Грустно все это.
Areso
а кто конкретно из них заставляет оставлять пароли admin:admin?
Понятно, что между безопасностью и удобством (перечисленных лиц) есть определенный компромисс. Но вот между расхлябанностью, а иногда и откровенной преступной халатностью и безопасностью компромисса нет и быть не может.
Bearpuh
С этим даже и не собирался спорить. Это ежу понятно. Неудачный пример привел.
Я имел ввиду «временные дырки», которые проковыриваются по команде сверху, а потом про них забывают/забивают и не документируют никак.
wigneddoom
А я не совсем понимаю причём тут зарплаты. Миротики должен настраивать ПТУ'шник, которому на уровне рефлексов должно быть вложенно не оставлять пароли по-дефолту. Специалист (якобы) у них сидит в руководстве и я думаю не обделён зарплатой. Bearpuh прав, нет системы.
Bearpuh
Да не должны сетевые железки, как и сервера настраиваться людьми вообще!
Мы же не в каменном веке живем. Автоматизацию для этого придумали. Пришла новая железка, поставили, применили нужную роль и все. Да и паролей вообще не должно быть нигде от слова совсем — только ключи. Пароль только на локаль с физическим доступом.
wigneddoom
А кто будет уметь эту роль настраивать? Или у нас сейчас внезапно вендорлок пропал?
n0str0m0
Самое ироничное, что ничего толком сделано не будет, максимум закроют доступ из вне к этому VPN, до тех пор, пока опять не откроют по забывчивости.
Zibx
ЭЭэээй, нельзя vpn закрывать, через него микросервис с диджитал оушена с админкой для табло работает!
decomeron
И эти люди хотят еще три Силиконовой долины сделать в России. Вы научитесь сначала пароль ставить.
An_Tosha
«Некий терминал c Дебианом» — это система управления очередью (СУО) Damask.
Стойки на вокзалах, печатающие талончики для доступа к кассам продажи билетов.
Adjuster2004
Руководство его ещё раз повысит после этого всего?
Автору статьи большая благодарность.
И статья хорошо изложена, и материал насыщенный.
К сожалению, в российских законах есть статьи благодарности за патриотизм. Особенно в уголовном праве.
elve
Я вот думаю что им надо хотя бы пароли на железках выставить. Даже если бы он был один на всех железках, но сложный и длинный, то этой статьи могло и не появиться (хотя конечно так делать не надо. каждой железке свой пароль ;) ).
F0iL
Причем там на некоторых скриншотах веб-интефейс железки прямым текстом русскими буквами говорит: "Необходимо сменить дефолтный пароль!"
QDeathNick
Чтобы сменить пароль, его надо записать, а куда его записать в случае с РЖД?
ShadowTheAge
Можно на электронное табло на вокзалах
anonymous
Сейчас РЖД снова начнет активную деятельность. Но не по залатыванию дыр в сетевой инфраструктуре и выплате нашедшему их вознаграждения, а статью подберёт подходящую.
Это уже не юный натуралист и злоумышленник.
PavelMSTU
+500 к посту. И ни одного минуса.
Вывод: русское IT общество абсолютно солидарна с автором. Такие вещи нужно аккуратно выносить в свет. Это вопрос национальной безопасности.
РЖД как неуловимый джо, он нафиг никому не нужен. Пока… Но пройдёт время и цифровой терроризм не за горами. Нужно фиксить.
PavelMSTU
Мой внутренний конспиролог говорит, что Хабр взломали :)
Ну как-то не верится что уже 530 плюсов и НИ ОДНОГО минуса. Вот прямо совсем ни одного.
Вывод: ХАБР ВЗЛОМАН!!! :)))
acDev
764 плюсиков, ноль минусов.
PavelMSTU
Ага уже 847 плюсов…
Ввожу новый термин: Консенсусная демократия широких масс.
DmitryLTL
Скорее всего просто хабр не даёт минусы ставить. Видно что некоторые не согласны с тем что надо было в открытый доступ публиковать. Хоть один бы такой минус выдал.
inkvizitor68sl
Поставил минус просто чтобы протестировать ваше утверждение.
В ином случае, конечно же, оставил бы плюс, а менять сейчас на хабре оценку поста нельзя.
DmitryLTL
Это не утверждение, а предположение. Очень рад что ошибочное, но очень сильно удивлён.
Можете переключиться в десктоп режим и поменять голос, там можно.
Azya
Нет, менять голос нельзя.
Harwest
Уже за тысячу перевалило.
Похоже статья идет на премию года )
titsi
Десятилетия по ходу)
unix196
отправил другу-начальнику-железнодорожнику данную ссылку, получил эпичный ответ:
Видимо подобный подход принят на всех уровнях жд. Так что желтую прессу не читаем, все нормально, проблем нет, расходимся!
Max-812
Я бы этому другу в ответ послал бы известный мемчик с Лавровым. Потому что лучше как бы и не скажешь. Но в целом, Вашему другу оно вероятно и не надо — исправить он все равно ничего не сможет, даже если захочет.
clevergod
Автору респект за интересную и редкую статью. Такого на просторах интернета не найдешь, хотя информации подобной и о других крупных компаниях навалом у каждого, но все боятся и держат ее при себе.
Скаду нашел смотрю, но не акцентировал внимания на ней, что зря, на каждом PHDays этот вопрос поднимается оргами PT. Риски воистину огромны при ее эксплуатации.
погонам и криворуким халатно относящимся к ИБ админам — не трогайте парня, он за халяву провел аудит внешки просто вдохновившись статьей предшественника и грубость слов и халатность администрации РЖД к ситуации!
Жаль, что в России и других странах СНГ, таких парней пытаются наказать, а не отблагодарить, за то, что они показали реальные проблемы и тем самым предовратили реальные катастрофы. Просто наверняка РЖД проводила аудиты ИБ и пентесты, что думаю можно поискать в тендерных площадках, но увы «все ушло в закат». Еще больше печалит, что такие мастодонты в таком запущении и ничего не предпринимают сами для улучшения ситуации в целом в стране, так же органы гоняются за одиночками, вместо того, чтобы дрючить такие компании за безобразие и халатность.
! Это напоминает случаи на дороге, когда мой знакомый стоя в пробке и увидев, что рядом стоящий автомобиль воспламенился — сказал об этом хозяину, даже не чувствующему запаха гари из под капота, и потушил его собственным огнетушителем и еще был обласкан и даже поступали угрозы привлечения за поджег т.к. хозяин машины четко был уверен, что быть такого не может и это автоподстава т.к. якобы у нормального автолюбителя огнетушителя нет. Просто смешно и страшно среди кого мы живем.
Конечно скажите осуждающие — почему не обратился напрямую, почему в органы надзорные анонимку не кинул? Скажу от себя — это бесполезно, больше десятка таких обращений и ни одного ответа, кроме угроз и упреков, вот и вынуждены ребята обращаться к общественности.
И да есть у этого всего большой минус, после таких статей «школота» полезет проверять догадки автора и вот это самое ужасное.
Очень надеюсь, что автора не «накажут» и начнут присматриваться к замечаниям, а в будущем сделают гос программу поддержки или даже РосБагБаунти.
olafars
Да никто ничего не сделает, никакой РосБагБаунти н-и-ч-е-г-о. Все эти конторы «варятся» в «собственном соку», когда-то давно, за такую любезность к потенциальному врагу, поставили бы к стене. Сейчас всё иначе. Здесь нанесён репутационный ущерб личный и компании, думаю юристы РЖД уже «точат» ножи. Руководитель никакой ответственности не понесёт и скорее всего отделается выговором на бумаге.
Халатность в отношении технологий (софта, железа) — повсеместная, к глубокому сожалению. Начиная с какого-то простого сайта какой-нибудь «Рога и Копыта», которая собирает данные пользователей, заканчивая компаниями масштаба РЖД. Данная ситуация показывает и подтверждает лишь то, что РЖД — это Россия, а Россия — это РЖД. А ещё, что всему этому не хватает общественного контроля.
Автору большое уважение за проделанную работу. Пожалуйста, не пропадай, а лучше съезди отдохнуть на месяц — другой за пределы СНГ.
imm
— О, какая дырявая система, надо исследовать!
— Хм, не может же быть всё так плохо!
— Я понял это honeypot! Ща затестим!
<срочные новости: 2021 в России начался с транспортного коллапса>
— Бл…
maikus
Опасное дело публиковать такое. Отомстят эти упыри по-своему, по упыриному. Я бы стал искать частный выход на ФСБ, чтобы материалы попали в нужные руки с правильными коментариями.
wtigga
А в ФСБ только преданные долгу профессионалы сидят, которые готовы жизнь положить за безопасность родины.
Harwest
Чужую жизнь причем.
maikus
Вы, наверное, не поняли немножко мой коммент. Я имел в виду, что вместо шумной публикации для здоровья полезней было бы постараться выйти на правильного человека в силовой структуре, который сможет правильно дать ход этому делу.
А ваше фото — оффтопик, ведь эти люди, очевидно, работают в другом отделе Конторы.
Но, не могу с вами не согласиться, конечно, вы правы на счёт них! Профессионалами из ФСБ этих людей назвать можно только с сарказмом. Серьёзно накосячили ребята, не справились с поставленной задачей, засветились везде, где это возможно, да еще и лица у них такие, прямо скажем, неприятные.
И ведь не первый раз такое! Помню, ещё летом 2019го травили Сисяна ядами, и не дотравили. В ведущих СМИ цивилизованного мира этот случай освещался.
wtigga
Вы тоже не поняли мой коммент. Эта «Контора» (с большой буквы, как вы пишете) не содержит в себе благородных рыцарей с нужными руками. Это ведь то же самое ФСБ, которое организует дела вроде Сети и Нового Величия. Вот кто к ним придёт, того и повяжут.
Rohan66
Наивный чукотский мальчик! ФСБешник НЕ МОЖЕТ быть другом. ИМХО. Приятель — максимум…
Jammarra
Делаю предсказание что будет.
Автора показательно посадят. Или если не найдут, то посадят стрелочника. Отчитаются о проделанной работе. И на этом все закончится.
Такие вещи не ломают не потому что это сложно. А потому что это никому не нужно. Это как неуловимый Джо. Вероятность что тебя за это схватят за жопу близка к 100%. А тебе это ничего не принесет в материальном плане.
Jammarra
К слову вспомнился древний баян
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"
День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"
День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.
День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.
День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.
День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки.
День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.
День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
tmin10
Причём проблема решается пакетиками с порционной солью…
Jammarra
Серьезно?
Сделал дома такие же пакетики с ядом вместо соли. На следующий день все подменил в столовой.
tmin10
Выдаёт из коробки за стойкой сотрудник, пряма на поднос пару положить можно, подменить незаметно проблематично.
Jammarra
Устроился работать сотрудником в эту же столовую, это в целом ломает все.
Вообще атаку изнутри провести на что угодно проблем не составит. Взять тот же РЖД. Да VPN и прокси и не нужны как и IT. Устройся работать и делай что хочешь. Хоть поезда сталкивай. Устроиться в РЖД же раз плюнуть, там всегда людей нет.
Основные причины почему так не делают, не потому что это сложно. А потому что люди все же адекватны. + за поступки есть ответственность. Я как админ с 10 летним стажем видел столько треша, что его не перечислить.
