Новости
Артём Мазанов
13 607

РЖД заявила об отсутствии критических уязвимостей Wi-Fi в «Сапсане» и назвала пользователя «Хабра» злоумышленником Материал редакции

Дорабатывать систему тоже не будут.

В закладки

В РЖД заявили, что провели проверку после сообщений о взломе публичного Wi-Fi в «Сапсане». Компания не нашла критических уязвимостей, которые могли приводить к утечке данных. Об этом сообщило ТАСС со ссылкой на директора РЖД по информационным технологиям Евгения Чаркина.

Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.

Во-первых никакие данные персональные [в системе] не хранятся [...] Почему удалось взломать? Наверное, потому, что злоумышленник. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.

Евгений Чаркин
директор РЖД по информационным технологиям

15 ноября пользователь «Хабра» рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Петербурга в Москву и заявил, что на серверах хранятся данные пассажиров. В РЖД хранение персональных данных отвергли.

{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0445\u0430\u0431\u0440","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c\u044b"], "comments": 82, "likes": 112, "favorites": 21, "is_advertisement": false, "subsite_label": "news", "id": 127235, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Nov 2019 12:18:21 +0300", "is_special": false }
0
{ "id": 127235, "author_id": 132211, "diff_limit": 1000, "urls": {"diff":"\/comments\/127235\/get","add":"\/comments\/127235\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/127235"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 245416, "last_count_and_date": null }
82 комментария
Популярные
По порядку
Написать комментарий...
202

Почему удалось взломать? Наверное, потому, что злоумышленник.

АХАХАХАХАХААХ. Извините

Почему убил? Потому что убийца

Почему украл? Потому что вор

Евгений Чаркин - директор РЖД по профессиональному пиздежу.

Ответить
123

Чтоб вы правильно поняли мой посыл - директор РЖД по информационным технологиям ОФИЦИАЛЬНО признает, что для того, что бы взломать "Спасан", нужно быть всего лишь "злоумышленником".

Ответить
3

хуясе, новый уровень копЕтана!!!

Ответить
4

Всегда на страже очевидного!

Ответить
1

С помощью чашки кофе и злого умысла можно взломать РЖД

Ответить
15

Комментарий удален по просьбе пользователя

Ответить
2

Нет уязвимостей. Это лазейка для майора ;)

Ответить
136

- Во-первых, я вообще не ебу какие данные там хранятся.
- Во-вторых, хуй знает как эти пиздюки что-то там взламывают, но наверняка их можно за это притянуть.
- В-третьих, никаких уязвимостей у нас нет, я на себя этот геморой вешать не собираюсь.
- В-четвертых, вы сначала бюджет мне на доработку запилите, потом уже мозг ебите.
Евгений Чаркин
директор РЖД по информационным технологиям

Ответить
33

Чаркин уточнил, что дорабатывать систему «Сапсанов» не будут. «Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и всё», — пояснил он.

Как посчитать ценность базы паспортов

Ответить
28

Уверен, что его там сейчас на хуях вертят за упущенную возможность с государства денег попросить на "модернизацию" и распил.

Ответить
4

Не было там никаких паспортов. Там было "четре цифры от документа, на который была оформлена покупка".
Ценность такой информации действительно нулевая.

Ответить
0

Ну даже если так, информация не несёт ценности, только если она в свободном доступе

Ответить
0

Щито? Это просто собершенно бесполезная информация. НО!

Cпециально для вас: СУПРЕСЛИВ!!  База данных последних 4-х цифр от паспортов! Проверьте себя - если ваш паспорт в этом списке - вы в ОПАСНОСТЕ!!!!

https://drive.google.com/open?id=18z6nSqFZD24EWJeFqDVZx1XTfOYpKOnq

Ответить
0

Ааааа, чёрт, нашёл четыре последние цифры номера своего паспорта! Кошмар какой. Скажите, на меня уже взяли кредит, да?

Ответить
0

Ты перепутал. Это же полная база всех пинкодов. ОТКУДА У ТЕБЯ ЭТО!

Ответить
3

Едешь к ближайшему МВД и спрашиваешь у торгаша базами паспортов, автомобильных номеров и прочего

Ответить
0

1 паспорт 300-500 рублей. Вот и считай 

Ответить
0

Он уже посчитал и решил что ценность паспортов пассажиров нулевая.

Ответить
13

Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Взлом которой занял 20 минут с обычного ноута. Ок, покупка ноута это действительно очень дорого. Либо информация что там хранится им настолько не ценна

Ответить
0

в теории можно на ведропланшет накатить линю, выйдет дешевле

Ответить
3

Тогда уж с Raspberry Pi 

Ответить
0

Ну можно к стоимости ноута докинуть стоимость софта на нем и стоимость обучения хакера, я считаю.
Короч паспортные данные людей стоят около 500к (с запасом)

Ответить
1

Кто-нибудь замените директора РЖД по информационным технологиям. Его кажется взломали.

