Пользователь «Хабра» подключился к сети РЖД и получил доступ к камерам и внутренним сервисам компании Статьи редакции
В РЖД отрицают утечку данных и обещают провести расследование.
Пользователь «Хабра» под псевдонимом LMonoceros рассказал, как ему удалось подключиться к сети РЖД и получить доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании. Сделал он это ненамеренно — пользователь пытался проверить, как много пользователей не закрывают доступ в сеть через свой роутер.
По словам автора, с помощью утилиты nmap он запустил поиск по диапазону адресов по порту 8080 и обнаружил незащищённый роутер, через который можно попасть во внутреннюю сеть РЖД.
Пользователь утверждает, что часть сетевого оборудования компании либо не защищена паролями, либо на нём стоят простые пароли по умолчанию. Получить доступ можно к большинству камер наружного видеонаблюдения и установленным в офисах — всего, «по скромным ощущениям» автора, около 10 тысяч устройств.
Кроме того, пользователь смог получить доступ к IP-телефонам, FreePBX серверам, системам управления табло на перронах, системе управления кондиционерами и вентиляцией, а также «чему-то похожему» на мониторинг состояния систем обеспечения здания.
Пользователь считает, что камеры можно легко вывести из строя, достаточно заблокировать сетевой интерфейс. На это, по подсчётам автора статьи, у гипотетического злоумышленника уйдёт три дня. Примерный ущерб РЖД — 130 млн рублей при учёте средней стоимости одной камеры в 13 тысяч рублей.
При этом быстро заменить камеры у РЖД не получится, утверждает автор. «В резерве столько нет. Купить новые из-за обязанности объявления торгов также не получится», — заявляет он. По его словам, после такой атаки РЖД может остаться без системы видеонаблюдения на месяц.
Также автор отметил, что он не единственный, кто обнаружил эту уязвимость. Например, в настройках роутеров РЖД он нашел линки, которые встречал на других роутерах — не относящихся к оборудованию компании.
В пресс-службе РЖД опровергли утечку данных пользователей, пишет ТАСС. Компания заявила, что проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга.
В 2019 году доступ ко внутренней сети РЖД получил другой пользователь «Хабра» под псевдонимом keklick1337 — он взломал Wi-Fi в «Сапсане» и получил доступ к данным пассажиров.
Вот трудно мне поверить в историю про одного политика-блоггера, фбс и яд и запись телефонного разговора с фсб-ником, но читаешь потом такие статьи и понимаешь, какой АД и некомпетентность в гос.структурах...
Пропаганда о том что всё государственное - лучшее внедряется с детства. Вот мы и пребываем в иллюзиях. А по факту - дыры в безопасности, плохо обработанный гульфик, Солсбери и тд
Я не верю в истории про "лучшее", скорее в то, что такого ада быть не может, так как он легко устраним: не обсужадать хер знает с кем по телефону фсб шную жизнь, менять дефолтные пароли на роутерах и так далее
Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью
Есть известный анекдот в тему: Все думают, что миром правит великая ложа, а на самом деле - обычная лажа.
Попробуйте представьте. Вы CIO компании федеральной. Ваши люди, набранные по городам и весям, ставят камеры. Подключают их через дешевые роутеры. У них есть инструкция менять пароли, но попробуйте продумать процесс, который позволит гарантировать, что на каком-нибудь полустанке между Кемерово и Ханты-Мансийском, сотрудник, нанятый по договору ГПХ, и которого вызвали в школу к оболтусу, действительно его поменяет.
Представьте, что когда что-то случится с камерой, и неохота ехать за 200 км, какой-нибудь специалист скажет: давай на заводские сбросим.
И вот если попробовать вообразить такой масштаб, попобовать глянуть на ситуацию глазами рядового работника, то станет понятно - что задача не имеет решения. А на живой и меняющейся сети - тем более :)
Это не просто, но на РЖД выделяются огромные деньги. Пусть платят нормальные зарплаты нормальным специалистам. Давайте не будем оправдывать этих двоечников в управлении, пожалуйста
Не выделяются, а зарабатываются. Куда потом деваются - тема отдельного расследования (уже много их было).
Пусть платятЭто пожелание целиком украдено сразу с нескольких женских форумов, типа:
- пусть платит алименты регулярно...
- пусть купит мне красную машинку ...
Вам показалось, не украдено. Это я же их туда все и написал
В России дефицит нормальных специалистов. А в описанном случае, нужны даже не специалисты, а монтажники-наладчики. Это не профессия. Это перебиться, пока учишься.
