21 ноя в 12:18

злоумышленником Материал редакции

Дорабатывать систему тоже не будут.

В закладки

В РЖД заявили, что провели проверку после сообщений о взломе публичного Wi-Fi в «Сапсане». Компания не нашла критических уязвимостей, которые могли приводить к утечке данных. Об этом сообщило ТАСС со ссылкой на директора РЖД по информационным технологиям Евгения Чаркина.

Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.

Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.

Евгений Чаркин

директор РЖД по информационным технологиям

15 ноября пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Петербурга в Москву и заявил, что на серверах хранятся данные пассажиров. В РЖД хранение персональных данных отвергли.

#новости #ржд #взломы #хабр

Новости

Подписан

Отписаться

«Ъ»: педагоги Якутии не понимают, как обеспечить ежедневное исполнение гимна. Они и сами не знают всего текста

Согласно приказу главы региона, в якутских школах теперь ежедневно будут исполнять гимн РФ. Но не ясно, кто должен за это отвечать.

112

{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0445\u0430\u0431\u0440","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c\u044b"], "comments": 82, "likes": 112, "favorites": 21, "is_advertisement": false, "subsite_label": "news", "id": 127235, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Nov 2019 12:18:21 +0300", "is_special": false }

{ "id": 127235, "author_id": 132211, "diff_limit": 1000, "urls": {"diff":"\/comments\/127235\/get","add":"\/comments\/127235\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/127235"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 245416, "last_count_and_date": null }

82 комментария

Популярные

По порядку

Написать комментарий...

Goodsanta

21 ноя в 12:20

202

Почему удалось взломать? Наверное, потому, что злоумышленник.

АХАХАХАХАХААХ. Извините

Почему убил? Потому что убийца

Почему украл? Потому что вор

Евгений Чаркин - директор РЖД по профессиональному пиздежу.

Ответить

Goodsanta

21 ноя в 12:24

123

Чтоб вы правильно поняли мой посыл - директор РЖД по информационным технологиям ОФИЦИАЛЬНО признает, что для того, что бы взломать "Спасан", нужно быть всего лишь "злоумышленником".

Ответить

Aleks Ad

Goodsanta

21 ноя в 12:27

хуясе, новый уровень копЕтана!!!

Ответить

Goodsanta

Aleks

21 ноя в 12:29

Всегда на страже очевидного!

Ответить

Yaroslav Maltsev

Goodsanta

21 ноя в 13:24

С помощью чашки кофе и злого умысла можно взломать РЖД

Ответить

Архитектурный жар

Goodsanta

21 ноя в 13:58

Комментарий удален по просьбе пользователя

Ответить

Лев Шутов

Goodsanta

21 ноя в 14:40

Нет уязвимостей. Это лазейка для майора ;)

Ответить

Ilya Korotkov

Goodsanta

21 ноя в 14:26

https://www.facebook.com/evgeny.charkin

Ответить

Сергей Рязанцев

21 ноя в 12:28

136

- Во-первых, я вообще не ебу какие данные там хранятся.
- Во-вторых, хуй знает как эти пиздюки что-то там взламывают, но наверняка их можно за это притянуть.
- В-третьих, никаких уязвимостей у нас нет, я на себя этот геморой вешать не собираюсь.
- В-четвертых, вы сначала бюджет мне на доработку запилите, потом уже мозг ебите.
Евгений Чаркин
директор РЖД по информационным технологиям

Ответить

Ilya Korotkov

Сергей

21 ноя в 14:25

Директор по ИТ РЖД Евгений Чаркин — о…

Директор по ИТ РЖД Евгений Чаркин — о технологической клиентоориентированности

www.facebook.com

Ответить

Антон Крившенко

Сергей

21 ноя в 22:38

Как господь!

Ответить

Tyler Durden

21 ноя в 12:21

Ответить

Goodsanta

Tyler

21 ноя в 12:21

Уверен, что его там сейчас на хуях вертят за упущенную возможность с государства денег попросить на "модернизацию" и распил.

Ответить

Jiří Kropočev

Tyler

21 ноя в 12:53

Не было там никаких паспортов. Там было "четре цифры от документа, на который была оформлена покупка".
Ценность такой информации действительно нулевая.

Ответить

Tyler Durden

Jiří

21 ноя в 13:02

Ну даже если так, информация не несёт ценности, только если она в свободном доступе

Ответить

Jiří Kropočev

Tyler

21 ноя в 16:36

Щито? Это просто собершенно бесполезная информация. НО!

