РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи на Хабре



    По информации «ТАСС», пресс-служба РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи об этом на Хабре.

    «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сообщили в РЖД.

    «РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — заключили в пресс-службе РЖД.

    Пресс-служба РЖД не пояснила, означает ли, что автор публикации (LMonoceros) попадает под ее последнее высказывание об уголовном правонарушении, например, по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

    Утром 13 января 2021 года на Хабре была опубликована статья «Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…», в которой автор рассказал про успешное проникновение внутрь локальной сети РЖД и то, как он получил доступ к системе наружного наблюдения и внутренним сервисам компании.

    Эксперты по информационной безопасности пояснили, что в этом инциденте виноваты сотрудники компании, которые оставили в системе оборудование со штатными логинами и паролями. Вдобавок за обнаруженным незапароленным роутером оказались другие незащищенные или необновленные устройства. А сама сеть, выстроенная как единая общая система, не была никак сегментирована. Это говорит о халатности не одного конкретного администратора сети, а о системной проблеме.

    Основатель сервиса разведки утечек данных DLBI Ашот Оганесян уточнил, что именно этот взлом продемонстрировал две основные проблемы инфраструктуры ОАО «РЖД»: отсутствие систем обнаружения вторжения и внутрисетевых брандмауэров (firеwall), пресекающих доступ из одного сегмента сети в другой, а также большое число оборудования и сервисов с дефолтными паролями или вовсе без оных. Все это является признаками отсутствующей политики информационной безопасности или контроля за ее соблюдением.

    Обновление публикации: автор статьи пояснил, что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости. На ресурсе Роскомсвобода автору пообещали помочь в случае необходимости и предоставить правовую защиту.

    В ноябре прошлого года база клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» тогда пояснили, что это была попытка взлома.

    15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а также обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

    А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

    В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам, включая руководство компании, там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»). На сайте с выложенной базой была надпись: «Спасибо ОАО «РЖД» за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».

    В декабре 2019 года следственными органами удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. Оказалось, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 218

      +82
      image
        +9

        Ничего удивительного(

          +8
          Надо было писать статью с анонимного аккаунта. Теперь непонятно стоит-ли автору ждать гостей.
            +20
            С очень высокой долей вероятности — вполне себе понятно.
              +4
              вполне себе понятно

              Ну вообще говоря, компании выгоднее замять это дело и не раздувать скандал из-за которого репутационный ущерб будет ещё больше. Но это при условии, что у руководства РЖД есть хоть капля адекватности.
                +55

                А что им до какой-то там репутации? Будто бы у них имеются конкуренты...

                  +8
                  Конкурентов конечно у них нет. А вот IT-специалисты уже могут не захотеть работать в такой компании. Мне, например, недавно поступало предложение от дочерней компании сбербанка на вакансию 200к, но я отказался по причине плохой репутации сбера.
                    +31
                    0,0001% от айти-специалистов, может, и откажутся, но в целом такие кто откажется, скорее всего, и так не пошли бы работать в РЖД, а кто пошел бы — и так пойдет, потому что кушать хочется.
                      –7

                      +++ какие там 10-20к зелени нормальному айтосу, как в гниющей пендосии) на те 60к рублей оклад и премия, может быть)

                        –6

                        Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж

                          +3

                          Если 20к баксов в месяц то много кто в калифорнии получает

                            +6
                            Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж


                            Держи дружище если в гугле забанили примеры от 500к базовой (без бонусов премий и стоков, а с ними так и 1-2М набежит) ЗП($523K — $569K) и ниже

                            https://www.glassdoor.com/Salary/Apple-Cyber-Security-Salaries-E1138_D_KO6,20.htm

                            https://www.glassdoor.com/Salary/Bob-Evans-Restaurants-Cyber-Security-Salaries-E1190_D_KO22,36.htm

                            https://www.glassdoor.com/Salary/Bank-Leumi-USA-Cyber-Security-Salaries-E13212_D_KO15,29.htm

                            https://www.glassdoor.com/Salary/EY-Cyber-Security-Consultant-Salaries-E2784_D_KO3,28.htm

                            https://www.glassdoor.com/Salary/New-York-Life-Cyber-Security-Salaries-E2915_D_KO14,28.htm


                            или ты думаешь там за гроши работают как в РФ?
                            Тащим та РФ по уровню ЗП сейчас стоит на одном уровне с Пакистаном и ниже Индии, они это уже давно более скиллованная сила потому что они хотя бы еще английский знают в отличие от основной массы местных.

                            Нормальный сеньор там 350-400к годовых может иметь, толковый инфосек точно не меньше

                            А вообще крайне угарно, что у среднего айтишника в РФ такое рабское мышление, что он даже не может поверить(и не пытается проверить) в возможность получать 20к долларов в мес просто в качестве ЗП.

                            Скоро экономика «дорастет» до такого уровня что и в ЗП 2к не будут верить. Думаю что вся белая «частная»(которую не подмяло государство) экономика РФ раз в 4-5 меньше чем только один какой нибудь Амазон или ФБ.
                              +8
                              Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж


                              или ты думаешь там за гроши работают как в РФ?
                              Тащим та РФ по уровню ЗП сейчас стоит на одном уровне с Пакистаном и ниже Индии, они это уже давно более скиллованная сила потому что они хотя бы еще английский знают в отличие от основной массы местных.

                              Нормальный сеньор там 350-400к годовых может иметь, толковый инфосек точно не меньше

                              А вообще крайне угарно, что у среднего айтишника в РФ такое рабское мышление, что он даже не может поверить(и не пытается проверить) в возможность получать 20к долларов в мес просто в качестве ЗП.

                              Скоро экономика «дорастет» до такого уровня что и в ЗП 2к не будут верить. Думаю что вся белая «частная»(которую не подмяло государство) экономика РФ раз в 4-5 меньше чем только один какой нибудь Амазон или ФБ.


                              1) Всегда было забавно наблюдать как в зарплатных спорах сумму зарплаты среднего-звезд-с-неба-нехватающего-специалиста тут сравнивают с суммой зарплаты зрелого-серьёзного-специалиста там.

                              2) Забывают даже о такой элементарной вещи, как налоги. У нас принято указывать зарплату после налогов. Там — зарплату до налогов. Тем более не говоря, об совсем другой структуре затрат там (скажем в Калифорнии вы только за аренду жилья будете отваливать всю сумму зарплаты сеньора из какого нибудь Екатеринбурга).

                              3) Представления о низких зарплатах в РФ для квалифицированных ИТ-шников взяты откуда-то или из начала века. Или высококвалифицированными считают уже миддлов.

                              4) У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов. Что эквивалентно 1 100 000 до налогов, что в пересчете по курсу $15 000 в месяц. Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?

                                –1
                                Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?

                                Адекватное лечение можно позволить? Продукты не из говна? Гарантии что завтра не приедет черный воронок за комментарий в интернете?
                                  +2
                                  Этот специалист шибко секретный. Целых 15к зелени получает, а мы про него только узнали.
                                    +5
                                    Ну я в Перми пару С++ программистов знаю которые как раз в районе 15к зелени получают.

                                    В плане индусов, сейчас работаю в компании где у индусов зарплата всего 6-10$ в час, при том что у меня 30$ час.

                                    Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час… И буквально год назад на хабре была публикация сколько получают в среднем в таких компаниях как Google и Microsoft, так там средняя была меньше 5к баксов.
                                      +2
                                      Ну я в Перми пару С++ программистов знаю которые как раз в районе 15к зелени получают.

                                      Работая в РФ по ТК?


                                      Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час…

                                      В среднем по стране может редкость, а для калифорнии — не очень.

                                        +1
                                        Да, оба в нефтяной отрасли и работают в области автоматизации скважин.
                                          0

                                          А в чем их обязанности заключаются? Сидят на удаленке дома и плюсцы починяют или в их обязанностях что-нибудь про сидение в глуши на скважине с ноутом? Просто реально интересно. У меня не так давно появилось сильное желание выходить на такие деньги, и по моим прикидкам кроме как в фаанг в штаты это нереально нигде получить. А тут прям под боком оказывается что-то подобное есть

                                            0
                                            Удаленка у них на сколько знаю запрещена из за высокого уровня секретности, так как в это области сейчас многие как Российские, так и зарубежные компании работают. В глушь не ездят, но периодически выезды на тестовые стенды бывают где реально в вагончике по несколько дней живут и тестируют работу.

                                            А так организация занимается разработкой оборудования для автоматизации и у них даже своя написанная ОСь есть.

                                            Но беда в том что на такую работу тяжело самостоятельно выйти, как правило на тебя выходят либо еще в универе или какай нить смежная компания тебя порекомендует.
                                              0

                                              Ну невыездные режимные объекта может и платят столько, да. Спасибо, учту что такое тоже есть. В универе на меня помню действительно выходили, но я подумал что своими мозгами смогу получить такие деньги и без ограичений на выезды и т.п. Пока не супер получается, но надеюсь на лучшее

                                              +2

                                              Я бы тоже хотел узнать. А то как человек закончивший ГИС и работавший в нефтянке в российских компаниях видел только ЗП по 15-30к причем не долларов. Причем с задержками по пол года, год.


                                              А ещё видел кидалаво вахтавиков на деньги. Да и в целом много чего за пол года увидел. После чего сказал. "не ребята вы тут как то сами" И больше и дня не работал по специальности =)

                                                0
                                                Как-то совсем уж копейки вы озвучили.
                                                По 15-30 к$ я зарплат среди своего окружения не видел, разве что у менеджеров кто повыше сидит.
                                                Но в районе 100-200кр вполне получают.
                                                  0

                                                  Ну инфа примерно 10 летней давности.


