Comments 219
Ничего удивительного(
вполне себе понятно
Ну вообще говоря, компании выгоднее замять это дело и не раздувать скандал из-за которого репутационный ущерб будет ещё больше. Но это при условии, что у руководства РЖД есть хоть капля адекватности.
А что им до какой-то там репутации? Будто бы у них имеются конкуренты...
+++ какие там 10-20к зелени нормальному айтосу, как в гниющей пендосии) на те 60к рублей оклад и премия, может быть)
Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж
Если 20к баксов в месяц то много кто в калифорнии получает
Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж
или ты думаешь там за гроши работают как в РФ?
Тащим та РФ по уровню ЗП сейчас стоит на одном уровне с Пакистаном и ниже Индии, они это уже давно более скиллованная сила потому что они хотя бы еще английский знают в отличие от основной массы местных.
Нормальный сеньор там 350-400к годовых может иметь, толковый инфосек точно не меньше
А вообще крайне угарно, что у среднего айтишника в РФ такое рабское мышление, что он даже не может поверить(и не пытается проверить) в возможность получать 20к долларов в мес просто в качестве ЗП.
Скоро экономика «дорастет» до такого уровня что и в ЗП 2к не будут верить. Думаю что вся белая «частная»(которую не подмяло государство) экономика РФ раз в 4-5 меньше чем только один какой нибудь Амазон или ФБ.
1) Всегда было забавно наблюдать как в зарплатных спорах сумму зарплаты среднего-звезд-с-неба-нехватающего-специалиста тут сравнивают с суммой зарплаты зрелого-серьёзного-специалиста там.
2) Забывают даже о такой элементарной вещи, как налоги. У нас принято указывать зарплату после налогов. Там — зарплату до налогов. Тем более не говоря, об совсем другой структуре затрат там (скажем в Калифорнии вы только за аренду жилья будете отваливать всю сумму зарплаты сеньора из какого нибудь Екатеринбурга).
3) Представления о низких зарплатах в РФ для квалифицированных ИТ-шников взяты откуда-то или из начала века. Или высококвалифицированными считают уже миддлов.
4) У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов. Что эквивалентно 1 100 000 до налогов, что в пересчете по курсу $15 000 в месяц. Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?
В плане индусов, сейчас работаю в компании где у индусов зарплата всего 6-10$ в час, при том что у меня 30$ час.
Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час… И буквально год назад на хабре была публикация сколько получают в среднем в таких компаниях как Google и Microsoft, так там средняя была меньше 5к баксов.
Ну я в Перми пару С++ программистов знаю которые как раз в районе 15к зелени получают.
Работая в РФ по ТК?
Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час…
В среднем по стране может редкость, а для калифорнии — не очень.
А в чем их обязанности заключаются? Сидят на удаленке дома и плюсцы починяют или в их обязанностях что-нибудь про сидение в глуши на скважине с ноутом? Просто реально интересно. У меня не так давно появилось сильное желание выходить на такие деньги, и по моим прикидкам кроме как в фаанг в штаты это нереально нигде получить. А тут прям под боком оказывается что-то подобное есть
А так организация занимается разработкой оборудования для автоматизации и у них даже своя написанная ОСь есть.
Но беда в том что на такую работу тяжело самостоятельно выйти, как правило на тебя выходят либо еще в универе или какай нить смежная компания тебя порекомендует.
Если ссылку на статью подкинете, может кто-нибудь поверит…
У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов.
Если этот человек работает по ТК РФ то я в такие цифры просто не верю. Если на удалене, причем исключительно на штаты (в Европе с такими зарплатми нужно быть супер-спецом, рокстаром), тогда конечно да, но это вроде никак не подтверждает вашу точку зрения.
Если вам скажут, что человек не захотел работать в гугле и в фэйсбуке просто по причине просадки в доходе, такое наверно тоже по вашему не реально?
По-моему нереально. У меня есть два источника:
- знакомые (т.н. "нетворкинг")
- hh.ru/rabota.yandex.ru/мойкруг/...
И вот ни один из них ничего и близко в русском сегменте не предлагает. Топовые зарплаты в сбербанках и втб, и они заканчиваются на планке в районе 400к на руки.
Понимаете, я знаю, что топовые вакансии ищут по узкому кругу лиц. Но в то что они будут в 2 раза привышать лучшие предложения по рынку (и в 3 раза лучше всего что есть в открытых источниках) поверить уже куда труднее. Мне даже было бы интересно опрос сделать, слышали ли люди о таких зарплатах? Полагаю, что 99% ответит "нет".
