Comments 47
Скорее всего ваш заголовок написан не полностью.
Отвечу старым анекдотом:
Мужик раскидывает на Красной площади листовки.Его вяжет КГБ, отнимает листовки, а там ничего не написано. Его спрашивают:”Почему ничего не написано?” Он отвечает “А зачем? Все и так всё знают”
Мужик раскидывает на Красной площади листовки.Его вяжет КГБ, отнимает листовки, а там ничего не написано. Его спрашивают:”Почему ничего не написано?” Он отвечает “А зачем? Все и так всё знают”
К сожалению, в нашей стране это уже не анекдот
Очень странно, что на английской версии сайта указан адрес представительства РЖД в Берлине — а гуглокарты по этому адресу показывают только объединение аптекарей...
Чувствуете, как близко мы подобрались?
Теперь просто необходимо проверить:
www.sapsanticket.com
www.expresstorussia.com
www.russianrail.com www.transsiberianexpress.net
www.russiancruisecompany.com
www.russianvisaonline.net
Это важно!
Во всех случаях результат одинаковый и он хороший, так что за эти сайты беспокоится особо не стоит, по крайней мере в марте они не отвалятся:
www.ssllabs.com/ssltest/analyze.html?d=www.sapsanticket.com
www.ssllabs.com/ssltest/analyze.html?d=www.expresstorussia.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianrail.com
www.ssllabs.com/ssltest/analyze.html?d=www.transsiberianexpress.net
www.ssllabs.com/ssltest/analyze.html?d=www.russiancruisecompany.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianvisaonline.net
www.ssllabs.com/ssltest/analyze.html?d=www.sapsanticket.com
www.ssllabs.com/ssltest/analyze.html?d=www.expresstorussia.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianrail.com
www.ssllabs.com/ssltest/analyze.html?d=www.transsiberianexpress.net
www.ssllabs.com/ssltest/analyze.html?d=www.russiancruisecompany.com
www.ssllabs.com/ssltest/analyze.html?d=www.russianvisaonline.net
Вы недооцениваете спектр оборудования настоящих пользователей, которые приходят на сайт РЖД покупать билеты. Я думаю, что там вполне себе много музейных экспонатов можно найти. Грустно, конечно, что в списке поддерживаемых технологий нет самых современных, но с точки зрения атак на понижение версий, это не так важно. Для защиты от них настройте у себя на машине запрет пользоваться устаревшими версиями. Никто вам не мешает.
TLS 1.0 у них не является максимальным возможным, потому ничего с ними в 2020 году не произойдёт. Разве что отвалятся клиенты для которых TLS 1.0 был максимально возможным.
TLS 1.0 у них не является максимальным возможным, потому ничего с ними в 2020 году не произойдёт. Разве что отвалятся клиенты для которых TLS 1.0 был максимально возможным.
TLS 1.0 у них не является максимальным возможным,
А что же тогда является? Я вот в отчете явно вижу:
TLS 1.3 No
TLS 1.2 No
TLS 1.1 No
TLS 1.0 Yes
Где здесь ошибка?
Вижу что РЖД отключила sslv3, не знаю, совпадение или нет.
Однако на данный момент, активен только tls 1.0 ничего современнее не поддерживается.
Однако на данный момент, активен только tls 1.0 ничего современнее не поддерживается.
Да, меня скриншоты немного ввели в заблуждение. Выходит, что если они не исправят ситуацию, то у них дружно отвалятся все, кто откажется от TLS1 в 2020. И это будет заметная аудитория.
У них есть около месяца.Очень хочется верить, что ржд действительно что-то сделает.
https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html?m=1
Если верить блогу хромиума, что отключение они планируют в марте, а через месяц только индикатор перекрасят.
Так что не будем растекаться мыслью по древу.«Мысью по древу». Мысь — старорусское наименование белки.
Благодарю, исправлено.
P.S. Такое лучше в ЛС.
P.S. Такое лучше в ЛС.
До повсеместного распространения интернетов и википедии в русском языке устоявшееся выражение выглядело именно так: «мыслью по древу». В значении «отвлекаться от основной идеи». Но потом кто-то нагуглил первоначальное древнерусское значение, и пошло-поехало.
На главной странице напишут, что нужно использовать старые версии браузеров, чтобы оформить билеты. Это экономически выгодно: не нужно что-то переделывать, и перенастраивать. И им категорически всё равно на пользователей.
Вон, некторые банки пишут, что их Интернет-банкинг работает на Фаерфоксе версии не выше 52 и всё — остальное твои проблемы.