                                                  Эти копейки ещё и не платили. Задержки на пол года были нормой. На 2 года, ну не совсем нормой. но тоже бывало судя по рассказам старожилов.

                                          0
                                          Уважаемый, выйдите и зайдите по новой, 10-30 это самый низ рынка и очень в редких случаях американского. Фриланс и найм сравнивать как-то не совсем правильно.
                                          Если ссылку на статью подкинете, может кто-нибудь поверит…
                                      –1
                                      У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов.

                                      Если этот человек работает по ТК РФ то я в такие цифры просто не верю. Если на удалене, причем исключительно на штаты (в Европе с такими зарплатми нужно быть супер-спецом, рокстаром), тогда конечно да, но это вроде никак не подтверждает вашу точку зрения.

                                        +5
                                        Зря не верите, ничего экстраординарного тут нет.
                                        Если вам скажут, что человек не захотел работать в гугле и в фэйсбуке просто по причине просадки в доходе, такое наверно тоже по вашему не реально?
                                          0

                                          По-моему нереально. У меня есть два источника:


                                          1. знакомые (т.н. "нетворкинг")
                                          2. hh.ru/rabota.yandex.ru/мойкруг/...

                                          И вот ни один из них ничего и близко в русском сегменте не предлагает. Топовые зарплаты в сбербанках и втб, и они заканчиваются на планке в районе 400к на руки.

                                            0
                                            такие вакансии в hh.ru не выкладывают. Там скорее всего по узкому кругу знакомых ищут.
                                              +2

                                              Понимаете, я знаю, что топовые вакансии ищут по узкому кругу лиц. Но в то что они будут в 2 раза привышать лучшие предложения по рынку (и в 3 раза лучше всего что есть в открытых источниках) поверить уже куда труднее. Мне даже было бы интересно опрос сделать, слышали ли люди о таких зарплатах? Полагаю, что 99% ответит "нет".


                                              Так что возможно это вакансии неуловимого Джо, они вроде бы и есть, но устроиться на неё нельзя. Не думаю, что на всю страну найдется хотя бы сотня программистов с таким окладом, а до недавнего времени я вообще считал что их ноль.

                                                +4
                                                Не думаю, что на всю страну найдется хотя бы сотня программистов с таким окладом

                                                Тоже так думаю, так что реально подобные вакансии рассматривать не стал бы. 200к потолок на лёгкое трудоустройство, 300к на сложное и 400к для особо удачливых.
                                          +4
                                          Это в год.
                                          +6
                                          как раз 700 000 рублей после налогов… позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии

                                          А тут уже другая крайность — сравнение единичных случаев в «сибирском региональном центре» с средней зарплатой ITшников по всему США. Ну вот статья , где инженер фейсбука говорит о доходе в 2M$/год или 160k$ в месяц. Да таких инженеров в Калифорнии вероятно всего несколько сотен, но с большой вероятностью в глубинке РФ инженеров получающих 10k$ после налогов еще меньше и попасть в их число не проще.

                                          Вот и сравнивайте, что лучше 10k$/месяц чистыми в сибирском центре или 100k$/месяц чистыми в Калифорнии.
                                            0
                                            Вот что то мне в 100k$ чистыми в месяц очень слабо верится, мы же про инженеров говорим. Смотрю вакансии в гугле накопал, таких цифр не вижу.
                                            А кто там что пишет, про 2М в год, ну как в анекдоте про доктора и старика…
                                              +1
                                              мы же про инженеров говорим

                                              Вы статью читали?
                                              Во-первых, это SOFTWARE ENGINEER,
                                              во-вторых, он учитывал акции, а вы смотрите чисто зарплаты,
                                              в-третьих, он вероятно работал в Кремнивой долине,
                                              в-четвертых, он работал в фейсбуке,
                                              в-пятых, он дошел до одного из самых высоких уровней, на которые может попасть инженер, с порога такое никому не дают,
                                                0
                                                Я же сказал, мне в это слабо верится. Если бы это была справка из налоговой, тогда бы поверил. А верить в то, что какой-то анонимный программист из фэйсбука получает 100к в месяц… Ну дело веры наверно.
                                                  +7
                                                  Так же как то что кто-то в сибирской глубинке зарабатывает 15k$/месяц.

                                                  Речь вообще-то именно про то, что нужно сравнивать доходы одинаковые групп (по квалификации/количеству людей/опыту и т.п.), а не 0.1% самых богатых в одном регионе с средним уровнем в другом.
                                                  А единичные экстремумы мало имеет смысла сравнивать.
                                                    0
                                                    Ну ок. 200к рублей в месяц чистыми в Новосибирске, вакансии можно посмотреть на hh, то есть это не редкость.
                                                    Вакансии в штатах 160к $ грязными в год, ну будем считать что чистыми останется 100к.

                                                    И там и там людям нужно жилье, смотрим 2 комнатную квартиру, квадратов от 60.
                                                    По Новосибирску это 3 — 6 кк рублей (высший сегмент и хлам не смотрим)
                                                    Итого получаем квартиру за 15 — 30 месячных зп.

                                                    Смотрим аналог в штатах, смотрим крупный город
                                                    из того что я увидел аналогичного цены начинаются от 300к $
                                                    Итого получаем туже квартиру минимально за 36 месяцев.

                                                    Конечно если зарабатывать 10к зеленых и тратить их в России, это сильно отличается от 200к рублей. Но в общем то цены и тд по странам сильно различаются. При этом 10к $ в месяц в России вполне реальные деньги для инженера.
                                                      +4
                                                      Вы неправильно считаете. Нужно смотреть не покупку, а аренду. Потом отнимать все остальные траты на равный уровень жизни (путишествия, еду, машину) и смотреть сколько останется с учетом покупательной способности. Это даст более реальное понимание соотношения уровня жизни.

                                                      Почему не смотреть ипотеку? Потому что ипотека это сбережения, вы выплатив ипотеку в США можете перебраться на старости лет в Новосибирск, купив шикарную квартиру за 7 kk рублей и иметь 200k$ сверху. А вот в обратную сторону — не сможете.

                                                      Плюс нужно не забывать какая пенсия у вас будет в США и какая в России.

                                                      При этом 10к $ в месяц в России вполне реальные деньги для инженера.

                                                      В России или Москве? Покажите массовые вакансии где обычному разработчику предлагали 730k рублей.
                                                        +1

                                                        Кстати, стоимость жилья это всегда функция от средней зарплаты (во-первых, средняя квартира стоит столько сколько средняя семья сможет заплатить, во-вторых, если строители зарабатывают в стране в 10 раз больше, то и квартира тоже построить без учёта материалов будет раз в 10 дороже). Поэтому деление зарплату на стоимость квартиры просто покажет насколько ваша зарплата больше/меньше средней по региону, а не ваш уровень жизни.

                                                        +1

                                                        А ещё дом за 300к$ в штатах обычно выгодно отличается от квартиры в многоэтажке в Новосибирске. Определенная наценка конечно имеется, но и качество выше на порядок, даже по сравнению с "высшим сегментом".


                                                        Это во-первых. А во-вторых в штатах действительно не принято покупать жилье.


                                                        При этом 10к $ в месяц в России вполне реальные деньги для инженера.

                                                        Просто покажите вакансии в открытых источниках. Ну просто потому что вакансии на 200k$ в штатах я показать могу на обычном сайте, а не говорить что это тайными знаниями от АНБ передается.

                                                          +4
                                                          > А ещё дом за 300к$ в штатах обычно выгодно отличается от квартиры в многоэтажке в Новосибирске.

                                                          Особенно тем, что он находится не в Новосибирске.
                                                            0
                                                            Вообще то недвижимость сейчас там реже покупают лишь по одной причине, потому что если ты не планируешь проживать на одном месте более 10 лет, то покупка недвижимости становиться крайне не выгодной из за различных налогов и комиссионных при продаже.

                                                            Но все же после 40 лет они стараются её приобрести, условно до этого возраста они строят карьеру и это предполагает частую смену жительства. А вот далее все же в большинстве случаев стараются обрести свой стабильный уголок.

                                                            Но на самом деле там действительно не все так просто с этим, вспомните сериал друзья где они совместно арендовали небольшую квартиру и во времена когда я смотрел данный сериал в подростков возрасте думал что они некие студенты ))

                                                            Но сейчас имея в своем круге общения порядка десяти коренных американцев, понимаю что это вполне нормальное явление когда они совместно с кем либо арендуют жилье. Так половина из тех с кем я общаюсь, живут в аналогичных условиях арендуя квартиру или дом совместно с теме же друзьями. Не все они ИТ-шники, но вот один все таки ИТ-шник и тоже арендует жилье совместно с другим парнем.

                                                            На самом деле палка на двух концах, так как там все таки есть свои плюсы и минусы. Да и отбор в компании в виде того же FaceBook достаточный большой, не каждый с улицы туда может попасть.

                                                            По этому я давно для себя понял, хорошо там где нас нет. А все остальное это некая лотерея, как повезет.

                                                            Ну и опять же на частоту, если вы считайте что там все так прекрасно. Почему вы сейчас находитесь тут, а не там и не получаете по 15-25к зелени? :)
                                                              0
                                                              Ну и опять же на частоту, если вы считайте что там все так прекрасно. Почему вы сейчас находитесь тут, а не там и не получаете по 15-25к зелени?