Так что возможно это вакансии неуловимого Джо, они вроде бы и есть, но устроиться на неё нельзя. Не думаю, что на всю страну найдется хотя бы сотня программистов с таким окладом, а до недавнего времени я вообще считал что их ноль.
как раз 700 000 рублей после налогов… позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии
А тут уже другая крайность — сравнение единичных случаев в «сибирском региональном центре» с средней зарплатой ITшников по всему США. Ну вот статья , где инженер фейсбука говорит о доходе в 2M$/год или 160k$ в месяц. Да таких инженеров в Калифорнии вероятно всего несколько сотен, но с большой вероятностью в глубинке РФ инженеров получающих 10k$ после налогов еще меньше и попасть в их число не проще.
Вот и сравнивайте, что лучше 10k$/месяц чистыми в сибирском центре или 100k$/месяц чистыми в Калифорнии.
А кто там что пишет, про 2М в год, ну как в анекдоте про доктора и старика…
мы же про инженеров говорим
Вы статью читали?
Во-первых, это SOFTWARE ENGINEER,
во-вторых, он учитывал акции, а вы смотрите чисто зарплаты,
в-третьих, он вероятно работал в Кремнивой долине,
в-четвертых, он работал в фейсбуке,
в-пятых, он дошел до одного из самых высоких уровней, на которые может попасть инженер, с порога такое никому не дают,
Речь вообще-то именно про то, что нужно сравнивать доходы одинаковые групп (по квалификации/количеству людей/опыту и т.п.), а не 0.1% самых богатых в одном регионе с средним уровнем в другом.
А единичные экстремумы мало имеет смысла сравнивать.
Вакансии в штатах 160к $ грязными в год, ну будем считать что чистыми останется 100к.
И там и там людям нужно жилье, смотрим 2 комнатную квартиру, квадратов от 60.
По Новосибирску это 3 — 6 кк рублей (высший сегмент и хлам не смотрим)
Итого получаем квартиру за 15 — 30 месячных зп.
Смотрим аналог в штатах, смотрим крупный город
из того что я увидел аналогичного цены начинаются от 300к $
Итого получаем туже квартиру минимально за 36 месяцев.
Конечно если зарабатывать 10к зеленых и тратить их в России, это сильно отличается от 200к рублей. Но в общем то цены и тд по странам сильно различаются. При этом 10к $ в месяц в России вполне реальные деньги для инженера.
Почему не смотреть ипотеку? Потому что ипотека это сбережения, вы выплатив ипотеку в США можете перебраться на старости лет в Новосибирск, купив шикарную квартиру за 7 kk рублей и иметь 200k$ сверху. А вот в обратную сторону — не сможете.
Плюс нужно не забывать какая пенсия у вас будет в США и какая в России.
При этом 10к $ в месяц в России вполне реальные деньги для инженера.
В России или Москве? Покажите массовые вакансии где обычному разработчику предлагали 730k рублей.
Кстати, стоимость жилья это всегда функция от средней зарплаты (во-первых, средняя квартира стоит столько сколько средняя семья сможет заплатить, во-вторых, если строители зарабатывают в стране в 10 раз больше, то и квартира тоже построить без учёта материалов будет раз в 10 дороже). Поэтому деление зарплату на стоимость квартиры просто покажет насколько ваша зарплата больше/меньше средней по региону, а не ваш уровень жизни.
А ещё дом за 300к$ в штатах обычно выгодно отличается от квартиры в многоэтажке в Новосибирске. Определенная наценка конечно имеется, но и качество выше на порядок, даже по сравнению с "высшим сегментом".
Это во-первых. А во-вторых в штатах действительно не принято покупать жилье.
При этом 10к $ в месяц в России вполне реальные деньги для инженера.
Просто покажите вакансии в открытых источниках. Ну просто потому что вакансии на 200k$ в штатах я показать могу на обычном сайте, а не говорить что это тайными знаниями от АНБ передается.
Особенно тем, что он находится не в Новосибирске.
Но все же после 40 лет они стараются её приобрести, условно до этого возраста они строят карьеру и это предполагает частую смену жительства. А вот далее все же в большинстве случаев стараются обрести свой стабильный уголок.