Вон, некторые банки пишут, что их Интернет-банкинг работает на Фаерфоксе версии не выше 52 и всё — остальное твои проблемы.
Или ещё лучше, просто вернут старый добрый http, решив все проблемы с совместимостью.
На данный момент так и есть, стоит редирект с https на http:
Скрытый текст
$ curl -I https://rzd.ru/
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 14:50:14 GMT
Via: tt-web10
Location: http://www.rzd.ru/
(другие заголовки)
$ curl -I https://www.rzd.ru/
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 14:50:21 GMT
Via: tt-web06
(другие заголовки)
Location: http://www.rzd.ru/main/public/ru
(другие заголовки)
$ curl -I https://www.rzd.ru/main/public/ru
HTTP/1.1 302 Found
Date: Thu, 19 Dec 2019 15:10:14 GMT
Server: IBM_HTTP_Server
Via: tt-web12
(другие заголовки)
Location: http://www.rzd.ru/main/public/ru
(другие заголовки)
TLS 1.0 и взлом WiFi — это тоже плохо, никто не спорит. Но меня это меньше всего волнует в условиях, когда некоторые железнодорожные станции зимой превращаются фактически в капканы, где можно запросто сломать ногу. Вот, например, с этой станцией уже как минимум четвёртый год проблема с очисткой лестниц, ведущих в Москву (!) А это не какая-то глухая деревня, но и в глухих деревнях, кстати, тоже люди живут, им тоже станции от снега и льда нужно чистить, а одна из довольно популярных железнодорожных станций в сердце самого крупного города Европы (а Москва действительно самый крупный город Европы), куда каждый день приезжают много людей, чтобы добраться на работу. А вечером им нужно обратно домой. А их встречает вот такое:
www.vesti.ru/doc.html?id=2985228
Вот так получишь травму, а потом на больничном сидишь, и через пару дней по телевизору видишь, что на самом деле ты попала в самую настоящую ловушку. Ну кто же может подумать, что в центре города может быть лестница, соединяющая станцию РЖД, огромный Автозаводский мост с широкой трассой, трамвайную остановку, но которую никто не чистит? Да ещё и утром приезжаешь на работу, а там снежком припорошено так, что не увидишь, что под небольшим слоем снега сплошной ровный лёд, который целый зимний сезон копился…
www.vesti.ru/doc.html?id=2822357
И даже после этих сюжетов в СМИ ситуация никак с места не сдвигается. Гормост чистит от снега Автозаводский мост. Вполне хорошо чистит. РЖД чистит только платформу! Но не лестницу. Как люди, которые чистят платформу, заходят на эту платформу, а потом спускаются с неё, если вместо лестниц сплошной лёд? Они что, приезжают на поезде, чистят только саму квадратную платформу, а потом садятся в следующий поезд и со спокойной душой уезжают, даже несмотря на то, что со станции выйти нельзя?
А вы тут как белые люди: WiFi, интернет, TLS им не нравится. Извините, но наболело просто уже. Обидно до самой души.
www.vesti.ru/doc.html?id=2985228
Вот так получишь травму, а потом на больничном сидишь, и через пару дней по телевизору видишь, что на самом деле ты попала в самую настоящую ловушку. Ну кто же может подумать, что в центре города может быть лестница, соединяющая станцию РЖД, огромный Автозаводский мост с широкой трассой, трамвайную остановку, но которую никто не чистит? Да ещё и утром приезжаешь на работу, а там снежком припорошено так, что не увидишь, что под небольшим слоем снега сплошной ровный лёд, который целый зимний сезон копился…
www.vesti.ru/doc.html?id=2822357
И даже после этих сюжетов в СМИ ситуация никак с места не сдвигается. Гормост чистит от снега Автозаводский мост. Вполне хорошо чистит. РЖД чистит только платформу! Но не лестницу. Как люди, которые чистят платформу, заходят на эту платформу, а потом спускаются с неё, если вместо лестниц сплошной лёд? Они что, приезжают на поезде, чистят только саму квадратную платформу, а потом садятся в следующий поезд и со спокойной душой уезжают, даже несмотря на то, что со станции выйти нельзя?
А вы тут как белые люди: WiFi, интернет, TLS им не нравится. Извините, но наболело просто уже. Обидно до самой души.
UFO just landed and posted this here
Для многих госструктур безопасность — это что-то недостижимое. Чтобы использовать продукт, ему необходимо получить сертификат, в том числе и по безопасности. Но вот беда. Патчи безопасности в продукте делают его другим продуктом и снова нужно проходить проверки. Как итог. То, что государство считает безопасным — таковым не является. А то, что небезопасно фактически безопаснее этого самого сертифицированного.