                                                              Эээ. А кто вам сказал, что мы все тут, а не там? И не получаем близко к этому? :) Хабр он ведь не только из России доступен.
                                                            +3
                                                            При этом 10к $ в месяц в России вполне реальные деньги для инженера.


                                                            У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов. Что эквивалентно 1 100 000 до налогов, что в пересчете по курсу $15 000 в месяц. Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?


                                                            Ору с этих счетоводов, которые поймав удачу за яйца хвост и уютно пристроив свою пятую точку, найдя единичную вакансию и получая в 3-5 раз выше среднего по рынку всей страны, пруф:

                                                            https://career.habr.com/salaries?_ga=2

                                                            (
                                                            ~ 40% получает меньше чем средняя не айти ЗП в Москве,
                                                            ~ 70% получает меньше 2k — это меньше чем коронавирусное пособие в США,
                                                            ~ 10% имеет больше 3к,
                                                            и лишь один процент имеет больше 4500)

                                                            почему то думают, что в проклятой забугорщине все получают среднюю ЗП, и конечно же там нет таких счастливчиков как они (они же уникальны как снежинки, и только в РФ есть такой шанс жить урвать вакансию в 5 раз выше среднего), кто тоже получает в 3-5 раз выше среднего.

                                                            Хотя вполне возможно они понимают свой уровень квалификации и реалистично оценивают что на конкурентном рынке, они бы получали эту самую среднюю американскую ЗП (вероятно нашли эти свои вакансии по «блату» на месте и «осваивают» бюджеты, или может тупо удаленка на среднюю конторку в США?).

                                                            Разочарую вас ребятки, имею достоверную инфу что даже в Британии, хороший МЛщик глава соответствующего отдела/департамента может получать ~800к GBP годовых базовой ЗП, а еще есть и бонусы и акции которые в РФ вообще не любят давать, чтобы не баловать холопов. Сам лично видел вакансию на просто мобайл тим-лида небольшой тимы(3-5 девов) на 250к в Германии.

                                                            Да это редкие вакансии(и вероятно подавляющее большинство из них закрывают «по своим» рекомендациям), так же как и наличие вакансий на 10к на внутреннем рынке РФ.

                                                            А вот вакансии на 400-500к суммарно годовой до налогов далеко не единичные — сотни тысяч работников в индустрии имеют такие, более того учитывая размер индустрии в США и Европе, я очень сильно подозреваю что людей имеющих такую ЗП на западе больше чем итого программистов в РФ суммарно(ну если не считать таковыми 1с и студентиков кто в бюджетных конторах эникеит).

                                                            что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?


                                                            Расскажите пожалуйста что вы можете себе позволить? Может быть безвизовый въезд в большинство стран мира?
                                                            Или свежий самсунг/айфон с пакетом за 50 долларов в месяц?
                                                            Или вы можете позволить себе запатентовать изящное техническое решение и ваш патент будет признаваться во всем мире?
                                                            Может быть вы можете себе позволить зайти в апстор в вашем сибирском региональном центре и в день релиза взять новый интересный девайс?
                                                            Или может у вас быстрая и беспошлинная доставка с Китая до двери?
                                                            Может быть у вас вашем региональном центре есть представительства или возможность удаленной работы на практически 95% топовых компаний мира?
                                                            Или может у вас есть возможность купить нарезное оружие и на выходных задорно настрелять пару тысяч патронов из всех ваших легальных стволов?
                                                            Может вы можете себе тарелку старлинка поставить на дачке в горах?

                                                            Или вы просто говорите про обьем еды который вы можете купить на эти деньги, ну и дешевые местные услуги типа постричься да сменить колесо на авто?
                                                            Которые как раз таки дешевые за счет местной повальной нищеты.

                                                            А жилье дешевое потому что городок вымирает, и никто не видит там ни будущего, ни перспектив?
                                                            image



                                                            Дарю лайфхак, можно жить в Воркуте на удаленке и получая 200к каждый месяц покупать по квартире https://www.avito.ru/vorkuta/kvartiry/prodam?pmax=200000
                                                            в США в долине такую роскошь покупать по квартире в месяц имеют только вице-президенты, а в РФ вон даже простому трудяге доступно — социальное государство!
                                                              –2
                                                              Ну удача тут вообще ни причем, это просто труд, причем многолетний.
                                                              На вопросы выше, 300к $ это именно аналогичная квартира, дома сильно дороже идут.
                                                              На тему не принято быть владельцем жилья, а принято арендовать, не смешите. Если бы у всех тех у кого «не принято» была возможность купить, они бы купили.
                                                              На тему безвизового выезда, без визы нет, но в чем проблема ее получить.
                                                              Свежий айфон/самсунг за 50$ в аренду? На столе лежит айфон, специально посмотрел модель iPhone XS max, как умрет или начнет глючить пойду в магазин и куплю свежую версию, арендовать предметы обихода (или брать их в аренду) лично для себя считаю просто глупостью.
                                                              Патентами не занимаюсь, но при необходимости это не проблема.
                                                              Про апстор и день релиза )) Я даже не знаю когда у них день релиза )) Хоть по большому счету и маковод, посчитал, дома 7 девайсов от apple, вот только покупаются или обновляются они по необходимости ))
                                                              Доставкой с Китая ни разу не пользовался, ну наверно службам доставки есть над чем работать…
                                                              В настоящий момент удаленно можно работать на любую контору в мире, если есть язык, если ваша компетенция им интересна и если этот работодатель не сегрегирует работников по национальному признаку (вариант работы на иностранных военных тут не рассматривается)
                                                              Хотя еще есть вопрос часовых поясов, эт да, с австралийцами у меня лично не заладилось работать, они просыпаются, я спать ложусь, в итоге решили не мучать друг друга. Но тут ничего не поделаешь, физика.
                                                              С оружием да, ситуация разная, но вариант поехать в тир и отстрелять ящик патронов есть и тут.
                                                              В домике в горах поставить Старлинк? Они вроде над нами пока спутники не гоняют, так что нет, не могу.
                                                              Просто спутниковый инет поставить можно. Но вот домика в горах нет, хотя идея не плоха, надо подумать над этим.

                                                              Объем еды и дешевые местные услуги, еду каждый день кушать надо, и услуги не всегда дешевые.
                                                              И на тему Воркуты, вы думаете в штатах таких мест нет?
                                                              Не обольщайтесь, там также есть города призраки, вообще там достаточно сильная сегрегация по доходу есть, я б сказал ужасающая.

                                                              Ну и не понятно, ну если там так хорошо, чего ждать то, человек хозяин своей судьбы. По мне так и здесь не плохо.
                                                                +1

                                                                но вы полуаете 700к в месяц, а могли бы получать 7миллионов. Достаточно войти в те же 0.000001% разработчиков, но не в РФ, а в штатах. Если вы кончно "своим многолетним трудом" получили этот оклад, а не стечением некоторых обстоятельств.

                                          0

                                          Я бы сказал что как раз 0,0001% от айти-специалистов это те кто согласится там работать. Только вот если умножить это на 1,9 млн программистов в стране окажется что и этого достаточно чтобы не тужить.

                                            0
                                            Эээ, а откуда 1.9 млн если не секрет?
                                              0

                                              Я из первой ссылки гугла взял


                                              По данным 2016 года, в России насчитывалось 1,9 млн IT-специалистов. Это примерно 2,4% от всего занятого населения страны. Для сравнения: в США, Германии, Великобритании этот показатель держится на уровне 4,2%.

                                              Можно разве что прикопаться кто "не все айти специалисты это программисты", но на самом деле это и не важно, ведь как раз разнопрофильные специалисты ржд и нужны, а не одни програмеры

                                                0
                                                Ну в это число включают еще и дизайнеров, менеджеров, РП, аналитиков и прочих, не только технарей. Технарей скорее меньшинство. И то процентов 80 скорее всего эникеи.
                                              0
                                              умножил, получилось 1.9 человек.
                                              даже «лампочку вкрутить не хватит»
                                            +30
                                            А вот IT-специалисты уже могут не захотеть работать в такой компании.

                                            Дык судя по происходящему, IT-специалистов там и нет.
                                              0

                                              Это сынок бухгалтера на пригретом месте, точно)

                                              +3
                                              У чиновников часто падает планка если кто-то посмел усомниться в их святости, тем более если публично. А вы говорите о вещах рациональных, вроде репутации, рисков и так далее.
                                                +1
                                                Тут понятие «репутация» следует понимать несколько иначе…
                                                — это репутация в узких кругах кооператива Озеро…
                                                вот ЭТА репутация их больше всего беспокоит. И тогда все встает на свои места и становится рациональными: и риски, и последствия… Слова абсолютно те же, но обретают новый смысл.
                                                  0
                                                  Говорят, что в этих кругах репутация основывается не на профессионализме, а на безоговорочной лояльности вышестоящим. Хотя кто их там знает.
                                                +1
                                                Тут как говориться, Вам шашечки или ездить?
                                                У компании может быть и плохая репутация, но именно Вы можете что-то изменить и заработать себе отличную репутацию таким образом.
                                                Я ушёл из компании с хорошими отзывами т.к. реально там полный треш под капотом, а сейчас работаю в компании, отзывы у которой такие что вообще не понятно что я там делаю. Но тем не менее именно тут я набрал отличный опыт, спокойное окружение и многое другое.
                                              +5
                                              Да, вот только это госмонополия, а не обычная компания. Им до фени на репутацию.
                                                –5

                                                Вот есть Сапсан, который едет 4 часа и привозит прямо в центр города. И есть самолёт, для которого нужно добраться до аэропорта, а потом из аэропорта до города. Но под Сапсаном могут ВНЕЗАПНО перевести стрелку такие вот умельцы. И сразу монополия начинает куда-то уменьшаться, потому что есть альтернативные способы перемещения

                                                  0

                                                  Вот ваша правда. Так и есть.
                                                  Ведь реально не в шутку, могут стрелку перевести. Например тот кто обижен на россиян. Или тот же школьник случайно. И ответственности не будет.