Хотя конечно простейшие сканы и пинтесты хотя бы раз в пару лет неплохо бы проводить в организациях типо РЖД. Что бы как говорится найти виновных, наказать невиновных, наградить непричастных и всякое такое. Ну и убрать пароли типо админ админ.
tmin10
Если сотрудник совершает такое, то виновного найдут достаточно быстро. Т.е. неотвратимость наказания как раз работает в этом случае.
Jammarra
Ну так и тут автора достаточно быстро найдут. Думаю до сегодняшнего вечера.
Опять же как админ со стажем, скажу что когда это нужно находят достаточно быстро. Это если у тебя на фейковом сайте 50 тысяч украли, то концов не найдут.
А так я лично видел как у одного клиента в хостинге, в нескольких странах, вынесли все сервера/диски из них. В течении часа. После чего он написал "Ребята а что у меня все работать перестало?" Да я как то работал в поддержке "абузоустойчевого" хостинга как аутсорсер.
Ну то есть. Да есть какие то группы типо Кобальта. Которых так легко не надут. Но Кобальту это РЖД нужно как собаке пятая нога. (К слову этих тоже вроде нашли. Просто не сразу)
Zibx
РЖД — стратегическая штука, она не только про пассажиров.
Jammarra
Да и добавлю. Если хотите безопасности. Приходите например к нам в финтех и банки.
Только вот уверен что большинство айтишников тех кто тут в комментариях язвит, быстро взвоет и охренеет когда их заставят работать по стандартам PCI DSS и так далее.
Когда что бы внести изменение за 5 минут требуется день на согласования. Ну и хайповые игрушки типо кубера будет уже особо не поиграть.
Areso
Как бы сказать, э, помягче. Наличие жесткого (и относительного рабочего ИБ) еще ничего не гарантирует.
Спорим, что между сегментами есть и машины/железки общие и передача данных работает?
Не могу говорить за всю Одессу, но как минимум дважды я нечто подобное уже видел.
Zibx
Думаете РЖД не имеет сертификатов PCI DSS? Что-то мне подсказывает что имеет и что транзакции хранятся в открытом виде где-то в том же зоопарке в котором копался автор статьи.
Jammarra
Уверен что это не так. Ну что они хранятся там же.
РЖД это вообще огромная хрень. И подозреваю что все платежи ходят по другой организации.
Вообще лет 15 назад когда мой отец там работал на ВЦ, у них централизация только началась. А так в каждом городе были свои погремушки. И все это взаимодействовало с друг другом хрен поймешь через что и как. Ну то есть да была своя сеть, но в неё не все так просто было. Каждый за свой участок отвечал.
Потом это стягивать и закручивать стали на Москву в целях экономии. Типо нафиг админы на местах. Ну вот он закономерный результат.
Но все что к деньгам отношение имело, а не к движению. Оно вообще в своем соку варилось.
А а автор как понимаю понимаю ломанул больше службы вокзалов. Эти тоже немного отдельно.
Грубо говоря. Один большой кусок это движение поездов, второй вокзалы и т.д. Третий бабло, билеты и всякое такое.
Jammarra
Не гарантирует. Но теже пинтесты точно гарантируют что паролей админ админ нет).
Тот же Кобальт и в банковской сфере много кого сломал. Не смотря на все это.
Я же говорю меня сложно раздолбайством хоть где удивить). Если хорошо потереть то его можно где угодно найти. Просто часто оно спрятано так что посторонние люди уже не обнаружат с наскока)
tmin10
У нас сейчас на проекте похоже: любое изменение инфрструктуры — неделя на согласование с безопасниками. Довольно больно что-то менять так.
talbot
С одной стороны К8s финтеху и самым большим банкам не помеха, они давно сотрудничают. Как и медленное внесение изменений давно уже из разряда легенды, никто не мешает деплоить по 50 раз в день.
Хотя я ещё застал отдельный комп со своей сетью для доступа к коду и логам PCI DSS сегмента. Но больше это не нужно, хотя строгий air gap между серверами в PCI DSS и обычными соблюдается.
Jammarra
Больше это и многое другое не нужно только потому что забили на безопасность отдав приоритет скорости разработки. Давайте будем честны.
Просто последствия потенциального взлома менее болезненны по финансам чем отстать от конкурентов на рынке.
areafishing
Никакая багбаунти программа у ржд запущена не будет. Не удивлюсь если автора аккуратно привлекут к различным интересным статьям уголовного или административного кодекса. Да и вообще, не думаю что Россия в ближайшее время прийдет к программам багбаунти в гос организациях.
Shiva-TM
Автор, а ведь вас могут и начать искать и даже не силами МВД. Удачи. Я конспирологию не очень люблю но возможно это и не раздолбайство а вполне для кого надо запланированная дыра.
unsignedchar
Стрелочника найти значительно проще. А лично автор — не думаю, что он настолько необходим. Неудачника с открытой нодой TOR могут ожидать проблемы, ага.
in_heb
Неудачника где-нибудь в условной Франции?
elve
Не надо приписывать заговору результат обыкновенного раздолбайства =).
enc0de
Lexx918
Страннику Артуру пригодилось бы знать где какой товарняк едет. А то вечно сутками ждёт под мостом прежде чем зацепиться и ехать дальше)
kick_fuel
Во-первых, у автора железные яйца, за что огромное уважение, во-вторых было очень интересно читать, спасибо:)
Sk1FF
Их интросеть это такое решето которое во многих местах торчит на ружу.
Dolios
Забыли пункт 0: Уволить директора по информационным технологиям ОАО «РЖД» Чаркина Евгения Игоревича с занимаемой должности с пожизненным запретом занимать должности в компаниях с государственным участием. За некомпетентность.
mammuthus
В смысле уволить? Его в прошлом месяце повысили до заместителя гендиректора РЖД.
Надо ему премию дать
ProRunner
Хабр в transparency report явно отчитается ещё как минимум об одном запросе.
Areso
Boomburum
Предлагаю повесить свидетельство канарейки прямо в подвал к этой статье, где обычно НЛО отмечается.
«Мы пока не получали запросов от компетентных органов по поводу этой статьи...»
Или уже поздно?
Barbaresk
Я не понимаю, почему все так задаются этим вопросом. Всё, что в России — по умолчанию или уже сливает, или сольёт при первом же слове. Не нужно надеяться на то, что кто-то не станет сливать данные пользователей, если его привезут на Лубянку. Так что единственный вариант опубликовать и не сесть — не оставлять следов.
spc
А они молодцы:
Теперь все будут хвалить РЖД за заботу о «персональных данных клиентов».
DarkMike
Nuff said
tyderh
Это прекрасно.
Flammar
Пока не совершено ничего уголовно наказуемого, можно отрицать возможность совершения таких деяний.
digore
— Шеф, шеф, у нас дыра в безопасности!
— Ну, хоть что-то у нас в безопасности!
AI_zek
Ждём в СМИ новостей в духе:
— Хакер из Новосибирска взломал корпоративную сеть РЖД
— Сеть РЖД оказалась уязвимой, получены доступы к…
— РЖД отрицает факт взлома сети
— РЖД запросит субсидий на 10 млрд у государства на модернизацию компьютерной сети
k3NGuru
t.me/dvachannel/62897
уже
kryvichh
Дырявая как решето: энтузиаст продемонстрировал ужасающий масштаб уязвимостей IT-инфраструктуры РЖД
key08rus
В точку! Хакер из Новосибирска взломал сети РЖД и заявил о незащищенности сервисов компании
keklick1337
Эх, друг, они заводили дело на меня. Хабр сразу слил инфо.
Поздравляю, ты написал тут текста на 272 в чистом виде
AcidVenom
Чем кончилось? Или не кончилось?
tmin10
Не могли бы описать свой опыт после публикации статьи?
Alexsey
Интересно — на момент слива хабр уже был вне российской юрисдикции или еще нет? А то на этот слив можно по разному реагировать в зависимости от ответа на этот вопрос.
CherryPah
А какая разница в чьей он находится юрисдикции если запрос официальный?
Areso
На российские (официальные) запросы в других странах могут и не отвечать. И именно для этого и существуют всякие сущности вроде интерпола и взаимодействий ведомств разных стран.
Потому что, внезапно, официальный запрос от органа власти другого государства не является достаточным основанием для выдачи данных (в большинстве стран мира, между прочим).
CherryPah
По поводу смены юрисдикции
ООО «Хабр» никуда не делось, и все еще находится по адресу г. Москва, Спартаковский пер., д. 2, стр. 1
Также стоит обратить внимание на последний абзац
habr.com/ru/docs/docs/transparency
ИМХО вся эта смена юрисдикций у многих
ITкомпаний делается либо для выхода на международные рынки (но как я понимаю англоязычный хабр вроде пока не взлетел) либо для оптимизации налогов, либо (и это вроде как раз этот случай) для защиты от банального рейдерства со стороны властьимущих. Но если компания хочет вести какую-либо деятельность (а особенно коммерческую) в какой-либо стране ( и сейчас не только про РФ разговор) ей или ее региональному представительству придется соблюдать законы этой страны.Что касается сущностей и взаимодействия ведомств — они в результате все таки существуют и работают.
Я не хочу сейчас как-либо очернить или оскорбить Хабр, но это давно уже не пиратская бухта с техногиками-либертатианцами, а вполне себе коммерческая площадка (причем львиная доля заказчиков из РФ), которая навряд ли захочет попасть под ковровую бомбардировку РКНа за отказ в сотрудничестве. Добрым словом и пистолетом как известно.
Пример Parler из цивилизованных стран мира вроде все еще в горячем висит.
dartraiden
Думаю, меня поддержат многие… напишите, пожалуйста, статью об этом.
tbl
скорее всего дело еще тянется, а автор под подпиской о неразглашении
dartraiden
Ну, можно, вероятно, написать об этом факте. Мол, подписка, извините, не могу, не просите пока.
Boomburum
Откуда такая информация? Вы видели в материалах дела какие-либо документы от Хабра?
anonymous
Уже четыре раза обновил страницу с надеждой на апдейт от вас.
Надеюсь, вы сможете найти время и возможность поделиться процессом/итогом.
Rohan66
Когда я учился в Юбилейном на курсах по ТЗИ — там было две женщины из Питера от РЖД. Были чисто для галочки. Нужны были «специалисты» с «корочками». Вот они, наверное, и занимаются сейчас ИБ.
К слову — командировочные у них были — 100р/сутки. У меня — 700.
OsipovRoman
Вы не представляете, как это узнаваемо и от этого еще страшнее!
Когда мы с ребятами делали систему для одного очень крупного издательства — вы знаете, какой там был от сервера главного пароль и логин?
admin
admin1
DMGarikk
… я помню в одной конторе работал, видел софтину для банкоматов которая там платежи проводит
так вот там прямо в бинарник были зашиты логин и пароль: 'Администратор'/_какойто_пароль_
причем достаточно было блокнотом exeшник открыть чтобы их увидеть… а там внутри можно и платежи проводить куда хочешь и сколько хочешь.
народ из той конторы-производителя нивкакую не понимал что это плохо...'ну мы сертификат pcidss получили, значит всё нормально, у нас всегда так было'
vl65
В РЖД планово разгоняют своих IT специалистов. Это, наверное, единственная крупная компания, которая целенаправленно сокращает свой IT потенциал.