Но на самом деле там действительно не все так просто с этим, вспомните сериал друзья где они совместно арендовали небольшую квартиру и во времена когда я смотрел данный сериал в подростков возрасте думал что они некие студенты ))
Но сейчас имея в своем круге общения порядка десяти коренных американцев, понимаю что это вполне нормальное явление когда они совместно с кем либо арендуют жилье. Так половина из тех с кем я общаюсь, живут в аналогичных условиях арендуя квартиру или дом совместно с теме же друзьями. Не все они ИТ-шники, но вот один все таки ИТ-шник и тоже арендует жилье совместно с другим парнем.
На самом деле палка на двух концах, так как там все таки есть свои плюсы и минусы. Да и отбор в компании в виде того же FaceBook достаточный большой, не каждый с улицы туда может попасть.
По этому я давно для себя понял, хорошо там где нас нет. А все остальное это некая лотерея, как повезет.
Ну и опять же на частоту, если вы считайте что там все так прекрасно. Почему вы сейчас находитесь тут, а не там и не получаете по 15-25к зелени? :)
На вопросы выше, 300к $ это именно аналогичная квартира, дома сильно дороже идут.
На тему не принято быть владельцем жилья, а принято арендовать, не смешите. Если бы у всех тех у кого «не принято» была возможность купить, они бы купили.
На тему безвизового выезда, без визы нет, но в чем проблема ее получить.
Свежий айфон/самсунг за 50$ в аренду? На столе лежит айфон, специально посмотрел модель iPhone XS max, как умрет или начнет глючить пойду в магазин и куплю свежую версию, арендовать предметы обихода (или брать их в аренду) лично для себя считаю просто глупостью.
Патентами не занимаюсь, но при необходимости это не проблема.
Про апстор и день релиза )) Я даже не знаю когда у них день релиза )) Хоть по большому счету и маковод, посчитал, дома 7 девайсов от apple, вот только покупаются или обновляются они по необходимости ))
Доставкой с Китая ни разу не пользовался, ну наверно службам доставки есть над чем работать…
В настоящий момент удаленно можно работать на любую контору в мире, если есть язык, если ваша компетенция им интересна и если этот работодатель не сегрегирует работников по национальному признаку (вариант работы на иностранных военных тут не рассматривается)
Хотя еще есть вопрос часовых поясов, эт да, с австралийцами у меня лично не заладилось работать, они просыпаются, я спать ложусь, в итоге решили не мучать друг друга. Но тут ничего не поделаешь, физика.
С оружием да, ситуация разная, но вариант поехать в тир и отстрелять ящик патронов есть и тут.
В домике в горах поставить Старлинк? Они вроде над нами пока спутники не гоняют, так что нет, не могу.
Просто спутниковый инет поставить можно. Но вот домика в горах нет, хотя идея не плоха, надо подумать над этим.
Объем еды и дешевые местные услуги, еду каждый день кушать надо, и услуги не всегда дешевые.
И на тему Воркуты, вы думаете в штатах таких мест нет?
Не обольщайтесь, там также есть города призраки, вообще там достаточно сильная сегрегация по доходу есть, я б сказал ужасающая.
Ну и не понятно, ну если там так хорошо, чего ждать то, человек хозяин своей судьбы. По мне так и здесь не плохо.
Я бы сказал что как раз 0,0001% от айти-специалистов это те кто согласится там работать. Только вот если умножить это на 1,9 млн программистов в стране окажется что и этого достаточно чтобы не тужить.
По данным 2016 года, в России насчитывалось 1,9 млн IT-специалистов. Это примерно 2,4% от всего занятого населения страны. Для сравнения: в США, Германии, Великобритании этот показатель держится на уровне 4,2%.
Можно разве что прикопаться кто "не все айти специалисты это программисты", но на самом деле это и не важно, ведь как раз разнопрофильные специалисты ржд и нужны, а не одни програмеры
даже «лампочку вкрутить не хватит»
А вот IT-специалисты уже могут не захотеть работать в такой компании.
Дык судя по происходящему, IT-специалистов там и нет.
— это репутация в узких кругах кооператива Озеро…
вот ЭТА репутация их больше всего беспокоит. И тогда все встает на свои места и становится рациональными: и риски, и последствия… Слова абсолютно те же, но обретают новый смысл.
У компании может быть и плохая репутация, но именно Вы можете что-то изменить и заработать себе отличную репутацию таким образом.
Я ушёл из компании с хорошими отзывами т.к. реально там полный треш под капотом, а сейчас работаю в компании, отзывы у которой такие что вообще не понятно что я там делаю. Но тем не менее именно тут я набрал отличный опыт, спокойное окружение и многое другое.