Ответить
38

Компетентный директор по информационным технологиям — это тот директор, замена которого стоит дороже, чем содержание того, который сейчас есть. Вот и всё

Ответить
11

Система взламывается и злоумышленник может перехватывать трафик всех пассажиров. Это не какие-то там данные, это дохрена чего можно утянуть, используя оборудование РЖД.
Автор говорил мол имея доступ к серверу можно перехватывать даже https трафик, но я что-то в этом сомневаюсь

Ответить
3

вот тут верное замечание, эти места - фамилии нафик не уперлись, а вот с перехвата кого нужно,  можно хорошо поиметь. хотя РЖД скажет, трафик не наш, сами себе буратины, нам пос...ть.

Ответить
1

С HTTPS я тоже чёт не понял. Ну да, наверно можно оформить MITM-прокси с подменой CA на РЖДшный, но весь современный софт на это будет вонять.

Ответить
0

У них там обычный Let's Encrypt

Ответить
0

Я ж не об этом. Для перехвата читабельного HTTPS-трафика требуется MITM. Проблема в том, что все девайсы от него защищены в целом.

Ответить
0

С учетом того, какое количество сертов ставят всякие пользователи сбисов контуров и налоговых онлайн.. если это рабочий ноут бизнесмена на котором он имеет дело с этим )

Ответить
0

И большинство уважающих себя интернет-компаний используют HSTS, что на корню пресекает возможность использования MITM, если этот сайт уже посещался ранее с использованием HTTPS.

Ответить
0

Так дело ведь даже не в этом. Куча приложений (если это приложения) и даже хром будут ругаться, если сайт подписан сертификатом, выданным не для этого домена.

Ответить
0

Корпоративные MITM-прокси на лету генерят сертификаты с нужным доменом. Ты маленько отстал от жизни.

Ответить
0

Настолько отстал, что сам настраивал это на фаерволе, ага.
Для такого финта нужен CA сертификат добавленный в доверенные центры авторизации на всех устройствах. А в случае хрома - в его внутреннее хранилище

Ответить
0

О чём я и сказал сразу. Поэтому я не совсем понял, что имел в виду автор с Хабра.

Ответить
0

Но, кстати, в последних версиях TLS есть пининг и с ним даже корпоративный CA не помогает вроде как. По крайней мере вендор сказал что не будет работать эта тема. 

Ответить
0

Это какая-то новая версия депрекейтнутого HPKP?

Ответить
0

Если использовать preload для HSTS, то он, действительно, будет ругаться. Даже без возможности продолжить. Я об этом и говорю.

Ответить
5

 Во-первых никакие данные персональные [в системе] не хранятся [...] 

"Даже пароли типа QWERTY, которых большинство", - добавил эксперт.

Ответить
14

QWERTY уже неактуален.
Прогрессивные мира сего давно перешли на 123qwe

Ответить
0

А как же дата рождения? По классике.

Ответить
11

пароли в виде дат рождения выдают чиновникам и менеджерам средней руки. Топ-манагерам и руководителям отделов в защищенном кейсе и с телохранителями принося бумажку с 6 одинаковыми цифрами.

Ответить
3

а по большому блату можно выбить красивый пароль типа 777АУЕ

Ответить
2

Устаревшая классика. 

Ответить
1

А как сейчас модно?

Ответить
14

Девичью фамилию отца.

Ответить
0

Первая кличка второго кота двоюродной племянницы по линии матери троюродной сестры отца

Ответить
1

{Первая кличка, имена: кота, двоюродной племянницы, матери, троюродной сестры, отца}
Нормальной силы пароль получается.

Ответить
2

Прогрессивные мира сего давно перешли на 123qwe

Ответить
1

Модно по SIM, X509 и прочие Apple Watch авторизации. Вошел в поезд и поезд разблокировался.

Ответить
1

Вообще-то нет, вот надёга: 1q2w3e

Ответить
1

Откуда у тебя мой пароль

Ответить
0

А это уже очень сложно, не запомнить) 

Ответить
8

 Защищённая система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть.

Чел просто просканил систему на наличие актуальных уязвимостей, нашёл их, запустил эксплоиты к ним, которые в открытом доступе лежат, и вошёл. Если бы как минимум софт постоянно обновлялся, то проблемы бы не было. Да, тот чел был пентестер и ехал с конфы по взломам как раз.

