Рубрика развивается при поддержке HP logo

Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек Статьи редакции

Многие сервисы перевозчика работали с паролями по умолчанию, выяснил программист.

Кот на камере наблюдения, к которой программист получил доступ
Обновлено в 21:40: пользователь «Хабра» заявил, что с ним связались представители РЖД и вместе с ним закрыли уязвимости.

Пользователь «Хабра» и создатель телеграм-канала об информационной безопасности под ником LMonoceros рассказал, что получил доступ к камерам наблюдения на вокзалах и в офисах, а также многим внутренним сервисам РЖД.

LMonoceros решил проверить, насколько защищены сервисы РЖД, поскольку остался недовольным «пренебрежительной» реакцией компании на пост другого пользователя «Хабра» в ноябре 2020 года. Тот получил доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Тогда представитель РЖД отверг наличие уязвимостей, «которые бы влияли на утечку каких-то критических данных», и назвал пользователя «Хабра» «юным натуралистом» и «злоумышленником».

В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

LMonoceros

Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей. С помощью этого он обнаружил сервисы с открытыми портами. «Гипотеза подтверждена: за прокси могут быть целые незащищённые сети», — отметил программист.

Ряд сервисов РЖД работал с паролями по умолчанию, отметил пользователь «Хабра». Он заявил, что получил доступ к:

  • сетевому оборудованию;
  • не менее чем 10 тысячам камер наружного наблюдения на вокзалах и в офисах РЖД;
  • системам управления табло на перронах;
  • IP-телефонам и FreePBX-серверам, которые нужны для офисной телефонии;
  • IPMI (Intelligent Platform Management Interface) серверов — можно удалённо управлять их работой;
  • ряду внутренних сервисов, в том числе дирекции пассажирских обустройств (комплекс, включающий платформы, навесы, павильоны, кассы, вокзалы, ограждения, статическую и динамическую визуальную информацию);
  • мониторингу систем обеспечения зданий;
  • системам управления кондиционированием и вентиляцией.
Дирекция пассажирских обустройств скриншот пользователя «Хабра»

LMonoceros в публикации на «Хабре» описал видение ситуации, например, отметив отсутствие межсетевых экранов (комплекс, необходимый для повышения безопасности данных), «кучу устройств без защиты» и отсутствие контроля исходящего трафика.

Автор обратился к замгендиректора РЖД Евгению Чаркину, который до декабря 2020 года занимал должность директора по информационным технологиям и отвечал на публикацию другого пользователя «Хабра» об уязвимостях в компании.

У меня лично есть всего три варианта:

1. У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.

2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете её публично признать и решить.

LMonoceros

РЖД в ответе на запрос СМИ рассказала о начале внутреннего расследования по факту публикации на «Хабре». Компания кратко заявила, что данные пользователей не утекали и угрозы безопасности нет.

РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.

РЖД непрерывно совершенствует собственную IT-инфраструктуру - одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках.

Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.

РЖД
полный комментарий ТАСС

Сам LMonoceros в комментарии «Открытым медиа» отказался раскрывать подробности взлома сетей. При этом он отметил, что процедуру может повторить «любой квалифицированный» человек.

Спасибо за наводку Universal Polish
{ "author_name": "Universal Polish", "author_type": "self", "tags": ["\u0445\u0430\u0431\u0440","\u0443\u0442\u0435\u0447\u043a\u0438","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 140, "likes": 168, "favorites": 42, "is_advertisement": false, "subsite_label": "tech", "id": 322330, "is_wide": false, "is_ugc": false, "date": "Wed, 13 Jan 2021 15:53:37 +0300", "is_special": false }
0
140 комментариев
Популярные
По порядку
Написать комментарий...

Жуткий Орзэмэс

64

Теперь его посадят

Ответить
63

Закроют, но не уязвимости?

Ответить

Жуткий Орзэмэс

Alex
2

Именно

Ответить
1

"у нас только одна уязвимость - это ты"

Ответить
4

Зря они не признают наличие уязвимостей.
Просто рано или поздно найдется умник, который все же воспользуется ими с плохими намерениями.

Ответить

Жуткий Орзэмэс

Владимир
29

Они делают максимум, чтобы не было желания им сообщать об этих уязвимостях. Кому надо уже знают и используют эти уязвимости в своих целях

Ответить
1

Увидет загруженность вокзала? 