ISVLabs
не только ИТ. сегодня общался с парнишкой электриком из какой-то ремзоны РЖД. он посетовал, что станки сыпятся, ремонтировать некому. электронщиков часть поувольняли (сократили), часть сама поуходила. в итоге, никого вообще грамотных не осталось. думаю, подобный бардак и «оптимизации» творятся не только в РЖД, но и в любой крупной конторе… :(
vanxant
А звать его «Дочь», фамилия — «Офицеров», живёт в Крыму?:)
ISVLabs
не понял сарказма. у нас не столица, у нас з/п в 30к рублей считается нормальной для специалиста. естественно, начальством считается… поэтому и бегут все в Москву, Питер, Сочи и куда угодно.
dts
ещё одно подтверждение, что безопасник нужен, чтобы топов убаюкивать, а не для обеспечения реальной безопасности. Во многих компаниях раздутые отделы безопасности занятые непонятно чем, но топы их очень любят.
Oxyd
«Никогда такого не было и вот опять!» ©
maximd4
Люблю такие истории, спасибо автору. К слову — помнится, лет 30 назад в Технике-Молодежи была опубликована статья о поимке шпиона, чуть-чуть взломавшего Пентагон. Эта статья, без преувеличения, стала поворотным пунктом в выборе будущей професии.
upd: нашел — zhurnalko.net/=nauka-i-tehnika/tehnika-molodezhi/1991-04--num23
hqarkx
Что то мне этот тотальный бардель во всех сферах напоминает… Ах да, эпоху распада СССР…
Nikobraz
Кстати да, много процессов идет похожих на идущие в те времена.
Shaman_RSHU
Не успели:
tester12
Ну, теперь есть кандидат. Статья на Хабре — вместо резюме.
questor
Ага, попросят подтвердить авторство статьи, там же на собеседовании и повяжут.
OZR
И «З/П не указана». Откуда ещё брать кадры в отделы безопасности? Наглядное пособие — фильм «Поймай меня если сможешь»… Система замкнутого круга.
Shaman_RSHU
Смысл им указывать З/П. На такие должности на таких ресурсах ищут обычно «расходники». Где З/П существенные должности по наследству передаются.
speshuric
Они с SolarWinds что ли поспорили кто громче обделается?
Areso
Пока наши «ведут».
Беспарольный (и безключевой) доступ в сеть предприятия это куда круче, чем пароль solarwinds123.
slavik83sunday
Защита баз данных уровня — кассета с порнофильмами в шкафу под полотенцем)
skillfactory_school
LMonoceros благодарю за статью. Просто хрестоматийный пример халатности в ИБ. Дам почитать нашим студентам-пентестерам. Берегите себя пожалуйста!
Gryphon88
Если не секрет, Вы рассказываете студентам, как правильно и вовремя кричать «Эй, Вы! Я же хотел добра!»?
skillfactory_school
Лучше всего — если кричать не придется вовсе :-)
Gryphon88
Тогда шляпа должна быть чёрная, потому как даже белые временами влетают :)
Valtes
Прежде всего это халатность в ИТ.
У каждого нормального айтишника должно быть внутреннее чувство безопасности.
Sad_Bro
вот так вот микротики по мануалам из ютуба настраивать.
maximd4
«Только микротик!», кричали они… ))
A114n
Немного удивляют искренние комментарии вида «эвон оно как!», «нифига себе!», «я в ужасе!».
То есть у меня такая же реакция, только не на очевидные факты из этой статьи — а на пещерное сознание обывателей, которые «если не доказано обратное» верят в благостность и функциональность окружающего мира.
Я, скажем, всегда знал, что ситуация по всей стране примерно такая и есть.
Это следует из общей наблюдаемой логики событий, которая не требует хакерских взломов. Достаточно посмотреть на открытые процессы в экономике, политике, на логику кадровых назначений, на динамику принимаемых законов и так далее. Для этого не нужно заниматься какими-то специальными исследованиями, большинство событий — это вполне открытая, даже новостная информация.
Но если с кем-то об этом заговорить, какие будут ответы?
«Либерундель продался госдепу!»
«Ага-ага, всё тебе путин виноват!»
«За что вы Россию ненавидите?»
«Да везде всё то же самое!»
«Приплетаю рашку!»
И так далее, и тому подобное.
Я уж не говорю о классическом: «ну это отдельные недостатки, у всех бывают ошибки, случается, зато всё остальное нормально работает».
Для примера: я не могу сделать подобного расследования, скажем, относительно систем безопасности российских АЭС — но я уверяю вас, что там всё то же самое. И если найдется достаточно безбашенный человек — то вы про них прочитаете через пару-тройку лет то же самое. Тут, кстати, упоминали систему городских водозаборов — и не зря упоминали, потому что и там тоже ситуация абсолютно такая же. Про ГЭС нам давно всё объяснила Саяно-Шушенская, про шахты — взрывы в Воркуте и Новокузнецке, про заводы — прошлогодняя авария в Норильске. Если бы меня спросили о системе вай-фай в метро, о системе камер наблюдения в Москве, о системе ковидного мониторинга до всех этих публикаций — я бы в двух словах объяснил, что эти системы будут дырявыми и плохо работающими, даже не умея их взламывать. Просто потому что ничего другого существующая организация процессов в РФ породить не может.
Это же касается, например, новой «вакцины» — риторический вопрос «как страна, неспособная производить удобрения, может сделать работающую вакцину» уже звучал, и это вовсе не ирония, а вполне серьёзная причина для размышлений.
Я очень рад, что подобные статьи регулярно здесь появляются, потому что они позволяют обывателям глубже понять мир, в котором они живут (а в некоторых областях реальной жизни программисты являются куда бОльшими обывателями, чем какие-нибудь продавцы). С этой же точки зрения полезны и ролики Навального, например.
Но хотелось бы, чтобы люди благодаря этим статьям не только удивлённо открывали рот и писали «надо же!», но и выстраивали у себя в голове адекватное реальности представление о том, где же они живут и что именно вокруг них происходит. Чтобы не считать такие вот происшествия «отдельными недостатками».
Barbaresk
Факт того, что в очередном месте всё настолько плохо сделано, что даже нет «дыры в безопасности», уже перестаёт удивлять. Удивляет то, что до сих пор всем этим бардаком и халатностью на всех уровнях государства, кто-то до сих пор крупно не воспользовался.
SirEdvin
А почему вас это удивляет? Ну, я подозреваю, что данными пользовались, но всяких злобных людей, которые чисто "будем творить зло" на самом деле практически не существует, как эксплотуатировать такие уязвимости то?
begemot_sun
Так что же делать, вы не ответили на главный вопрос, который сами же неявно поставили?
заводить трактор — не вариант.
ardraeiss
Потому что "оказывается, может". И как-то сомнений в способности соорудить страшную ядерную или бактериологическую бяку нет, риторический вопрос в таких случаях обычно звучит "не, ну а кто ж ещё?"
Потому что на Руси в отдельной сфере "блоху подковать", человека в космос первым запустить или там первый тяжёлый бомбардировщик создать всегда кто-нибудь да найдётся. Особенно если это тема хоть как относится к военным.
А вот что-то поприземлённей и чтоб хорошо массово производить — тут начинаются проблемы. И это как минимум со времён Российской Империи. И, увы, пока не видать чтоб эта особенность внятно исправлялась.
AVAF
Отреагировали:
В РЖД опровергли сообщения об утечке данных клиентов regnum.ru/news/society/3162072.html
Max-812
Я так понимаю, за утечку данных их могут наказать, потому на этом и акцент. А прочее как всегда на происки врагов спишут.
anonymous
Может быть я не догоняю что-то?
В посте речь идёт о несанкционированном доступе без ухищрений. Вопроса о сливе персональных данных не стояло и до сообщения от РЖД.
iamitbeard
После прочтения я полысел больше, чем есть сейчас… Просто тлен. Автору респект.
EvilBeaver
К сожалению, люди уровня Евгения Игоревича ни черта не понимают в ИТ, но ооочень не любят, когда их вот так, с фотографией и фамилией, публично тыкают носом в дерьмо. Они-то уже привыкли считать себя над людьми. Поэтому реакция Евгения Игоревича, скорее всего будет в стиле: "ах ты, сучья гнида, раздавлю!", последуют уголовные дела, но ничего исправлено не будет.
Trunk
Почему же нет требования защитить?
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
Сроки да — точно не определены и зависят от сроков проведения категорирования.
wigneddoom
Автору уважение, хорошо макнул РЖД. Надеюсь всё у него будет хорошо.
К Хабрасообществу. А чего вы ожидали? Если на хабре пишутся статьи типа: "Сетевые инженеры ещё нужны". Сейчас рынок в России таков, что проще пойти на хайповые темы.
Сплошь и рядом сетевиков заменяют на девопсов и админов.
Десять лет назад, когда мне нужно было соединить две части города в один L2 сегмент, я просто звонил сетевику, обжимал два кабеля по метру и вперёд. Сегодня, как разработчику, приходится людям объяснять что такое VLAN, как работает мультикаст, ходить на форумы Циски и VMware и указывать что и где нужно в интерфейсе нажать.
alex-1917
как можно макнуть в РФ почти-нумытознаем-гос-контору?
жаль пацана.к успеху шел...)))
(напомнило историю про толстого кота и аэрофлот, немного хайпа быстро закончилось, а пожизненный бан в аэрофлоте остался...)
NecroRomnt
У Автора стальные шары.
С этими людьми нельзя иметь дело. Их стоит сторониться как прокажённых.
Уже были стать о том как white-hat'а наши конторы под суд отдавали за подобные исследования.
Andy_Big
Эх, ну зачем же писать такие статьи под своим аккаунтом? Будет очень обидно, но не очень удивительно, если РЖД решит решить проблему в духе «злоумышленник найден, его ждет наказание по статье ххх».
tester12
«Я только опубликовал статью, а взламывал неизвестный хакер, который скинул мне по почте все скриншоты». Как-то так.
Harwest
Пойдет соучастником. А это уже 'в составе преступной группировки' :(
AlexKhmelevskiy
найс статейка. Автор хорош)
P.s. надеюсь цены на проезды не поднимутся :D
VladislavVladimir
история, не имеющая отношения к России! дело было… в Камбодже (почему нет? ). ну так вот (Вы не поверите!) там аналогичная ситуация с госзакупками, тендерами и прочим из области создания видимости борьбы с этой… как её… коррупцией! ситуация имела место некоторое время тому назад, когда закупки происходили на «бумажной» платформе, без применения телекоммуникационных систем (Камбоджа, Карл!). итак, наступает момент истины- вскрытие конвертов. нарастает тревога, у здания Камбоджийского перевозчика «Гореть вам всем в аду» несколько дорогостоящих автомобилей с тревожными людьми, ожидающими положительного результата. вдруг из здания этого уважаемого заведения выбегает положительно заряженная секретарь этого мероприятия и с тревогой в лице проводит мониторинг ближайших магазинов, после чего бежит с первой космической скоростью в один из них. внимание, вопрос! в какой именно и для чего? шампанское? как бы не так! она бежит в промтовары за ЭЛЕКТРИЕСКОЙ ЛАМПОЧКОЙ! именно она (лампочка, естественно) предопределяла победителя конкурса! алгоритм необычайно прост. итак, влетает несколько заявок от претендентов. судьба (победитель) этого богоугодного мероприятия предопределена заранее. теперь надо легализоваться. для этого надо узнать, что в конвертах (речь про цифры), для чего и нужна волшебная лампа, ведь может так случиться, что в одном из конвертов цифра будет ниже цифры уже определённого победителя. и если такое происходит, конверт любезно меняется. но это всё про Камбоджу, у нас всё честно.
mikeuz
Комментарий к комментариям:
1. Подозреваю, что статья написана как раз из-за того, что и РЖД и органы настойчиво стремятся пообщаться лично!