Вот есть Сапсан, который едет 4 часа и привозит прямо в центр города. И есть самолёт, для которого нужно добраться до аэропорта, а потом из аэропорта до города. Но под Сапсаном могут ВНЕЗАПНО перевести стрелку такие вот умельцы. И сразу монополия начинает куда-то уменьшаться, потому что есть альтернативные способы перемещения
Вот ваша правда. Так и есть.
Ведь реально не в шутку, могут стрелку перевести. Например тот кто обижен на россиян. Или тот же школьник случайно. И ответственности не будет.
Да блин сравнивать самолёт с поездом по вероятности завершить путешествие не в той точке планеты с детальным исходом… Да ещё и в ситуации когда самолёт отнимет больше времени...
В поезде она около нуля смертей от катастроф по пальцам пересчитать можно, не удивлюсь если одно столкновение 747х перевесило чашу весов в своё время…
Да вы можете найти единственную цифру которую считают по миру и там у самолётов будет приемущество, только вот эта цифра немного про расстояние а не про количество поездок, можно тут поднять разбор почему так но мне кажется что оно того не стоит.
Как бы сбитые люди на переходах становятся объектами новостей, а про ваши случаи что-то не слышно, замалчивают? Как то ездил каждый день на электричке по 50+км после института, и как то все живые были… Но дело даже не в этом, каждый день погибают люди от собственных ошибок, в т.ч. в транспорте (да бывает и на крышу лазят и током убивает) Но это не имеет отношения к вероятности не добраться до точки назначения по причинам от тебя не зависящим....
Так в сравнении с авиатранспортом, с чего я попал в эту ветку, на ЖД (а если ещё не брать Индию...) Погибнуть не предприняв для этого каких-то "ненормальных " действий весьма проблематично (а если ещё дальние поезда от электричек отделить), а вот почти все погибшие в авиакатастрофах никаких усилий для этого не прилагали.
При этом в сравнении маршрутов Москва-СПБ я вообще не понимаю какой смысл самолёта, кроме того случая когда точка выезда и приезда находится недалеко от аэропорта… Почему и говорю что не имея никаких по сути преимуществ по затраченному времени, цене и комфорту, лететь самолётом с учётом того что есть ещё роковые стечения обстоятельств, называть самолёт и поезд конкурирующими и одинаково безопасными как-то странно.
В поезде она около нуля смертей от катастрофЯ отвечал в первую очередь на эту фразу — катастроф мало, но умирают на путях люди в основном не из-за них.
Погибнуть не предприняв для этого каких-то «ненормальных » действий весьма проблематичноВсё-таки можно помереть без номинации на премию Дарвина, подскользнуться, например, или застрять в дверях.
При этом в сравнении маршрутов Москва-СПБ я вообще не понимаю какой смысл самолёта,Я тоже: со всеми досмотрами поезд получается так на так по времени, а ещё он дешевле. Безопасностью я не заморачиваюсь: в любом случае вероятность попасть под машину по дороге на работу выше, чем упасть в самолёте.
Вообще я этому учился, а потом проверял и применял полученные знания на практике. Так что мне вовсе не нужно быть «уверенным», потому что знаю, как это проектируется и как выглядит «в корпусе», а не «в принципе».
Теоретически, да, перевести стрелку так, чтобы поезда столкнулись, нельзя, автоблокировка не даст. Но это теоретически, а как может быть практически, написано в связанной статье. На бумаге, в отчетах — все ок, на практике же может быть «ой».
В соседних комментариях уже писали, если специалист заявляет о полной надежности/не уязвимости, то это не специалист.
И еще по поводу стрелок — а перевести стрелки, заблокировав въезд/выезд со станции — так можно? Никто ни с кем не столкнется, но и ехать не сможет.
По поводу автоблокировки. Изначально системы централизации создаются на принципах «защитного отказа», то есть возможность состояния «никто никуда не едет» — она штатная, и именно в это защитное состояние переходят системы во внештатных ситуациях. Да, плохо, да задержки, но принимается, что сохранность жизней и грузов важнее, чем потраченное время. Собственно, многое в регламентах поездной работы написано вокруг порядка действий во внештатных ситуациях — вплоть до отправления и приёма поездов по путевым запискам, то есть при полностью недействующих средствах СЦБ. Связь для этого, конечно, требуется, но сугубо в духе «физическая пара проводов». Но мы отклонились, конечно, от темы.
