Рубрика развивается при поддержке
Advertisement

Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек Статьи редакции

Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.

Кот на камере наблюдения, к которой программист получил доступ
Обновлено в 21:40: пользователь «Хабра» заявил, что с ним связались представители РЖД и вместе с ним закрыли уязвимости.

Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.

LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».

В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

LMonoceros

Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.

Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:

  • сетевому оборудованию;
  • не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
  • системам управления табло на перронах;
  • IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
  • IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
  • ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
  • мониторингу систем обеспечения зданий;
  • системам управления кондиционированием и вентиляцией.
Дирекция пассажирских обустройств скриншот пользователя «Хабра»

LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.

Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.

У меня лично есть всего три варианта:

1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.

LMonoceros

РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет.

РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.

РЖД непрерывно совершенствует собственную IT-инфраструктуру - одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках.

Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.

РЖД
полный комментарий ТАСС

Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.

Спасибо за наводку Universal Polish
0
140 комментариев
Популярные
По порядку
Написать комментарий...
Социологический бас

Комментарий удален по просьбе пользователя

64

Закроют, но не уязвимости?

63
Социологический бас

Комментарий удален по просьбе пользователя

2

"у нас только одна уязвимость - это ты"

1

Зря они не признают наличие уязвимостей.
Просто рано или поздно найдется умник, который все же воспользуется ими с плохими намерениями.

4
Социологический бас

Комментарий удален по просьбе пользователя

29

Увидет загруженность вокзала? 

1

Откуда взяться злоумышленникам в этой прекрасной стране? Только из-за бугра разве кто.

0

Если найдет, он не долбаёб из под реального IP такой шорох наводить

0

На автора статьи про сапсан дело уже завели. Хотя тот и постил под фейковым аккаунтом. Хабр всё слил по первому запросу.
А автор этой статьи - сделал пост под своим акком.
Так что 272 не за горами.

12
Социологический бас

Комментарий удален по просьбе пользователя

2

Комментарий удален по просьбе пользователя

0

«А я и не сплю», - прокомментировали в РЖД.

47

Сколько ему дадут, интересно 

19
Социологический бас

5 лет в плацкартном вагоне Воркута - Магадан. 

59

Комментарий удален по просьбе пользователя

4

"Столыпин" - не совсем плацкарт.

1

Тысяч десять долларов, это очень серьёзная проблема, он настоящий молодец.

29

Комментарий удален по просьбе пользователя

18

Ты имел в виду, на скольколитровую бутылку его посадят?

4

разбудите меня через 100 лет и спросите, какие самые действенные методы взлома сейчас используют, и я отвечу "сканируют порты и вводят дефолтовые пароли"

34
Социологический бас

Самая хуйня в наличии практики ебли таких серых хакеров за неправомерный доступ (даже если они ничего не сделали, кроме демонстрации дыры), а на чёрных всем положить, потому что при наших зарплатах социальная инженерия стоит дешевле, чем аудит 😑

11

Комментарий удален по просьбе пользователя

48

Сомневаюсь. В другой стране так же посадят на бутылку, если у компании нет "bug bounty". Любое проникновение в сеть без согласия компании может трактоваться как преступление.

9

На какую блять работу должны позвать этого эникея?)

5
Социологический бас

В расее маск бы уже сидел за пейпел

1

В другой стране парню бы подарили несколько бесплатных поездок (в лучшем случае), наняли нормальных аудиторов и пофиксили дыры.

0

На заметку многим наивным, думающим, что под капотом у всей этой лоснящейся модной государственной электронной мишуры "всё продумано, серьёзные люди работают". Принципы устройства российского государства не позволяют качественно работать, система насквозь порочна. 

Будут замалчивать и максимально давить на любого, кто попытается вытащить проёбы на свет божий.

И если с чем-то вещественным, типа моста, сложно украсть вообще всё - всё же надо, чтобы он хотя бы постоял какое-то время, то в случае электронных систем, я думаю, крадут 99%, на сдачу покупая самый дешёвый аутсорс. 

Хотя и с мостами тоже некрасиво получается, бывает. ред.

13

Как и в большинстве крупных корпораций. Система без обратной связи снизу-вверх теряет ориентиры и мотивацию к развитию как только накапливает активы, а топ-менеджерам эта самая обратная связь крайне неприятна, так как возвращает к реальности собственной профессиональной некомпетентности.

