Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек Статьи редакции
Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.
Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.
LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.
Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:
- сетевому оборудованию;
- не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
- системам управления табло на перронах;
- IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
- IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
- ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
- мониторингу систем обеспечения зданий;
- системам управления кондиционированием и вентиляцией.
LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.
Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.
У меня лично есть всего три варианта:
1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.
РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет.
РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.
РЖД непрерывно совершенствует собственную IT-инфраструктуру - одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках.
Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.
Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.
Зря они не признают наличие уязвимостей.
Просто рано или поздно найдется умник, который все же воспользуется ими с плохими намерениями.
Если найдет, он не долбаёб из под реального IP такой шорох наводить
На автора статьи про сапсан дело уже завели. Хотя тот и постил под фейковым аккаунтом. Хабр всё слил по первому запросу.
А автор этой статьи - сделал пост под своим акком.
Так что 272 не за горами.
есть пруф про "кеклика" из хабра? что-то я не нашел что с ним случилось в итоге
Вот это подстава. Надеюсь у второго хватило ума не светить свой IP
Тысяч десять долларов, это очень серьёзная проблема, он настоящий молодец.
разбудите меня через 100 лет и спросите, какие самые действенные методы взлома сейчас используют, и я отвечу "сканируют порты и вводят дефолтовые пароли"
Самая хуйня в наличии практики ебли таких серых хакеров за неправомерный доступ (даже если они ничего не сделали, кроме демонстрации дыры), а на чёрных всем положить, потому что при наших зарплатах социальная инженерия стоит дешевле, чем аудит 😑
В другой стране парня позвали бы на работу, чтобы им же найденные уязвимости вылечить. У нас же его позовут, скорее всего, в СИЗО.
Сомневаюсь. В другой стране так же посадят на бутылку, если у компании нет "bug bounty". Любое проникновение в сеть без согласия компании может трактоваться как преступление.
Я сдавал американский сертификат по информационной безопасности и там очень настойчиво объясняли, что вы ничего не имеете права делать с сетями компании если вас для этого специально не наняли - иначе вы нарушаете чуть-ли не пять законов США. Платят чаще всего если нашли какой-то баг в вебе из-за которого, например, можно купить товар за цену которую сам посчитаешь достаточной. А вот когда проникаешь в сеть это уже посерьезнее. Наверное, если серый хакер договорится с компанией и сообщит о "дыре" в частном порядке и докажет что ничего конфиденциального не спиздил по пути, то может и повезет.
В другой стране парню бы подарили несколько бесплатных поездок (в лучшем случае), наняли нормальных аудиторов и пофиксили дыры.
На заметку многим наивным, думающим, что под капотом у всей этой лоснящейся модной государственной электронной мишуры "всё продумано, серьёзные люди работают". Принципы устройства российского государства не позволяют качественно работать, система насквозь порочна.
Будут замалчивать и максимально давить на любого, кто попытается вытащить проёбы на свет божий.
И если с чем-то вещественным, типа моста, сложно украсть вообще всё - всё же надо, чтобы он хотя бы постоял какое-то время, то в случае электронных систем, я думаю, крадут 99%, на сдачу покупая самый дешёвый аутсорс.
Хотя и с мостами тоже некрасиво получается, бывает.
Как и в большинстве крупных корпораций. Система без обратной связи снизу-вверх теряет ориентиры и мотивацию к развитию как только накапливает активы, а топ-менеджерам эта самая обратная связь крайне неприятна, так как возвращает к реальности собственной профессиональной некомпетентности.
Согласен, но в случае бизнеса возникновение обратной связи хотя бы теоретически может быть инспирировано рыночным фактором. Государство, особенно автократическое, практически неисправимо.
Пиздец новость. Двачеры еще лет 5 назад всех тралили таким образом
ну, частные домашние камеры и камеры структуры как РЖД наверное отличаются по значимости и важности
Да не слушай его, этот человек не заслуживает внимания
Там в открытом доступе могут торчать промышленные и scada-системы (вроде на одном скрине что-то похожее), что означает возможность перевода стрелок на путях, изменения расписания составов, выведение из строя оборудования, установленного на вокзалах
А значит, можно неплохой такой всероссийский армагеддон устроить
террористы могут наблюдать в какое время меняется наряд при входе рядом со входом. найти какие-то слабые места. чью-то привычку, которая откроет лазейку. через наблюдение много что можно понять
На самом деле террористы все тупые, даже злодеев киношного уровня в реале нет. Максимум на что они способны - дроны-подрывники.