Ответить
0

Откуда взяться злоумышленникам в этой прекрасной стране? Только из-за бугра разве кто.

Ответить
0

Если найдет, он не долбаёб из под реального IP такой шорох наводить

Ответить
12

На автора статьи про сапсан дело уже завели. Хотя тот и постил под фейковым аккаунтом. Хабр всё слил по первому запросу.
А автор этой статьи - сделал пост под своим акком.
Так что 272 не за горами.

Ответить
1

есть пруф про "кеклика" из хабра? что-то я не нашел что с ним случилось в итоге

Ответить
0

Вот это подстава. Надеюсь у второго хватило ума не светить свой IP

Ответить
4

судя по тому, что он со своего активного акка зашел, а не твинка, то не хватило

Ответить

Жуткий Орзэмэс

Закомплексованн…
2

Найдут. Прецеденты были

Ответить
0

В прошлый раз, другого хацкера вроде бы грозились посадить, но не посадили

Ответить
47

«А я и не сплю», - прокомментировали в РЖД.

Ответить
19

Сколько ему дадут, интересно 

Ответить

Актуальный томагавк_два

Bulky
59

5 лет в плацкартном вагоне Воркута - Магадан. 

Ответить
4

До Магадана нет железной дороги

Ответить

Половый Мика

Весёлый
36

За 5 лет построят...как раз один работник уже есть

Ответить
1

"Столыпин" - не совсем плацкарт.

Ответить
29

Тысяч десять долларов, это очень серьёзная проблема, он настоящий молодец.

Ответить
18

ахаха

Ответить
4

Ты имел в виду, на скольколитровую бутылку его посадят?

Ответить
34

разбудите меня через 100 лет и спросите, какие самые действенные методы взлома сейчас используют, и я отвечу "сканируют порты и вводят дефолтовые пароли"

Ответить
11

Самая хуйня в наличии практики ебли таких серых хакеров за неправомерный доступ (даже если они ничего не сделали, кроме демонстрации дыры), а на чёрных всем положить, потому что при наших зарплатах социальная инженерия стоит дешевле, чем аудит 😑

Ответить
48

В другой стране парня позвали бы на работу, чтобы им же найденные уязвимости вылечить. У нас же его позовут, скорее всего, в СИЗО.

Ответить
9

Сомневаюсь. В другой стране так же посадят на бутылку, если у компании нет "bug bounty". Любое проникновение в сеть без согласия компании может трактоваться как преступление.

Ответить
1

Мне казалось, были такие случаи. В США, например. Если хакер находит уязвимость, тут же о ней сообщает и ничего не делает во вред. Его можно посадить, да. Но по бизнесу его выгодней нанять.

Ответить
14

Я сдавал американский сертификат по информационной безопасности и там очень настойчиво объясняли, что вы ничего не имеете права делать с сетями компании если вас для этого специально не наняли - иначе вы нарушаете чуть-ли не пять законов США. Платят чаще всего если нашли какой-то баг в вебе из-за которого, например, можно купить товар за цену которую сам посчитаешь достаточной. А вот когда проникаешь в сеть это уже посерьезнее. Наверное, если серый хакер договорится с компанией и сообщит о "дыре" в частном порядке и докажет что ничего конфиденциального не спиздил по пути, то может и повезет.

Ответить
0

На какой сертификат сдавал?

Ответить
0

Окей, принято.

Ответить
1

В любой стране мира хватает дурных законов и соответвенно аналогичных исполнителей

Ответить
5

На какую блять работу должны позвать этого эникея?)

Ответить

Относительный

IO
8

Сеньор порвался

Ответить

Зенитный колос

Hakeem
1

В расее маск бы уже сидел за пейпел

Ответить
0

В другой стране парню бы подарили несколько бесплатных поездок (в лучшем случае), наняли нормальных аудиторов и пофиксили дыры.

Ответить
13

На заметку многим наивным, думающим, что под капотом у всей этой лоснящейся модной государственной электронной мишуры "всё продумано, серьёзные люди работают". Принципы устройства российского государства не позволяют качественно работать, система насквозь порочна. 

Будут замалчивать и максимально давить на любого, кто попытается вытащить проёбы на свет божий.

И если с чем-то вещественным, типа моста, сложно украсть вообще всё - всё же надо, чтобы он хотя бы постоял какое-то время, то в случае электронных систем, я думаю, крадут 99%, на сдачу покупая самый дешёвый аутсорс. 

