Похоже, светить пароли в СМИ становится традицией. Вслед за французским телеканалом TV5Monde, базой королевских ВВС и центром обеспечения безопасности ЧМ2014 по футболу, свои пароли на стикерах, приклеенных к монитору, продемонстрировала в документальном фильме BBC лондонский узел управления железнодорожным транспортом.Логин и пароль появились на 44-й минуте документального фильма «Nick And Margaret: The Trouble With Our Trains», в котором журналисты Ник Хьюер и Маргарет Маунтфорд рассказывают о плачевном состоянии британской железной дороги. В ходе передачи они, помимо прочего, посещают так называемый Вессекский Интегрированный Центр управления, круглосуточно осуществляющий контроль и управление местными поездами, расположенный над платформой входа на Лондонский железнодорожный вокзал Ватерлоо. На кадрах хорошо видна местная система управления поездами, работающая на с машинах с Windows XP (что тоже вызывает вопросы, т.к. обновления безопасности для данной платформы уже давно не выпускаются). На некоторое время в кадр попадает монитор с приклеенными к нему бумажками с логином CO-WSX-WGO-01A и паролем Password3, а за ним видны другие с похожими наклейками…
UPD: По «соображениям безопасности» предыдущие загрузки фильма на YouTube были удалены, но мир не без добрых людей.
Руководство дороги пока никак не прокомментировало данный инцидент в ответ на запрос британского издания The Register.
Судя по обсуждению на местом форуме железнодорожников, данные реквизиты, скорее всего, используются только для входа на локальную машину с Windows, и не могут быть использованы для какого-то удаленного доступа к системе управления поездами, но сам факт такого отношения к информационной безопасности на стратегическом предприятии, а тем более демонстрация этого безобразия по национальному телевидению, вызывает серьезные вопросы к службам безопасности британской железной дороги.
Данный инцидент произошел спустя буквально несколько дней после сообщений о потенциальной возможности взлома компьютерных систем управления британских железнодорожным транспортом, в результате которого можно вызвать столкновение встречных поездов.
Тут, кстати, можно посмотреть на интерактивную карту путей на станции Ватерлоо, почти то же самое, что отображается в центре управления.
В тему: 9 способов не поделиться паролем
Комментарии (46)
Velikodniy
02.05.2015 11:16+34Руководство никак не прокомментировало и издало указ поменять пароль на «Password4».
XogN
02.05.2015 11:42+3И заранее предупредило, что если и этот пароль будет скомпрометирован, то поменять на Password5
IRainman
02.05.2015 15:28+1Хм, а я подумал, что это не сам пароль, а индекс пароля в специальном буклетике.
5angel
02.05.2015 12:59+2К слову, никогда не замечал такого у нас, даже в госучреждениях. Везде был в наличии злой админ, который строго следил за соблюдением мер безопасности.
dcc0
02.05.2015 13:16+4А радости-то сколько! Где-то кто-то увидел какой-то пароль…
Недавно в Москве зашел в один крупный магазин по прдаже техники (ТЦ), там бесплатный Вай-фай, пока ждал продавца, решил набрать 192.168.0.1, маршрутизатор со стандартным паролем и логином admin:admin. Открылася веб-интерфейс… роутер не репитер.
Kamikaze
02.05.2015 17:09+4Какие-то вы неправильные госучреждения видели. Выдалось мне поработать в двух, везде вполне стандартное явление было наклеивать так вот логин пароль на монитор. Все попытки бить по рукам воспринимались в духе «что вы нам работать мешаете».
agent10
02.05.2015 13:42+2Фильм не смотрел. А у них действительно плачевное состояние ЖД? И в чём это выражается? То что у них XP вместо Windows 8.1?!
EvilPartisan
02.05.2015 13:59-1В том что у них винды.
Int_13h
02.05.2015 14:04Кстати РЖД уже пару лет усиленно переходит на пингвиникс.
gryberg
02.05.2015 15:18+4И сдирают наклейки с паролями?
Int_13h
02.05.2015 15:23Наклейки на месте. Как и проблемы сопряжения с чисто виндовыми системами.
ComodoHacker
02.05.2015 21:16Наверное для этого есть отдельный пункт в плане. С умным названием вроде «плавная миграция учетных данных пользователей». :)
Daimos
02.05.2015 14:00+2В банкоматах тоже стоит WIndows XP — и что тут такого? Обновления безопасности в сети, которая никуда наружу не выходит практически не нужны.
mannaro
02.05.2015 16:57+4Ну, если быть совсем точным, то там не XP, а специальная сборка (Windows Embedded POSReady 2009), на которую, кстати, обновления еще выходят (и будут выходить аж до 2019 года).
Daimos
02.05.2015 18:18-8Слегка сомневаюсь, что наши банки ставили эту специальную сборку и крайне сильно сомневаюсь, что они ставят эти обновления. Вижу по банкомату возле дома — там выбор сумм просто смешной — 50 100 150 200 тысяч белорусских рублей — это 3, 7 10 и 15 долларов примерно.