Возможно, но организовать их работу, инструкции, приемку, мониторинг и т.п. уже нужно уметь
Впрочем, не вижу ничего плохого в том, чтобы реально посвятить свою жизнь наладке комплексов видеонаблюдения, если бы на ЗП можно было нормально жить. Наверняка тема интересная с массой сложностей
Там где есть "человеческий фактор", там нельзя достичь 100% гарантии выполнения политик и инструкций.Даже если достичь 99%, то найдется какой-нибудь пользователь Habr, который найдет оставшиеся 1% :) Можно писать: "надо сделать так!". Но жизнь - есть жизнь.
По поводу наладки комплексов......... Думаю, это делали для РЖД те же компании, кто настраивает спутниковые телевидение по дачам. Даже если за весь проект отвечал респектабельный инктегратор - внизу пищевой цепочки они - люди на четверках или поло, где в багажнике валяется удлинитель, перфоратор и шуруповерт. Которые самообучились, что-то знают. Приехали они на полустанок, просверлили дырки, прикрутили камеру на будку обходчика. И никогда не признаются, что накосячили :)
Если бы речь шла об 1%, я бы с вами согласился. Но тут описана слишком удручающая ситуация. Сотрудник с перфоратором свою работу сделал - камеру повесил. Менять на ней пароль не его забота уже...
Вот прям согласен на 1000%
Даже в авиации, когда вооружение снаряжают и трое перекрестно контролируют в журналах, все равно кто-нибудь гайку не докрутит! О чем говорить на гражданке.
Зачем?
Месье умеет в риторические вопросы )
Имеет, в случае адекватных решений, таких как все оборудование, прошивается и администрируется в центре, а на точке надо вводить только логин и пароль, это ведь классическое решение, в случае поломки приходит новая или со склада
А представляете, все оборудование, камеры, микротики нужно свезти в Москву, а затем - несколько десятков тысяч развести по городам и весям. Это немалые деньги.
А зачем, это управленческое решение, в каждом крупном офисе РЖД, а их в каждом миллионнике есть ит отдел, даёшь инструкцию. Закуп в миллионнике не вижу не решаемой проблемы, это не я придумал это стандарт для всех крупных организаций, техника с уже установленным софтом развозиться уже десятилетия. И в каждой крупной организации есть регламенты, что самое сложное делается в центре. Остальное типа подключить уже прошитый роутер воткнуть железо а дырки на месте, как раз потому что дефицит кадров на местах.
Не удивительно. Нужно быть ненормальным или тупым, чтобы сейчас работать на государство или подконтрольные ему организации.
Банальность зла, или "мы просто исполняли приказы" сейчас уже не прокатит.
Да как сказать. Уверенности в будущем у работника госмашины обычно больше, чем в частном секторе. Девушка в офисе РЖД на Комсомольской работает и говорит, что ипотеку она взяла только устроившись в госсектор. Ни в чем нельзя зарекаться, но действительно: больше стабильности на рабочем месте у нее именно в РЖД со взломанными камерами.
Ага, последние несколько тысяч лет прокатывало, а теперь не прокатит?
о, бинарное мышление подъехало)
"Нельзя недооценивать предсказуемость тупизны"
Еще как может, учитывая как получаются тендеры. Где главный критерий не качество, а дешивизна, плюс откаты. Платят специалистам, а по факту тендер делает какой нибудь Васян, который сделал все по мануалу из интернета, на тестовой конфигурации.
Странно, у меня всю жизнь ровна одна установка, все казенное отстой по умолчанию, так как государственное значит ничейное. Или вы про рожденных при Путине?
У меня так же, т.к родители - предприниматели, которые с детства говорили, что всё самое лучшее рождается в условиях конкуренции, а там где монополия - там и гниение. Что мы и видим.
А в основном люди ведутся на мощ государства. ГОСТ, РОС, ГОС и прочие приставки = знак качества. Типа))
PS как-то давным давно натыкался на форум, где обсуждался вопрос как принимают в службу по стирке гульфиков. Там нейкий юзернейм ответил на пару вопросов и заодно привёл несколько примеров того слабоумного долбоебизма, который там происходит, что вразрез идёт с нашими иллюзиями о суперспецсверхмощи. Ну типа, наводку на устранение не того человека дали (перепутали), генерал секретные файлы в корзине на рабочем столе прятал (которая самоочищается), и тд и тп
Не нужно иметь родителей предпринимателей, достаточно было застать поздний совок и 90-ые, чтобы укрепиться в мысли что все казенное отстой по умолчанию, а исключения лишь подтверждают истину.