3

Согласен, но в случае бизнеса возникновение обратной связи хотя бы теоретически может быть инспирировано рыночным фактором. Государство, особенно автократическое, практически неисправимо.

0

РЖД попросит у государства миллиард на админа.

11

Три партсигара отечественных

–1
Социологический бас

Видимо по мнению РЖД вы можете пользоваться их инфраструктурой и камерами, ведь
данные пользователей не утекали и угрозы безопасности нет

9

Комментарий удален по просьбе пользователя

–17

Эпичные треды были
Хорошо выстреливал трек «я ебу собак»

10

ну, частные домашние камеры и камеры структуры как РЖД наверное отличаются по значимости и важности

4

Да не слушай его, этот человек не заслуживает внимания
Там в открытом доступе могут торчать промышленные и scada-системы (вроде на одном скрине что-то похожее), что означает возможность перевода стрелок на путях, изменения расписания составов, выведение из строя оборудования, установленного на вокзалах
А значит, можно неплохой такой всероссийский армагеддон устроить

2

Да на рждшные всем пох

0
Социологический бас

Лол, интересно, если когда-то выложат камеру прямо из условного сортира путина, банан также порвётся или менее смешно %)

0

РЖД, ёбаный ваш рот, сука 

Почему так трудно признать, что вы обосрались? 

4

Обсираются только холопы. Господы делают многоходовочки

9

произошло чудовищное недоразумение

3
Социологический бас

Неправославно

0
Социологический бас
3

 готово

6

Ого, я в телевизоре

4
Социологический бас

спасибо

0
Социологический бас

IPMI

Пиздец, если и тут пароль был дефолтный, то закрадываются сомнения насчёт случайности наличия этих дыр.

5
Социологический бас

Вот она безопасность в рашке

Кто то ещё хочет электронные трудовые и паспорта себе делать? Контора имеющая доход дохненелион бабла оказалось дырявой как дуршлаг. Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...

4
Социологический бас

Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...

В смысле, "что". Это было отлично видно на получении пропусков в марте в москве.

0

Куплю с камер туалетов.

2

Могу показать, как я сру

4

Комментарий удален

Че купишь?

1

Комментарий удален

палишь свой возраст. надо говорить не куплю, а "подпишусь"

0

Комментарий удален по просьбе пользователя

2

Возможно этот товарищ не так прост, как говорит. Скорей всего он знал о возможных дырах

0

На Хабре более детально расписано, но вроде бы он вошел через проксю какого-то офисного пк ржд 

0

Про nmap никому не нужный на tj написали, а про потенциальный ущерб в несколько млрд не написали. Также стоило бы упомянуть, что он не первый кто нашёл эту дыру. Написано же, что он нашёл и другие подозрительные впн в ту сеть.

2

Это на скрине информация системы диспетчеризации на станции? Если да, на фоне борьбы с терроризмом методом установки заборов везде, это пиздец. Потому что ничего не мешает условным игиловцам пустить поезд на путь, на котором стоит другой состав

2
Социологический бас

Никогда так не было и вот опять.

0

Хабр заблокируют?

0

уголовку заведут на создателя и хакера который к камерам доступ получил

0

рандомный сотрудник РЖД через месяц: ой, эти новые пароли запоминать, уберу-ка я их вообще, раньше было лучше

1

Комментарий удален по просьбе пользователя

0

Сам понял что ляпнул? 

–1
Социологический бас

Их (утечек там нет)

0

Почему никто не обсуждает котика-лапочку?

0

Это сеть мдпо. Она построена на коленке. Во внутренние сети ржд она доступ не имеет. 
И оператор у них ростелеком. 
То что дыры плохо, но то что не самая важная сеть - 100%

0
Социологический бас

Комментарий удален по просьбе пользователя

0
Социологический бас

Комментарий удален по просьбе пользователя

0

Под сказкой "связались и вместе закрыли уязвимости" подразумевается, что его угрозами заставили замолчать? 

0

О ужас кто-то может увидеть что происходит на вокзале как жить дальше 

–6
Социологический бас

Тебя доступ к серьезным системам вокзала не смущает?

0
Социологический бас

О, я смотрю обнаружен айтишник ржд :3
Часть помимо камер ты предпочел проигнорировать, пока не уволили.

0
Читать все 140 комментариев
null