                                                    0
                                                    Емнип то пассажироперевозки для ржд чуть ли не убыточный бизнес на дотациях. Точнее конкретно сапсан может и не убыточен, а все это направление — вполне.
                                                    Грузоперевозки — вот их основной источник дохода, а это на авиарельсы перевезти невозможно.
                                                      0
                                                      Который тоже сжимается. В ряде случаев автоперевозки дешевле.
                                                        +12
                                                        Так у них(у госкорпораций) все убыточно. Качать нефть — убыточно, качать газ — убыточно, перевозить пассажиров — убыточно… проводить научные исследования и разрабатывать ПО… все.
                                                      0

                                                      Да блин сравнивать самолёт с поездом по вероятности завершить путешествие не в той точке планеты с детальным исходом… Да ещё и в ситуации когда самолёт отнимет больше времени...

                                                        0
                                                        Можете привести вероятности для обоих случаев?
                                                          0

                                                          В поезде она около нуля смертей от катастроф по пальцам пересчитать можно, не удивлюсь если одно столкновение 747х перевесило чашу весов в своё время…
                                                          Да вы можете найти единственную цифру которую считают по миру и там у самолётов будет приемущество, только вот эта цифра немного про расстояние а не про количество поездок, можно тут поднять разбор почему так но мне кажется что оно того не стоит.

                                                            0
                                                            На железной дороге Московского региона ежедневно гибнет 5–8 человек. Катастроф мало, а вот случаев наезда или «закусило дверью и размазало о платформу» значительно больше.
                                                              0

                                                              Как бы сбитые люди на переходах становятся объектами новостей, а про ваши случаи что-то не слышно, замалчивают? Как то ездил каждый день на электричке по 50+км после института, и как то все живые были… Но дело даже не в этом, каждый день погибают люди от собственных ошибок, в т.ч. в транспорте (да бывает и на крышу лазят и током убивает) Но это не имеет отношения к вероятности не добраться до точки назначения по причинам от тебя не зависящим....

                                                                0
                                                                Если брать только ж/д катастрофы, то там за всё время существования ж/д перевозок всего лишь 17000 трупов, так что «не долететь» значительно вероятнее «не доехать». А трупы на ж/д просто сильно размазаны по времени и пространству, поэтому воспринимаются ровным фоном; в частности, на моей платформе за 15 лет я видел (они долго лежат, сбитых автотранспортом убирают значительно быстрее) 3 трупа: 2 побегайца и зацепер.
                                                                  0

                                                                  Так в сравнении с авиатранспортом, с чего я попал в эту ветку, на ЖД (а если ещё не брать Индию...) Погибнуть не предприняв для этого каких-то "ненормальных " действий весьма проблематично (а если ещё дальние поезда от электричек отделить), а вот почти все погибшие в авиакатастрофах никаких усилий для этого не прилагали.
                                                                  При этом в сравнении маршрутов Москва-СПБ я вообще не понимаю какой смысл самолёта, кроме того случая когда точка выезда и приезда находится недалеко от аэропорта… Почему и говорю что не имея никаких по сути преимуществ по затраченному времени, цене и комфорту, лететь самолётом с учётом того что есть ещё роковые стечения обстоятельств, называть самолёт и поезд конкурирующими и одинаково безопасными как-то странно.

                                                                    0
                                                                    В поезде она около нуля смертей от катастроф
                                                                    Я отвечал в первую очередь на эту фразу — катастроф мало, но умирают на путях люди в основном не из-за них.
                                                                    Погибнуть не предприняв для этого каких-то «ненормальных » действий весьма проблематично
                                                                    Всё-таки можно помереть без номинации на премию Дарвина, подскользнуться, например, или застрять в дверях.
                                                                    При этом в сравнении маршрутов Москва-СПБ я вообще не понимаю какой смысл самолёта,
                                                                    Я тоже: со всеми досмотрами поезд получается так на так по времени, а ещё он дешевле. Безопасностью я не заморачиваюсь: в любом случае вероятность попасть под машину по дороге на работу выше, чем упасть в самолёте.
                                                        0
                                                        Не надо раздувать из мухи слона. «Перевести стрелку» не так просто, как может показаться. Зависимости СЦБ между стрелками и сигналами никто не отменял — они заданы «в железе» — например, с помощью реле I класса надёжности.
                                                          0
                                                          Вы уверены в этом на 100% или на 99%?
                                                            0
                                                            На вопрос в таком тоне могу ответить только вопросом такого же тона — «в чём именно уверен?»
                                                            Вообще я этому учился, а потом проверял и применял полученные знания на практике. Так что мне вовсе не нужно быть «уверенным», потому что знаю, как это проектируется и как выглядит «в корпусе», а не «в принципе».
                                                              0
                                                              Извините, если вас обидел мой тон.
                                                              Теоретически, да, перевести стрелку так, чтобы поезда столкнулись, нельзя, автоблокировка не даст. Но это теоретически, а как может быть практически, написано в связанной статье. На бумаге, в отчетах — все ок, на практике же может быть «ой».
                                                              В соседних комментариях уже писали, если специалист заявляет о полной надежности/не уязвимости, то это не специалист.
                                                              И еще по поводу стрелок — а перевести стрелки, заблокировав въезд/выезд со станции — так можно? Никто ни с кем не столкнется, но и ехать не сможет.
                                                                +4
                                                                Извинения приняты. Раз вы их принесли — это, видимо, я неправильно вычитал эмоциональный окрас, так что прошу простить теперь уже со своей стороны.

                                                                По поводу автоблокировки. Изначально системы централизации создаются на принципах «защитного отказа», то есть возможность состояния «никто никуда не едет» — она штатная, и именно в это защитное состояние переходят системы во внештатных ситуациях. Да, плохо, да задержки, но принимается, что сохранность жизней и грузов важнее, чем потраченное время. Собственно, многое в регламентах поездной работы написано вокруг порядка действий во внештатных ситуациях — вплоть до отправления и приёма поездов по путевым запискам, то есть при полностью недействующих средствах СЦБ. Связь для этого, конечно, требуется, но сугубо в духе «физическая пара проводов». Но мы отклонились, конечно, от темы.

                                                                Управление стрелками и сигналами на станции может быть дистанционным, от поездного диспетчера за 700 км., но физические приборы, проверяющие допустимость тех или иных сочетаний стрелок/сигналов, по-прежнему находятся в релейных помещениях. То есть после них — что угодно, хоть старые кнопочные пульты, хоть компьютеры с мышками, хоть ПЛК и свитчи, но первичные зависимости, которые определяются согласно техническо-распорядительному акту станции при проектировании — по-прежнему 100% локальные, и для их «взлома» нужен физический доступ в режимные помещения. Ну и это ещё не считая того, что по рельсам от сигнальной точки на локомотивные устройства передаётся кодированная информация как минимум о допустимой скорости на данном участке и закрытом/открытом состоянии след. светофора.

                                                                Короче говоря, на самом деле в СЦБ целый мир безграничных чудес и крайне остроумных технических решений, о которых можно долго и увлекательно рассказывать, но в комментарий это, конечно, не влезет.

                                                                Что касается предмета статьи — интранета РЖД — я учился по другой специализации, и могу только предположить, что описанная история — всё же вопрос недосмотра. Думаю, полнее/точнее смогут прокомментировать их официалы, полностью знакомые с ситуацией.
                                                                  0

                                                                  "и для их «взлома» нужен физический доступ в режимные помещения."


                                                                  А вот охрана этих режимных помещений уже может быть более уязвима для сетевого взлома, как мы видим в упомянутой статье на примере видеонаблюдения.