2. vpn, как и другие способы p2p могут стать уликой. Именно потому что точка — точка. Одного дядю так уже поймали и осудили (мутил через иностранный (для него) vpn, сопоставили ip-шники и время сеанса).
gecube
Да все уже… из РФ такое делать НЕБЕЗОПАСНО.
Любой домашний интернет — по договору, с паспортными данными.
Любой вайфай в кафешке — по смс регистрации.
Вайфай бесплатный в метро? Еще хуже — они MAC адреса записывают.
Единственное, что воспользовавшись интернетом друга или хакнув соседа по лестничной клетке — можно неиллюзорно их подставить )
Oxyd
Ну TOR ещё, с залочеными, на забугорье, выходными нодами.
gecube
Чего-то не уверен, что это сильно поможет
cap_nemo
Если смешивать политику и ИТ, то ничего хорошего не будет.
Вот политика: очевидно, что глава ИТ в случае каких либо происшествий будет пытаться прикрыть себя и ведомство. А кому-то вряд ли будет хорошо, если в результате пострадают его близкие. Как обычно, накажут козла отпущения, например, автора статьи, или какого-нибудь сис.админа, который и так собирается на пенсию. Все будут пытаться выйти сухими из воды.
А вот ИТ: если автор влез уже в сеть с «благими» намерениями, то надо было массово поменять пароли на микротиках хотя бы для того, чтобы проблема в ИТ вылезла наружу. И она начала был решаться хоть как-то изнутри, потому что ее бы заметили и начали вынужденно разбираться. Без необходимости ничего никто делать не будет.
Что по итогу: автор справедливо возмутился положением дел, и описал статью. Сейчас найдется много желающих проверить информацию, и будут осуществляться атаки на РЖД в стиле «Смотри, как я могу!». Осветить проблему — это вовсе не значит решить ее, можно только усугубить. А по итогу получится, что автор хотел добрых намерений, а получилось, что систему будут ломать кул-хацкеры, и не исключено что и сломают. И хорошо, если никто из-за этого не пострадает.
Мгновение здравого смысла: такая информация должна попадать в авторитетные бизнес (не ИТ!) издания, сильно урезанной, чтобы потом акции РЖД просели. Вот тогда и появится необходимость что-то делать. Можно быть уверенным, что главу ИТ вряд ли похвалят за потерю денег, и в следующий раз он может быть дважды подумает называть автора «натуралистом». Хотя исследовать природу — это почетно.
SNNikitin
Вы серьёзно?
Это точно статья, плюс — явное вредительство с возможными жертвами и ущербом на многие миллионы и миллиарды
cap_nemo
Отчасти с Вами можно согласиться…
А в чем явное вредительство? Есть маршрутизатор, у которого поменяли пароль, не меняя других настроек. Все работает в штатном режиме. Другое дело, что владельцы уже не могут им управлять до момента получения этого пароля. Так они и сами могут забыть пароль, или Обама/Байден, который портит парадные/подъезды, им поменяет, или другие сотрудники спецслужб с запада или востока. Действия автора еще нужно доказать, доказать злой умысел. Здесь можно по разному трактовать законы. Это дело адвокатов.
Многие коллеги, которые, написали комментарии, считают явное вредительство — это халатное отношение к безопасности транспортной системы, и я с ними солидарен. Я думаю все будут очень сильно и приятно удивлены, если руководители высшего ранга в РЖД внезапно понесут ответственность.
При этом я не призываю ни к каким действиям и не подстрекаю к вредительству. Словосочетания со словами «надо было» — это просто идея, я не заставляю ее никого реализовывать. Тем более в прошедшем времени.
Да и потом, может сменив пароль, он бы наоборот предотвратил возможные беды, от других кул-хакеров?
SNNikitin
Вот, собственно и вредительство. А если ляжет сегмент или надо будет замерить какой-то из узлов сети? Это из самого банального.
Смена паролей — активное действие, направленное на снижение контроля над сетью уполномоченными лицами. Налицо преступный (не злой) умысел.
Не в случае смены паролей.
Совершение преступления кем-то не дает право совершать преступление кем-то другим.
Трампа за такое жестко забанили повсюду и вон импичмент шьют ;)
Сослагательное наклонение уместно в философии и девичьих мечтах, но не очень — в технике и юриспруденции ;)
cap_nemo
Смена паролей должна быть доказана. А при том, что там могут резвиться еще пару хакеров, доказать смену паролей именно автором затруднительно. Можно сослаться на логи в маршрутизаторах — скажете Вы. Тогда попробуйте доказать, что прошивка не была изменена на момент изменения паролей, и после этого логи не отредактированы. Потом докажите, еще цепочку фактов. К примеру, что именно автор сидел за компьютером, с которого был осуществлен вход в сеть или на устройство.
Вы описываете идеализированное представление о ситуации. И я могу только согласиться с вашими аргументами. В реальной жизни это работать, увы, не будет. Потому что большая часть людей пойдет по пути наименьшего сопротивления — напишут пресс-релиз, и прикроют самую очевидную дыру. А потом все будет так же как и раньше.
Так что получается парадокс — действуя по такому идеализированному пониманию закона, мы допускаем дальнейшее попустительство ситуации. А это отличная почва для дальнейших злоупотреблений, которые обязательно будут.
Рассуждение о девичьих мечтах в технике — это уже тоже сама по себе философия :) Предложите разрешение предложенного парадокса?
SNNikitin
Логи помогут, все верно
Если логи нормальные — то это не так чтобы проблема
Если не очень — то можно взять всех, кто резвился и дальше выяснять, кто что делал по старинке, в оффлайне — допросы, очные ставки и т.д.
В любом случае, я не настолько компетентен в ОРМ, думаю, там есть необходимые методики
Ну, если считать соблюдение законов идеализацией — то соглашусь ;)
Не буду отрицать
Тут, на самом деле, нет парадокса :)
На рядового гражданина не возложены функции поддержания законности как таковой (в части, не касающейся его непосредственно, конечно) — для этого есть специальные узаконенные службы. Более того, во многих случаях рядовому гражданину прямо запрещено выполнять функции таких служб (в частности, субъектов ОРМ), вплоть до имитации этих функций (даже машину свою нельзя оклеить под машину полиции).
Так что, законных методов тут примерно один — уведомить оные службы, остальные априори незаконны. Других вариантов в рамках существующей системы у законопослушного гражданина просто нет.
Есть, конечно, еще один вариант — личное участие в изменениях существующей системы, но тут масса нюансов :) За какие-то варианты (даже за их упоминание!) можно неиллюзорно получить вполне законный срок, а ненаказуемых — не так уж и много остается, например, легальная политическая борьба, вхождение в состав правительства (или руководства означенных служб) и инициация изменений «сверху». И вот вариант, выбранный автором, уже не так чтобы законен, а предлагаемый Вами — уже вполне тянет на статью, как я и упоминал изначально ;)
Возвращаясь на землю, скажу так — злоупотребления будут, независимо от того, сядет ли конкретный исполнитель конкретных действий (считая упомянутые Вами) — и это еще более грустно.
Не без этого ;)
Есть три варианта для личности:
1. Игнорировать
2. Эмигрировать
3. Пытаться бороться
И примерно ноль вариантов для системы, не меняющих ее по сути и наполнению.
Шансы личности на победу по варианту 3 лично я оцениваю как исчезающе малые, а вот шансы оной личности получить вариант 4 (вполне реальный срок, как минимум) — увы, как более чем реальные.
cap_nemo
С точки зрения форензики (методологии раскрытия компьютерных инцидентов) — собрать доказательную базу, не так уж и просто. Как вы правильно заметили, в ИТ нет места девичим мечтам, тем более при проведении расследования. Не нужно быть экспертом, чтобы понимать, что можно логи и подменить. Так что доказывать придется много всего и технически — это не так то просто. По старинке пригласить пару офицеров из киберкомандования США тоже можно, только они скорее всего не появятся здесь. У них и так полно дел по всему миру)
Наши комментарии в остальном стали приобретать мировозренческую окраску, и ей здесь не место. Благодарю за конструктивные доводы!
dvk99
А чего вы шьете автору УК 272, там указан неправомерный доступ, «при условии обеспечения специальных средств защиты». Тут речи о защите нет, если только пароли по-умолчанию защитой назвать. Никто ничего не ломал, вошли в открытые двери.
И, кстати, неплохо, если школота полезет камеры отключать, может и пошевелятся тогда.
SamaRazor
На бумаге там защита есть, будьте уверены. Все угрозы безопасности смоделированы, действия предприняты. А то что там admin:admin, так это происки этого же хакера, а ты докажи что не он.
dvk99
Презумпцию невиновности уже отменили? Хотя, в рамках нашей системы тут уместен смайлик.
Не удивлюсь, если представят протоколы и 15 свидетелей, что пароли там были правильные и вскрыты распределенным брутфорсом, а пятитонники IDP от палоальто сломаны распределенным на пол-мира ddos на 7-м уровне.
Такие организации привыкли хамством компенсировать недостаток ума. И в суде это вполне прокатывает по независящим от истины причинам. Надеюсь, автор вполне отдавал себе отчет в этом.
Valtes
Все-таки правильнее было сначала сообщить об уязвимых конфигурациях в РЖД и в Госсопку. Причин тут несколько:
Первая и самая главная — закрыть такие бреши оперативно невозможно никакими силами. В результате под угрозу поставлено функционирование крупной компании, которая дает рабочие места десяткам тысяч людей и обеспечивает важным сервисом миллионы. Можно по разному относиться к РЖД, но точно не стоит останавливать ее функционирование. А после этой статьи куча мамкиных (и не только) хакеров полезут проверять, правда ли написана, и возможно окажутся менее ответственными и, возможно, сделают что-то плохое.
Вторая — получить официальный ответ от компании или не получить его (это тоже результат).
Как-то так…
imm
РЖД птиц гордый, в прошлый раз недостаточно сильно пнули даже обнародованием информации о Сапсане — не взлетел, не почесался, и официально ответил, что у них всё расчудесно, результат:
А на «приватные» сообщения им и подавно положить большой ржавый рельс.
Neikist
Они даже сейчас, после публичного слива инфы заявляют что «Все прекрасно, угрозы нет»… А без этого скорее всего даже на ответ не почесались бы.
Valtes
Между тем это правильный путь. Плюс заметьте, что еще неплохо написать в ГОССОПКА.
Не поделитесь ссылкой, где они заявляют, что «угрозы нет»?
