Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

[ramilexe]

Это было круто! Читается как детектив. Неужели они не проводили никакой аудит?

[DarkByte]

На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.

[xtelekom]

Сталкивался с подобным, у нас и студентов не было. «распилконтора» присылала таблички которые надо заполнить, про наши сети, серваки и тд. Потом рисовали правильный отчет за много миллионов, все довольны.

[inkvizitor68sl]

Да всё проще, студентов наняли из МГУ ПС, скорее всего. За зачеты.

[id_potassium_chloride]

Некоторые студенты МГУ участвуют в соревнованиях CTF и они разнесли бы сеть РЖД на винтики судя без труда

[inkvizitor68sl]

МГУ ПС != Ломоносовский.
У РЖД есть свой прикормленный универ. Не то чтобы там все были глупыми, но самых толковых всё же не РЖД забирает.

[deepel]

Если за зачеты, то, скорее всего, троечников

[exit13]

Вот не надо так о студентах. Я в свое время очень даже неплохо находил дырки в таком болото-корпоративе :)

[thatWhichMustNotBeNamed]

истину глаголишь. Помню, как мы были 5ым суб-подрядчиком. И от общей котлеты в ~300кк получили только 9кк.

[burzooom]

5ым, то есть, не последним?

[thatWhichMustNotBeNamed]

нет, мы были крайними (как говорят в армии). И все номинально было по закону: каждый из вышестоящих взял себе какой-то процент работы, который был обязан взять, чтобы можно было нанимать суб-подрядчика, но вот деньги они за это брали по принципу Парето.

[alexsertov]

«Как вы смогли так точно описать, как делается на ржд?» — моя первая мысль,
«Наверное потому что так делается (почти) везде» — моя вторая мысль

[lostpassword]

Можете привести пример компании, которой по силам провести всесторонний аудит ИБ сети из 20000+ хостов за полгода и выдать отчёт, который не будет бессмысленной бумажкой? Я вот всерьёз сомневаюсь в существовании подобной компании.

[DarkByte]

Ну насчёт пол года я не уверен, звучит как овердофига для 20000+ хостов, если речь про анализ инфраструктуры и поверхностных анализ приложений. Если требуется углублённый анализ приложений, и особенно если с анализом исходников — то в таком случае оценка пляшет от объёма функционала конкретных приложений/объёма кода. И срок может меняться в зависимости от стоимости аудита (сколько человек на проект выделяется). Ничего нереального в таком объёме для аудита не вижу, и покрупнее системы проверяли, с нормальным отчётом на выходе.

Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.

Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.

[lostpassword]

Полгода — это овердофига? Оу. Я это писал и боялся, что скажете «очень мало».
Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.

покрупнее системы проверяли, с нормальным отчётом на выходе

Что-то я в это не верю, простите. Каким образом вы всё это делаете?
Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).

Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.

[DarkByte]

Бывают сложные проекты. Невозможных пока не встречал.

Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».

Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.

Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.

[lostpassword]

Бывают сложные проекты. Невозможных пока не встречал

Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен. Понятно, что технически можно и полный реверс-инжиниринг MS Windows выполнить из ассемблерных кодов — но очевидно, что никто этим заниматься не будет, потому что задача слишком титаническая и никто в реальности на это не пойдёт.

Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом

Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».

Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям

Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.

[DarkByte]

Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен.

Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.

Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут»

Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.

Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.

Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.

Склонен не согласится. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать.

Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).

Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.

[lostpassword]

Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре

Я немного не о том) Поломать сеть и показать это заказчику — это одна задача. Постараться найти все возможные векторы — это другая задача, на порядки сложнее первой. Вы имеете в виду первое или второе?

Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта

В это я охотно готов поверить)
Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)

В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.

[DarkByte]

Вы имеете в виду первое или второе?

Второе через первое :)

Как вы это найдёте?

neurozhayka-vokzal.ru: Non-existent domain — простите, но пример неудачный. Но возвращаясь к «аудит через пентест» (если так вообще можно выражаться) — попадаем во внутреннюю сеть условного ржд и проводя разведку изнутри находим сервер, обслуживающий данный домен или информацию о нём в документации.

В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.

Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

И случае с тем же РЖД одного аудита будет не достаточно, так как он не даёт гарантии того, что админ Вася завтра не накосячит, не говоря уже о том, что банально могут не исправить все выявленные уязвимости. Можно долго фантазировать о том, как и что они могли бы сделать лучше, но боюсь что в итоге всё это разобьётся о банальный распил и что-нибудь в духе: «камеры сломали? ipmi без паролей? данные пользователей украли? а деньги не украли же? и в чём тогда проблема?»