Управление стрелками и сигналами на станции может быть дистанционным, от поездного диспетчера за 700 км., но физические приборы, проверяющие допустимость тех или иных сочетаний стрелок/сигналов, по-прежнему находятся в релейных помещениях. То есть после них — что угодно, хоть старые кнопочные пульты, хоть компьютеры с мышками, хоть ПЛК и свитчи, но первичные зависимости, которые определяются согласно техническо-распорядительному акту станции при проектировании — по-прежнему 100% локальные, и для их «взлома» нужен физический доступ в режимные помещения. Ну и это ещё не считая того, что по рельсам от сигнальной точки на локомотивные устройства передаётся кодированная информация как минимум о допустимой скорости на данном участке и закрытом/открытом состоянии след. светофора.
Короче говоря, на самом деле в СЦБ целый мир безграничных чудес и крайне остроумных технических решений, о которых можно долго и увлекательно рассказывать, но в комментарий это, конечно, не влезет.
Что касается предмета статьи — интранета РЖД — я учился по другой специализации, и могу только предположить, что описанная история — всё же вопрос недосмотра. Думаю, полнее/точнее смогут прокомментировать их официалы, полностью знакомые с ситуацией.
"и для их «взлома» нужен физический доступ в режимные помещения."
А вот охрана этих режимных помещений уже может быть более уязвима для сетевого взлома, как мы видим в упомянутой статье на примере видеонаблюдения.
Ну и я «взлом» намеренно в кавычки взял — просто потому, что без знания схемотехники устройств СЦБ можно максимум вывести из строя пульт. Это вы просто на повреждение не выезжали ни разу, когда «оно само» сломалось, и как раз в указанном защитном состоянии сигнальная точка находится. Всё, красный сигнал, никто никуда не сможет поехать, пока не разберётесь, почему устройства работают нештатно.
Если честно, испытал даже стыд за РЖД, когда читал статью про взлом внутренней сети. Такое впечатление, что у них собственная сеть отдана на оутсорс какой-то шаражке с практикантами-школьниками/пэтэушниками. Тем более непосредственно работал на ЖД в 90-е годы, и знаю, какая там была почти армейская технологическая дисциплина.
Вот история из Украины о том как перевести стрелку под движущимся поездом оказалось всё-таки можно https://youtu.be/Rc-joZAVaFo?t=297
1. другим не повадно было. Показать, что найти можно всех и каждого.
2. шумиху не поднимали. А то этож работа, совещания, оправдываться перед кем-то.
Проблема в подходах, по сравнению с тем же западом. Даже если есть уязвимости — это нужно по максимуму отрицать, правда обычно проблемы при этом стараются устранить. Но я пока просто не могу себе представить bug bounty в гос сфере. Как это, ещё и платить за то что показали ошибку? Скажите спасибо если через фсб не сделаем проблем вплоть до тюрьмы.
(грустный сарказм)
Впрочем, дыра у СДЭКа с базами сколько была открыта, 2 года? И закрыта ли сейчас?
Плюс, среди занимающих высокие посты очень распространена реакция «да как они посмели!» Это страшно выводит из себя многих самодовольных руководителей (не важно, госкомпаний, корпоративных, государственных), потому что они и по натуре авторитарны, а когда им много лет подряд все подчиненные кланяются, ситуация, когда «какой-то пацан» (независимо от возраста) им так или иначе смеет перечить, может таких и до сердечного приступа от гнева довести. Так что срать они хотели на репутацию, им главное — наказать за «хамство» (в буквальном библейском смысле этого слова — отсутствие безусловного уважения к старшим).
Гораздо более непонятно, с чего кто-то решил, что автор наследил так, что искать к нему путь будет дешевле, чем поиск кого-то левого.
У меня устойчивое подозрение, что за автора беспокоиться не нужно :)
Там думают другими категориями. Сидите вы в уютном кабинете, пилите баблишко, секретарь(-ка) носит кофе, каеф! И тут хлоп, вызывают наверх, маты, ор.
-Нас взломали! Пресс служба прохода не дает. Че у тебя там творится?
-В смысле? Кто взломал? Чё украли?
-А вот, нехороший человек, редиска — LMonoceros! с какого-то хабра. Там снимки с наших камер и систем.
-Ну так это, СанСаныч, ща подниму всех, найдем мы этого хлопца. Че переживать, то? Найдем, посадим, объявим что негодяй пойман благодаря нашим охранным системам.