Могу вас обрадовать (хотя не знаю, тут нужно радоваться или огорчаться) — ситуация в других странах точно такая же. Вот эта вот история — это ж просто праздник какой-то!
Как известно в своё время NSA продавила алгоритм с бэкдором в стандарт. При этом хотя многие подозревали что там есть бэкдор — наличие этого алгоритма обязательно для сертификации. И, так же, как в России — любое изменение и сертификат нужно получать заново.
Однако когда бэкдор всё-таки обнаружили… разработчики OpenSSL выпускать новые версию и заменять сертификат не стали… потому что он, как выяснилось, никогда не работал.
В этой истории прекрасно всё: и идиотизм государства (все бюрократы одинаковы), и раздолбайсто оных же (наличие Dual EC DRBG проверили, но возможность использования «ценного бэкдора от NSA» — нет). И какие-то загадочные то ли доброхоты (специально сломавшие Dual EC DRBG), то ли раздобаи (а специально ли?).
И вот на всём этом висит безопасность интернета уже долгие годы.
Прелестно, просто прелестно…
Как известно в своё время NSA продавила алгоритм с бэкдором в стандарт. При этом хотя многие подозревали что там есть бэкдор — наличие этого алгоритма обязательно для сертификации. И, так же, как в России — любое изменение и сертификат нужно получать заново.
Однако когда бэкдор всё-таки обнаружили… разработчики OpenSSL выпускать новые версию и заменять сертификат не стали… потому что он, как выяснилось, никогда не работал.
В этой истории прекрасно всё: и идиотизм государства (все бюрократы одинаковы), и раздолбайсто оных же (наличие Dual EC DRBG проверили, но возможность использования «ценного бэкдора от NSA» — нет). И какие-то загадочные то ли доброхоты (специально сломавшие Dual EC DRBG), то ли раздобаи (а специально ли?).
И вот на всём этом висит безопасность интернета уже долгие годы.
Прелестно, просто прелестно…
«Там» сертификаты на реализацию алгоритма шифрования. Это ещё можно понять. Вроде бы один и тот же алгоритм шифрования действительно можно реализовать совершенно с разными выхлопами. Те же атаки по сторонним каналам сильно зависят от реализации.
Про сертификацию например файрволов я не слышал. Может она тоже есть, не в курсе.
Про сертификацию например файрволов я не слышал. Может она тоже есть, не в курсе.
TLS 1.0 Yes
SSL 3 INSECURE Yes
SSL 2 Yes
Мда, теперь даже sslv2 открыт, правда не понятно зачем, т.е. ни один набор шифров его поддерживающих не активен.
SSL 3 INSECURE Yes
SSL 2 Yes
Мда, теперь даже sslv2 открыт, правда не понятно зачем, т.е. ни один набор шифров его поддерживающих не активен.
Я обратил внимание, что результаты нестабильны. Либо сервер неправильно сконфигурирован, либо терминируется на более чем одной железке. Поэтому верить онлайн инструментам можно весьма ограниченно.
Для SSLv3 сервер предоставляет свой сертификат и готов общаться в 20 случаях из 100.
Для TLS1 сервер предоставляет свой сертификат и готов общаться в 100 случаях из 100.
Для TLS1.1 сервер ответил в 0 случаев из 100.
Более ранние версии протестировать не могу ибо в 2019 году openssl надо ручками собрать, чтобы он умел хотябы SSLv3 8)
Для SSLv3 сервер предоставляет свой сертификат и готов общаться в 20 случаях из 100.
Для TLS1 сервер предоставляет свой сертификат и готов общаться в 100 случаях из 100.
Для TLS1.1 сервер ответил в 0 случаев из 100.
Более ранние версии протестировать не могу ибо в 2019 году openssl надо ручками собрать, чтобы он умел хотябы SSLv3 8)
Похоже на то, как минимум 3 разных набора шифров наблюдается, видимо в зависимости от того, на какой балансер кинет.
Подозреваю, что наборов там всего два. Дело в том, что балансер может работать только на TCP уровне. На одну TCP сессию не более одной попытки SSL. Стало быть мы не можем установить куда попытка прошла. Сам сервер не рассказывает о поддерживаемых алгоритмах, но отвечает клиенту каким из клиентских алгоритмов они будут пользоваться.
Если в какой-то момент будет работать sslV2 То можно осуществить DROWN атаку.Дико об этом говорить почти в 2020 году, но это реальность.
Мне больше понравился дополнительный комментарий РЖД, который более красноречиво отображает всю суть «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть...»