Ответить
4

Ну да, ну да. Так они и признали свои ошибки. Скорее метеорит в шубохранилище врежется, чем РЖД сделает что-то по уму.

Ответить
0

Защищают планету от метеоритов

Ответить
0

Чем в России что-то сделают по уму. 

Ответить
0

Дык как они сделают по уму? Обрудование все или китайское сделанное на коленке в подвале с экзекутабле файлом в домашней директории пользователя разрабатывавшего приложение или западное. Экспертизы немножечко есть у Positive Technologies, но РЖД дазве когда-нибудь снизойдет до того что бы подряд организовать и купить аудит. В целом я думаю, что истории будут продолжаться.

Ответить
2

Какой стыд, думаю такое отношение к данным пользователей будет длиться до тех пор пока их кто нибудь хорошо не засудит. Прямо хочется чтобы это произошло.
А где-то в параллельной вселенной - программисту выплатили вознаграждение, а также устранили брешь в защите.

Ответить
4

с нашими судами, у которых жизнь ничего не стоит, да к тому же с гос монополией.... ухахаха

Ответить
2

взлом которой стоит дороже, чем ценность информации, которая там есть

Ценность наших пд нулевая...

Ответить
0

отрицательная, как депозит в скандинаских банках

Ответить
1

Ну и речь у этого товарища.

Ответить
0

Вы намекаете, что подовляющее большинство менеджеров и директоров в Российских компаниях прошли курсы переподготовки квалификации "войти-в-айти" и теперь занимают вкусные должногсти на 100500 денг? Дык, да. Так всегда в России было. А всякие фломастеры учившиеся всю жизнь тупа сваливают на запад делать там бизнес.

Ответить
0

Об этом

Ответить
1

Они ему обнулили бонусные мили, не?

Ответить
1

каких-то критических данных, НЕТ - "Пидора ответ".

Ответить
0

Так всё верно, нет там никаких уязвимостей, просто пароли не поставили на половину систем, а у второй половины оставили дефолтные.

Ответить
0

То есть то, что любой может положить вай вай, за который вообще то пассажиры деньги платят - ничего не стоит? Уровень сервиса - РЖД

Ответить
0

Орали всем вагоном.

Ответить
0

как перестать орать?! хочется позвонить в it департаментотделуправлениедирекцию ржд и сказать: «Алло!!!! Вы шо, совсем ебобо?»

Ответить
0

как обосраться и не подать виду

Ответить
0

Подумаешь там , кто-то узнал куда вы ездили, во сколько, ваш номер паспорта, скриншот паспорта, скриншот справочки для посещения бассейна, и всю подноготную, это что критическая информация, кличку кота или фото собаки мы же там не храним. Всё нормально у нас с безопасностью!

Ответить
0

Воруют воры. Логично. Не поспоришь.

Ответить
0

Какой честный чувак.

Ответить
0

А где видеоотчет о происходящем. В целом шум там где-то был, а по факту что было добыто и как ... Где видео демонстрирующее перехват трафика или  документов или звонков или что-то там... В целом если нет доказательств, то может и просто брехня.

Ответить
0

Типичный говночиновник. Ему провели бесплатный аудит, а он вместо благодарности прилюдно отбеливает свой анус.

Ответить
0

Лично сканил сетку от нечего делать во время поездки за пару недель до этого. Наиденое реально вызвало кучу вопросов. Не эксплуатировано исключительно в силу того что сканил с телефона.

фз152, ПДн, пентест, обновления - не, не слышал - директор ит службы РЖД (с) 

Ответить
Обсуждаемое
Новости
На «России 1» вырезали слово «протесты» из песни «Би-2»
«Если чуть светлей проспекты. И нежней ********».
Новости
РБК: из 68 получивших деньги из бюджета российских фильмов за год окупились только восемь
Среди них — «Т-34», «Миллиард» и «Бабушка лёгкого поведения 2».
Разборы
Депрессия: о причинах и способах лечения
Научный лонгрид о сложном и трудном пути изучения заболевания.
Популярное за три дня
Технологии
Rambler скрывает в своих выдачах новости о nginx
Так, в агрегаторе новостей «Rambler/Новости» последнее упоминание nginx датируется мартовской новостью о покупке компании, а через «Rambler/Поиск» отображаются только 2 статьи, одна из которых была опубликована полчаса назад.
Новости
Компании, поддержавшие Nginx в споре с Rambler Group
Участники рынка считают, что споры об интеллектуальных правах нужно решать переговорами, а не силовыми методами.
Новости
Baza: учитель Ростовской области назвал ученика «клиническим дегенератом» и «придурком» за спор с единороссом
Ученик сказал депутату на открытом уроке, что он «по разные стороны баррикад» с членами «Единой России».

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]