Neikist
habr.com/ru/news/t/537172
qlox
вы не можете нарезать задачи коллеге, с которым пилите бабки, она будет спущена на тормозах и забыта, что мы и видим.
наказать такого коллегу вы тоже не сможете.
затянется волынка из отмазок, но реально ничего не поправится, там еще и ХР достаточно машин.
Kvaskin
Нужда ломать РЖД = нужде ломать общественный туалет в центре столицы. Меня не беспокоит доступ к камерам иных лиц. А платить бешеное бабло из бюджета за разработку/защиту/поддержку/ипр.х, как налогоплательщеку, за то что кто-то, когда-то решит столкнуть два поезда (в лучшем случае), что кстати не имеет никакого смысла, потому что это тупо. — НЕТ! — мне не нужна защита РЖД и вливание в нее очередного бабла, только потому что кто-то надул пузырь небезопасности!!! Да унитазы надо защищать — утенка достаточно.
Neikist
Вы статью хоть читали? В том и суть что там далеко не одни только камеры доступны. Насчет аварии поездов сомнительно, но остановить железную дорогу по всей стране есть подозрения что вполне возможно.
Kvaskin
«Все информационные системы уязвимы априори» — вот с этого надо начинать статью. Уязвимо все и всегда. В какой момент уязвимость приобретает значение? В тот самый когда встает вопрос безопасноcти. Вопрос безопасности не встал даже в этой статье, так в чем тогда смысл статьи? Потратить аххулиард денег на латание язвимостей? Ну так можно любой другой фигней позаниматься, главное чтобы не за чужой счет.
Neikist
Когда любой школьник с мозгами может положить железнодорожные перевозки по всей России будь у него желание — это по умолчанию имеет значение. Сами же взвоете если вдруг начнутся проблемы с товарами в магазинах и доставками заказов когда наверно крупнейший перевозчик вдруг не сможет ничего перевозить. Ну и само собой будет «весело» тем кому куда то ехать надо срочно, или откуда то уезжать.
Anrikigai
Вот поэтому и говорят о сегментации, Zero Trust и прочих подходах.
Чтобы даже если по чьему-то головотяпству (или из-за уязвимости) злоумышленник куда-то вломился, то там и остался. А не гулял уже по всей сети, как у себя дома.
Защитить так, чтобы никто никогда ничего не сломал нереально. Но когда из-за одной уязвимости (ошибки конфигурации...) можно грохнуть вообще всю сеть — такое недопустимо. И это архитектурная проблема, а не выбор «некошерного» производителя, например.
elve
Потратить волшебные пендели, чтоб хотя бы пароли на железках прописали ). Ахулиард рублей уже не раз тратился, но не чет не помогает =).
Alviy
Была ли у автора альтернатива при условии, что он хочет изменить эту удручающую ситуацию?
MiGuSan
каждый пассионарий находит свою судьбу.
DHeart
Предвижу ответ РЖД: "Это легализация материалов иностранных спецслужб"
Alexufo
ой ладно… пачками утекали персональные данные, а тут данные для организации терактов, в которые никто на самом деле не верит, отсюда такое отношение к ИБ у любой гос. конторы и их начальников.
Uris
Во! узнаю Хабр. Такими постами гордиться надо. 1000 плюсов будет точно. Но сообществу надо защитить бы автора. Последствия для него могут быть хреновыми. Вообще-то мы сила, черт побери!
alex-1917
Есть реальные примеры защиты какого-либо автора силами сообщества?
За прошедшие 15 лет?
Вот и у меня тоже нет…
)))
Uris
Правы вы. Не поспоришь. Посмотрим, что дальше из этого получится.
IronHead
Голунов
Шиес
Возможно получится с Фургалом.
Alexufo
Когда пришли за Ализаром из госнаркоконтроля я никого не видел.
F0iL
Сысоев?
Alexufo
Все просто ржали с ситуации, из-за заявлений от некомпетентных злодеев, сообщество ржущих?) Все итак знали, что это бесплезно, а Сысоев надеюсь после этого ватность свою понизил.
Alexufo
Да-да, групповой нарциссизм… приятный, но бесполезный.
MiGuSan
Тем временем ТГ канал по безопасности ОС MikroTik набрал почти +20% пользователей за сутки…
Vort123
Кому интересна полная версия статьи — смотрите в архивах.
Из этой версии уже начали куски пропадать.
Haoose
Пока убрали только скрины внутренних сервисов (схема путей, мониторинг состояния систем обеспечения здания, система управления кондиционированием и вентиляцией, системы управления табло на перронах, система DaMask, SCADA-системы). Наверно представители «попросили» )
usego
>UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Ога, всё это за пол дня закрыли? Тут на много дней работы начиная с планирования. Похоже это автора уже закрыли, а не уязвимости.
MiGuSan
скорее всего, начали закрывать входы в сеть) выходы закрывают другие органы)
Jammarra
Ну на самом деле не все так печально. Дефолтные пароли можно сбросить по типовым устройствам скриптом. Прокси которые сканятся закрыть нафиг.
Вот и закрытие большей части уязвимостей. Меньше часа работы, если что. А дальше уже разгребать говно можно и год.
LMonoceros Автор
Я жив и здоров :-)
Gryphon88
Если не секрет, как с вами связывались: через личку Хабра, через телеграм или ещё как?
tmin10
По выключенному телефону, конечно же. Классика.
AcidVenom
Хороший ход. Я бы сказал, единственно верный.
monah_tuk
Согласен. Без общественного резонанса — никак. На 1 канал же его не пустят, без приписок "злоумышленник", "юный натуралист" и прочими уничижительными ярлыками.
To4KaXD
Рад, что у вас все хорошо!
Alexufo
на дату сообщения обращайте внимания, когда читаете вчерашнюю статью)
Автора может уже и не быть)
aztec102
Очень достойная статья! Поддерживаю что тоже читал как детектив! Беспощадная Россия!
monah_tuk
Патентуйте название для цикла книг!
SirEdvin
Статья классная, но в ней, к сожалению и опасности автора, слишком много деталей :(
gregoryawesoman
да уж, приятно что среди сограждан есть толковые люди, аргументированно и четко все изложено.
после такого хочется на НЛО улететь подальше))
надеюсь с автором все будет хорошо
Hakhagmon
Статья супер, теперь главное чтоб по статье не приплели))
timahvey
Автор бесстрашный, как Робин Гуд. Агонь!
То что статья «изобилует деталями», скорее всего автор:
а) намекает на то, что там вообще полный *ц;
б) КРИЧИТ ИТ-отделу (а он есть не на бумаге?) РЖД и прежде всего его руководству, что нужно в серьёз воспринимать уведомления про такие вещи и вообще настраивать таки безопасность;
в) делает это популярно, т.к. иной раз еще в РФ за такие подсказки вместо баунти (которые выплачивают багхантерам за бугром) могут еще и «статью впаять».
navion
У них и правда некуда писать про безопасность:
outlingo
MAIL FROM? Не, не слышал, ага
navion
Просто убрал лишний вывод.
Areso
А вас это удивляет? Попробуйте попросить ящик безопасников в любой крупной компании…
Все «внешние» точки входа будут говорить, что знать таковых не знают. Ни имён, ни телефонов, ни даже ящиков (даже обезличенных).
А то вдруг вы пришёлете им троянчика на security@company_name.ru, и всё, плакало секьюрити…
В теории, им должны пересылать такие сообщения с более публичных ящиков, ну а на практике.
navion
Обычно ящик security всё же существует и нередко с него отвечают админы или ИБ.
Я когда-то заморочился поиском управлялок от бесперебойников со стандартным паролем и рассылкой предупреждения владельцам — ответили все, кроме корейского провайдера.
just_bank
а если на «abuse@»? такие адреса чаще мониторятся
navion
Нет ни abuse, ни noc, ни support в доменах rzd.ru и css.rzd.ru, а для их AS20702 в качестве abuse-c указан персональный емейл.
Anrikigai
Проще проникнуть внутрь сети, чем найти, кому сообщить о проникновении :)
Oxyd
Натравил ZE, на диапазон адресов этой AS…
Как говорил товарищ Гоблин, в «Братстве Кольца» — «Эту страну спасут только танковые клинья и ковровые бомбометания!» ©
Otrub
Как только прочитал в статье и комментариях про жд, коррупцию, безопасность и профессионалов из топ менеджеров, сразу навеяло тему из Атлант расправил плечи..
poisons
Было бы очень интересно узнать подробности.
AlexR0v
ну вот, автора уже и хакером обозвали.
Прям на главной яндекса
DmitryLTL
У него в профайле написано — хакер. Ну и мне всегда казалось что хакер это не оскорбление, а даже наоборот.
AlexR0v
да я к тому, что со стороны РЖД его следовало бы наградить, а получится скорее всего совсем наоборот. Лучше бы я ошибался конечно.
Oxyd
Согласно RFC1983:
Так что всё правильно у него написано.
vanxant
Палитесь, «главная» специально для вас построена на основе ваших каналов (начинается на до, заканчивается на дь)
AlexR0v
да смысл не в этом, а в заголовках новостей, пусть даже построенным по моим предпочтениям. Никто не написал, что энтузиаст-исследователь помог найти уязвимости в РЖД, написали, что хакер взломал.
monah_tuk
Всё верно. Это не обзывательство. Посмотрите проекты на GitHub/GitLab/BitBacket/etc, там у многие есть документ HACKING, описываюсь базовые аспекты по внесения изменений в код. Т.е. это документ для тех, кто собирается лезть во внутренности. Разработчики ядра Linux тоже поголовно хакерами кличутся. Ну и выше ссылку на RFC1983 привели.
А ругательства это что-то вроде "мамкин хацкер", кул-хацкер и т.п. :)
PS вы
:
послеhttps
пропустилиlizarge
UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.
Реально?) за 12 часов пофиксили все роутеры без паролей, прошили новыми промывками и все cконфигурировали? Или прошли по шагам которые автор предлагает?
BigD
LMonoceros Вас заставили это написать?
DmitryLTL
Канареечный вопрос не так задаётся.
spc
А старорежимными смайликами еще кто-то пользуется?
mayorovp
Скорее всего закрыли выявленные внешние HTTP-прокси, это и делается быстро, и остроту проблемы снимает.
embden
Итак, автор сделал своё дело. Он нашёл проблему. Государство её вряд ли сможет эффективно решить своими силами. Если кто-то не понял, автор показал крайне слабую защиту критической инфраструктуры России на примере РЖД, а это автоматически даёт нам право полагать, что бэкдоры из США/Великобритании/Турции уже установлены в роутерах этой самой инфраструктуры.
Государство не в состоянии решить эту проблему, Евгений Чаркин уже показал свою некомпетентность. Какие следующие шаги? ifap, @roskomsvoboda, Abejorro?
Какие шаги будут от IT-сообщества хабра? Или вы не понимаете, что вы представляете ту группу людей, которая реально хоть как-то понимает, как решить ситуацию. Если вы не внесёте свою лепту в каком-то виде, то никто этого не сделает.
Повторю ещё раз. Расследование автора показывает, что была возможность атаки на критическую инфраструктуру страны. РЖД — это только частный случай. Нет оснований полагать, что несколько государств, обладая спец. средствами и большим запасом времени, ещё не внедрили вредоносное ПО в большую чатсь систем.
anonymous
Чтобы что-то исправить, необходимо в первую очередь желание этого со стороны владельцев и эксплуататоров этой инфраструктуры. Без этого все что угодно задуманное "улучшаторами" и "исправителями" не то что бессмысленно, а может быть даже и опасным для задумавших.