Хотя и с мостами тоже некрасиво получается, бывает.

Ответить
3

Как и в большинстве крупных корпораций. Система без обратной связи снизу-вверх теряет ориентиры и мотивацию к развитию как только накапливает активы, а топ-менеджерам эта самая обратная связь крайне неприятна, так как возвращает к реальности собственной профессиональной некомпетентности.

Ответить
0

Согласен, но в случае бизнеса возникновение обратной связи хотя бы теоретически может быть инспирировано рыночным фактором. Государство, особенно автократическое, практически неисправимо.

Ответить
0

Так и есть.

Ответить
11

РЖД попросит у государства миллиард на админа.

Ответить
–1

Три партсигара отечественных

Ответить

Криминальный турник

9

Видимо по мнению РЖД вы можете пользоваться их инфраструктурой и камерами, ведь
данные пользователей не утекали и угрозы безопасности нет

Ответить
–17

Пиздец новость. Двачеры еще лет 5 назад всех тралили таким образом

Ответить
10

Эпичные треды были
Хорошо выстреливал трек «я ебу собак»

Ответить
4

ну, частные домашние камеры и камеры структуры как РЖД наверное отличаются по значимости и важности

Ответить
2

Да не слушай его, этот человек не заслуживает внимания
Там в открытом доступе могут торчать промышленные и scada-системы (вроде на одном скрине что-то похожее), что означает возможность перевода стрелок на путях, изменения расписания составов, выведение из строя оборудования, установленного на вокзалах
А значит, можно неплохой такой всероссийский армагеддон устроить

Ответить
0

Да на рждшные всем пох

Ответить
1

террористы могут наблюдать в какое время меняется наряд при входе рядом со входом. найти какие-то слабые места. чью-то привычку, которая откроет лазейку. через наблюдение много что можно понять

Ответить
0

Это можно сделать на изи и без камер 

Ответить
0

На самом деле террористы все тупые, даже злодеев киношного уровня в реале нет. Максимум на что они способны - дроны-подрывники.

Ответить

Относительный лолипоп

A
0

Лол, интересно, если когда-то выложат камеру прямо из условного сортира путина, банан также порвётся или менее смешно %)

Ответить
4

РЖД, ёбаный ваш рот, сука 

Почему так трудно признать, что вы обосрались? 

Ответить
9

Обсираются только холопы. Господы делают многоходовочки

Ответить
3

произошло чудовищное недоразумение

Ответить

Незнакомый паук например

Руслан
0

Неправославно

Ответить

Задний корабль

3
Ответить
4

Ого, я в телевизоре

Ответить

Задний корабль

Сергей
0

спасибо

Ответить
5

IPMI

Пиздец, если и тут пароль был дефолтный, то закрадываются сомнения насчёт случайности наличия этих дыр.

Ответить
4

Вот она безопасность в рашке

Кто то ещё хочет электронные трудовые и паспорта себе делать? Контора имеющая доход дохненелион бабла оказалось дырявой как дуршлаг. Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...

Ответить

Относительный лолипоп

Dima
0

Что же там тогда творится то в бюджетных конторках которые занимаются цифровизацией...

В смысле, "что". Это было отлично видно на получении пропусков в марте в москве.

Ответить
2

Куплю с камер туалетов.

Ответить
4

Могу показать, как я сру

Ответить

Комментарий удален

3

О цене договоримся.

Ответить

Комментарий удален

3

Выше купить предлагали. "Купить" подразумевает деньги.

Ответить
0

Мне, пожалуйста приватный архив, можно значимых персон РЖД.

Ответить
0

Якунина?

Ответить
0

Можно всё подряд, потом - эксклюзив будет отобран.

Ответить
3

"Стримы" )

Ответить
2

Ну как там с деньгами?

Ответить
3

ты кому звонишь?

Ответить
0

Тебе звоню. Чё с деньгами, которые я внёс в капитал?

Ответить
0

какой капитал?

Ответить
1

говно и мочу

Ответить

Комментарий удален

0

палишь свой возраст. надо говорить не куплю, а "подпишусь"

Ответить
2

Автор публикации открыл утилиту Nmap и запустил открытое сканирование IP-сетей.