                                                                    0
                                                                    Эм… То есть все бойцы подразделений ж/д охраны подключены к сети, и у каждого есть сайт с кнопкой отключения? O_o

                                                                    Ну и я «взлом» намеренно в кавычки взял — просто потому, что без знания схемотехники устройств СЦБ можно максимум вывести из строя пульт. Это вы просто на повреждение не выезжали ни разу, когда «оно само» сломалось, и как раз в указанном защитном состоянии сигнальная точка находится. Всё, красный сигнал, никто никуда не сможет поехать, пока не разберётесь, почему устройства работают нештатно.
                                                                      0
                                                                      Господи, да какой сетевой взлом охраны? Я уже писал в комментах к исходной статье — входи и ломай что хочешь. Хотя это не везде так, но на Московской — повсеместно. Нет там ни замков итальянских, ни ВОХРы на вертолетах. То есть вопрос безопасности в целом там не решен, и его решить в принципе очень сложно и дорого.
                                                              0

                                                              Вот история из Украины о том как перевести стрелку под движущимся поездом оказалось всё-таки можно https://youtu.be/Rc-joZAVaFo?t=297

                                                          +5
                                                          Кто-то должен быть виноватым, кого-то надо наказать. В основном, вешают все на простых работяг, т.к. все остальные прикрыты бумажками. Т.к. здесь человек внешний, то не самим же признаваться в собственном раздолбайстве? На него всех собак и спустят, чтобы:
                                                          1. другим не повадно было. Показать, что найти можно всех и каждого.
                                                          2. шумиху не поднимали. А то этож работа, совещания, оправдываться перед кем-то.
                                                            +2
                                                            Это же рф, тут репутация не значит вообще ничего, а уж (около) гос структур — совершенно точно. Увы. При этом начальство просто переведёт стрелки на рядовых сотрудников, которые могут даже вообще не иметь отношения к проблеме, если вдруг какая-то проверка и будет, вместо того чтобы принять уже найденную проблему и выдать премию тем кто её исправил.
                                                            Проблема в подходах, по сравнению с тем же западом. Даже если есть уязвимости — это нужно по максимуму отрицать, правда обычно проблемы при этом стараются устранить. Но я пока просто не могу себе представить bug bounty в гос сфере. Как это, ещё и платить за то что показали ошибку? Скажите спасибо если через фсб не сделаем проблем вплоть до тюрьмы.
                                                            (грустный сарказм)

                                                            Впрочем, дыра у СДЭКа с базами сколько была открыта, 2 года? И закрыта ли сейчас?
                                                              +3
                                                              начальство просто переведёт стрелки
                                                              =)
                                                              +5
                                                              В который раз читаю на Хабре в комментариях про «репутационный ущерб» монополисту, госкомпании, было даже как-то про репутационный ущерб органа местной исполнительной власти. Откуда вы все это берёте, из какой фантазии об абсолютной свободной конкуренции, которая просто по сути не относится к указанным категориям?

                                                              Плюс, среди занимающих высокие посты очень распространена реакция «да как они посмели!» Это страшно выводит из себя многих самодовольных руководителей (не важно, госкомпаний, корпоративных, государственных), потому что они и по натуре авторитарны, а когда им много лет подряд все подчиненные кланяются, ситуация, когда «какой-то пацан» (независимо от возраста) им так или иначе смеет перечить, может таких и до сердечного приступа от гнева довести. Так что срать они хотели на репутацию, им главное — наказать за «хамство» (в буквальном библейском смысле этого слова — отсутствие безусловного уважения к старшим).
                                                                0
                                                                У ИФНС моего района рейтинг 1.1 на яндекс картах. И от такой репутации меньше народу в ней не становится)) Ибо она единственная в Химках. Так что да, смешно говорить про «репутацию» гос.учреждений и монополий.
                                                            0

                                                            Вполне понятно. Вопрос в том с чем ждать и чем закончится визит.

                                                              0

                                                              Гораздо более непонятно, с чего кто-то решил, что автор наследил так, что искать к нему путь будет дешевле, чем поиск кого-то левого.
                                                              У меня устойчивое подозрение, что за автора беспокоиться не нужно :)

                                                                +1
                                                                Автора будет сложно найти только если гуглом не пользоваться, сейчас люди очень сильно следят в интернете личными данными. Поиски заняли меньше минуты.
                                                                  +11
                                                                  Да вот с точностью до наоборот.
                                                                  Там думают другими категориями. Сидите вы в уютном кабинете, пилите баблишко, секретарь(-ка) носит кофе, каеф! И тут хлоп, вызывают наверх, маты, ор.
                                                                  -Нас взломали! Пресс служба прохода не дает. Че у тебя там творится?
                                                                  -В смысле? Кто взломал? Чё украли?
                                                                  -А вот, нехороший человек, редиска — LMonoceros! с какого-то хабра. Там снимки с наших камер и систем.
                                                                  -Ну так это, СанСаныч, ща подниму всех, найдем мы этого хлопца. Че переживать, то? Найдем, посадим, объявим что негодяй пойман благодаря нашим охранным системам.
                                                                  -Ну давай быстрее, а то нафиг нам лишнее внимание.

                                                                  Ктож на таких должностях, особенно в РФ, признает свои ошибки?
                                                                    +5
                                                                    Ктож на таких должностях, особенно в РФ, признает свои ошибки?

                                                                    Нет, не так. Тот, кто признает свои ошибки, надолго там не задерживается, его очень легко заменить тем, кто "никогда не ошибается". Поэтому таких там и нет )

                                                                      +1
                                                                      В РЖД должность с определенного уровня передаются по наследству. Все кто «ниже планки» — обычно расходный материал.
                                                                    • UFO just landed and posted this here
                                                                    +12
                                                                    Вполне понятно
                                                                    Автор первоначальной статьи про сапсан, несмотря на то что публиковал статью с анонимного аккаунта подтвердил
                                                                    habr.com/ru/post/536750/#comment_22536790
                                                                    Эх, друг, они заводили дело на меня. Хабр сразу слил инфо.
                                                                    Поздравляю, ты написал тут текста на 272 в чистом виде
                                                                    +10
                                                                    Вложиться в IT или построить шубохранилище? Хмм… Давайте согласуем метраж, деньги, кажется, я нашел :)
                                                                      0
                                                                      Правильный ответ в том когда такого вопроса не стоит из-за уголовной наказуемости.
                                                                      +1
                                                                      Все хорошо прекрасная маркиза!
                                                                      Чего вы зря волнуетесь, угрозы безопасности движения пока нет!
                                                                      Вот когда всё ЖД реально парализует, вот тогда и пишите статьи.
                                                                      До сих пор все работало и будет работать, ведь никакое западное государство официально не планирует атаки на отечественную инфраструктуру.
                                                                      (сарказм)
                                                                        +13
                                                                        А обратили внимание, как лихо сменили акцент?
                                                                        утечки персональных данных клиентов холдинга не произошло

                                                                        А в остальном, прекрасная маркиза — всё хорошо, всё хорошо!
                                                                          +1

                                                                          И всё-таки остаются сомнения.
                                                                          Вот если бы в конце было написано "Мамой клянусь!" (ну или "Честное пионерское!" хотя бы) — вот тогда да, тогда бы была абсолютно полная уверенность.
                                                                          А так — нещитово.

                                                                          +1

                                                                          Мне кажется, что информацию о дырах в безопасности обычно публикуют после исправления дыр.
                                                                          И уж точно — после общения с организацией, где возникла угроза такая угроза безопасности.

                                                                            +2
                                                                            Ну вот организация публично ответила, что всё отлично.
                                                                              +18
                                                                              Все отлично, вагоны в эти так называемые дыры в информбезопасности не пролазят, видео с камер и так никто не смотрит, и вообще это не дыры, а технологические вентилляционные отверстия
                                                                              –3
                                                                              Порядочные люди во всем мире так и делают. Делал ли это автор непонятно. Бегло не нашел ответа. Если попадет под суд, то никто кроме него самого в этом виноват не будет.
                                                                                +3
                                                                                Судя по всему нет. Но даже за этичный хакинг согласно закону всё-равно должны привлечь и посадить =) Неправомерный доступ был? Был! Вот вам два стула, присаживайтесь…
                                                                                  –4
                                                                                  Мало того, что доступ. Человек порядочно погулял по чужой инфраструктуре, наделал скринов и выложил это все на хабре. Нормальные исследователи так не делают все таки. Даже с точки зрения этики белого хакинга тут одно сплошное нарушение.
                                                                                    +2
                                                                                    Я прекрасно это понимаю. Но даже если бы он выполнил работу внешнего аудитора (хотя его не просили) и принёс всё это не на Хабр, а в СБ РЖД, — то только добрая воля СБ и не подача заявления в органы уберегла б автора от уголовки.
                                                                                    Так что выбор был:
                                                                                    — не делать ничего и ничего не получить
                                                                                    — отнести всё в РЖД и молить о пощаде (всё ещё с не иллюзорным результатом посадки и без каких-то стимулов со стороны организации закрывать бреши в собственной безопасности)
                                                                                    — предать огласке (с более гарантированным результатом присесть, но и гораздо бОльшим подрывом жёп и ускорением устранить проблемы со стороны организации)
                                                                                      0
                                                                                      Можно было начать с малого. Показать, что есть возможность получить доступ к инфраструктуре. Не предоставлять доказательств, выкладывая фотки с камер, а просто намекнуть, что ты это все видел и знаешь, но подтверждать в силу опасности привлечения не станешь, но при бездействии выложишь все это. В этот момент привлекать не за что, состава преступления нет.

                                                                                      Если после этого прошло время и тишина, то можно уже поднимать вопрос о разглашении ввиду бездействия. Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.
                                                                                        0
                                                                                        Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.

                                                                                        Сомнительная какая-то перспектива. Лучше уж замораться в сообществе анонимусов и не иметь уголовки, чем иметь уголовку из-за 5 минут славы.
                                                                                          +1
                                                                                          В смысле не иметь? Конечная цель все равно или намекнуть, чтобы они сами исправили, или выложить и заставить тем самым исправить. Для меня проблема в этой истории, что человек похоже даже не пытался сделать все порядочно. Обратиться по официальным каналам. По не официальным, если молчат. Это тоже можно было все анонимно как-то делать. Подождать и только потом на огласку выводить. По крайней мере тогда человек чист хотя бы с этической точки зрения. В суде можно будет не стоять молча и слушать приговор, не имея возможности даже возразить — уголовка тут чистой воды с какой стороны не глянь. Если, как внизу пишут, бежать в другое государство, то у тебя тоже есть хотя бы какое-то основание требовать снисхождения, а не так, что ты убежал, просишь убежища, а, по факту, ты взломал критическую инфраструктуру страны и рассказал об этом всем. Такого выпрут из страны тут же.
                                                                                          0
                                                                                          перед сообществом таких же исследователей

                                                                                          Автор причисляет себя к gray hat'ам, а вы, мне кажется, всё же имели в виду сообщество white hat'ов. С их точки зрения автор поступил неправильно, если я понимаю эту классификацию.