Я вам даже более того скажу — у нас
в том числе и госструктуры активно закупали и закупают как оригинальные, так и "импортозамещенные" железки от китайского Хуавея, бэкдоры в чьих изделиях обнаруживались задолго до этого… так что вы не в ту сторону ищите :)
QDeathNick
Вы реально думаете что проблема техническая и хабр может как-то помочь её решить?
ИМХО проблема не технического характера, а в организационной структуре, мотивации и желаниях верхушки, а это никак не решить даже всем IT-сообществом.
AcidVenom
Хватит лепить горбатого.
Про «суверенитет» и «нацбезопасность» можно долго говорить, но вывод прибыльных структур из РЖД и откаты привели к этому моменту. Хотите следующих шагов? Начините с того, чтоб прекратить хотя бы врать.
ifap
Злой ли тут умысел или традиционное рассийское расп… разгильдяйство, судить не берусь. А что делать… раз автор не скрывает себя, то ему и карты в руки: перед публикацией статье направить заявление в ФСБ по выявленным фактам ненадлежащей защиты критической инфраструктуры, риска терактов и этого всего. Пока
гром не грянетпривет не прилетит — эти люди не почешутся.embden
Как же мне надоела это политическая пассивность, "моя хата с краю". Я раньше думал, что уж на хабре-то можно как-то смотивировать людей организоваться, выдвинуться рациональным фронтом, где каждый профессионал своего дела, каждый влияет по своим каналам, а вместе группа профессионалов влияет на массы людей. Думал, что хабр — интеллигенция, люди, которые понимают, чем грозит социальное бездействие. И что я вижу — постоянные отговорки, бездействие, демагогия, неспособность к волевым решениям и к рациональному мышлению. Ощущаю себя, как в детском саду, только люди почему-то взрослые. Пожалуй, с комментариями на хабре пора заканчивать.
ifap
Хм… и что Вы лично сделали политически активного, кроме призыва что-сделать к другим?
monah_tuk
Боюсь, что в нашей действительно нужно сначала публиковать в пабликах, предавать гласности, заручаться поддержкой общества и общественников и только потом писать заявления в ФСБ со всеми деталями и подробностями. Да ещё и выкладывать их на ресурс по принципу WDT: если не сброшу, оно опубликуется. Потому как крайнего тут даже искать не нужно, ибо, обращаясь к цитате из начала поста:
Сюда добавляем информацию про "критическую инфраструктуру" и "злоумышленник" легко трансформируется в "террорист", а тут уже и очередные звёздочки на погонах маячат.
Я бы хотел ошибаться, но современные реалии заставляют меня мыслить только так :(
ifap
Тут да, палка о двух концах. С одной стороны, опубликуешь, поднимется шум, могут «забросать ветками» и привет, «факты не подтвердлились». С другой стороны, товарищ майор может захотеть срубить палок срубить по-быстрому на самом заявителе, а если он хоть сколько-то публичная персона — поостережется. Универсального рецепта нет, автор должен сам для себя решить, какие риски считать приемлемыми.
Anrikigai
И, полагаю, срубить палок товарищу майору гораздо проще на заявителе, нежели на Евгении Чаркине.
A114n
Так смешно читать всегда пропагандистов.
Какая «инфраструктура», лол? Какие «бэкдоры из США»? В России куча министров, в том числе глав военных и силовых ведомств, имеют гражданство европейских стран. Вот это и есть главный бэкдор. Вилла и виноградники Медведева (заместителя председателя Совета Безопасности) в стране НАТО — вот это настоящий бэкдор. Пока есть этот бэкдор — всю эта дурь про «критическую инфраструктуру» пусть рассказывают Соловьёв с Киселёвым. Которые тоже, правда, со своими семьями живут в странах НАТО.
glendanzig
Пропагандисты всегда были и всегда будут. Пока им платят. Другое дело, что могли бы уж и приличных спецов найти, благо деньги то есть. А привычка все отрицать и валить на кого-то идет сверху…
Зы. Почему-то на хабре реклама «содержанок» все время мелькает. У меня одного что ли…
hhba
Отличная статья, автору большое спасибо и (без шуток) счастья в личной жизни. К таким проблемам надо привлекать внимание, и делать это по возможности так, чтобы тебя не сделали крайним. Кажется заява в транспортную прокуратуру — едва ли не лучший способ продолжения банкета, и делать это надо срочно (пока заяву не накатали на вас). Рынок поставки оборудования в РЖД исчисляется триллионами рублей, и на некоторых вещах делается серьезная маржа, так что можно легко наступить людям на хвост, а они в ответ наступят на горло. Впрочем пока что, как я вижу, все решилось благодаря какому-то неравнодушному человеку.
1) Как на дороге, так и на дорогу (в коммерческих конторах, работающих с РЖД) работают за весьма скромные деньги чрезвычайно трудолюбивые люди. Когда это машинисты, путейцы, кто-то еще отрасле-специфичный — можно смело сказать, что это не только трудолюбивые люди, но и лучшие специалисты в своем роде. Но когда это что-то общепромышленное (электронщики, программисты, сетевики и т.д.), то зачастую это отнюдь не самые лучшие специалисты — потому только самые идейные готовы годами работать на зарплате ниже рынка (а там надо работать именно годами, чтобы успеть сделать хоть что-то), вместо того, чтобы уйти куда-то еще. К высказанному выше общефилософскому утверждению это только добавляет бульона. Тем более должно было быть много косяков именно в РЖД. Думаю ничуть не меньше можно было бы налутить в каком-нить секретном НИИ.
2) Железная дорога де-факто является объектом критической инфраструктуры не вся целиком (включая АСУ «Экспресс», туалеты и видеокамеры), а только в наиболее значимой своей части. А она, в свою очередь, может при необходимости существовать даже без напольных устройств СЦБ, так что рассказы про мамкиных террористов, которые поставили раком какой-нибудь ход — скорее из области фантастики. Неудобства создать можно, да и то не Бог весть какие.
3) Урежем осетра дальше — мне трудно сказать, что там за ИБП на скриншоте и кого они питают (но вряд ли это общее питание какого-нибудь блок-поста), но вот это вот "Ужас, там SCADA, сейчас пущу поезд под откос" точно не в кассу. Во-первых, если мне не изменяет память и зрение, то на скриншоте показан АРМ АПК-ДК (аппаратно-программный комплекс диспетчерского контроля), с него вы особо не поуправляете станцией. Во-вторых, даже получив прямой доступ к не в пример более «опасным» АРМ ДНЦ (поездного диспетчера) или АРМ ДСП (дежурного по станции) вы не сможете так вот легко отправить под откос поезд (то есть что-то, следующее поездным маршрутом). Вот начудить с маневрами на некоторых станциях уже будет можно, хотя это редко имеет серъезные последствия. Еще знатоки темы вспомнят про сбросовые стрелки и разрывы маршрутов, но они в основном не так просто управляются (а при местном управлении — вообще только с пультом КОК). В данном случае устройства автоматики и телемеханики выручат как в случае непреднамеренных ошибок и отказов оборудования, так и в случае злонамеренных действий… хотя с этим уже сложнее (см. п. 5).
4) Почти основной способ обеспечения безопасности (которая не safety, а security) на многих объектах критической инфраструктуры, и железная дорога тут не исключение — security through obscurity. Разделение сетей, запрет (банальный, на уровне локальных политик) на выполнение каких-то действий на ПК, имеющих связь с критическими элементами, закрытость протоколов связи между микропроцессорными элементами ЖАТ, сложность ТРА станций, и т.д. и т.п. Конечно мы и тут видим нарушения, как на том же скрине с АПК-ДК — возможно какой-нибудь начальник у себя на рабочем компе запустил АРМ ШЧД (диспетчера дистанции СЦБ), и это плохо, либо с АРМ ШЧД был организован несанкционированный доступ в интернет, что еще хуже. Но это скорее исключительная ситуация, в целом, не обладая нужными знаниями, вы тем более никакой поезд под откос не пустите.
5) Известно, что брак первой категории, авария или крушение гарантируется только сочетанием трех факторов: неисправности оборудования, поездной обстановки и человеческого фактора. В данном посте рассматривается раздувание человеческого фактора до масштаба диверсии, причем столь серьезной, чтобы обойтись лишь одним этим фактором. Однако для такого уровня не нужны никакие сетевые уязвимости. Уверен, что я и сейчас легко смогу проникнуть почти в любую релейку (просто зная, что для этого нужно). Дальше при наличии знаний можно сделать многое, гораздо больше, чем через эти ваши энторнеты. И еще, и еще, и еще много всего, и даже можно в релейку не заходить на самом деле! И с этим либо вообще ничего нельзя сделать, либо просто нерентабельно.
Из вышесказанного заключаем следующее — безусловно увиденное ужасно. Безусловно можно лишить РЖД всего видеонаблюдения (правда оно небось и не РЖД принадлежит, ха-ха, но не суть). Причем продавцы его будут только рады, можете не сомневаться (а ФСБ все равно придет за вами, а не в те кабинеты). Особенно все это вызывает возмущение именно у айтишной публики, так что внимание к посту понятно. Но — опасности и возможности такого взлома сильно преувеличены, это с одной стороны, а с другой стороны все на самом деле гораздо хуже. Причин, как и всегда, две — некомпетентность исполнителей и незаинтересованность руководителей. Причем я и к исполнителям не готов предъявить ни одной претензии (в большинстве случаев у них воистину собачья работа), и к руководителями тоже — невозможно расти над собой в отсутствие конкуренции. ЧСХ конкуренция компаний в таких отраслях также нечасто обречена на успех, а конкуренция персоналий в текущей общественно-политической модели не работает.
Neikist
Устроить коллапс на жд можно не только операциями в реальном мире. Обрушить учетные системы или запутать данные в них, отрубить табло, терминалы, системы продажи билетов и прочую инфраструктуру. Пока это все из бекапов раскатят (а то ведь и их подчистить может быть можно) — будет тот еще пушной зверек.
hhba
Для пассажиров и ЦППК — да. Но не для РЖД.
Neikist
А чем РЖД лучше? Например вполне возможно используют какую нибудь из электронных систем учета и планирования ТО, ремонтов. Можно незаметно подменить данные, и пока внимательно с бумажками не сверят — могут в итоге получить проблемы в виде вовремя не обслуженных узлов ЖД или поездов (ну или заменят в какой тех. карте ремонта одни требуемые материалы — другими), что в свою очередь может привести к поломкам. И это лишь один частный пример.
hhba
Мммм, заменят материалы? Вы можете привести конкретный пример того, как это будет сделано, по шагам, или высказываете гипотетическую возможность? Просто гипотетических возможностей очень много… Стоит обсуждать вполне конкретные user stories.
Neikist
Конкретные user stories можно обсуждать только посидев в сети несколько месяцев и изучив все доступные системы и возможности, а не как автор статьи, нарыть кучу дыр за несколько часов и глубоко не копать.
hhba
Нет нет нет, просто «сидеть в сети» — не поможет. Вы же про какие-то материалы пишете? Кажется здесь требуется другая компетенция. Не стоит огульно преувеличивать возможности кулхацкера только потому, что ранее кто-то был склонен их недооценивать.