Cпециально для вас: СУПРЕСЛИВ!! База данных последних 4-х цифр от паспортов! Проверьте себя - если ваш паспорт в этом списке - вы в ОПАСНОСТЕ!!!!

https://drive.google.com/open?id=18z6nSqFZD24EWJeFqDVZx1XTfOYpKOnq

Ответить

Сергѣй Шевчукъ

Jiří

21 ноя в 17:31

Ааааа, чёрт, нашёл четыре последние цифры номера своего паспорта! Кошмар какой. Скажите, на меня уже взяли кредит, да?

Ответить

Evgeny

Jiří

26 ноя в 17:42

Ты перепутал. Это же полная база всех пинкодов. ОТКУДА У ТЕБЯ ЭТО!

Ответить

Алексей Логачев

Tyler

21 ноя в 12:23

Едешь к ближайшему МВД и спрашиваешь у торгаша базами паспортов, автомобильных номеров и прочего

Ответить

My name is

Tyler

21 ноя в 12:51

1 паспорт 300-500 рублей. Вот и считай

Ответить

Andrey Syschikov

Tyler

21 ноя в 15:32

Он уже посчитал и решил что ценность паспортов пассажиров нулевая.

Ответить

dimap

21 ноя в 12:26

Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Взлом которой занял 20 минут с обычного ноута. Ок, покупка ноута это действительно очень дорого. Либо информация что там хранится им настолько не ценна

Ответить

Дмитрий Ермакович

dimap

21 ноя в 12:57

в теории можно на ведропланшет накатить линю, выйдет дешевле

Ответить

Иван Гуляев

Дмитрий

21 ноя в 15:33

Тогда уж с Raspberry Pi

Ответить

Goodsanta

dimap

21 ноя в 12:28

Ну можно к стоимости ноута докинуть стоимость софта на нем и стоимость обучения хакера, я считаю.
Короч паспортные данные людей стоят около 500к (с запасом)

Ответить

Alex Pavljenko

21 ноя в 13:07

Кто-нибудь замените директора РЖД по информационным технологиям. Его кажется взломали.

Ответить

Сергей Рязанцев

Alex

21 ноя в 13:16

Компетентный директор по информационным технологиям — это тот директор, замена которого стоит дороже, чем содержание того, который сейчас есть. Вот и всё

Ответить

Илья Гераськин

21 ноя в 12:42

Система взламывается и злоумышленник может перехватывать трафик всех пассажиров. Это не какие-то там данные, это дохрена чего можно утянуть, используя оборудование РЖД.
Автор говорил мол имея доступ к серверу можно перехватывать даже https трафик, но я что-то в этом сомневаюсь

Ответить

Yakovlev

Илья

21 ноя в 13:26

вот тут верное замечание, эти места - фамилии нафик не уперлись, а вот с перехвата кого нужно, можно хорошо поиметь. хотя РЖД скажет, трафик не наш, сами себе буратины, нам пос...ть.

Ответить

Savely Krasovsky

Илья

21 ноя в 13:42

С HTTPS я тоже чёт не понял. Ну да, наверно можно оформить MITM-прокси с подменой CA на РЖДшный, но весь современный софт на это будет вонять.

Ответить

Splink Blash

Savely

21 ноя в 16:24

У них там обычный Let's Encrypt

Ответить

Savely Krasovsky

Splink

21 ноя в 16:26

Я ж не об этом. Для перехвата читабельного HTTPS-трафика требуется MITM. Проблема в том, что все девайсы от него защищены в целом.

Ответить

bro mi

Savely

22 ноя в 11:30

С учетом того, какое количество сертов ставят всякие пользователи сбисов контуров и налоговых онлайн.. если это рабочий ноут бизнесмена на котором он имеет дело с этим )

Ответить

Mihail Podivilov

Savely

22 ноя в 12:57

И большинство уважающих себя интернет-компаний используют HSTS, что на корню пресекает возможность использования MITM, если этот сайт уже посещался ранее с использованием HTTPS.

Ответить

Илья Гераськин

Mihail

22 ноя в 13:06

Так дело ведь даже не в этом. Куча приложений (если это приложения) и даже хром будут ругаться, если сайт подписан сертификатом, выданным не для этого домена.

Ответить

Savely Krasovsky

Илья

22 ноя в 13:17

Корпоративные MITM-прокси на лету генерят сертификаты с нужным доменом. Ты маленько отстал от жизни.

