Есть много объяснений этого грустного феномена, однако не будем об этом.
Я переписываю эту статью во второй раз, т.к. не так давно часть проблем была исправлена, а докапываться до оставшихся мне показалось бессмысленным. Но увы, в результате изменений ситуация вернулась практически к тому, что было изначально.
Есть такая замечательная компания РЖД. Не так давно на Хабре поднималась тема с безопасностью в сапсанах, с довольно предсказуемым концом.
Было бы наивно считать, что это единственная проблема с инфраструктурой РЖД.
Однако, мы же с вами не злоумышленники
Так что не будем растекаться мысью по древу.
Есть такой замечательный и бесплатный сервис
Попробуем с его помощью проверить, что же у нас с сайтом rzd.ru, где миллионы человек оставляют свою персональную информацию. Наверное, уж тут то очевидных недоработок быть не должно.Естественно надо понимать, что данный сервис лишь проводит тестирование сайта, ни в коем случае нельзя считать эти данные истиной в последней инстанции и каким-то хоть сколько-нибудь серьёзным аудитом.Ситуация на данный момент.
Ситуация на момент написания статьи
Если кому интересно, так выглядел результат до того, как ржд начал изменять настройки:
Как вы можете увидеть результат неудовлетворителен.
Стоит ли доверять этому сайту свои персональные данные?
Мы можем увидеть, что используется SSL V3, признанный устаревшим в 2015 году
CVE-2014-3566, она же poodle, уязвимость 2014 (!!!) года
Зато поддерживается тёплый, ламповый IE6.Я думаю вебмастеры и верстальщики старой закалки хорошо помнят, как легко и забавно обеспечивалась его поддержка.
Ну и само собой, все поддерживаемые шифры или уязвимы, или слабоваты.
И вишенкой на торте — единственный криптографический протокол, не признанный устаревшим на сегодня, поддерживаемый rzd.ru это TLS 1.0. Изюминкой данной ситуации является то, что как ранее уже писали на Хабре, в 2020 году большинство популярных браузеров планируют отказаться от его поддержки.
Ссылка.
А значит, если
На самом деле, это скорее хорошо, возможно массовые проблемы с оформлением билетов у пользователей вынудят хоть немного заняться сайтом. А уж кого обвинить в такой подлой диверсии против ржд, я думаю найдут. А злоумышленники, а что с ними делать, да и зачем.
Почему удалось взломать? Наверное, потому что злоумышленник. (С) Директор компании РЖД по информационным технологиям Евгений Чаркин.
Комментарии (47)
kababok
18.12.2019 19:38+2Очень странно, что на английской версии сайта указан адрес представительства РЖД в Берлине — а гуглокарты по этому адресу показывают только объединение аптекарей...
Sayaka Автор
18.12.2019 19:47Чувствуете, как близко мы подобрались?
kababok
18.12.2019 21:59Теперь просто необходимо проверить:
www.sapsanticket.com
www.expresstorussia.com
www.russianrail.com www.transsiberianexpress.net
www.russiancruisecompany.com
www.russianvisaonline.net
Это важно!
Sayaka Автор
18.12.2019 22:31Во всех случаях результат одинаковый и он хороший, так что за эти сайты беспокоится особо не стоит, по крайней мере в марте они не отвалятся:
www.ssllabs.com/ssltest/analyze.html?d=www.sapsanticket.com
www.ssllabs.com/ssltest/analyze.html?d=www.expresstorussia.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianrail.com
www.ssllabs.com/ssltest/analyze.html?d=www.transsiberianexpress.net
www.ssllabs.com/ssltest/analyze.html?d=www.russiancruisecompany.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianvisaonline.net
alexxz
18.12.2019 19:56+1Вы недооцениваете спектр оборудования настоящих пользователей, которые приходят на сайт РЖД покупать билеты. Я думаю, что там вполне себе много музейных экспонатов можно найти. Грустно, конечно, что в списке поддерживаемых технологий нет самых современных, но с точки зрения атак на понижение версий, это не так важно. Для защиты от них настройте у себя на машине запрет пользоваться устаревшими версиями. Никто вам не мешает.