-Ну давай быстрее, а то нафиг нам лишнее внимание.
Ктож на таких должностях, особенно в РФ, признает свои ошибки?
Ктож на таких должностях, особенно в РФ, признает свои ошибки?
Нет, не так. Тот, кто признает свои ошибки, надолго там не задерживается, его очень легко заменить тем, кто "никогда не ошибается". Поэтому таких там и нет )
Автор первоначальной статьи про сапсан, несмотря на то что публиковал статью с анонимного аккаунта подтвердил
habr.com/ru/post/536750/#comment_22536790
Эх, друг, они заводили дело на меня. Хабр сразу слил инфо.
Поздравляю, ты написал тут текста на 272 в чистом виде
Чего вы зря волнуетесь, угрозы безопасности движения пока нет!
Вот когда всё ЖД реально парализует, вот тогда и пишите статьи.
До сих пор все работало и будет работать, ведь никакое западное государство официально не планирует атаки на отечественную инфраструктуру.
(сарказм)
утечки персональных данных клиентов холдинга не произошло
А в остальном, прекрасная маркиза — всё хорошо, всё хорошо!
Так что выбор был:
— не делать ничего и ничего не получить
— отнести всё в РЖД и молить о пощаде (всё ещё с не иллюзорным результатом посадки и без каких-то стимулов со стороны организации закрывать бреши в собственной безопасности)
— предать огласке (с более гарантированным результатом присесть, но и гораздо бОльшим подрывом жёп и ускорением устранить проблемы со стороны организации)
Если после этого прошло время и тишина, то можно уже поднимать вопрос о разглашении ввиду бездействия. Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.
Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.
Сомнительная какая-то перспектива. Лучше уж замораться в сообществе
перед сообществом таких же исследователей
Автор причисляет себя к gray hat'ам, а вы, мне кажется, всё же имели в виду сообщество white hat'ов. С их точки зрения автор поступил неправильно, если я понимаю эту классификацию.
но при бездействии выложишь все это
Шантаж.
что ты это все видел и знаешь, но подтверждать в силу опасности привлечения не станешь, но при бездействии выложишь все это. В этот момент привлекать не за что, состава преступления нет.
Звучит как шантаж.
Мне кажется, что информацию о дырах в безопасности обычно публикуют после исправления дыр.
White hat публикуют такое или после исправления уязвимости, когда уже дыру закрыли и все ОК, или после того, как компании неоднократно давали понять, что у неё решето, в которое астероид пролетит.
Плюс смотрите, вот автор об этом написал, откровенно рискуя. А представьте, что эта дыра уже кем-то найдена и активно эксплуатируется месяцами, просто потому, что ее нашли, но не стали об этом писать.
Что значит представьте?) Автор же черным по-русскому написал, выявил, что он не единственный кто получил доступ.
Смею предположить, что эти некоторые не первый день устроили там пастбище, и это был не единичный случай. Правильные люди там имели доступ или неправильные пока не знаем.
ЗЫ Очень надеюсь, что если удастся найти правильного человека из ФСБ, который захочет получить повышение на громком деле, то и автора не тронут, и настоящих виновных в РЖД понизят/уволят. Посадят — вряд ли, там и их связи поднимутся, и денег они явно заплатят при проверке кому надо. Но просто понижение + настоящий глубокий аудит и переделка — для рф это будет уже идеальным сценарием.
Так мы и поверили, конечно же
и написал: «РЖД, поправьте все, через пару месяцев снова проверю».Для такого монстра 2мес — даже согласование не закончится, не то что поправить. Если только лично кто-то не займётся.
upd: почитал внимательно — там и двух лет мало
Если его посадят, то тем самым выстрелят себе в ногу. Следующий раз когда кто-то найдет что-то, в лучшем случае ничего не сделает, а в худшем сольет инфу на специализированных форумах или сам продавать начнет.
А был хоть единый случай когда такие конторы почесались при попытке напрямую их проинформировать?
Комментарий после публикации случая в сапсане всё явно показали.
Из комментов оригинальной статьи, так же вылилось что попытка связи с РЖД не удалась. На телефон не отвечали, почтовые ящики завёрнуты.
Автор уверен в себе, раз постит, не переживайте так за него) а со статью так ору, первый раз вижу просто.
Я хочу сказать, что безопасник, утверждающий, что в его сети нет критических уязвимостей, и программист, утверждающий, что в его коде нет багов, просто некомпетентны (coq — я не про вас, спасибо).