Ответить

Илья Гераськин

Savely

22 ноя в 13:22

Настолько отстал, что сам настраивал это на фаерволе, ага.
Для такого финта нужен CA сертификат добавленный в доверенные центры авторизации на всех устройствах. А в случае хрома - в его внутреннее хранилище

Ответить

Savely Krasovsky

Илья

22 ноя в 13:23

О чём я и сказал сразу. Поэтому я не совсем понял, что имел в виду автор с Хабра.

Ответить

Илья Гераськин

Savely

22 ноя в 13:26

Но, кстати, в последних версиях TLS есть пининг и с ним даже корпоративный CA не помогает вроде как. По крайней мере вендор сказал что не будет работать эта тема.

Ответить

Savely Krasovsky

Илья

22 ноя в 13:32

Это какая-то новая версия депрекейтнутого HPKP?

Ответить

Mihail Podivilov

Илья

22 ноя в 13:38

Если использовать preload для HSTS, то он, действительно, будет ругаться. Даже без возможности продолжить. Я об этом и говорю.

Ответить

Илья Тимофеев

21 ноя в 12:24

Во-первых никакие данные персональные [в системе] не хранятся [...]

"Даже пароли типа QWERTY, которых большинство", - добавил эксперт.

Ответить

Goodsanta

Илья

21 ноя в 12:25

QWERTY уже неактуален.
Прогрессивные мира сего давно перешли на 123qwe

Ответить

Илья Тимофеев

Goodsanta

21 ноя в 12:25

А как же дата рождения? По классике.

Ответить

Goodsanta

Илья

21 ноя в 12:27

пароли в виде дат рождения выдают чиновникам и менеджерам средней руки. Топ-манагерам и руководителям отделов в защищенном кейсе и с телохранителями принося бумажку с 6 одинаковыми цифрами.

Ответить

Viktor Mandarin

Goodsanta

21 ноя в 15:47

а по большому блату можно выбить красивый пароль типа 777АУЕ

Ответить

Olga Kalashinkova

Илья

21 ноя в 12:26

Устаревшая классика.

Ответить

Илья Тимофеев

Olga

21 ноя в 12:30

А как сейчас модно?

Ответить

theLastLetters

Илья

21 ноя в 12:54

Девичью фамилию отца.

Ответить

Goodsanta

theLast…

21 ноя в 13:27

Первая кличка второго кота двоюродной племянницы по линии матери троюродной сестры отца

Ответить

Никита Бабич

Goodsan…

21 ноя в 14:00

{Первая кличка, имена: кота, двоюродной племянницы, матери, троюродной сестры, отца}
Нормальной силы пароль получается.

Ответить

Olga

Илья

21 ноя в 12:32

Прогрессивные мира сего давно перешли на 123qwe

Ответить

Vitold Sedyshev

Илья

27 ноя в 02:01

Модно по SIM, X509 и прочие Apple Watch авторизации. Вошел в поезд и поезд разблокировался.

Ответить

Слава Вячеславов

Goodsanta

21 ноя в 16:00

Вообще-то нет, вот надёга: 1q2w3e

Ответить

Евгений Стульников

Слава

21 ноя в 20:09

Откуда у тебя мой пароль

Ответить

Viktor Mandarin

Goodsanta

21 ноя в 15:44

123Qwe

Ответить

Слава Вячеславов

Viktor

21 ноя в 16:31

А это уже очень сложно, не запомнить)

Ответить

Роман Андронов

21 ноя в 12:43

Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Чел просто просканил систему на наличие актуальных уязвимостей, нашёл их, запустил эксплоиты к ним, которые в открытом доступе лежат, и вошёл. Если бы как минимум софт постоянно обновлялся, то проблемы бы не было. Да, тот чел был пентестер и ехал с конфы по взломам как раз.

Ответить

Alena

21 ноя в 12:57

Ну да, ну да. Так они и признали свои ошибки. Скорее метеорит в шубохранилище врежется, чем РЖД сделает что-то по уму.

Ответить

Mykola Glushchenko

Alena

21 ноя в 13:22

Защищают планету от метеоритов

Ответить

Олег Крегонин

Alena

21 ноя в 14:01

Чем в России что-то сделают по уму.

Ответить

Vitold Sedyshev

Олег

27 ноя в 02:04

Дык как они сделают по уму? Обрудование все или китайское сделанное на коленке в подвале с экзекутабле файлом в домашней директории пользователя разрабатывавшего приложение или западное. Экспертизы немножечко есть у Positive Technologies, но РЖД дазве когда-нибудь снизойдет до того что бы подряд организовать и купить аудит. В целом я думаю, что истории будут продолжаться.