[gecube]

Тогда я тоже подведу итог всему выше написанному: безопасность инфраструктуры не должна обеспечиваться только лишь за счёт периметра и веры в то, что WAF и IDS обнаружат и заблокируют все попытки вторжения. Во внутренних сетях всё должно быть не менее безопасно, чем во внешних — чтобы ошибка в настройке изоляции между внутренними сегментами и дыра одного вокзала не приводила к компрометации всей сети компании. При этом пробив периметра и попытка развития атаки путём сканирования сети должны обнаруживаться быстрее, чем сканирование будет завершено и последуют какие-либо действия по развитию атаки.

С этим полностью согласен. Более того — это очевидно и лежит на поверхности. И это есть прич, почему внутри периметра должен быть 0trust и условно (минимально) полный tls. А то вся эта периметрическая защита из 90-х — фуфел. Любая дыра и мы приплыли.

Касательно того, что говорит коллега — я с ним полностью согласен. Полный аудит возможен только лишь при полной инвентаризации всех ресурсов айти и содействии со стороны айти департамента. Иначе это фуфел. Аудит может что-то пропустить (такое уже было и неоднократно).

[Anrikigai]

Вот, вот, сначала в сторону того же Zero trust надо двигаться начать. Какой смысл в текущем состоянии, чуть ли не в плоской сети, делать полный аудит?..

Простых рекомендаций по архитектуре достаточно.
Утвердить основные принципы, по которым выделяем сегменты, как между ними трафик инспектируем, зоны ответственности в конце концов… Потом уже можно копать детальнее.

А в плоской сети нагенерить всяких CIS Linux Benchmark для каждой машины и выдать толстенную пачку рекомендаций — действительно толку не будет, и скепсис совершенно оправдан.

[Gdalex]

Та же фигня с рементом автодорог. Финальному исполнителю денег не то что на нормальный асфльт, на ГСМ и ЗП рабочим не хватает. Из каждого выделенного миллиона до дороги доходит в лучшем случае 100 тысяч. Чаще около 10 тыс. Причем "уровень вложенности" суб-подрядчиков достигает 7-9. Рекорд был - 12.

[Strigov]

Если и проводили, то по бумагам на распиле, судя по всему.

[ivan_safon]

Возможно, даже и без бумаг провели)

[Viceroyalty]

Как мне говорил один человек занимающий хорошую должность «все, что ты говоришь — это техника, а основная задача ИБ — составить правильные документы, чтобы у регулятора не было претензий».

[vanxant]

Этот ваш «занимавший хорошую должность» ни разу не попадал.
Документы у РЖД составлены наверняка правильно. А значит там есть «группа реагирования на инциденты ИБ», «ежемесячные журналы аудита» и ещё штук 10-15 разных журналов, которые нужны по требованиям ФСТЭК и ФСБ. И в которых оптом в конце года достаточно большие дяди не глядя расписались. А должности, ФИО и подписи на явной липе — это уже подлог.

[vanxant]

А я не зря про журналы написал. На момент аттестации там, скорее всего, даже пытались хоть какой-то порядок навести — отобрать свистки, снести левый софт и т.д.
А уже потом неустановленные лица подключили неизвестные роутеры, поставили левый софт и установили пароли admin:admin.
Однако ж, раз в месяц или типа того это всё должно повторно проверяться уже силами конторы, об чём должен составляться отчёт, вноситься изменения в схему сети и прочую документацию. С подписями ответственных лиц. Каковые (подписи) — есть, а аудита явно не было.

[vanxant]

У них обработка десятков миллионов ПДн в год, так что ФСТЭК заходил со всем пристрастием. «Здесь вижу здесь не вижу» на таких масштабах не работает.

[Viceroyalty]

Этот ваш «занимавший хорошую должность» ни разу не попадал.

как раз попадал, теперь, наверное, занимает хорошую должность в другом месте

[Robur_le_Conquerant]

понимаете, в чем дело. Подобные системы должны обслуживать и контролировать люди, несущие очень серьезную ответственность за то, за что они отвечают. У которых выбор моежт быть только один: или ты берешься за это и отвечаешь головой или не занимай эту должность. Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.

[Areso]

Вы много знаете главбухов с зарплатой в 2-3 миллиона в месяц, ХОТЯ БЫ?
Я вот много знаю главбухов (работал несколько лет по бухгалтериям), но ни одна из них не зарабатывала 2-3 миллиона в месяц.
На минуточку, главбух безо всяких допущений несёт личную ответственность, вплоть до уголовки.

[Areso]

Главбухи, кстати, еще нормально зарабатывают.
Гораздо более интересная должность — и более «родственная» — это инженер по ТБ.
Вот где откровенно маленькая зарплата ходит рука об руку с довольно высоким шансом попасть под уголовное расследование.

