Почему государственные сервера частенько плохо поддерживаются, используют устаревшее ПО и не безопасны?

Есть много объяснений этого грустного феномена, однако не будем об этом.

Я переписываю эту статью во второй раз, т.к. не так давно часть проблем была исправлена, а докапываться до оставшихся мне показалось бессмысленным. Но увы, в результате изменений ситуация вернулась практически к тому, что было изначально.

Есть такая замечательная компания РЖД. Не так давно на Хабре поднималась тема с безопасностью в сапсанах, с довольно предсказуемым концом.

Было бы наивно считать, что это единственная проблема с инфраструктурой РЖД.

Однако, мы же с вами не злоумышленники да, товарищ майор, мы не такие. Ладно Сапсан, кто же мог подумать, что злобный злоумышленник купит билет и начнёт взламывать изнутри. Поэтому, мы исключительно из академического интереса, посмотрим насколько хорошо дела у сайта РЖД. Важность и популярность его на просторах бывшего СССР и не только, трудно переоценить. Тут могла бы быть душещипательная история, как эта проблема была обнаружена, при покупке билета для любимого кота, но я надеюсь, что в этот раз можно обойтись без лживых слезливых историй и сразу окунуться в суровую реальность.

Так что не будем растекаться мысью по древу.

Есть такой замечательный и бесплатный сервис
Попробуем с его помощью проверить, что же у нас с сайтом rzd.ru, где миллионы человек оставляют свою персональную информацию. Наверное, уж тут то очевидных недоработок быть не должно.Естественно надо понимать, что данный сервис лишь проводит тестирование сайта, ни в коем случае нельзя считать эти данные истиной в последней инстанции и каким-то хоть сколько-нибудь серьёзным аудитом.Ситуация на данный момент.

Ситуация на момент написания статьи


image

Если кому интересно, так выглядел результат до того, как ржд начал изменять настройки:

image

Как вы можете увидеть результат неудовлетворителен.

Стоит ли доверять этому сайту свои персональные данные?

Мы можем увидеть, что используется SSL V3, признанный устаревшим в 2015 году
CVE-2014-3566, она же poodle, уязвимость 2014 (!!!) года
Зато поддерживается тёплый, ламповый IE6.Я думаю вебмастеры и верстальщики старой закалки хорошо помнят, как легко и забавно обеспечивалась его поддержка.
Ну и само собой, все поддерживаемые шифры или уязвимы, или слабоваты.

И вишенкой на торте — единственный криптографический протокол, не признанный устаревшим на сегодня, поддерживаемый rzd.ru это TLS 1.0. Изюминкой данной ситуации является то, что как ранее уже писали на Хабре, в 2020 году большинство популярных браузеров планируют отказаться от его поддержки.

Ссылка.

А значит, если когда в 2020 РЖД ничего не сделает, у множества пользователей вместо сайта откроется что-то похожее на вот это

image

На самом деле, это скорее хорошо, возможно массовые проблемы с оформлением билетов у пользователей вынудят хоть немного заняться сайтом. А уж кого обвинить в такой подлой диверсии против ржд, я думаю найдут. А злоумышленники, а что с ними делать, да и зачем.

Почему удалось взломать? Наверное, потому что злоумышленник. (С) Директор компании РЖД по информационным технологиям Евгений Чаркин.

Комментарии (47)


  1. kfhftdftsrjg
    18.12.2019 19:23

    Скорее всего ваш заголовок написан не полностью.


    1. Sayaka Автор
      18.12.2019 19:43
      +1

      Отвечу старым анекдотом:
      Мужик раскидывает на Красной площади листовки.Его вяжет КГБ, отнимает листовки, а там ничего не написано. Его спрашивают:”Почему ничего не написано?” Он отвечает “А зачем? Все и так всё знают”


      1. SagePtr
        19.12.2019 17:41

        К сожалению, в нашей стране это уже не анекдот


        1. Sayaka Автор
          19.12.2019 19:46

          Мы рождены, чтоб сказку сделать былью. (С)


          1. AcidVenom
            20.12.2019 14:23

            Болью


  1. kababok
    18.12.2019 19:38
    +2

    Очень странно, что на английской версии сайта указан адрес представительства РЖД в Берлине — а гуглокарты по этому адресу показывают только объединение аптекарей...