TLS 1.0 у них не является максимальным возможным, потому ничего с ними в 2020 году не произойдёт. Разве что отвалятся клиенты для которых TLS 1.0 был максимально возможным.dmitryredkin
18.12.2019 20:30+3TLS 1.0 у них не является максимальным возможным,
А что же тогда является? Я вот в отчете явно вижу:
TLS 1.3 No
TLS 1.2 No
TLS 1.1 No
TLS 1.0 Yes
Где здесь ошибка?alexxz
18.12.2019 21:07+1Я не видел отчета по ссылке, судил по приведенным скриншотам. Сейчас сам запустил openssl и посмотрел. Вы правильно говорите. Какая печаль. Ничего выше TLS1. Не представлено. А возраст их приемника можно оценить по вот такому ответу. IBM_HTTP_Server at rzd.ru Port 443.
Sayaka Автор
18.12.2019 20:34Вижу что РЖД отключила sslv3, не знаю, совпадение или нет.
Однако на данный момент, активен только tls 1.0 ничего современнее не поддерживается.alexxz
18.12.2019 21:30Да, меня скриншоты немного ввели в заблуждение. Выходит, что если они не исправят ситуацию, то у них дружно отвалятся все, кто откажется от TLS1 в 2020. И это будет заметная аудитория.
Sayaka Автор
18.12.2019 21:37+1У них есть около месяца.Очень хочется верить, что ржд действительно что-то сделает.
alexxz
18.12.2019 21:47+1https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html?m=1
Если верить блогу хромиума, что отключение они планируют в марте, а через месяц только индикатор перекрасят.Sayaka Автор
18.12.2019 21:50Хочется порадоваться, что у сайтов будет время реализовать поддержку современных протоколов, но кого я обманываю, те кто не почешутся реализовать это до января, не почешутся и к марту.
bormanman
18.12.2019 20:14Так что не будем растекаться мыслью по древу.
«Мысью по древу». Мысь — старорусское наименование белки.
SergeyMax
19.12.2019 11:21До повсеместного распространения интернетов и википедии в русском языке устоявшееся выражение выглядело именно так: «мыслью по древу». В значении «отвлекаться от основной идеи». Но потом кто-то нагуглил первоначальное древнерусское значение, и пошло-поехало.
paranoya_prod
18.12.2019 20:35+4На главной странице напишут, что нужно использовать старые версии браузеров, чтобы оформить билеты. Это экономически выгодно: не нужно что-то переделывать, и перенастраивать. И им категорически всё равно на пользователей.
Вон, некторые банки пишут, что их Интернет-банкинг работает на Фаерфоксе версии не выше 52 и всё — остальное твои проблемы.Sayaka Автор
18.12.2019 20:39Или ещё лучше, просто вернут старый добрый http, решив все проблемы с совместимостью.
SagePtr
19.12.2019 18:16На данный момент так и есть, стоит редирект с https на http:
Скрытый текст$ curl -I https://rzd.ru/
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 14:50:14 GMT
Via: tt-web10
Location: http://www.rzd.ru/
(другие заголовки)
$ curl -I https://www.rzd.ru/
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 14:50:21 GMT
Via: tt-web06
(другие заголовки)
Location: http://www.rzd.ru/main/public/ru
(другие заголовки)
$ curl -I https://www.rzd.ru/main/public/ru
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 15:10:14 GMT
Server: IBM_HTTP_Server
Via: tt-web12
(другие заголовки)
Location: http://www.rzd.ru/main/public/ru
(другие заголовки)
YanaPain
18.12.2019 21:36+2TLS 1.0 и взлом WiFi — это тоже плохо, никто не спорит. Но меня это меньше всего волнует в условиях, когда некоторые железнодорожные станции зимой превращаются фактически в капканы, где можно запросто сломать ногу. Вот, например, с этой станцией уже как минимум четвёртый год проблема с очисткой лестниц, ведущих в Москву (!) А это не какая-то глухая деревня, но и в глухих деревнях, кстати, тоже люди живут, им тоже станции от снега и льда нужно чистить, а одна из довольно популярных железнодорожных станций в сердце самого крупного города Европы (а Москва действительно самый крупный город Европы), куда каждый день приезжают много людей, чтобы добраться на работу. А вечером им нужно обратно домой. А их встречает вот такое:
www.vesti.ru/doc.html?id=2985228
Вот так получишь травму, а потом на больничном сидишь, и через пару дней по телевизору видишь, что на самом деле ты попала в самую настоящую ловушку. Ну кто же может подумать, что в центре города может быть лестница, соединяющая станцию РЖД, огромный Автозаводский мост с широкой трассой, трамвайную остановку, но которую никто не чистит? Да ещё и утром приезжаешь на работу, а там снежком припорошено так, что не увидишь, что под небольшим слоем снега сплошной ровный лёд, который целый зимний сезон копился…
www.vesti.ru/doc.html?id=2822357
И даже после этих сюжетов в СМИ ситуация никак с места не сдвигается. Гормост чистит от снега Автозаводский мост. Вполне хорошо чистит. РЖД чистит только платформу! Но не лестницу. Как люди, которые чистят платформу, заходят на эту платформу, а потом спускаются с неё, если вместо лестниц сплошной лёд? Они что, приезжают на поезде, чистят только саму квадратную платформу, а потом садятся в следующий поезд и со спокойной душой уезжают, даже несмотря на то, что со станции выйти нельзя?