Относительный лолипоп
Лол, интересно, если когда-то выложат камеру прямо из условного сортира путина, банан также порвётся или менее смешно %)
IPMI
Пиздец, если и тут пароль был дефолтный, то закрадываются сомнения насчёт случайности наличия этих дыр.
Вот она безопасность в рашке
Кто то ещё хочет электронные трудовые и паспорта себе делать? Контора имеющая доход дохненелион бабла оказалось дырявой как дуршлаг. Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...
Относительный лолипоп
Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...
В смысле, "что". Это было отлично видно на получении пропусков в марте в москве.
Комментарий удален
Комментарий удален
Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей.
Вот этот момент непонятен. Каких сетей сканирование он запустил? Он сначала повторил вход в сеть сапсана а потом сканил всё что там за ВПН-ом? С другой стороны он вроде пишет что не пришлось на сапсане ехать даже. Точку входа не сообщил
Возможно этот товарищ не так прост, как говорит. Скорей всего он знал о возможных дырах
Ну врядли у РЖД прокси открыты в интернет, иначе их давным давно похачили бы. Как минимум по количеству прокачанного интернета заподозрили бы неладное.
Ну если товарищ не врёт, то именно прокси без авторизации и торчали наружу
Значит он пропустил момент, что сканировал они внешние адреса автономки РЖД. Но это странно, весь инет постоянно сканируется на предмет открытых проксей и через них моментально всякие ботнеты заворачиваются. Там трафик должен 24/7 прокачиваться
Ещё раз обозначу, возможно товарищ о чем то умалчивает и откуда-то знал о "точках входа".
Ну очевидно, что что-то он опускает в описании его "взлома". Но в любом случае через сапсан, я так понимаю, можно было всё то же самое повторить. Так что претензии остаются
Относительный
Сканируется, но таки не факт что из конкретных камер можно что-то сделать. А по управлению любопытнее.
Я к тому, что стоит только оставить незапароленную проксю, как через неё тут же завернут какой-нибудь ботнет и интернет в полку будет постоянно. Там уже начнутся вопросы и рано или поздно найдут причину
На Хабре более детально расписано, но вроде бы он вошел через проксю какого-то офисного пк ржд
Ну я там и читал, в комментах у него то же самое спрашивают, он пространно отвечает без конкретики
Про nmap никому не нужный на tj написали, а про потенциальный ущерб в несколько млрд не написали. Также стоило бы упомянуть, что он не первый кто нашёл эту дыру. Написано же, что он нашёл и другие подозрительные впн в ту сеть.
Это на скрине информация системы диспетчеризации на станции? Если да, на фоне борьбы с терроризмом методом установки заборов везде, это пиздец. Потому что ничего не мешает условным игиловцам пустить поезд на путь, на котором стоит другой состав
уголовку заведут на создателя и хакера который к камерам доступ получил
рандомный сотрудник РЖД через месяц: ой, эти новые пароли запоминать, уберу-ка я их вообще, раньше было лучше
угрозы безопасности движения нет.
ну да, ну да
https://ru.m.wikipedia.org/wiki/Железнодорожные_происшествия_в_Российской_Федерации
Это сеть мдпо. Она построена на коленке. Во внутренние сети ржд она доступ не имеет.
И оператор у них ростелеком.
То что дыры плохо, но то что не самая важная сеть - 100%
Под сказкой "связались и вместе закрыли уязвимости" подразумевается, что его угрозами заставили замолчать?
Аргументы не всегда используются в споре. Они используются в любом виде дискуссии с целью доказать сказанное, убедить человека в том, что изложенная информация действительно имеет вес, что она, черт возьми, истинная.
Кто-то мне не верит
Проблема это кого-то
Ну так об этом я и сказал в предыдущем сообщении. Заходит малоизвестный на этом ресурсе человек, который сидит с фейка и говорит, что он шарит в обсуждаемой теме, почему конкретно — остаётся лишь догадываться (или можно просто назвать этого человека мимокрокодилом с лапшой для ушей). С черта ли кто-то должен сразу тебе поверить? Какой смысл начинать дискуссию, если никто не поверит фейку?
Это так же безумно, как поверить двачеру, который заявил, что насрал в бак батиной девятки.
Без пруфов любые заявления в нынешних реалиях не имеют веса, а если всё же имеют — то требуют тщательной проверки
Ну так не бомби, а ответь на вопрос. Минусить много мозгов не надо, а вот написать ответ нужно чуток побольше
Ну в общем мозгов ответить не хватило. Впрочем ничего удивительного
Относительный лолипоп
О, я смотрю обнаружен айтишник ржд :3
Часть помимо камер ты предпочел проигнорировать, пока не уволили.
Комментарий удален
Комментарий удален