Вот этот момент непонятен. Каких сетей сканирование он запустил? Он сначала повторил вход в сеть сапсана а потом сканил всё что там за ВПН-ом? С другой стороны он вроде пишет что не пришлось на сапсане ехать даже. Точку входа не сообщил

Ответить
0

Возможно этот товарищ не так прост, как говорит. Скорей всего он знал о возможных дырах

Ответить
1

Ну врядли у РЖД прокси открыты в интернет, иначе их давным давно похачили бы. Как минимум по количеству прокачанного интернета заподозрили бы неладное.

Ответить
1

Ну если товарищ не врёт, то именно прокси без авторизации и торчали наружу

Ответить
1

Значит он пропустил момент, что сканировал они внешние адреса автономки РЖД. Но это странно, весь инет постоянно сканируется на предмет открытых проксей и через них моментально всякие ботнеты заворачиваются. Там трафик должен 24/7 прокачиваться

Ответить
0

Ещё раз обозначу, возможно товарищ о чем то умалчивает и откуда-то знал о "точках входа".

Ответить
0

Ну очевидно, что что-то он опускает в описании его "взлома". Но в любом случае через сапсан, я так понимаю, можно было всё то же самое повторить. Так что претензии остаются

Ответить

Относительный

Илья
0

Сканируется, но таки не факт что из конкретных камер можно что-то сделать. А по управлению любопытнее.

Ответить
0

Я к тому, что стоит только оставить незапароленную проксю, как через неё тут же завернут какой-нибудь ботнет и интернет в полку будет постоянно. Там уже начнутся вопросы и рано или поздно найдут причину

Ответить
0

На Хабре более детально расписано, но вроде бы он вошел через проксю какого-то офисного пк ржд 

Ответить
1

Ну я там и читал, в комментах у него то же самое спрашивают, он пространно отвечает без конкретики

Ответить
0

около проходной шарился с ноутом

Ответить
2

Про nmap никому не нужный на tj написали, а про потенциальный ущерб в несколько млрд не написали. Также стоило бы упомянуть, что он не первый кто нашёл эту дыру. Написано же, что он нашёл и другие подозрительные впн в ту сеть.

Ответить
2

Это на скрине информация системы диспетчеризации на станции? Если да, на фоне борьбы с терроризмом методом установки заборов везде, это пиздец. Потому что ничего не мешает условным игиловцам пустить поезд на путь, на котором стоит другой состав

Ответить

Относительный лолипоп

Сергей
0

Никогда так не было и вот опять.

Ответить
0

Хабр заблокируют?

Ответить
0

уголовку заведут на создателя и хакера который к камерам доступ получил

Ответить
1

рандомный сотрудник РЖД через месяц: ой, эти новые пароли запоминать, уберу-ка я их вообще, раньше было лучше

Ответить
0
Ответить
–1

Сам понял что ляпнул? 

Ответить
1
Ответить
0

Их (утечек там нет)

Ответить
0

Почему никто не обсуждает котика-лапочку?

Ответить
0

Это сеть мдпо. Она построена на коленке. Во внутренние сети ржд она доступ не имеет. 
И оператор у них ростелеком. 
То что дыры плохо, но то что не самая важная сеть - 100%

Ответить

Благородный франт

0

Ой, сейчас как найду скрин шела в сбербанке и как заливал, в новом продукте который типа молодежный много лет назад(кстати, им отослал и получил письмо благодарности)

Ответить

Благородный франт

0

Хотя, я могу рассказать как были взломаны много блогеров в жж, тот же топ на тот момент 11-13 год ибигдан и как он не подарил обещанную бутылку самого дорого алкоголя ;)

Ответить
0

Под сказкой "связались и вместе закрыли уязвимости" подразумевается, что его угрозами заставили замолчать? 

Ответить
–6

О ужас кто-то может увидеть что происходит на вокзале как жить дальше 

Ответить

Вероятный шар

Роман
0

Тебя доступ к серьезным системам вокзала не смущает?

Ответить
1

Да нет там доступа к серьезным системам. По крайней мере к тем, которые отвечают за безопасность движения. 

Ответить

Вероятный шар

vvtwitt…
–2

Дак откуда такая уверенность, если автор сам заявляет, что до черта ещё не открытого?

Ответить
1

Потому что большинство систем безопасности движения на ржд древние как говно мамонта и вообще связи с интернтом не имеют, а те что есть завязаны на своей закрытой сети. 