    1. Sayaka Автор
      18.12.2019 19:47

      Чувствуете, как близко мы подобрались?


      1. kababok
        18.12.2019 21:59

        Теперь просто необходимо проверить:


        www.sapsanticket.com
        www.expresstorussia.com
        www.russianrail.com www.transsiberianexpress.net
        www.russiancruisecompany.com
        www.russianvisaonline.net


        Это важно!


        1. Sayaka Автор
          18.12.2019 22:31

          Во всех случаях результат одинаковый и он хороший, так что за эти сайты беспокоится особо не стоит, по крайней мере в марте они не отвалятся:
          www.ssllabs.com/ssltest/analyze.html?d=www.sapsanticket.com
          www.ssllabs.com/ssltest/analyze.html?d=www.expresstorussia.com
          www.ssllabs.com/ssltest/analyze.html?d=www.russianrail.com
          www.ssllabs.com/ssltest/analyze.html?d=www.transsiberianexpress.net
          www.ssllabs.com/ssltest/analyze.html?d=www.russiancruisecompany.com
          www.ssllabs.com/ssltest/analyze.html?d=www.russianvisaonline.net


  1. alexxz
    18.12.2019 19:56
    +1

    Вы недооцениваете спектр оборудования настоящих пользователей, которые приходят на сайт РЖД покупать билеты. Я думаю, что там вполне себе много музейных экспонатов можно найти. Грустно, конечно, что в списке поддерживаемых технологий нет самых современных, но с точки зрения атак на понижение версий, это не так важно. Для защиты от них настройте у себя на машине запрет пользоваться устаревшими версиями. Никто вам не мешает.

    TLS 1.0 у них не является максимальным возможным, потому ничего с ними в 2020 году не произойдёт. Разве что отвалятся клиенты для которых TLS 1.0 был максимально возможным.


    1. dmitryredkin
      18.12.2019 20:30
      +3

      TLS 1.0 у них не является максимальным возможным,

      А что же тогда является? Я вот в отчете явно вижу:
      TLS 1.3 No
      TLS 1.2 No
      TLS 1.1 No
      TLS 1.0 Yes

      Где здесь ошибка?


      1. alexxz
        18.12.2019 21:07
        +1

        Я не видел отчета по ссылке, судил по приведенным скриншотам. Сейчас сам запустил openssl и посмотрел. Вы правильно говорите. Какая печаль. Ничего выше TLS1. Не представлено. А возраст их приемника можно оценить по вот такому ответу. IBM_HTTP_Server at rzd.ru Port 443.


    1. Sayaka Автор
      18.12.2019 20:34

      Вижу что РЖД отключила sslv3, не знаю, совпадение или нет.
      Однако на данный момент, активен только tls 1.0 ничего современнее не поддерживается.


      1. alexxz
        18.12.2019 21:30

        Да, меня скриншоты немного ввели в заблуждение. Выходит, что если они не исправят ситуацию, то у них дружно отвалятся все, кто откажется от TLS1 в 2020. И это будет заметная аудитория.


        1. Sayaka Автор
          18.12.2019 21:37
          +1

          У них есть около месяца.Очень хочется верить, что ржд действительно что-то сделает.


          1. alexxz
            18.12.2019 21:47
            +1

            https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html?m=1
            Если верить блогу хромиума, что отключение они планируют в марте, а через месяц только индикатор перекрасят.


            1. Sayaka Автор
              18.12.2019 21:50

              Хочется порадоваться, что у сайтов будет время реализовать поддержку современных протоколов, но кого я обманываю, те кто не почешутся реализовать это до января, не почешутся и к марту.


  1. bormanman
    18.12.2019 20:14

    Так что не будем растекаться мыслью по древу.
    «Мысью по древу». Мысь — старорусское наименование белки.


    1. Sayaka Автор
      18.12.2019 20:31

      Благодарю, исправлено.
      P.S. Такое лучше в ЛС.