А вы тут как белые люди: WiFi, интернет, TLS им не нравится. Извините, но наболело просто уже. Обидно до самой души.Sayaka Автор
18.12.2019 21:42+2Что тут скажешь, биометрия,nfc, ИИ, а до станции не дойти, замело. Киберпанк который мы заслужили.
FSA
18.12.2019 23:32Для многих госструктур безопасность — это что-то недостижимое. Чтобы использовать продукт, ему необходимо получить сертификат, в том числе и по безопасности. Но вот беда. Патчи безопасности в продукте делают его другим продуктом и снова нужно проходить проверки. Как итог. То, что государство считает безопасным — таковым не является. А то, что небезопасно фактически безопаснее этого самого сертифицированного.
khim
19.12.2019 00:02Могу вас обрадовать (хотя не знаю, тут нужно радоваться или огорчаться) — ситуация в других странах точно такая же. Вот эта вот история — это ж просто праздник какой-то!
Как известно в своё время NSA продавила алгоритм с бэкдором в стандарт. При этом хотя многие подозревали что там есть бэкдор — наличие этого алгоритма обязательно для сертификации. И, так же, как в России — любое изменение и сертификат нужно получать заново.
Однако когда бэкдор всё-таки обнаружили… разработчики OpenSSL выпускать новые версию и заменять сертификат не стали… потому что он, как выяснилось, никогда не работал.
В этой истории прекрасно всё: и идиотизм государства (все бюрократы одинаковы), и раздолбайсто оных же (наличие Dual EC DRBG проверили, но возможность использования «ценного бэкдора от NSA» — нет). И какие-то загадочные то ли доброхоты (специально сломавшие Dual EC DRBG), то ли раздобаи (а специально ли?).
И вот на всём этом висит безопасность интернета уже долгие годы.
Прелестно, просто прелестно…
ert112
19.12.2019 10:22«Там» сертификаты на реализацию алгоритма шифрования. Это ещё можно понять. Вроде бы один и тот же алгоритм шифрования действительно можно реализовать совершенно с разными выхлопами. Те же атаки по сторонним каналам сильно зависят от реализации.
Про сертификацию например файрволов я не слышал. Может она тоже есть, не в курсе.
Sayaka Автор
19.12.2019 07:17TLS 1.0 Yes
SSL 3 INSECURE Yes
SSL 2 Yes
Мда, теперь даже sslv2 открыт, правда не понятно зачем, т.е. ни один набор шифров его поддерживающих не активен.alexxz
19.12.2019 11:08Я обратил внимание, что результаты нестабильны. Либо сервер неправильно сконфигурирован, либо терминируется на более чем одной железке. Поэтому верить онлайн инструментам можно весьма ограниченно.
Для SSLv3 сервер предоставляет свой сертификат и готов общаться в 20 случаях из 100.
Для TLS1 сервер предоставляет свой сертификат и готов общаться в 100 случаях из 100.
Для TLS1.1 сервер ответил в 0 случаев из 100.
Более ранние версии протестировать не могу ибо в 2019 году openssl надо ручками собрать, чтобы он умел хотябы SSLv3 8)Sayaka Автор
19.12.2019 12:44Похоже на то, как минимум 3 разных набора шифров наблюдается, видимо в зависимости от того, на какой балансер кинет.
alexxz
19.12.2019 13:51Подозреваю, что наборов там всего два. Дело в том, что балансер может работать только на TCP уровне. На одну TCP сессию не более одной попытки SSL. Стало быть мы не можем установить куда попытка прошла. Сам сервер не рассказывает о поддерживаемых алгоритмах, но отвечает клиенту каким из клиентских алгоритмов они будут пользоваться.
Sayaka Автор
19.12.2019 21:06Если в какой-то момент будет работать sslV2 То можно осуществить DROWN атаку.Дико об этом говорить почти в 2020 году, но это реальность.
valis
19.12.2019 15:52Мне больше понравился дополнительный комментарий РЖД, который более красноречиво отображает всю суть «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть...»