Опытный специалист скажет, "последний аудит не нашёл критических уявимостей" или "нет известных нам уязвимостей".
«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения.
Давайте, показывайте своих аудиторов и их заключения )
Конторка неподалёку от моего дома не закрывает на замок. Я подергал за ручку — открылась.
У них там масса вещей, кторые можно унести или испортить. Вот, смотрите, кнопки управления атомным реактором, биолаборатория 4ой категории, хранилище с гранатомётами.
Ах да, я пробовал говорить об этом начальнику конторы — он злится, что я к нему лезу. Эх, Расея. Поэтому рассказываю всему свету.
Это не он подвергает опасности, а те, кто оставил эти дырищи. И если бы он не привлёк к ним внимание, то дырами воспользовался бы рано или поздно кто-то не столь белый и пушистый.
Логика вора-домушкника какая-то.
В том то и дело не домушника. За этой незапертой дверью не только личные вещи владельца. Но ваши, мои и многих других людей, которые уверены, что все хорошо и под контролем.
Вот скажите, тех кто фотографирует как недобросовестные работники Аэропортов швыряют и ломают чужой багаж тоже надо называть? Ведь они даже не пытаются с грузчиками, которые швыряют чемоданы поговорить, убедить, что они не правы? ;)
Автор в тексте мягко намекает, что этими дырищами уже пользуются. Сейчас о них просто стало известно чуть большему количеству людей.
Почему? Пост на Хабре — именно общение с заинтересованной стороной, а именно обычными юзерам железных дорог. Читали каменты? Народ волнуется, что такой бардак.
У меня в своей жизни было несколько раз, что я проходил мимо мотоцикла с ключами, квартиры в которой ключи остались с наружной стороны. В первом случае я забирал ключи себе и оставлял записку куда звонить, чтобы забрать. Во втором случае я стучался/звонил в дверь, иногда поздно ночью, иногда будил людей. И всегда, я повторяюсь ВСЕГДА люди были мне благодарны. Ах да, маленькая мелочь, я не живу в России. В России мне наверное бы морду набили :)
Это не зависит от района, а от людей. На вскидку, в мусульманской деревне я снял деньги с банкомата (чуть больше 100$) и забыл забрать. Через пару минут возвращаюсь, а там ищут чьи деньги и мне без вопросов отдали. В другой раз тоже не в еврейском магазине выпала +- такая же сумма из кармана, через минуту вернулся, а нету… и никто не отдал. Страшилки про мусульман это 1. пропаганда 2. отморозки которых все-таки меньшинство и которые благодаря извращенной системе новостей попадают на первые полосы газет. И кстати, отморозки есть в любом обществе, важно их процентное соотношение относительно всего общества.
А вот в Париже например остерегусь соваться даже днем например в 10 район, или например в 18, или 20. Что, виновата извращенная система новостей?
а вывод-то в истории в том, что РФ и почти вся её айти-инфраструктура: дырявая и коррумпированная клоака, причём построенная на деньги её же жителей. буквально вчера смотрел фильм дурак, а сегодня статья чувака про дырки у ржд. и смех, и грех что ли
у той же редакции на ютубе недавно был фильм про авторов из беллингкэт и инсайдер. краткий пересказ: в РФ можно слить любую инфу о любом человеке из любой базы, благо, новости о создании ещё одной на хабре идут каждую неделю. и всё это за ваши налоги. и это возможно только в РФ потому, что стране очень были нужны куча данных о гражданах с миллионом точек сливов и коррупции по дороге.
хотя нет, вы знаете, всё ж таки смех. сами жители во всём и виноваты ведь, раз позволяют стране изо дня в день плевать в лицо гражданам) ладно пробивы по базам, фиг бы с ними, но факт того, что абсолютно любой хоть немного знающий ИБ спец не вставая с дивана вскрывает широченную сеть ржд — это фиаско. и усиливает его то, что подобная ерунда с ИБ наверняка творится повсеместно...
а автору исходной статьи удачи! она ему будет кстати, ибо кому-то из жирных в галстуках придётся хорошенько присесть за хищения и халатность)
РЖД только и может, что прокомментировать) а спеца нанять жаба душит
Ты, кажется, забыл, где находишься)
Ведь сертификацией этой самой ИБ стратегического предприятия, вероятно, занимались их конторы. А значит и они сами под ударом.