    1. SergeyMax
      19.12.2019 11:21

      До повсеместного распространения интернетов и википедии в русском языке устоявшееся выражение выглядело именно так: «мыслью по древу». В значении «отвлекаться от основной идеи». Но потом кто-то нагуглил первоначальное древнерусское значение, и пошло-поехало.


  1. paranoya_prod
    18.12.2019 20:35
    +4

    На главной странице напишут, что нужно использовать старые версии браузеров, чтобы оформить билеты. Это экономически выгодно: не нужно что-то переделывать, и перенастраивать. И им категорически всё равно на пользователей.
    Вон, некторые банки пишут, что их Интернет-банкинг работает на Фаерфоксе версии не выше 52 и всё — остальное твои проблемы.


    1. Sayaka Автор
      18.12.2019 20:39

      Или ещё лучше, просто вернут старый добрый http, решив все проблемы с совместимостью.


      1. SagePtr
        19.12.2019 18:16

        На данный момент так и есть, стоит редирект с https на http:

        Скрытый текст
        $ curl -I https://rzd.ru/
        HTTP/1.1 302 Found
        Date: Thu, 19 Dec 2019 14:50:14 GMT
        Via: tt-web10
        Location: http://www.rzd.ru/
        (другие заголовки)

        $ curl -I https://www.rzd.ru/
        HTTP/1.1 302 Found
        Date: Thu, 19 Dec 2019 14:50:21 GMT
        Via: tt-web06
        (другие заголовки)
        Location: http://www.rzd.ru/main/public/ru
        (другие заголовки)

        $ curl -I https://www.rzd.ru/main/public/ru
        HTTP/1.1 302 Found
        Date: Thu, 19 Dec 2019 15:10:14 GMT
        Server: IBM_HTTP_Server
        Via: tt-web12
        (другие заголовки)
        Location: http://www.rzd.ru/main/public/ru
        (другие заголовки)


        1. Sayaka Автор
          19.12.2019 19:43
          +1

          Кажется РЖД читает хабр…


  1. YanaPain
    18.12.2019 21:36
    +2

    TLS 1.0 и взлом WiFi — это тоже плохо, никто не спорит. Но меня это меньше всего волнует в условиях, когда некоторые железнодорожные станции зимой превращаются фактически в капканы, где можно запросто сломать ногу. Вот, например, с этой станцией уже как минимум четвёртый год проблема с очисткой лестниц, ведущих в Москву (!) А это не какая-то глухая деревня, но и в глухих деревнях, кстати, тоже люди живут, им тоже станции от снега и льда нужно чистить, а одна из довольно популярных железнодорожных станций в сердце самого крупного города Европы (а Москва действительно самый крупный город Европы), куда каждый день приезжают много людей, чтобы добраться на работу. А вечером им нужно обратно домой. А их встречает вот такое:
    www.vesti.ru/doc.html?id=2985228
    Вот так получишь травму, а потом на больничном сидишь, и через пару дней по телевизору видишь, что на самом деле ты попала в самую настоящую ловушку. Ну кто же может подумать, что в центре города может быть лестница, соединяющая станцию РЖД, огромный Автозаводский мост с широкой трассой, трамвайную остановку, но которую никто не чистит? Да ещё и утром приезжаешь на работу, а там снежком припорошено так, что не увидишь, что под небольшим слоем снега сплошной ровный лёд, который целый зимний сезон копился…
    www.vesti.ru/doc.html?id=2822357
    И даже после этих сюжетов в СМИ ситуация никак с места не сдвигается. Гормост чистит от снега Автозаводский мост. Вполне хорошо чистит. РЖД чистит только платформу! Но не лестницу. Как люди, которые чистят платформу, заходят на эту платформу, а потом спускаются с неё, если вместо лестниц сплошной лёд? Они что, приезжают на поезде, чистят только саму квадратную платформу, а потом садятся в следующий поезд и со спокойной душой уезжают, даже несмотря на то, что со станции выйти нельзя?

    А вы тут как белые люди: WiFi, интернет, TLS им не нравится. Извините, но наболело просто уже. Обидно до самой души.