Neikist
В смысле? Взять заменить одно масло в тех карте (использующееся под условия) на другое, которое под условия использования не подходит. А то и вовсе удалить замену масла из тех карты. Как элементарнейший пример. А поизучав тему можно и гораздо интереснее вещи придумать.
hhba
Вот, я и говорю — если вы знаете что-то про какое-то конкретное масло, то давайте разберем этот конкретный пример. Вести разговор «например, в общем, про масло» — бессмысленно, мы переходим в плоскость «можно сделать в принципе что угодно».
Neikist
Так о том ведь и речь что возможностей миллионы. Изучить остатки материалов и запчастей на складах, медленно, месяц за месяцем снижать количество затрат материалов на тех. операции, заменять сами запчасти мало подходящими аналогами (думаю документацию на поезда в сети нарыть можно, и по ней подбирать) чтобы они попадали в планы закупок и закупались вместо нормальных, а потом устанавливались. А с бумажными тех.картами никто это сверять не будет. Иначе зачем автоматизация нужна?
З.Ы. Одно время в разработке 1С: ТОИР участвовал, в ржд понятное дело не она используется, но думаю аналог какой нибудь есть.
hhba
Я все же настаиваю — это все теоретические возможности. Вам не «документация на поезда», прости Господи, будет нужна, чтобы все это сделать. В этом РЖД ничем не отличается от любой другой крупной конторы — снаружи, одними логическими выводами, нельзя понять очень многое о действиях людей.
monah_tuk
Там автор только по верхам пробежался. С другой стороны, полезность такого жирного кусочка ещё в том, что его можно использовать как плацдарм для разного рода атак, запутывания следов и т.п.
alex_124
Автор, низкий поклон! Надеюсь, они закрыли дыры не так же, как проводят аудит
А я в пятницу поеду на поезде — весело что :(
osoznanie
А есть книжки/видео по которым можно научиться так свободно путешествовать по сети и, особенно, отточить навыки? Вроде слова по большей части знакомы, но так легко применять и ориентироваться хотелось бы уметь!
Calc
толстая книга по linux, толстая книга по tcp/ip, статьи по построению сетей
Как вариант вкорячить к себе proxmox и поиграть с кластерами.
Дополнительно изучить все утилиты linux по работе с сетями
Как бы всё. Тут нет никаких особых знаний, да и хакинга никакого
микротики тупые до безобразия, порты основных сервисов определены изначально.
ssh на 22м порту без защиты — смерть сервера
Забыл главное, понимание модели OSI, а то arp -a не сможешь выполнить :)
glendanzig
Для современной России — это нормально. Случайные люди на руководящих должностях, второсортные прогеры. Ну и любимая политика, если уж обос***ись, все валить на кого-то, отрицая свою вину. Злой хацкер все поломал, а у нас все было нормально (я уж молчу про баг-баунти)…
monah_tuk
Как же меня бомбануло… За расследование огромное спасибо!
xilix
Нужно убрать из дома все гаджеты, компьютеры и ноутбуки на случай обыска. Потом же не вернут ничего.
Dioxin
мой страны
Чьей страны? Предлагаю как следует подумать над этим.
Я дурак?
Время покажет.
Но может лучше было просто аккуратнее писать об этом с минимальным риском для себя?
Одно хорошо — герои не перевелись.
А вообще, зная ситуацию в бюджетке, хорошо что вообще что-то работает.
связались со мной специалисты РЖД и совместно закрыли уязвимости.
Печеньками то хоть накормили?
baxxter
Почему автор не написал об уязвимости в РЖД, но не поленился расписать статью со скриншотами и маркдауном на хабр?
Героев нынче судят не по поступкам, а по тому насколько громче эти «герои» кукарекают. Синдром BLM и СЖВ в действии.
Я нисколько не оправдываю головотяпство ИТ-сотрудников (или их ИТ-подрядчиков) РЖД, но обьясните — что такого ужасного «взломал» автор? Пару роутеров SOHO-класса и несколько китайских камер видеонаблюдения? Я бы еще понял беспокойство, если бы он получил доступ к каким то БД, серверам или сетевому ядру ЦОД, но в данном контексте статья выглядит как «Мам, смотри, я взломал РЖД!!11»
anonymous
не может ли какой нибудь злобный нехороший пропалченый шпион сидя в Зимбабве запросто с помощью камер РЖД проследить перемещение суперсекретных химиков за одним пациентом?
F0iL
baxxter
Тогда тем более к автору еще больше претензий — ни в коем случае не нужно было раскрывать эти уязвимости публично. Теперь каждый второй мамкин хакер полез пробивать рубежи, как выяснилось слабо подготовленной, инфраструктуры РЖД. Но зато автор себе побыстрее плюсиков в карму нахватал, произвел так сказать ИБ-открытие года, собственная значимость ведь действительно важнее судьбы огромного предприятия!
merlin-vrn
Так вы же сами утверждаете, что это сеть филала, вокзал с парой камер, и что «хакер» даже сам не разобрался, что это? А тут он вдруг что-то, оказывается, «должен был».
Вы хотя бы статью прочитайте полностью и не по диагонали, прежде чем отвечать. В том числе, прежде, чем отвечать на этот комментарий.
baxxter
Если я в один прекрасный день допустим попаду к вам в квартиру, потому что вы не заперли дверь, сниму об этом ролик «Квартира Никиты Куприянова уже не в безопасности!!11» для видеоблога, а вы об этом узнаете из трендов ютуба, то как я буду выглядеть в ваших глазах? Как злоумышленник или как герой-блоггер, тестирующий безопасность чужих жилищ?
То, что вы не заперли дверь — глупость.
То, что я залез к вам в квартиру и не уведомил об этом вас, как хозяина, даже из лучших побуждений — тоже глупость.
Так обьясните мне, почему глупость РЖД должна как то оправдывать глупость автора (состоит в том, что он не уведомил хозяина системы)?
Kwisatz
Если в один прекрасный день вы попадете на склад боеприпасов, который открыт 24/7 то какие ваши действия? Дежурного найти не возможно, если вдруг найти он спускает на вас собаку и кричит «поймаю, удавлю».
Склад стоит в районе где вы живете, недалеко школа, куда ходят ваши дети, и сквер где отдыхаю ваши родители.
WeSKeRuS
Не система, а проходной двор. Интересно скок крипты можно намайнить заразив всю сеть? А сколько сайтов можно за Д-досить? Блин, да эта система не то что бы сама себе угроза, она угроза всему ру сегменту интернета.
2PAE
Настолько хорошо закрыли уязвимости что статья даже пропала из топа Хабра?
Osnovjansky
Топ — суточный. Статья опубликована вчера в 08:51
HepoH
Статья пропала из суточного топа хабра, поскольку сутки с момента публикации прошли. Она все еще в недельном топе.
Boomburum
Всё верно. Да и чего стесняться — не только в недельном, но и в месячном и даже в годовом :)
ne555
Boomburum, а почему на Desktope-e категория 'Лучшие' ограничиваются: 'день/месяц/год'?
В мобильной версии сайта так: 'день/месяц/год/все время'
Boomburum
Вероятно пролюбили этот таб сортировки :) Поставил задачу, чтобы вернули на десктопе.
KvanTTT
Тоже было бы интересно посмотреть за все время. Такое впечатление, что это вообще лучшая статья на хабре — никогда не видел больше 1000 плюсов. А этой статьей всего два дня и больше 1200 плюсов.
AceOfDimonds
Теперь главное-не пить чай с незнакомыми людьми. По-другому в России решать проблемы не умеют.
ifdru
Печально видеть, как спустя каких-то 20 лет от начала построения корпоративной сети РЖД протеряны все полимеры. Как сетевая инфраструктура строится на неподобающих устройствах, с настройками по умолчанию и без применения какой-либо концепции безопасности. Особенно печально видеть даже не отрицание проблемы, а отсутствие каких-либо конвульсий по решению проблемы.
olik-zander
А если предположить, что почти во всех компаниях, подконтрольных государству, наверх всплывают бездельники, умеющие лишь состряпать «научное» лицо, становится понятно, почему «живётся весело, вольготно на Руси».
Bruce_Robertson
Меня привлекла фигура Жени Чарского, который ни дня не работал где-то вне госухи.
Родился в 1977, в конце 1999 (22 года) закончил универ (Финансы и Кредит), пропадает на 2 года (видимо на компьютерных курсах), а уже в 2002 (25 лет) — становится начальником управления проектов в области информационных технологий в Норильском Никеле. Далее Женя занимает исключительно директорские должности в таких компаниях как Росатом, Северсталь, Металлоинвест.
Neikist
2 года сразу после вуза? Я бы скорее армию предположил.
Bruce_Robertson
Насчет курсов я конечно же шучу. Допустим был в армейке. И сразу после нее — нач управления в области IT, неплохой такой старт карьеры. Можно предположить, что там неплохие родители, но инфу о них я не нашел.
Просто мысли вслух — интересно, в Росатоме, Металлоинвесте и Северстали, такие же сети дырявые?
u440
Мысль вслух (для «хабра» 100% непопулярная и попадающая в минусование): а не атака ли это на Чарского?
На кой ляд он в статье, да ещё с фото?
flx0
Так ведь в самом начале статьи написано. Год назад на хабре была статья, в которой показали дыру в Сапсане, а Чаркин вместо того чтобы поблагодарить автора и заткнуть дыру начал поливать его помоями и утверждать что в РЖД все хорошо. Вот его и ткнули теперь носом насколько хорошо.
Когда ИТ-директор в большой компании не понимает что такое баг-баунти и аудит безопасности, зато имеет много ЧСВ, результат немного предсказуем.
Собственно, если бы не прошлогодняя позиция этого самого Чаркина, содержимое статьи вероятно бы отправилось не на хабр, а на security@rzd.ru, автор получил бы разумное вознаграждение, и никакого скандала бы не было.
u440
Статью про «Сапсан» помню, вполне была травоядная.
Реакции Чаркина не видел, каюсь.
Ну то есть тут «Другие действия», а не банальная заказуха? Ну не сильно лучше :)
P.S. CIO (как и прочие CxO) часто не просто имеют высокий ЧСВ, а из него состоят. Это особенность у них такая. Во всём мире :)
Areso
Не согласен, мне встречались адекватные люди. Нечасто, но было.
flx0
Если верить его linkedin, то таки не пропадает. Там была некая FM Logistic и Actis Systems.
Alesh
Вот это залет, так залет, в гнездо со слонами…
Но думаю дальше пресс-релиза, что найдут и покарают автора статьи дело не продвинется.
tvaishim
Удручает количество комментариев обеспокоенных о безопасности автора (юридической и даже физической) в связи с публикацией. Как показатель запуганности общества.
u440
«Хабр» <> «всё общество».
Скорее даже наоборот.
t911
Что собственно произошло — идет автор по улице и дергает все подряд двери в домах. И тут в одном оказывается дверь не закрыта. Автор взял и зашел в дом без спроса хозяев, посидел на диване, посмотрел что есть в холодильнике. А потом вышел на улицу и начал кричать во весь голос: «Ей хозяева, у вас дом открыт, вы чего не закрываетесь, не ставите забор и колючку!!!».