Да вот буквально пару недель назад, на НГ слушал беседы родственников (возраст от 50 до 70), о том что банк должен быть только один и государственный, мотивируют они это тем, что обычный человек столько денег честно заработать не может, а соответственно доверия ему нет.
Что самое смешное - чиновникам тоже не доверяют и не любят, благодаря пенсионным реформам, отмене льгот и т.д, но откуда-то берётся вера в абстрактное государство, которое придёт и сделает всё хорошо и по справедливости.
Так они верно мыслят, достаточно посмотреть как массово и часто лицензии изымают, я тоже храню деньги в гос. банках, в втб и сбере.
Я к тому, что у них это всё экстраполируется на все сферы и есть установка, что государственное - это всегда хорошо, и если завтра у нас национализируют все предприятия, например, пищевой промышленности - есть очень большая прослойка людей, которая это улюлюкая поддержит. Ну а потом будут удивляться, что пельмешки стали ещё хуже, чем раньше ("виноваты" будут опять отдельные неправильные чиновники, а не заведомая неэффективность такой затеи).
С этим согласен, не все взрослые люди осознают, почему совок рухнул, все про предательство и Горбачева блеют.
Комментарий недоступен
Сбербанк и ВТБ рухнут только вместе с РФ, разве вам это не очевидно?
Комментарий недоступен
В этом есть зерно разума
Это российская болезнь - "патернализм" называется. Надо нас было 40 лет после развала СССР по пустыне водить, но нет - мы быстро соскучились по "начальнику", который и лампочку в подъезде заменит и колбасы даст.
Не понравилось нашему народу в пустыне, мы туда только вышли (90-ые) как сразу нашлись те, кто предложил вернуться и под это дело заграбастал себе все ништяки, а на реальный возврат как-то забили))))
Не фанат государственного, но вот к примеру МФЦ в Москве (это центры одного окна для получения всяких гос услуг) работают на таком уровне сервиса, который я никогда не встречал в коммерческих компаниях. Хотел спросить, как бы вы объяснили это явление, но после такого искрометного заявления, как "исключения лишь подтверждают истину", вопрос снимается.
Они так работают пока все ок, как случится что-то не шаблонное , ступор и игра в футбол. И тут с частниками намного все интереснее...
Почитайте тут же на vc про опыт общения с поддержкой "частников", например, Озона, ВБ, Авито, Яндекс... можно долго продолжать. Может быть у вас есть положительный опыт общения с поддержкой ФБ или Инстаграма?
Я всегда пишу, что наши программисты стали патриотами по неволе, если бы не они, то эта трухлявая гос. машина уже рухнула бы.
Тут сильно зависит от твоей роли.
Если ты предприниматель - это одно, а если наемник - то часто ровно наоборот.
Сейчас мелкие компании несут именно наемному сотруднику гораздо больше рисков.
Мелкие компании несут мелкие риски, гос.экономика несет крупные риски, которые накроют всех разом как в 91-ом, иного не дано. Выбираешь либо малыми рисками (частники) либо крупными рисками (гос.), пусть и реже.
Вы что выбираете, часто но понемногу, или редко но конкретный пиздец?
скажем так - МСБ отличается существенно худшими условиями для сотрудников. Сейчас....
Еще бы, если их раком поставили и кувалдой по башке бьют регулярно, откуда бы им брать лучшие условия?
Работая с МСБ - у них гораздо больше возможности работать в "серой" зоне, чем у крупняка.
Но в целом - такая картина норма по миру.
В тех же штатах доходы в крупных корпорациях у наемников сильно выше, чем у МСБ
Я бы не путал частный крупняк и гос. конторы, крупняк все таки смертен, а гос. конторы всегда будут спасать за общий счет, получили больше ЗП в ней, заплатили больше налоговов чтобы ее спасти, выше процент по кредиту, выше цена в гос. монополии и т.д.
Ну, я молод, в подножия смерти совка родился
Родители чинуши? Откуда вера в то, что государственное лучше?
Т.е. то что тебе такие мысли втирают ежедневно в твиттере, ютубе, фейсбуке и т.д. - это не пропаганда?)
Например?
Простите, а вы в какой стране живете? На Россию не похоже.