В других банках суммы были 500 тыр 1 млн 1,5 млн и 2 млн — то есть 35, 70, 100 и 150 долларов примерно.
Так что обновления эти им — пофигу.komjah
02.05.2015 18:23+6а как вы связали набор сумм предлагаемый банкоматом с тем что не обновляется ос?
Daimos
02.05.2015 19:14-4А разве не логично — раз суммы не меняются, то в банкомат новый софт не заливается — и почти стопроцентно никто и ОС там не обновляет.
dimas
02.05.2015 19:19+4Я вам маленький секрет открою, суммы можно вобще не прописывать в ресурсы банкомата, а отдавать в конфигурации с хоста.
ну и не надо, наверное, апроксимировать ситуацию в конкретном банке в Белоруссии на всех :)Daimos
02.05.2015 19:21-1Я в курсе, что можно — но банки даже этого не делают — так что сомневаюсь что они обновляют ОС.
По второй части я точно также могу сказать, что не надо наверное апроксимировать, что все банки ставят спец сборки и обновляют их как майкрософт выпускает обновления.
dimas
02.05.2015 18:56Сборки эти творят не сами банки, а им их обычно предоставляет производитель банкомата, как и обновления.
По крайней мере раньше просто так просетапиться на банкомат NCR было нельзя, надо было спецсофтом сформировать специальный билд и вот уже его ставить.Daimos
02.05.2015 19:13-2С учетом того, что банкоматы на 80% бушные, плюс за эти сборки деньги надо платить — сомневаюсь, что они их покупают.
dimas
02.05.2015 19:17+3Можно пруф на то, что банкоматы на 80% б/у?
Да и даже в этом случае их скорее покупают не на свалке, а у компании, которая их обслуживает.
К тому же, если сценарии и ресурсы не меняются слишком часто, можно просто заказать создание билда.
Да и, как уже указывали, никто не выставляет банкоматы в интернет обычно. И все случаи заражения, что я встречал, были из внутренней сети, и XP была не главной проблемой…Daimos
02.05.2015 19:24-3Пруфа не дам — только слова коллеги, который работал сисадмином в одном крупном банке РБ и был в курсе этой кухни.
Да и по ним же видно — конструкции какие-то на вид странные, нередки ЭЛТ экраны.
Новый банкомат — 50-70 куе, бу — 5-10 куе — выгода очевидна.Daimos
04.05.2015 10:22-2Минусующие — пишите комментарии — а то смешно получается — исподтишка что-то делаете.
navion
03.05.2015 00:54Для обычной XP тоже можно получать обновления по CSA.
MacIn
03.05.2015 23:06По чему? Только с certified system administrator ассоциируется.
navion
03.05.2015 23:34Custom Support Agreement:
news.thewindowsclub.com/windows-xp-custom-support-agreement-costs-double-second-year-71659
windowsitpro.com/windows-xp/what-expect-windows-xp-custom-support-agreement
А вот интересный PDF по поддержке устаревшего ПО в «минздраве» Великобритании:
www.gov.uk/government/uploads/system/uploads/attachment_data/file/314721/DHandCabinetOfficeMicrosoftXPupdate8April14.pdf
И про стоимость для Бундестага:
www.golem.de/news/custom-support-agreement-support-fuer-windows-xp-im-bundestag-kostet-120-000-euro-1412-111177.html
navion
03.05.2015 23:44А ещё на сайте правительства UK оказался занятный документ с рекомендациями по использования устаревшего ПО:
www.gov.uk/government/publications/obsolete-platforms-security-guidance
Mixim333
02.05.2015 16:21Что-то мне подсказывает, что скоро всех обяжут отказываться от стандартных логинов\паролей, заставят всех купить сканеры отпечатков пальцев, как на iPhone6 и использовать их вместо паролей. Простите, но просто не верю, что за ~1 месяц случайно у такого количества компаний можно было так тупо спалить логины\пароли.
ivan386
02.05.2015 16:50+2На это просто стали обращать внимание. Может в прошлогодних документалках тоже много паролей засвечано.
engine9
02.05.2015 17:05Интересно, а сами телевизионщики не могут заблюрить? Или глупые или пофигисты.
Newbilius
02.05.2015 22:22+3Тут недавно (давно?) на хабре тема была на тему того, что блюрить тоже надо уметь правильно, иначе тексты вполне вытягиваются, автор соответствующей софтины показывал внушительные результаты.
RafaelRS
03.05.2015 01:13+2Очередной наглядный пример как излишне и непродуманно усложненная система безопасности приводит к обратному эффекту. Не помню кто именно, но в древности говорили: Хотите чтобы законы работали, делайте их несложными для исполнения
foxmuldercp
03.05.2015 13:31Ну это вообще относится ко многим вещам — чем проще тем лучше.
Включая контексты — собрать, эксплуатировать и обслуживать.
ну и unix-way «одна утилита — одна мелкая но годно решаемая задача» оттуда же пошёл
nerudo
Всегда мечтал поиграть в большие паровозики!
Dootch