Какому хозяину понравиться подобная самодеятельность натуралиста?
Anrikigai
В случае с «домом без хоязев», безопасность их квартиры исключительно их проблема. И даже обнаружив такую можно вполне «забить».
Но мы говорим о безопасности РЖД. Для меня разница огромная.
И попытки «оповестить хозяев» ранее уже предпринимались. Но не увенчались успехов.
Неужели вы действительно считаете, что как в вашем примере, нужно просто «забить»?
P.S. Если мне скажут, что я забыл закрыть машину или оставил в ней кошелек на видном месте, я поблагодарю, а не буду назежать «фигли вы моей машиной интересуетесь»
baxxter
Не искажайте смысл. Так в данном случае по аналогии об осталенной открытой двери рассказали не Вам (хозяину), а всем вокруг. Почему вообще подобные действия должны поощряться? Это какая то медвежья услуга — сообщать об уязвимостях публично.
DjPhoeniX
Продолжая аналогию в другую сторону, предположим, вы нашли припаркованный автомобиль с открытым окном. У вас есть несколько путей:
Автор пошёл примерно по пути пинка по колесу. Причём сказал, что таблички с номером телефона не было.
baxxter
Автор пошел по пути самопиара, потому что очевидно, написать вкратце об узвимости на десяток публичных email и подождать неделю реакции РЖД требует меньше усилий и времени, чем расписать такую статью с замазыванием скриншотов и историческими ликбезами о факапах ИТ в РЖД в прошлом
Anrikigai
Не искажайте смысл. Я не просто так сразу написал:
Не надо меня сравнивать с этими деятелями. Наша реакция кардинально отличается даже при «рассказе хозяину».
SNNikitin
Неприкосновенность жилища и уязвимость критических объектов инфораструктуры — разные и юридические категории, и статьи :)
Аналогия неуместна, как и многие, построенные на чисто поверхностных чертах сходства
Alesh
Вы вряд ли сможете внятно объяснить почему не уместна. Поэтому не стоит приводить как довод в споре.
Areso
Тяжесть последствий?
Если обнесут жилище — это безусловно печальный факт, и всё такое, но пострадает лишь владелец/проживающий в этом жилище.
А если обнесут объект уровня РЖД, и тем самым нарушат его обычную деятельность, то пострадают:
1) экономика, завязанная на грузоперевозки по ЖД;
2) пассажиры;
2.1) ПДН пассажиров;
3) обороноспособность страны.
Грубо говоря, если закрывать или нет дверь частного жилья каждый решает сам (в силу рисков, личных убеждений, веры и тому подобного), то юридические лица, особенно системообразующего характера, такого права не имеют, и их деятельность в отношении «закрытия дверей» строго регулируется законом.
SNNikitin
Смелое и ничем не обоснованное утверждение ;) На грани фола.
На самом деле, все очень просто, ключевым моментом является социальная, общественная, политическая, экономическая или любая другая значимость, а также — вытекающие нюансы.
Жилище важно исключительно для малой группы индивидуумов, в то время как критические объекты инфраструктуры — для куда более значимых групп людей, прямо или косвенно, более того, в определенных случаях, от неприкосновенности критических объектов может напрямую зависеть и благополучие жилища — как пример, тут уже обсуждалась система водозабора, в случае нарушения безопасности которой огромное количество жилищ может потенциально стать угрозой для индивидуумов, их населяющих.
Отсюда вытекают и нюансы — в частности, государство/собственник создает специальные службы и процедуры для защиты своих критически важных объектов, в то время как защита индивидуальных жилищ не порождает необходимости создания подобных же служб.
Не напомните ли мне, где, когда и при каких обстоятельствах я спрашивал Вашего совета? ;)
Alesh
Напомню контекст — «Какому хозяину понравиться подобная самодеятельность натуралиста?» Мы вроде бы обсуждали реакцию «хозяина» на действие «натуралиста», нет? Именно к этому и относилась моя ремарка (ни разу не совет)). Имелось виду что хозяин в независимости от того частный он или не очень будет недоволен такой активностью натуралистов.
А высокую значимость объектов инфраструктуры я даже в мыслях не собирался ставить под сомнение. Так чта… могли бы и без минуса в мою карму обойтись :)
SNNikitin
Общая канва обсуждения была немного другой ;)
А минусить я не могу — прав не хватает, карма мала ;)
DX168B
Да уж. Бывали у меня на практике такие дырявые сети. Начиная с «невинного» проброса порта RDP наружу и кончая утечкой персональных данных клиентов одного интернет-провайдера, в числе клиентов которого был и я сам.
sergey-b
Если их взломают какие-нибудь школьники, то они просто скажут, что это враги атаковали через аппаратные закладки в оборудовании. Хорошо устроились. Пора уже баг баунти на уровне государства объявить. Кто найдет уязвимость на инфраструктурном и стратегическом объекте, получает медаль или орден, в зависимости от критичности обнаруженного дефекта.
flx0
Вы таки не поверите, но оно уже есть. https://bdu.fstec.ru/vul
Туда можно репортить уязвимости, и ФСТЭК на них возможно даже возбудится. Правда не думаю, что вам за это что-то заплатят, если вы это не делали по контракту на аудит.
navion
Может хотя бы дадут грамоту, как Red Hat пишет репортеров на страничке в KB?
flx0
https://bdu.fstec.ru/site/rating
:3
NLO
НЛО прилетело и опубликовало эту надпись здесь
ColaCoca
Полнейший трешак конечно
IndyCar
Прочел список организаций из «поздравительного»… Надеюсь все перечисленные организации уже занялись аудитом, ну и с Новым Годом их!
А то боюсь представить, как бы там расплавленный металл не попал бы прямо на пути сообщения, а то и чего похуже.
baxxter
В больших организациях горизонт планирования бюджетов минимум — полугодие, а то и год. А если это по каким то критериям покадает в капитальные инвестиции — то может быть и три года. Так что в лучшем случае конкурс на аудит они начнут отыгрывать во втором полугодии. Никто там метаться кабанчиком и продавливать какие то оперативные решения на уровне финдиректоров не будет из за того, что какой то аноним решил прославиться на хабре. Провели служебную проверку, поменяли пароли по её решению, позакрывали порты и всё (может быть даже премию кто то получил по итогам этих действий). Статья опять же на манер желтой прессы, чтобы попугать обывателя — не понятно к насколько большой и важной части инфраструктуры можно было получить доступ через эти микротики и что с этим сделать. Видеокамеры, роутеры уровня SOHO — это неприятно, да, но не критично
zxosa
как минимум управление стрелками и ибп. Погасить ибп скриптами и всё встанет до ручного перезапуска, а это срыв расписания и убытки
baxxter
Гораздо вероятней банальное эксплуатирование оборудования в качестве майнеров крипты, чем какие то диверсии из видимо хулиганских побуждений.
Пришел дежурный, заметил перевод стрелок не по плану — перевел обратно.
Пришел админ, щелкнул ИБП, все снова заработало.
Факапы в ИТ случаются ежедневно и ежечасно даже без всяких хулиганов\террористов\шпионов\диверсантов\злых хакеров — это норма, даже гугл почта недавно падала например.
Автор получил доступ каким то подсетям, каким то камерам и устройствам, непонятно какого филиала РЖД, т.е. даже сам не разобрался к чему. Да даже квалифицированному админу без грамотной оставленной документации от предыдущего админа порой нужен не один месяц, чтобы разобраться что и за что отвечает в сети и где находится, а вы тут фантазируете о каких то маловероятных сценариях, где злобный хакер нажатием одной кнопки парализует работу всего РЖД. И самый главный вопрос — зачем это все хакеру, какая выгода? Гипотетически можно защищать вообще всё от вообще всего, но в жизни обычно все прагматичнее — защищают только самое важное и на что хватает ресурсов.
Anrikigai
Из свеженького:
Находясь в сети, где явно даже DNS запрос (ответ) подменить проблем не составит (никто и не заметит) даже таким простым способом можно грохнуть все жесткие диски.Но это же фигня, придет админ, раскатает бэкапы (хотя скорее переставит винду, ибо веры в актуальные бэкапы при тамошнем подходе не много)…
P.S. «IPMI наружу» — не очень вяжется с популярными тут утверждениями «да это не настоящая сетка, просто вокзал с двумя компами».
F0iL
IPMI или системы виртуализации — опять же, или снести начисто (уверены, что у админов есть бэкапы на всё и они в рабочем состоянии?), или наделать дел уже более тонко.
С конфигами сетевого оборудования при правильном подходе веселья можно устроить еще больше.
spc
Камрады, поздравяю, вы — непрофессиональная аудиория.
Oxyd
От души посмеялся, спасибо! :-)
navion
Сразу вспомнился анекдот про секретный танк:
— Товарищ майор! Температуры -500 по Цельсию не бывает!
— Кто сказал?
— Ученые говорят!
— Для дебилов повторяю: танк СЕКРЕТНЫЙ! Ученые могут и не знать!
F0iL
Караульный сказал, что системы безопасности у РЖД вполне приличные, расходимся, посоны!
p.s. впрочем, не удивительно.
dvoryakanton
В 2016 году США запускает программу Bug bounty
Летом этого года стало известно о том, что Министерство обороны США с помощью программы поиска уязвимостей выявило в своих системах более ста потенциальных брешей. В проекте Пентагона приняло участие свыше 1400 специалистов.
Тем же годом МинКомСвязь сообщает о запуске собственной программы Bug Bounty
Российские государственные ведомства заинтересовались подобной инициативой поиска уязвимостей. Представители Минкомсвязи уже разрабатывают стратегию запуска отечественной Bug Bounty.
Угадайте чего так и не появилось за 5 лет.
DimaFromMai
Отличная статья, особенно понравился второй ответ «юного натуралиста»:
Можно ещё добавить, что и на работу берут по тому же принципу.
titsi
Чел слева Супер Сус?..
DimaFromMai
Тоже сразу так подумал, похоже, что да.
Sk1FF
Это к вопросу как утекли персональные данные рабочих данной корпорации !LOL Для тех кто захочет повторить подвиг топикстартера подсказка защиты нет априоре не на одной из сети дорог одна сеть один интранет.
aqwAntonio
“UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости” — вы сами верите в то, что написали?
LMonoceros Автор
А почему нет? У Микротов замечательный апи. По проблеме именно микротов, описанных в статье, достаточно написать скрипт, который по всем пройдётся и выполнит ряд действий.
Закрыть доступы из вне — это не долго.
gecube
Наверное, потому что это решает только одну проблему? Самую явную?
aqwAntonio
сам же автор приводит перечень мероприятий для решения проблемы, очевидно, что это все за один день не сделать. просто написал то, что «специалисты» ржд попросили его написать
selfa4
Забавно, что они только после взлома решили провести аудит. Удачи им с такой политикой
BergDeGolle
Моё почтение к автору, даёт стимул самому развиваться в безопасности чтобы не попасть в таком контексте на хабр)
woooody
Мне кажется, что в таких организациях начинают что-то делать только после того, как ущерб от взлома превышает затраты на аудит/устраниение. Либо после публикации подобных статей и, как следствие, разнорядке сверху.