                                                                                            +1
                                                                                            но при бездействии выложишь все это

                                                                                            Шантаж.
                                                                                              +1
                                                                                              что ты это все видел и знаешь, но подтверждать в силу опасности привлечения не станешь, но при бездействии выложишь все это. В этот момент привлекать не за что, состава преступления нет.

                                                                                              Звучит как шантаж.
                                                                                      +4
                                                                                      Увы, но в РФ такая практика не работает. По многочисленным отзывам проблемы не исправляются, а специалисты подвергаются гонениям.
                                                                                        +1
                                                                                        Попробуйте «пообщаться» с РЖД. В основном топике товарищ писал про опыт «общения» с РЖД по поводу неисправных светофоров.
                                                                                          0
                                                                                          Мне кажется, что информацию о дырах в безопасности обычно публикуют после исправления дыр.

                                                                                          White hat публикуют такое или после исправления уязвимости, когда уже дыру закрыли и все ОК, или после того, как компании неоднократно давали понять, что у неё решето, в которое астероид пролетит.

                                                                                          Плюс смотрите, вот автор об этом написал, откровенно рискуя. А представьте, что эта дыра уже кем-то найдена и активно эксплуатируется месяцами, просто потому, что ее нашли, но не стали об этом писать.
                                                                                            +1

                                                                                            Что значит представьте?) Автор же черным по-русскому написал, выявил, что он не единственный кто получил доступ.


                                                                                            Смею предположить, что эти некоторые не первый день устроили там пастбище, и это был не единичный случай. Правильные люди там имели доступ или неправильные пока не знаем.

                                                                                              0
                                                                                              Судя по той статье, там было такое решето, что и правильные, и неправильные там табунились.
                                                                                                0

                                                                                                Аха) ходили все кому не лень.

                                                                                            +11
                                                                                            Когда в организации работают клоуны, которым на всё плевать, то резонанс — единственный выход. Вы же видите как они отреагировали на опубликованную статью — «все чисто, все хорошо», с чего Вы взяли что общение с ними по приватным каналам бы дало что-то? Его бы сразу послали. Я напомню, что это не какая-то там частная компания, в которой большинство ущерба придется на эту самую компанию и можно сказать «ну нет так нет, сам дурак» — это часть критической инфраструктуры, от неё зависят жизни тысяч людей и национальная безопасности (и да, тут угроза нац. безопасности куда более серьёзная, чем от невозможности посмотреть «Царьград» на Ютубчике). У меня почему-то есть стойкая уверенность, что там можно куда глубже, чем в камеры наблюдения залезть (а это уже очень плохо).
                                                                                              0
                                                                                              Чтобы не было наказания, должен быть договор на аудит. Но сами ржд на такое никогда не пойдут, только если им сверху придёт указание. А кто им такое может дать? Фсб — у них свои заботы, а президент — птица совсем высокого полёта…

                                                                                              ЗЫ Очень надеюсь, что если удастся найти правильного человека из ФСБ, который захочет получить повышение на громком деле, то и автора не тронут, и настоящих виновных в РЖД понизят/уволят. Посадят — вряд ли, там и их связи поднимутся, и денег они явно заплатят при проверке кому надо. Но просто понижение + настоящий глубокий аудит и переделка — для рф это будет уже идеальным сценарием.
                                                                                            –7

                                                                                            Так мы и поверили, конечно же

                                                                                              +1
                                                                                              Суда по всему, руководство РЖД не считает все, что накопал автор, ценной информацией. Вот если бы он черную бухгалтерию раскопал — сколько откатов, кому, какие счета в каких банках и т.п. — тут РЖД бы резко возбудилось, причем сразу вместе с прокуратурой, СК, ФСБ и прочими силовиками…
                                                                                                –2
                                                                                                Автора повязали бы еще на стадии написания «черновика».
                                                                                                  +1
                                                                                                  Так ведь находили счета виолончелиста: никто не возбудился, точно так же объявили, что всё в порядке и нет никаких проблем.
                                                                                                  +2
                                                                                                  О! Интересно, а прокси прикрыли? Или пока не нашли какие из? ;-)
                                                                                                    –5

                                                                                                    Надеюсь автору хватит ума сбежать из России, потому что тут 100% будет уголовка

                                                                                                      0
                                                                                                      А что его защитит от преследования за границей? Нарушение закона на лицо и за подобное можно сесть в любой цивилизованной стране.
                                                                                                        0

                                                                                                        Ну есть шанс что могут и не выдать

                                                                                                      +1
                                                                                                      и написал: «РЖД, поправьте все, через пару месяцев снова проверю».
                                                                                                      Для такого монстра 2мес — даже согласование не закончится, не то что поправить. Если только лично кто-то не займётся.
                                                                                                      upd: почитал внимательно — там и двух лет мало
                                                                                                        +2
                                                                                                        Да там десятка с конфискацией…
                                                                                                        –2
                                                                                                        Человек обнаружил уязвимость системы снабжения вооружённых сил страны, раструбил об этом на весь мир и надеется, что это доброе дело не останется безнаказанным?
                                                                                                          +16
                                                                                                          Не хочу вас расстраивать, но чуйка мне подсказывает, что, в случае такой дырявой системы, в ней уже наверняка пасутся все, кому не лень — начиная от «мечтающего захватить расеющку НАТО»(тм) и заканчивая разведкой Таджикистана. Причем, скорее всего, не первый год. И, скорее всего, закрыть это решето возможно только в случае грандиозного скандала. Потому что в противном случае всем будет как всегда.
                                                                                                            –10
                                                                                                            Грандиозный скандал был бы, возможно, если бы он написал верховному главнокомандующему. А так — максимум истерика в бложиках, когда его посадят.
                                                                                                              –1
                                                                                                              Т.е., вы считаете, что он должен был промолчать и не воспользоваться даже этим мизерным шансом? Ради сохранения того, что, очевидно, есть секрет Полишинеля?
                                                                                                                +4
                                                                                                                А верховный хоть что-то читает из РЕАЛЬНОГО мира?
                                                                                                                  +3
                                                                                                                  По слухам, ему по утрам приносят пару свежих газет (одних и тех же 20 лет) и «распечатки интернетов» примерно в таком же объёме.
                                                                                                                    0
                                                                                                                    «Правду» и «Известия»?
                                                                                                                      0

                                                                                                                      Известия вроде давно life выкупила… Не думаю...

                                                                                                                      –7
                                                                                                                      Я лично знаю только один случай, но зато не «по слухам», а вполне конкретный. Подруга моей мамы позвонила по его телефону, через некоторое время он ей перезвонил, она изложила, в чём проблема и через небольшое время вопрос был решён.
                                                                                                                        +2
                                                                                                                        Телефончиком поделитесь? Есть пара проблем
                                                                                                                      0
                                                                                                                      А кстати, автор же мог и не писать статью а просто попросить у Верховного еще 2 млрд. долларов на свой счет от имени главы РЖД.
                                                                                                                        +6
                                                                                                                        — А ничего что мы без тендера?
                                                                                                                        — Да нормально, я согласовал
                                                                                                                      0

                                                                                                                      Если его посадят, то тем самым выстрелят себе в ногу. Следующий раз когда кто-то найдет что-то, в лучшем случае ничего не сделает, а в худшем сольет инфу на специализированных форумах или сам продавать начнет.

                                                                                                                    +2

                                                                                                                    А был хоть единый случай когда такие конторы почесались при попытке напрямую их проинформировать?
                                                                                                                    Комментарий после публикации случая в сапсане всё явно показали.
                                                                                                                    Из комментов оригинальной статьи, так же вылилось что попытка связи с РЖД не удалась. На телефон не отвечали, почтовые ящики завёрнуты.

                                                                                                                      0
                                                                                                                      Понимаете в чём проблема. Если бы автор описал какую-то хитрый эксплойт на каком-то штучном оборудовании этой организации, то тогда, естественно, нужно не трубить на весь мир, а сообщить в эту компанию чтобы залатали дырку. Но тут автор показал, что проблема здесь не в чём-то конкретном, проблема тут системная. «Всю систему надо менять» (я если что не про экстремизм). Там пренебрежение какой-либо безопасностью на всех уровнях системы, на большинстве устройств и т.д.
                                                                                                                      Я, на самом деле, думаю, что и при таком раскладе мало что изменится. Судя по описанному, там нужен титанический и дорогой труд большого числа хороших специалистов по безопасности, администрированию, политикам и т.д. Чтобы и безопасность повысить, и систему держать при этом 24/7 работоспособной. А если всё так плохо, то значит деньги давно попилили и растащили. И скорее всего всё просто затихнет, заткнут внешний контур в самых вопиющих местах и всё вернётся на свои места.
                                                                                                                      0

                                                                                                                      Автор уверен в себе, раз постит, не переживайте так за него) а со статью так ору, первый раз вижу просто.

                                                                                                                        +12

                                                                                                                        Я хочу сказать, что безопасник, утверждающий, что в его сети нет критических уязвимостей, и программист, утверждающий, что в его коде нет багов, просто некомпетентны (coq — я не про вас, спасибо).


                                                                                                                        Опытный специалист скажет, "последний аудит не нашёл критических уявимостей" или "нет известных нам уязвимостей".