[Yacudzer]

Пром. безопасность — из той же оперы…

[vedenin1980]

откровенно маленькая зарплата

Зато там требуется относительно невысокая квалификация. К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки (особенно в России).

[JerleShannara]

Если журналы в порядке и документы по инструктажам по ТБ соответствуют требованиям, то почти любое нарушение ТБ, повлекшее за собой смерть/инвалидность, легко списывается на сам труп/инвалида, ибо «вот он расписался, что ознакомлен, прошел и понял инструктаж».

[FRiMN]

Ну всё же руководство по головке не погладит за такое.

[JerleShannara]

Сомневаюсь, руководству лучше, если работник сам забил на ТБ (по бумажкам, а то, что у него страховка сгнила, ну....) и откинул копыта, чем если это будет вина юрлица.

[FRiMN]

Ну у меня был случай в муниципальном предприятии. Потом все по новой ТБ сдавали. Везде висели листовки с описанием случившегося.

Естественно что виноватым будет работник. Но нарушение ТБ (особенно опытным специалистом) обычно не единоразовое. Это означает, что ТБ нарушалось планомерно и грубо. И в один "прекрасный" момент "все звёзды совпали".

Ясно что начальник за такое не лишится кресла. А вот премии — запросто.

[vlivyur]

Потому что частенько руководство в курсе всего этого и все действовали при негласной их поддержке.

[AgataMuceniece]

Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.

не в бровь, а в глаз!

[mrsantak]

Разница между "человеком занимающим должность" и работником в том, что первый занимает должность, а второй — работает. Ожидать от первого какой-либо работы было бы странно.

[Viceroyalty]

Но без его указания никакой работы-то и не будет сделано.
Да и математически Ваше утверждение неверно: любой работник организации занимает должность, а работу кто-то все-таки делает.

[mrsantak]

Речь о том, что есть люди, которые находясь на какой-то должности выполняют свою работу. А есть люди которые эту должность просто занимают и при этом ни сами не делают ничего в рамках своей позиции, ни дают попасть на эту должность тому кто что-то будет делать. И заявление вида "Служба ИБ должна заботится о правильности бумажек, а не о, собственно, информационной безопасности" — это как раз про людей которые занимают должность, а не работают.

[Robur_le_Conquerant]

Знате, самое обидное то, что:
1. ничего не поменяется
2. никто не понесет за это наказания

Тут я много чего написал. Потом стер. Потом опять написал. И снова стер. Любой админ любой дороги расскажет все подробности. Но он не найдет того, кому бы были интересны его рассказы…

[ajijiadduh]

2. как это никто? автор статьи понесёт

[lostpassword]

А какой аудитор сможет такое найти?
У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.

[DMGarikk]

но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.

только вы этим заниматься не будете, потому что у вас и так дел полно, чем карты рисовать.

А вот если аудит у вас ежегодный, а по результатом вас премии лишают или еще чё пострашнее (pcidss может контору без лицензии оставить)… то хочешь не хочешь а будешь хотябы ПЫТАТЬСЯ приводить систему к тому чтобы при следующем аудите не теряя тапки затыкать дыры с трясущимися руками чтобы к окончанию аудита проблем не было

[lostpassword]

Будешь, конечно. Только ресурсы-то ограничены, и в итоге вместо задачи «Навести порядок в сети» получаем задачу «Успешно пройти аудит». Как говорится, конец немного предсказуем.

[Anrikigai]

Сомневаюсь, что при бардаке в сети успешно выполненная задача «пройти аудит» приведет к гораздо более серьезному бардаку.

Не все закроется, конечно. Что-то заметут под ковер. Но какие-то очевидные проблемы проще прикрыть, чем замаскировать.
Идеально не станет, но _очевидных_ проблем таки станет меньше, от злоумышленников потребуется больше усилий и квалификации.

[lostpassword]

Она не приведёт к более серьёзному бардаку, но полезный эффект будет меньше, ИМХО.

В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.

Мои мысли примерно следующие:
1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.

Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).

Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.

Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.

Как в том анекдоте:

Зайцы, уставшие от постоянных нападений волков, пошли за советом к сове.
Сова:
— Зайцы, станьте ежиками, и тогда вас волки трогать прекратят.
— Мысль хорошая, но как, как стать ежиками? — спросили зайцы.
— Я стратег, — ответила сова. — Тактикой занимайтесь сами.

[Anrikigai]

Я думаю, мы про сильно разные компании говорим.
Скажем, мне не очень понятно, кто такие «мы» из «Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас?»
Не совет директоров же. Да и понятно, что «не все нормально, нужно больше золота».