Получается для РЖД ваши персональные данные совсем ничего не стоят? (учитывая копеечную стоимость взлома)
Получается для РЖД ваши персональные данные совсем ничего не стоят? (учитывая копеечную стоимость взлома)
А можно я свою версию предложу? Возможно было просчитано, что самая слабая деталь это люди, какое шифрование ни сделай, один подкупленный специалист может вынести все данные. А кто у нас занимается людьми? Милиция. Т.е. взломать легко, но очень опасно. К тому же это значительно дешевле — милицию оплачивает государство, а не РЖД. Лично мне этот вариант тоже симпатичен, эту гонку вооружений имхо выиграть невозможно.
Не думали о карьере депутата?
Не вижу связи.
Приведу альтернативный пример — в нашем посёлке есть улицы целиком состоящие из 2,5-3 метровых заборов, коридоры такие. Означает ли это невозможность проникновения? Несёт ли это неудобство как хозяину, так и окружающим? Напротив, в некоторых странах нет таких заборов, улицы радуют глаз. Безопасность обеспечивается полицией и соседями.
Отдельно отмечу что военные объекты охраняются по полной.
Какой вариант вам более симпатичен? Повторюсь — полной безопасности нет ни там, ни там.
Приведу альтернативный пример — в нашем посёлке есть улицы целиком состоящие из 2,5-3 метровых заборов, коридоры такие. Означает ли это невозможность проникновения? Несёт ли это неудобство как хозяину, так и окружающим? Напротив, в некоторых странах нет таких заборов, улицы радуют глаз. Безопасность обеспечивается полицией и соседями.
Отдельно отмечу что военные объекты охраняются по полной.
Какой вариант вам более симпатичен? Повторюсь — полной безопасности нет ни там, ни там.
Прямая связь. Вы сейчас используете довольно диковатые аналогии, вместо того что бы признать очевидную безалаберность. Вот скажите мне, какая лично для меня, как пользователя сайта РЖД, разница, посадит ли бравая полиция злоумышленника, воспользовавшегося уязвимостью и утащившего мою персональную информацию? Там не много не мало, мои паспортные данные, данные о моих поездках, мой телефон, а так же карточные данные при оплате фигурируют.
Давайте не будем словоблудием заниматься, а каждый будет делать свою работу, ИБ РЖД заниматься корректностью настроек сайта компании, а полиция поиском злоумышленников?
Давайте не будем словоблудием заниматься, а каждый будет делать свою работу, ИБ РЖД заниматься корректностью настроек сайта компании, а полиция поиском злоумышленников?
Разница в том, что заплатив за большую безопасность РЖД, ваши паспортные данные будут утащены например сотрудником сотового оператора. Или просто эксплуатацией свежей уязвимости. Залатаете одну дыру, найдут десять других. Не хватает 3 метрового забора, давайте построим 10 метровый и поставим вышку с пулемётом!
На самом деле я не оправдываю криворуких программистов, просто я разочарован в них (во всех) и не верю в результат их работы. Мне кажется что здесь нужен другой подход.
На самом деле я не оправдываю криворуких программистов, просто я разочарован в них (во всех) и не верю в результат их работы. Мне кажется что здесь нужен другой подход.
Но 10 других дыр будут у других фирм. Какое жело РЖД до того, что базу уведут у сбера?
Я цепляю мотоцикл на цепь не потому, что цепь делает угон катастрофически сложным.
А потому, что угнать мотоцикл, прицепленный на цепь заметно сложнее, чем рядом стоящий.
Я цепляю мотоцикл на цепь не потому, что цепь делает угон катастрофически сложным.
А потому, что угнать мотоцикл, прицепленный на цепь заметно сложнее, чем рядом стоящий.
Тут такое дело. Гонку но не выиграть, но в данном случае армия вооружена самострелами на спичках.
Или Вы тоже не поставили входную дверь в квартиру? Так же дешевле — полиция разберется.
Вы считаете данные Sayaka ценными?
Я под военными объектами понимаю критичные информационные системы (например систему управления семафорами), паспортные данные к ним явно не относятся.
(Если бы они к ним относились, то ним был бы ограничен доступ всех, а он практически открыт.)
Я под военными объектами понимаю критичные информационные системы (например систему управления семафорами), паспортные данные к ним явно не относятся.
(Если бы они к ним относились, то ним был бы ограничен доступ всех, а он практически открыт.)
А что, после Сбербанка были сомнения в этом очевидном факте?
Sign up to leave a comment.
Почему удалось взломать? Наверное, потому что злоумышленник