Ответить
0

Потому что знаю. 

Ответить

Вероятный шар

vvtwitt…
0

А где ты работаешь, коль действительно такими знаниями обладаешь?

Ответить
0

Может мне и зарплату свою сказать? 

Ответить

Вероятный

vvtwitt…
0

С чего я тебе должен поверить, если ты даже место работы сказать не можешь?

Сказал бы по секрету всему свету, один черт с фейка сидишь

Ответить
0

Да не хочешь не верь. 

Ответить

Вероятный

vvtwitt…
0

Тогда задам тебе ещё один встречный, скорее всего, бессмысленный, риторический вопрос — какой смысл вступать в дискуссию, если в определенный момент аргументация сольётся в ноль?

Ответить
0

Аргументы нужны в споре. Я не спорю, а говорю то, что знаю. Если кто-то мне не верит, хочет доказательств или ещё чего-то, то это проблема этого кого-то. 

Ответить

Вероятный

vvtwitt…
0

Аргументы не всегда используются в споре. Они используются в любом виде дискуссии с целью доказать сказанное, убедить человека в том, что изложенная информация действительно имеет вес, что она, черт возьми, истинная.

Кто-то мне не верит

Проблема это кого-то

Ну так об этом я и сказал в предыдущем сообщении. Заходит малоизвестный на этом ресурсе человек, который сидит с фейка и говорит, что он шарит в обсуждаемой теме, почему конкретно — остаётся лишь догадываться (или можно просто назвать этого человека мимокрокодилом с лапшой для ушей). С черта ли кто-то должен сразу тебе поверить? Какой смысл начинать дискуссию, если никто не поверит фейку?

Это так же безумно, как поверить двачеру, который заявил, что насрал в бак батиной девятки.

Без пруфов любые заявления в нынешних реалиях не имеют веса, а если всё же имеют — то требуют тщательной проверки

Ответить
0

Еще раз повторяю. Это не моя проблема. 

Ответить

Вероятный

vvtwitt…
0

Хорошо, я тебя понял.

Доброго пути тебе, человек

Ответить
1

Салют! 

Ответить
–2

Ну так не бомби, а ответь на вопрос. Минусить много мозгов не надо, а вот написать ответ нужно чуток побольше 

Ответить
–2

Ну в общем мозгов ответить не хватило. Впрочем ничего удивительного 

Ответить
–2

Автоматам с кофе? 

Ответить

Вероятный шар

Роман
0

Ага, к металлоискателям

Ты статью читал, чувак?

Ответить

Вероятный шар

Роман
0

Да что ты вопросом на вопрос отвечаешь.

Читал или нет?

Я читал её на Хабре, здесь её просто процитировали

Ответить
–2

Не похоже что читал 

Ответить

Вероятный

Роман
0

Окей, держи в курсе

Ответить

Относительный лолипоп

Роман
0

О, я смотрю обнаружен айтишник ржд :3
Часть помимо камер ты предпочел проигнорировать, пока не уволили.

Ответить
–3

Какую часть? 

Ответить

Вероятный шар

Роман
–1

Шейную часть свинины нарежьте, пожалуйста

Ответить

Комментарий удален

Комментарий удален

Обсуждаемое
Интернет
Фильм про «дворец Путина» стал самым просматриваемым роликом на ютуб-канале Навального, обогнав «Он вам не Димон»
38 миллионов просмотров за двое суток — расследование про Дмитрия Медведева набрало столько же за почти четыре года.
Разборы
Гайд перед митингами 23 января: как себя обезопасить и что делать при задержании
Главное о предстоящих протестах в 63 российских городах — и памятка.
Новости
Сотрудников ФБК Георгия Албурова и Киру Ярмыш задержали
Ранее в полицию попала Любовь Соболь.
Популярное за три дня
Новости
«Не хочу, чтобы мои дети жили в стране, где можно убить за инакомыслие»: Noize MC выступил в поддержку Навального
И высказался по поводу ближайших митингов.
Интернет
«Комнаты для грязи нет»: официальный инстаграм Швеции показал, где живёт её премьер-министр
Глава правительства занимает два этажа с жилой площадью 175 кв. м.
Интернет
«Нам страшно за себя и за страну»: подростки в тиктоке массово призывают «погулять» 23 января
В соцсетях дают советы о том, как вести себя на митингах, и снимают портреты Путина со школьных стен.