Прямой эфир
\u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435"]
Дорабатывать систему тоже не будут.
В РЖД заявили, что провели проверку после сообщений о взломе публичного Wi-Fi в «Сапсане». Компания не нашла критических уязвимостей, которые могли приводить к утечке данных. Об этом сообщило ТАСС со ссылкой на директора РЖД по информационным технологиям Евгения Чаркина.
Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.
Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.
15 ноября пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Петербурга в Москву и заявил, что на серверах хранятся данные пассажиров. В РЖД хранение персональных данных отвергли.
Почему удалось взломать? Наверное, потому, что злоумышленник.
АХАХАХАХАХААХ. Извините
Почему убил? Потому что убийца
Почему украл? Потому что вор
Евгений Чаркин - директор РЖД по профессиональному пиздежу.
- Во-первых, я вообще не ебу какие данные там хранятся.
- Во-вторых, хуй знает как эти пиздюки что-то там взламывают, но наверняка их можно за это притянуть.
- В-третьих, никаких уязвимостей у нас нет, я на себя этот геморой вешать не собираюсь.
- В-четвертых, вы сначала бюджет мне на доработку запилите, потом уже мозг ебите.
Евгений Чаркин
директор РЖД по информационным технологиям
Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.
Как посчитать ценность базы паспортов
Не было там никаких паспортов. Там было "четре цифры от документа, на который была оформлена покупка".
Ценность такой информации действительно нулевая.
Ну даже если так, информация не несёт ценности, только если она в свободном доступе
Щито? Это просто собершенно бесполезная информация. НО!
Cпециально для вас: СУПРЕСЛИВ!! База данных последних 4-х цифр от паспортов! Проверьте себя - если ваш паспорт в этом списке - вы в ОПАСНОСТЕ!!!!
https://drive.google.com/open?id=18z6nSqFZD24EWJeFqDVZx1XTfOYpKOnq
Ааааа, чёрт, нашёл четыре последние цифры номера своего паспорта! Кошмар какой. Скажите, на меня уже взяли кредит, да?
Едешь к ближайшему МВД и спрашиваешь у торгаша базами паспортов, автомобильных номеров и прочего
Он уже посчитал и решил что ценность паспортов пассажиров нулевая.
Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.
Взлом которой занял 20 минут с обычного ноута. Ок, покупка ноута это действительно очень дорого. Либо информация что там хранится им настолько не ценна
Кто-нибудь замените директора РЖД по информационным технологиям. Его кажется взломали.
Компетентный директор по информационным технологиям — это тот директор, замена которого стоит дороже, чем содержание того, который сейчас есть. Вот и всё
Система взламывается и злоумышленник может перехватывать трафик всех пассажиров. Это не какие-то там данные, это дохрена чего можно утянуть, используя оборудование РЖД.
Автор говорил мол имея доступ к серверу можно перехватывать даже https трафик, но я что-то в этом сомневаюсь
С HTTPS я тоже чёт не понял. Ну да, наверно можно оформить MITM-прокси с подменой CA на РЖДшный, но весь современный софт на это будет вонять.
Я ж не об этом. Для перехвата читабельного HTTPS-трафика требуется MITM. Проблема в том, что все девайсы от него защищены в целом.
И большинство уважающих себя интернет-компаний используют HSTS, что на корню пресекает возможность использования MITM, если этот сайт уже посещался ранее с использованием HTTPS.
Так дело ведь даже не в этом. Куча приложений (если это приложения) и даже хром будут ругаться, если сайт подписан сертификатом, выданным не для этого домена.
Корпоративные MITM-прокси на лету генерят сертификаты с нужным доменом. Ты маленько отстал от жизни.
Настолько отстал, что сам настраивал это на фаерволе, ага.
Для такого финта нужен CA сертификат добавленный в доверенные центры авторизации на всех устройствах. А в случае хрома - в его внутреннее хранилище
О чём я и сказал сразу. Поэтому я не совсем понял, что имел в виду автор с Хабра.
Но, кстати, в последних версиях TLS есть пининг и с ним даже корпоративный CA не помогает вроде как. По крайней мере вендор сказал что не будет работать эта тема.
Если использовать preload для HSTS, то он, действительно, будет ругаться. Даже без возможности продолжить. Я об этом и говорю.
Во-первых никакие данные персональные [в системе] не хранятся [...]
"Даже пароли типа QWERTY, которых большинство", - добавил эксперт.
{Первая кличка, имена: кота, двоюродной племянницы, матери, троюродной сестры, отца}
Нормальной силы пароль получается.
Модно по SIM, X509 и прочие Apple Watch авторизации. Вошел в поезд и поезд разблокировался.
Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.
Чел просто просканил систему на наличие актуальных уязвимостей, нашёл их, запустил эксплоиты к ним, которые в открытом доступе лежат, и вошёл. Если бы как минимум софт постоянно обновлялся, то проблемы бы не было. Да, тот чел был пентестер и ехал с конфы по взломам как раз.
Ну да, ну да. Так они и признали свои ошибки. Скорее метеорит в шубохранилище врежется, чем РЖД сделает что-то по уму.
Дык как они сделают по уму? Обрудование все или китайское сделанное на коленке в подвале с экзекутабле файлом в домашней директории пользователя разрабатывавшего приложение или западное. Экспертизы немножечко есть у Positive Technologies, но РЖД дазве когда-нибудь снизойдет до того что бы подряд организовать и купить аудит. В целом я думаю, что истории будут продолжаться.
Какой стыд, думаю такое отношение к данным пользователей будет длиться до тех пор пока их кто нибудь хорошо не засудит. Прямо хочется чтобы это произошло.
А где-то в параллельной вселенной - программисту выплатили вознаграждение, а также устранили брешь в защите.
взлом которой стоит дороже, чем ценность информации, которая там есть
Ценность наших пд нулевая...
Вы намекаете, что подовляющее большинство менеджеров и директоров в Российских компаниях прошли курсы переподготовки квалификации "войти-в-айти" и теперь занимают вкусные должногсти на 100500 денг? Дык, да. Так всегда в России было. А всякие фломастеры учившиеся всю жизнь тупа сваливают на запад делать там бизнес.
Так всё верно, нет там никаких уязвимостей, просто пароли не поставили на половину систем, а у второй половины оставили дефолтные.
То есть то, что любой может положить вай вай, за который вообще то пассажиры деньги платят - ничего не стоит? Уровень сервиса - РЖД
как перестать орать?! хочется позвонить в it департаментотделуправлениедирекцию ржд и сказать: «Алло!!!! Вы шо, совсем ебобо?»
Подумаешь там , кто-то узнал куда вы ездили, во сколько, ваш номер паспорта, скриншот паспорта, скриншот справочки для посещения бассейна, и всю подноготную, это что критическая информация, кличку кота или фото собаки мы же там не храним. Всё нормально у нас с безопасностью!
А где видеоотчет о происходящем. В целом шум там где-то был, а по факту что было добыто и как ... Где видео демонстрирующее перехват трафика или документов или звонков или что-то там... В целом если нет доказательств, то может и просто брехня.
Типичный говночиновник. Ему провели бесплатный аудит, а он вместо благодарности прилюдно отбеливает свой анус.
Лично сканил сетку от нечего делать во время поездки за пару недель до этого. Наиденое реально вызвало кучу вопросов. Не эксплуатировано исключительно в силу того что сканил с телефона.
фз152, ПДн, пентест, обновления - не, не слышал - директор ит службы РЖД (с)