Получается для РЖД ваши персональные данные совсем ничего не стоят? (учитывая копеечную стоимость взлома)ledinhome
19.12.2019 16:46А можно я свою версию предложу? Возможно было просчитано, что самая слабая деталь это люди, какое шифрование ни сделай, один подкупленный специалист может вынести все данные. А кто у нас занимается людьми? Милиция. Т.е. взломать легко, но очень опасно. К тому же это значительно дешевле — милицию оплачивает государство, а не РЖД. Лично мне этот вариант тоже симпатичен, эту гонку вооружений имхо выиграть невозможно.
Sayaka Автор
19.12.2019 19:44Не думали о карьере депутата?
ledinhome
19.12.2019 20:27Не вижу связи.
Приведу альтернативный пример — в нашем посёлке есть улицы целиком состоящие из 2,5-3 метровых заборов, коридоры такие. Означает ли это невозможность проникновения? Несёт ли это неудобство как хозяину, так и окружающим? Напротив, в некоторых странах нет таких заборов, улицы радуют глаз. Безопасность обеспечивается полицией и соседями.
Отдельно отмечу что военные объекты охраняются по полной.
Какой вариант вам более симпатичен? Повторюсь — полной безопасности нет ни там, ни там.Sayaka Автор
19.12.2019 20:59Прямая связь. Вы сейчас используете довольно диковатые аналогии, вместо того что бы признать очевидную безалаберность. Вот скажите мне, какая лично для меня, как пользователя сайта РЖД, разница, посадит ли бравая полиция злоумышленника, воспользовавшегося уязвимостью и утащившего мою персональную информацию? Там не много не мало, мои паспортные данные, данные о моих поездках, мой телефон, а так же карточные данные при оплате фигурируют.
Давайте не будем словоблудием заниматься, а каждый будет делать свою работу, ИБ РЖД заниматься корректностью настроек сайта компании, а полиция поиском злоумышленников?ledinhome
19.12.2019 21:31Разница в том, что заплатив за большую безопасность РЖД, ваши паспортные данные будут утащены например сотрудником сотового оператора. Или просто эксплуатацией свежей уязвимости. Залатаете одну дыру, найдут десять других. Не хватает 3 метрового забора, давайте построим 10 метровый и поставим вышку с пулемётом!
На самом деле я не оправдываю криворуких программистов, просто я разочарован в них (во всех) и не верю в результат их работы. Мне кажется что здесь нужен другой подход.
Tarakanator
20.12.2019 10:15Но 10 других дыр будут у других фирм. Какое жело РЖД до того, что базу уведут у сбера?
Я цепляю мотоцикл на цепь не потому, что цепь делает угон катастрофически сложным.
А потому, что угнать мотоцикл, прицепленный на цепь заметно сложнее, чем рядом стоящий.ledinhome
20.12.2019 10:52Т.е. тебе будет сильно легче, если твои данные попадут злоумышленникам через любой другой источник, главное не через РЖД? :/
Tarakanator
20.12.2019 11:08Почему мои? Попадут данные тех, кто использовал левые кривые сервисы, которые ломают. С высокой вероятностью это будут не мои данные.
Но РЖД монополист, я не могу отказаться от их услуг. Поэтому получается что в данный момент из-за РЖД я не могу сохранить свои данные в безопасности.
valis
19.12.2019 20:23Тут такое дело. Гонку но не выиграть, но в данном случае армия вооружена самострелами на спичках.
Или Вы тоже не поставили входную дверь в квартиру? Так же дешевле — полиция разберется.ledinhome
19.12.2019 21:40Вы считаете данные Sayaka ценными?
Я под военными объектами понимаю критичные информационные системы (например систему управления семафорами), паспортные данные к ним явно не относятся.
(Если бы они к ним относились, то ним был бы ограничен доступ всех, а он практически открыт.)
kfhftdftsrjg
Скорее всего ваш заголовок написан не полностью.
Sayaka Автор
Отвечу старым анекдотом:
Мужик раскидывает на Красной площади листовки.Его вяжет КГБ, отнимает листовки, а там ничего не написано. Его спрашивают:”Почему ничего не написано?” Он отвечает “А зачем? Все и так всё знают”
SagePtr
К сожалению, в нашей стране это уже не анекдот
Sayaka Автор
Мы рождены, чтоб сказку сделать былью. (С)
AcidVenom
Болью