Ответить

illo

21 ноя в 13:03

Какой стыд, думаю такое отношение к данным пользователей будет длиться до тех пор пока их кто нибудь хорошо не засудит. Прямо хочется чтобы это произошло.
А где-то в параллельной вселенной - программисту выплатили вознаграждение, а также устранили брешь в защите.

Ответить

Yakovlev

illo

21 ноя в 13:29

с нашими судами, у которых жизнь ничего не стоит, да к тому же с гос монополией.... ухахаха

Ответить

bor_vn

21 ноя в 18:23

взлом которой стоит дороже, чем ценность информации, которая там есть

Ценность наших пд нулевая...

Ответить

Алексѣй Бобковъ

bor_vn

22 ноя в 03:32

отрицательная, как депозит в скандинаских банках

Ответить

Mikki Rurk

21 ноя в 16:22

Ну и речь у этого товарища.

Ответить

Vitold Sedyshev

Mikki

27 ноя в 02:05

Вы намекаете, что подовляющее большинство менеджеров и директоров в Российских компаниях прошли курсы переподготовки квалификации "войти-в-айти" и теперь занимают вкусные должногсти на 100500 денг? Дык, да. Так всегда в России было. А всякие фломастеры учившиеся всю жизнь тупа сваливают на запад делать там бизнес.

Ответить

Mikki Rurk

Vitold

27 ноя в 07:35

Об этом

Ответить

Danil Sorokin

21 ноя в 22:10

Они ему обнулили бонусные мили, не?

Ответить

Mikhail Boyarskov

22 ноя в 10:56

каких-то критических данных, НЕТ - "Пидора ответ".

Ответить

Rayslava

21 ноя в 13:18

Так всё верно, нет там никаких уязвимостей, просто пароли не поставили на половину систем, а у второй половины оставили дефолтные.

Ответить

Litnikov Danil

21 ноя в 13:21

То есть то, что любой может положить вай вай, за который вообще то пассажиры деньги платят - ничего не стоит? Уровень сервиса - РЖД

Ответить

Nikita Sigachev

21 ноя в 13:33

Орали всем вагоном.

Ответить

Privetandrey

21 ноя в 20:02

как перестать орать?! хочется позвонить в it департаментотделуправлениедирекцию ржд и сказать: «Алло!!!! Вы шо, совсем ебобо?»

Ответить

Зайцеслав Яйцев

21 ноя в 21:10

как обосраться и не подать виду

Ответить

Игорь Янович

22 ноя в 00:16

Подумаешь там , кто-то узнал куда вы ездили, во сколько, ваш номер паспорта, скриншот паспорта, скриншот справочки для посещения бассейна, и всю подноготную, это что критическая информация, кличку кота или фото собаки мы же там не храним. Всё нормально у нас с безопасностью!

Ответить

Malov_Artur

22 ноя в 07:56

Воруют воры. Логично. Не поспоришь.

Ответить

Flying Dutch

22 ноя в 18:29

Какой честный чувак.

Ответить

Vitold Sedyshev

27 ноя в 02:07

А где видеоотчет о происходящем. В целом шум там где-то был, а по факту что было добыто и как ... Где видео демонстрирующее перехват трафика или документов или звонков или что-то там... В целом если нет доказательств, то может и просто брехня.

Ответить

Shining Metal Ass

29 ноя в 01:13

Типичный говночиновник. Ему провели бесплатный аудит, а он вместо благодарности прилюдно отбеливает свой анус.

Ответить

Ярослав Сташевский

30 ноя в 14:33

Лично сканил сетку от нечего делать во время поездки за пару недель до этого. Наиденое реально вызвало кучу вопросов. Не эксплуатировано исключительно в силу того что сканил с телефона.

фз152, ПДн, пентест, обновления - не, не слышал - директор ит службы РЖД (с)

Ответить

Написать комментарий...

Обсуждаемое

Интернет и мемы

В США обвинили банковского работника в краже 88 тысяч долларов у клиентов. Он публиковал фото с пачками денег в соцсетях

Не самое лучшее учебное пособие для грабителя.

Технологии

Ребятки с хабра запустили флэшмоб в поддержку NGINX. Не оставайтесь в стороне

Поменяйте заголовки сервера, распространите в соц. сетях

Разборы

Депрессия: о причинах и способах лечения

Научный лонгрид о сложном и трудном пути изучения заболевания.

106