                                                                                                                          +1
                                                                                                                          Прям как в концовочке в фильме Хакеры, с Джоли
                                                                                                                            0
                                                                                                                            «РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения.


                                                                                                                            Давайте, показывайте своих аудиторов и их заключения )
                                                                                                                              +1
                                                                                                                              тестирует и аудирует новые решения.

                                                                                                                              — Николай Степаныч, смотри, там новое решение в IT подвезли
                                                                                                                              — А ну-ка, какое?
                                                                                                                              — Как его… файрволл называют, нам надо?
                                                                                                                              –19
                                                                                                                              Сосед двери в своей квартире не закрывает на замок. Я подергал за ручку — открылась.
                                                                                                                              У него там масса вещей, кторые можно унести или испортить. Вот, смотрите, я фото сделал в подтверждение моим словам.
                                                                                                                              Ах да, я пробовал говорить об этом соседу — он злится, что я к нему лезу. Эх, Расея. Поэтому рассказываю всему свету.
                                                                                                                                +18
                                                                                                                                А сменим квартиру соседа на школу/детсад, режимный объект (тюрьму ту же) или что-нибудь ещё, так акценты сразу меняются, да?
                                                                                                                                  +9
                                                                                                                                  вот не надо менять соседа на тюрьму
                                                                                                                                  +9

                                                                                                                                  Конторка неподалёку от моего дома не закрывает на замок. Я подергал за ручку — открылась.
                                                                                                                                  У них там масса вещей, кторые можно унести или испортить. Вот, смотрите, кнопки управления атомным реактором, биолаборатория 4ой категории, хранилище с гранатомётами.


                                                                                                                                  Ах да, я пробовал говорить об этом начальнику конторы — он злится, что я к нему лезу. Эх, Расея. Поэтому рассказываю всему свету.

                                                                                                                                    0
                                                                                                                                    Так автор не пробовал же «говорить». Сразу растрезвонил по всему свету.
                                                                                                                                      +9
                                                                                                                                      И, как оказалось, был прав, ибо даже после того как он «растрезвонил», в ответ пришла обычная отписка — «проводим расследование». Вангую через пару дней «РЖД проверил РЖД и все нормально». Это, впрочем, было ожидаемо после того, как и прошлый прокол с Сапсаном они не признали и вместо этого скатились к переходу на личности.
                                                                                                                                    +3
                                                                                                                                    Я так понимаю, если окажется, что в ваш водопровод с которого вы пьёте воду, кто угодно может наложить фекалий (а если судить по запаху и пятнам — уже это делает), то вы предпочли бы не знать про это?
                                                                                                                                      +2

                                                                                                                                      Почему если? Я вам гарантирую что так оно и есть)

                                                                                                                                      +4
                                                                                                                                      Вы же понимаете, что это демагогия и Вы сравниваете совершенно разные вещи? В одном случае — частная собственность и, в целом, если он такой дурак, что ему важнее своя гордыня, чем безопасность и сохранность собственности, то ладно, это его выбор. Если к нему вломятся и что-то утащат, то пострадает только он сам. Здесь же речь идёт о критической инфраструктуре целой страны и гордыня / некомпетентность кучки людей может повлечь массовые жертвы, мощный экономический удар и поставить под угрозу национальную безопасность. Вы и правда не замечаете разницы?
                                                                                                                                        –2
                                                                                                                                        Вот именно, он подвергает опасности «критическую инфраструктуру целой страны», не общаясь с заинтересованной стороной, выложил критически важную информацию. Было бы понятно, если бы он обратился и получил отказ в какой-то форме, так нет — просто «потому что могу, меня там раньше обижали».
                                                                                                                                          +4

                                                                                                                                          Это не он подвергает опасности, а те, кто оставил эти дырищи. И если бы он не привлёк к ним внимание, то дырами воспользовался бы рано или поздно кто-то не столь белый и пушистый.

                                                                                                                                            –1
                                                                                                                                            Логика вора-домушкника какая-то. «Плохие замки провоцируют кражу».
                                                                                                                                            «Вечер в хату, братва, во-о-он в той квартире замок никакой, имейте в виду».
                                                                                                                                              +2
                                                                                                                                              Логика вора-домушкника какая-то.

                                                                                                                                              В том то и дело не домушника. За этой незапертой дверью не только личные вещи владельца. Но ваши, мои и многих других людей, которые уверены, что все хорошо и под контролем.
                                                                                                                                              Вот скажите, тех кто фотографирует как недобросовестные работники Аэропортов швыряют и ломают чужой багаж тоже надо называть? Ведь они даже не пытаются с грузчиками, которые швыряют чемоданы поговорить, убедить, что они не правы? ;)
                                                                                                                                              +3
                                                                                                                                              Он же там написал, что ими кто-то уже пользуется.
                                                                                                                                                +4

                                                                                                                                                Автор в тексте мягко намекает, что этими дырищами уже пользуются. Сейчас о них просто стало известно чуть большему количеству людей.

                                                                                                                                                  –1
                                                                                                                                                  Ну так гипотетические «те» не трубили об этом на весь свет. Чуть большее, ну да.
                                                                                                                                                    +1

                                                                                                                                                    А вам станет легче что аас на тот свет отправят "те", которые не трубили? Они же там не мороженки пассажирам раздавали.

                                                                                                                                                +1

                                                                                                                                                Почему? Пост на Хабре — именно общение с заинтересованной стороной, а именно обычными юзерам железных дорог. Читали каменты? Народ волнуется, что такой бардак.

                                                                                                                                              +3
                                                                                                                                              От того, что некие лица обнесут квартиру соседа, не пострадают другие жильцы этого огромного дома. А вот если лифт или какой другой транспорт вывести из строя, то будет хуже. В данном случае лифтер говорит, что с его хозяйством все ок.
                                                                                                                                                +2

                                                                                                                                                У меня в своей жизни было несколько раз, что я проходил мимо мотоцикла с ключами, квартиры в которой ключи остались с наружной стороны. В первом случае я забирал ключи себе и оставлял записку куда звонить, чтобы забрать. Во втором случае я стучался/звонил в дверь, иногда поздно ночью, иногда будил людей. И всегда, я повторяюсь ВСЕГДА люди были мне благодарны. Ах да, маленькая мелочь, я не живу в России. В России мне наверное бы морду набили :)

                                                                                                                                                  –4
                                                                                                                                                  И наверное это было в мусульманский районах твоей славной европейской столицы?)
                                                                                                                                                    0

                                                                                                                                                    Это не зависит от района, а от людей. На вскидку, в мусульманской деревне я снял деньги с банкомата (чуть больше 100$) и забыл забрать. Через пару минут возвращаюсь, а там ищут чьи деньги и мне без вопросов отдали. В другой раз тоже не в еврейском магазине выпала +- такая же сумма из кармана, через минуту вернулся, а нету… и никто не отдал. Страшилки про мусульман это 1. пропаганда 2. отморозки которых все-таки меньшинство и которые благодаря извращенной системе новостей попадают на первые полосы газет. И кстати, отморозки есть в любом обществе, важно их процентное соотношение относительно всего общества.

                                                                                                                                                      0
                                                                                                                                                      Только почему то в своем областном городе в России я спокойно могу ходить по всем районам города в любое время, включая ночное время и в районах компактного проживания местных мусульман (татар).
                                                                                                                                                      А вот в Париже например остерегусь соваться даже днем например в 10 район, или например в 18, или 20. Что, виновата извращенная система новостей?
                                                                                                                                                        0

                                                                                                                                                        В Париже совсем плохо, согласен. Там происходит обратный Крестовый поход :(

                                                                                                                                                          0
                                                                                                                                                          Напишите в Мальтийский орден, это последний действующий орден, связанный с реконкистой.
                                                                                                                                                    +1
                                                                                                                                                    Неделю назад был в такой ситуации, соседи не закрыли дверь, постучал, сказал что дверь открыта, сказали спасибо, закрыли. Живу в России )) Чтож прям про Мордор то какие-то страшилки придумывать )) Люди везде люди, и уродов везде хватает.
                                                                                                                                                  0

                                                                                                                                                  а вывод-то в истории в том, что РФ и почти вся её айти-инфраструктура: дырявая и коррумпированная клоака, причём построенная на деньги её же жителей. буквально вчера смотрел фильм дурак, а сегодня статья чувака про дырки у ржд. и смех, и грех что ли


                                                                                                                                                  у той же редакции на ютубе недавно был фильм про авторов из беллингкэт и инсайдер. краткий пересказ: в РФ можно слить любую инфу о любом человеке из любой базы, благо, новости о создании ещё одной на хабре идут каждую неделю. и всё это за ваши налоги. и это возможно только в РФ потому, что стране очень были нужны куча данных о гражданах с миллионом точек сливов и коррупции по дороге.


                                                                                                                                                  хотя нет, вы знаете, всё ж таки смех. сами жители во всём и виноваты ведь, раз позволяют стране изо дня в день плевать в лицо гражданам) ладно пробивы по базам, фиг бы с ними, но факт того, что абсолютно любой хоть немного знающий ИБ спец не вставая с дивана вскрывает широченную сеть ржд — это фиаско. и усиливает его то, что подобная ерунда с ИБ наверняка творится повсеместно...