во-первых, те кто сверху обложены бумажками и распоряжениями. Мол мы выпустили, а они не выполнили. То что физически все это выполнить невозможно, никого не волнует (это даже анализировать не будут).
Во-вторых, топы имеют деньги чтобы отмазаться, а низы с ЗП XX к. (двузначное число подставьте произвольно) нет.
В третих, топы чаще всего имеют выходы на тех же силовиков\СБ\дорогих адвокатов (читай заносят, чтобы их сильно не прессовали из-за всяких дел). Силовики ессно не захотят лишаться приличного дохода.
В большинстве авиационных аварий виноваты пилоты, диспетчера и изредка техники (хотя на общем фоне яб последних исключил). Мне не известны случаи, чтобы после какой-нибудь аварии сажали менеджера, руководителя или любого другого «оптимизатора». Хотя именно эти люди чаще всего и орут в трубку «выпускайте самолет!» и давят на персонал.
Не удивлюсь, если айтишникам в ржд оклад поднимут, так сказать, на усиление защиты)
если есть системы мониторинга инфраструктуры, можно подключится к информационным табло, посмотреть камеры, вдруг там где-то можно еще повертеть стрелкой на путях, это ведь уже совсем другая и реально опасная история… честно говоря даже страшновато стало про поездки на пездах думать, как бы не вышла новая статья про "беззащитность сапсана" от другого поезда например, или тупика....
Касаемо оптики — ой вэй… Десять лет назад находились люди, которые тем же самым трактором ее выдирали, обнаруживали отсутствие меди, и тут же бросали все. У нас даже был походный сварочный прибор на этот случай (хотя это так-то проблема РЦС, а не СЦБ).
Было бы очень здорово, если бы кто-то объяснил РЖД — если тронуть этого "серого хакера", то следующий, кто вывернет их системы наизнанку, будет точно не серый/белый, а чёрный. От вымогателей до террористов.
А дыр у них наверняка ещё много, много. Так что самое разумное — заплатить ему за консультацию и оставить в покое… не дёргая за силовые ниточки.
что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости.
«Совместно с органами закрыли автора», чтобы не маячил.
А как по самому реалистичному сценарию, РЖД отчитается, что поймали за руку человека, который произвел вторжение в их сеть, пользуясь специально подобранными инструментами (nmap же), и проводятся мероприятия по выявлению и т.д. Странно, что там вообще Хабр читали.
Я так понимаю, просто установить пароли — уже остроту снимет. А вот перепроектировать сеть, закрыв сегменты от других частей этой же сети… такое вряд ли, это и долго, и опасно (в силу уровня персонала, которому текущего состояния дел «хватало» для безопасности). Главное, чтобы смененные пароли потом не забыли, а то микротик в single mode не грузанешь.
РЖД взломали по-крупному. Хакеры добрались до тысяч камер наблюдения, сетевых устройств и даже к табло на перронах
safe.cnews.ru/news/top/2021-01-13_rzhd_vzlomali_pokrupnomu
Хочется объяснить такой подход глупостью, а не злым умыслом. Но, как говорится, осадочек-то остался.
— шеф, тут пишут, что у нас дыра в безопасности!
— ну и хорошо, что у нас хоть что-то в безопасности…
«Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сообщили в РЖД.»
Они-то откуда знают, если у них там по сетке разве что ленивый не ходил и системы мониторинга нет? Слили уже всё давно и продаётся небось где-нибудь. А потом будут недоумённо плечиками пожимать — откуда же, откуда, «в даркнете появилась база на 200 миллионов клиентов РЖД»? Действительно — откуда?
Типичный ответ пресс-службы:
1) Взлома не было, данные не пострадали, утечки не произошло.
2) Хакеру предъявлены обвинения в незаконном проникновении в сеть, повреждении информации и краже персональных данных.
3) Мы гордимся тем, что данные наших клиентов в абсолютной безопасности. А та база, которую можно скачать в интернете неполная и вообще устарела на целых полгода.
У меня примерно такой случай был в 2014 году когда сис админ сделал публичный Wi-fi для оператора касс в сети где размещались терминалы оплаты и мелочевка для внутренних нужд в виде какого нить софта, где теже операторы без зазрения совести помещали блокнотиками с логинами и паролями для своих учетных записей.
Компания открыта…, при этом выступает против… и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.
У нас все двери настежь, заходи кто хочет. Только вы про это никому не рассказывайте, а не то а-та-та!
РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи на Хабре