    1. Sayaka Автор
      18.12.2019 21:42
      +2

      Что тут скажешь, биометрия,nfc, ИИ, а до станции не дойти, замело. Киберпанк который мы заслужили.


  1. AcidVenom
    18.12.2019 21:51

    Лучшее объяснение года. Спасибо, Евгений Чаркин.


  1. FSA
    18.12.2019 23:32

    Для многих госструктур безопасность — это что-то недостижимое. Чтобы использовать продукт, ему необходимо получить сертификат, в том числе и по безопасности. Но вот беда. Патчи безопасности в продукте делают его другим продуктом и снова нужно проходить проверки. Как итог. То, что государство считает безопасным — таковым не является. А то, что небезопасно фактически безопаснее этого самого сертифицированного.


    1. khim
      19.12.2019 00:02

      Могу вас обрадовать (хотя не знаю, тут нужно радоваться или огорчаться) — ситуация в других странах точно такая же. Вот эта вот история — это ж просто праздник какой-то!

      Как известно в своё время NSA продавила алгоритм с бэкдором в стандарт. При этом хотя многие подозревали что там есть бэкдор — наличие этого алгоритма обязательно для сертификации. И, так же, как в России — любое изменение и сертификат нужно получать заново.

      Однако когда бэкдор всё-таки обнаружили… разработчики OpenSSL выпускать новые версию и заменять сертификат не стали… потому что он, как выяснилось, никогда не работал.

      В этой истории прекрасно всё: и идиотизм государства (все бюрократы одинаковы), и раздолбайсто оных же (наличие Dual EC DRBG проверили, но возможность использования «ценного бэкдора от NSA» — нет). И какие-то загадочные то ли доброхоты (специально сломавшие Dual EC DRBG), то ли раздобаи (а специально ли?).

      И вот на всём этом висит безопасность интернета уже долгие годы.

      Прелестно, просто прелестно…


      1. ert112
        19.12.2019 10:22

        «Там» сертификаты на реализацию алгоритма шифрования. Это ещё можно понять. Вроде бы один и тот же алгоритм шифрования действительно можно реализовать совершенно с разными выхлопами. Те же атаки по сторонним каналам сильно зависят от реализации.
        Про сертификацию например файрволов я не слышал. Может она тоже есть, не в курсе.


  1. Sayaka Автор
    19.12.2019 07:17

    TLS 1.0 Yes
    SSL 3 INSECURE Yes
    SSL 2 Yes
    Мда, теперь даже sslv2 открыт, правда не понятно зачем, т.е. ни один набор шифров его поддерживающих не активен.


    1. alexxz
      19.12.2019 11:08

      Я обратил внимание, что результаты нестабильны. Либо сервер неправильно сконфигурирован, либо терминируется на более чем одной железке. Поэтому верить онлайн инструментам можно весьма ограниченно.
      Для SSLv3 сервер предоставляет свой сертификат и готов общаться в 20 случаях из 100.
      Для TLS1 сервер предоставляет свой сертификат и готов общаться в 100 случаях из 100.
      Для TLS1.1 сервер ответил в 0 случаев из 100.
      Более ранние версии протестировать не могу ибо в 2019 году openssl надо ручками собрать, чтобы он умел хотябы SSLv3 8)


      1. Sayaka Автор
        19.12.2019 12:44

        Похоже на то, как минимум 3 разных набора шифров наблюдается, видимо в зависимости от того, на какой балансер кинет.


        1. alexxz
          19.12.2019 13:51

          Подозреваю, что наборов там всего два. Дело в том, что балансер может работать только на TCP уровне. На одну TCP сессию не более одной попытки SSL. Стало быть мы не можем установить куда попытка прошла. Сам сервер не рассказывает о поддерживаемых алгоритмах, но отвечает клиенту каким из клиентских алгоритмов они будут пользоваться.


      1. Sayaka Автор
        19.12.2019 21:06

        Если в какой-то момент будет работать sslV2 То можно осуществить DROWN атаку.Дико об этом говорить почти в 2020 году, но это реальность.