                                                                                                                                                  а автору исходной статьи удачи! она ему будет кстати, ибо кому-то из жирных в галстуках придётся хорошенько присесть за хищения и халатность)

                                                                                                                                                    0

                                                                                                                                                    РЖД только и может, что прокомментировать) а спеца нанять жаба душит

                                                                                                                                                      +3
                                                                                                                                                      Надеюсь у РЖД хватит ума не обижаться и угрожать, а воспользоваться помощью автора и устранить проблему. Ведь если такими дырами воспользуются люди с нехорошими намерениями и устроят локальный армагедец, то ответственность будут нести и руководители РЖД, которые принимали работы по организации защиты их сетей. И «злыми американскими хакерами, работающими прямо из Белого дома» они не прикроются. Даже если это будет правда.
                                                                                                                                                        +4
                                                                                                                                                        конечно же нет, вы о чём вообще)
                                                                                                                                                          +1

                                                                                                                                                          Ты, кажется, забыл, где находишься)

                                                                                                                                                            +2
                                                                                                                                                            Нет, не забыл. Поэтому нежелание руководства РЖД решать проблему с ИБ может очень легко столкнуться с желанием руководства специальных служб посадить на кол железнодорожников. Образцово показательно. Доложив наверх о том, как героически они борются за безопасность Родины в столь неспокойный час.
                                                                                                                                                            Ведь сертификацией этой самой ИБ стратегического предприятия, вероятно, занимались их конторы. А значит и они сами под ударом.
                                                                                                                                                              0
                                                                                                                                                              желанием руководства специальных служб посадить на кол железнодорожников

                                                                                                                                                              А посадят хакера.
                                                                                                                                                                +6
                                                                                                                                                                Образцово-показательно сажают всегда младший состав, т.к.
                                                                                                                                                                во-первых, те кто сверху обложены бумажками и распоряжениями. Мол мы выпустили, а они не выполнили. То что физически все это выполнить невозможно, никого не волнует (это даже анализировать не будут).
                                                                                                                                                                Во-вторых, топы имеют деньги чтобы отмазаться, а низы с ЗП XX к. (двузначное число подставьте произвольно) нет.
                                                                                                                                                                В третих, топы чаще всего имеют выходы на тех же силовиков\СБ\дорогих адвокатов (читай заносят, чтобы их сильно не прессовали из-за всяких дел). Силовики ессно не захотят лишаться приличного дохода.

                                                                                                                                                                В большинстве авиационных аварий виноваты пилоты, диспетчера и изредка техники (хотя на общем фоне яб последних исключил). Мне не известны случаи, чтобы после какой-нибудь аварии сажали менеджера, руководителя или любого другого «оптимизатора». Хотя именно эти люди чаще всего и орут в трубку «выпускайте самолет!» и давят на персонал.
                                                                                                                                                            0

                                                                                                                                                            Не удивлюсь, если айтишникам в ржд оклад поднимут, так сказать, на усиление защиты)

                                                                                                                                                              0
                                                                                                                                                              Скорее премии лишат.
                                                                                                                                                                0
                                                                                                                                                                Но оклад-то повысят!
                                                                                                                                                                  0

                                                                                                                                                                  Сомневаюсь, что он сильно больше 24500р.

                                                                                                                                                              0

                                                                                                                                                              если есть системы мониторинга инфраструктуры, можно подключится к информационным табло, посмотреть камеры, вдруг там где-то можно еще повертеть стрелкой на путях, это ведь уже совсем другая и реально опасная история… честно говоря даже страшновато стало про поездки на пездах думать, как бы не вышла новая статья про "беззащитность сапсана" от другого поезда например, или тупика....

                                                                                                                                                                +7
                                                                                                                                                                Поездки на чём, простите? ))
                                                                                                                                                                  0
                                                                                                                                                                  *поездах, простите, я правда без умысла)))
                                                                                                                                                                  0
                                                                                                                                                                  Как уже много писали, «повертеть стрелкой» — это совершенно другой сегмент сети, подробнее, например в комментарии habr.com/ru/news/t/537172/#comment_22539222
                                                                                                                                                                  То есть повлиять на безопасность движения это гораздо сложнее, чем сам по себе несанкционированный доступ в интранет РЖД.
                                                                                                                                                                  0
                                                                                                                                                                  Управление путями — это сегмент сети ОТ, автор же залез в безобидный сегмент.
                                                                                                                                                                  Помню, как друг трактором рванул спецсвязь, поезда остановились на одном направлении. Он скрутил провода дрожащими от тока руками, сразу все набежали — МВД ФСБ, а вечером за взятку в 80к рублей ремонтная бригада поставила туда муфту.
                                                                                                                                                                  Любопытен исход ситуации после перехода на оптику.
                                                                                                                                                                    0
                                                                                                                                                                    дак, так же приедет бригада, за взятку малость побольше, и сварит оптику…
                                                                                                                                                                      0
                                                                                                                                                                      Он порвал в рабочее время, в 17-00, потом скрутил по-быстрому, бригада прибыла в 23-00 (плановому окончанию движения в том регионе), так фсбшникам и придётся прибор этот выдавать для сварки))
                                                                                                                                                                      0
                                                                                                                                                                      Управление вполне возможно. Только вот работа РЖД держится и на другой инфраструктуре. Что если кто то например поиграется со скадой, или сервера форматнет все доступные?
                                                                                                                                                                        0
                                                                                                                                                                        Спецсвязь? Вы о чем? Полагаю, речь идет про физканалы ТЧ. Надо было просто убегать, да и все, поезда и так под приказ поехали бы. Шутка само собой.

                                                                                                                                                                        Касаемо оптики — ой вэй… Десять лет назад находились люди, которые тем же самым трактором ее выдирали, обнаруживали отсутствие меди, и тут же бросали все. У нас даже был походный сварочный прибор на этот случай (хотя это так-то проблема РЦС, а не СЦБ).
                                                                                                                                                                        +10

                                                                                                                                                                        Было бы очень здорово, если бы кто-то объяснил РЖД — если тронуть этого "серого хакера", то следующий, кто вывернет их системы наизнанку, будет точно не серый/белый, а чёрный. От вымогателей до террористов.


                                                                                                                                                                        А дыр у них наверняка ещё много, много. Так что самое разумное — заплатить ему за консультацию и оставить в покое… не дёргая за силовые ниточки.

                                                                                                                                                                          +2
                                                                                                                                                                          … или наказать виновного, потратить денег на очередной «аудит», от совершенно не аффилированной конторы, закупить у такой же не аффилированной конторы оборудования и не сделать ничего. А в следующий раз, когда искать будет некого, обвинить во всем русских сферических американских хакеров и протащить очередной закон о «суверенном Рунете». Попутно распилив потратив еще больше денег.
                                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                                            –1
                                                                                                                                                                            что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости.

                                                                                                                                                                            «Совместно с органами закрыли автора», чтобы не маячил.


                                                                                                                                                                            А как по самому реалистичному сценарию, РЖД отчитается, что поймали за руку человека, который произвел вторжение в их сеть, пользуясь специально подобранными инструментами (nmap же), и проводятся мероприятия по выявлению и т.д. Странно, что там вообще Хабр читали.


                                                                                                                                                                            Я так понимаю, просто установить пароли — уже остроту снимет. А вот перепроектировать сеть, закрыв сегменты от других частей этой же сети… такое вряд ли, это и долго, и опасно (в силу уровня персонала, которому текущего состояния дел «хватало» для безопасности). Главное, чтобы смененные пароли потом не забыли, а то микротик в single mode не грузанешь.

                                                                                                                                                                              +2
                                                                                                                                                                              Я так понимаю, просто установить пароли — уже остроту снимет
                                                                                                                                                                              Это немного снимет будующие проблемы. Основная работа это вычистить то что там уже наставили до этого. Как правильно писали, при такой защите, там уже пасутся все кому не лень.

                                                                                                                                                                              Надо исходить из предположения что всё уже заражено и переустанавливать заново, включая перезаписи фирмваре.

                                                                                                                                                                              На месте ржд, надо нанять правильную контору которая может это реализовать, без субчиков.

                                                                                                                                                                              И на том же хабре организовывать публичные обсуждения предложенных архитектур и решений.
                                                                                                                                                                              0
                                                                                                                                                                              Какой позор! Профильное ИТ-издание C-News выводит хайпожорный заголовок:
                                                                                                                                                                              РЖД взломали по-крупному. Хакеры добрались до тысяч камер наблюдения, сетевых устройств и даже к табло на перронах

                                                                                                                                                                              safe.cnews.ru/news/top/2021-01-13_rzhd_vzlomali_pokrupnomu

                                                                                                                                                                              Хочется объяснить такой подход глупостью, а не злым умыслом. Но, как говорится, осадочек-то остался.
                                                                                                                                                                                0
                                                                                                                                                                                ну автор этого поста же написал, что в сети уже кто-то лазит))) так что там и вправду завелись хакеры)
                                                                                                                                                                                0
                                                                                                                                                                                уже было, не?

                                                                                                                                                                                — шеф, тут пишут, что у нас дыра в безопасности!
                                                                                                                                                                                — ну и хорошо, что у нас хоть что-то в безопасности…
                                                                                                                                                                                  +1
                                                                                                                                                                                  Я только вот этого не понял:
                                                                                                                                                                                  «Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сообщили в РЖД.»

                                                                                                                                                                                  Они-то откуда знают, если у них там по сетке разве что ленивый не ходил и системы мониторинга нет? Слили уже всё давно и продаётся небось где-нибудь. А потом будут недоумённо плечиками пожимать — откуда же, откуда, «в даркнете появилась база на 200 миллионов клиентов РЖД»? Действительно — откуда?