  1. valis
    19.12.2019 15:52

    Мне больше понравился дополнительный комментарий РЖД, который более красноречиво отображает всю суть «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть...»
    Получается для РЖД ваши персональные данные совсем ничего не стоят? (учитывая копеечную стоимость взлома)


    1. ledinhome
      19.12.2019 16:46

      А можно я свою версию предложу? Возможно было просчитано, что самая слабая деталь это люди, какое шифрование ни сделай, один подкупленный специалист может вынести все данные. А кто у нас занимается людьми? Милиция. Т.е. взломать легко, но очень опасно. К тому же это значительно дешевле — милицию оплачивает государство, а не РЖД. Лично мне этот вариант тоже симпатичен, эту гонку вооружений имхо выиграть невозможно.


      1. Sayaka Автор
        19.12.2019 19:44

        Не думали о карьере депутата?


        1. ledinhome
          19.12.2019 20:27

          Не вижу связи.
          Приведу альтернативный пример — в нашем посёлке есть улицы целиком состоящие из 2,5-3 метровых заборов, коридоры такие. Означает ли это невозможность проникновения? Несёт ли это неудобство как хозяину, так и окружающим? Напротив, в некоторых странах нет таких заборов, улицы радуют глаз. Безопасность обеспечивается полицией и соседями.
          Отдельно отмечу что военные объекты охраняются по полной.
          Какой вариант вам более симпатичен? Повторюсь — полной безопасности нет ни там, ни там.


          1. Sayaka Автор
            19.12.2019 20:59

            Прямая связь. Вы сейчас используете довольно диковатые аналогии, вместо того что бы признать очевидную безалаберность. Вот скажите мне, какая лично для меня, как пользователя сайта РЖД, разница, посадит ли бравая полиция злоумышленника, воспользовавшегося уязвимостью и утащившего мою персональную информацию? Там не много не мало, мои паспортные данные, данные о моих поездках, мой телефон, а так же карточные данные при оплате фигурируют.
            Давайте не будем словоблудием заниматься, а каждый будет делать свою работу, ИБ РЖД заниматься корректностью настроек сайта компании, а полиция поиском злоумышленников?


            1. ledinhome
              19.12.2019 21:31

              Разница в том, что заплатив за большую безопасность РЖД, ваши паспортные данные будут утащены например сотрудником сотового оператора. Или просто эксплуатацией свежей уязвимости. Залатаете одну дыру, найдут десять других. Не хватает 3 метрового забора, давайте построим 10 метровый и поставим вышку с пулемётом!
              На самом деле я не оправдываю криворуких программистов, просто я разочарован в них (во всех) и не верю в результат их работы. Мне кажется что здесь нужен другой подход.


              1. Tarakanator
                20.12.2019 10:15

                Но 10 других дыр будут у других фирм. Какое жело РЖД до того, что базу уведут у сбера?
                Я цепляю мотоцикл на цепь не потому, что цепь делает угон катастрофически сложным.
                А потому, что угнать мотоцикл, прицепленный на цепь заметно сложнее, чем рядом стоящий.


                1. ledinhome
                  20.12.2019 10:52

                  Т.е. тебе будет сильно легче, если твои данные попадут злоумышленникам через любой другой источник, главное не через РЖД? :/


                  1. Tarakanator
                    20.12.2019 11:08

                    Почему мои? Попадут данные тех, кто использовал левые кривые сервисы, которые ломают. С высокой вероятностью это будут не мои данные.
                    Но РЖД монополист, я не могу отказаться от их услуг. Поэтому получается что в данный момент из-за РЖД я не могу сохранить свои данные в безопасности.


      1. valis
        19.12.2019 20:23

        Тут такое дело. Гонку но не выиграть, но в данном случае армия вооружена самострелами на спичках.
        Или Вы тоже не поставили входную дверь в квартиру? Так же дешевле — полиция разберется.


        1. ledinhome
          19.12.2019 21:40

          Вы считаете данные Sayaka ценными?
          Я под военными объектами понимаю критичные информационные системы (например систему управления семафорами), паспортные данные к ним явно не относятся.
          (Если бы они к ним относились, то ним был бы ограничен доступ всех, а он практически открыт.)


    1. Sayaka Автор
      19.12.2019 19:43

      А что, после Сбербанка были сомнения в этом очевидном факте?