В моем мире как один из вариантов — именно CIO/CISO заказывает аудит, с его результатами идет к руковдству, финансовому директору и т.п. и использует отчет как инструмент для обоснования дополнительного финансирование. Не он просто просит денег на невесть какую безопасность, а вот четко описано, где проблемы и к чему могут привести, если оставить все, как есть.

Но мир очень разный, я понимаю. Аудит ни разу не панацея :)

Кстати, и от софт-скиллз аудитора сильно зависит, будет ли он себя позиционировать как супер-пупер эксперат, который сейчас лохов научит, как жить правильно, или сможет установить контакт со специалистами, как человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу.
Разумеется, и в отчете для руководства должно быть не «вы набрали фофанов по объявлению, у вас все г...», а «мир изменился, то, что у вас было хорошо построено несколько лет назад, сейчас не дотягивает, опасно, надо адаптироваться»

[lostpassword]

Возможно. Я в таких кругах не вращался, может быть где-то неправ. Может быть, Ваша картина мира более близка к реальности.
Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?

человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу

Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.

[Anrikigai]

В моем мире помимо

Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени),

есть и другие варианты помощи.

Например, в примере выше: тот, кто поможет выбить дополнительные бюджеты на закрытие дыр.

Если же такие бюджеты ни в коем случае не нужны, потому что это ж придется что-то в сети менять, пусть и на более удобное и безопасное, а у нас времени на это нет…
Ну тогда да, сорян.

[DMGarikk]

конечно, но без аудита вы скорее всего этого всего делать вообще не будете.
За за всю свою карьеру видел только одну контору которая реально упоролась по ИБ из-за аудита. в остальных всем было плевать… ну прям вообще плевать.
Я повторюсь, я видел что было в финсекторе до обязательных аудитов и видел что стало потом. стало ЛУЧШЕ. тоесть с 91 года по 2008й(или когда там 09й) всем было плевать с высоченной колокольни на ИБ, никто ни карты сетей не рисовал, пароли у всех были админ/админ, даже у уборщицы был доступ админский на компе.

[gecube]

Все так

Бумажку о соответствии ФСТЕК или PCI DSS вы сами себе выдать не сможете. И, соответственно, аудит нужен. Хоть какой-нибудь. У верифицированного (сертифицированного) перечня аудиторов. Можете считать это мафией. В целом, так и есть. Но цель аудита — это получить бумажку. Чтобы пол учить возможность оказывать определенный набор услуг населению и на этом зарабатывать деньги.

[Valyaromanova]

Вот и подключайся теперь к открытой точке доступе, лучше без интернета посидеть для своей же безопасности.

[Andrey_Epifantsev]

Так вродеж шифрование между сайтом и устройством? Злоумышленник в середине не сможет прочитать ваши данные, даже если будет владельцем точки доступа.

[Securityhigh]

А вот и не всегда, до сих пор много сайтов используют HTTP, имеются и государственные, в особенности областные. Некоторые онлайн-кассы до сих пор сидят на ******* HTTP. Да и кто запрещал SSL Pinning.

[std]

а что такое ssl pinning в вашем понимании?

[marataziat]

> SSL Pinning
Если вы про установку CA, то для нее нужен пароль администратора и доступ к компьютеру жертвы. Если вы про SSL pinning как про встроенный CA в нативные приложения, он только наруку играет тк кроме своего сертификата приложение никому не доверяет.

[DaemonGloom]

Скорее всего, имелся ввиду SSL Stripping для сайтов, которые не используют HSTS и не внесли себя в список preload в браузерах.

[PsyHaSTe]

Вот который раз убеждаюсь что лучше потратить 100 рублей на трафик в другом регионе и чтобы потом голова не болела за подмену сертификатов, просмотр какой-нибудь днс истории и прочего.

[redmanmale]

Так отменили же роуминг по стране.

[PsyHaSTe]

Ну я ездил недавно на кавказ, списалось дополнительно. Проверял баланс до выезда и после. Хотя, конечно, может и глюки.

Но вывод один: никаких "бесплатных вайфаев".

[jryj]

Достаточно включить ВПН и не беспокоиться об открытых вайфаях. Помогает застраховаться и от подстав провайдера с подписками и т.п.

[Viceroyalty]

Особенно — если это свой VPN

[Viceroyalty]

Lightsail-овского инстанса 512 MB RAM, 1 vCPU, 20 GB SSD от Амазон для этого хватит?

[Viceroyalty]

Под комп

[Flammar]

Так это наверное Абхазия была.

[Viacheslav01]

Много раз попадал в сочи, бац и ты всадил все деньги на разговоры через абхазского оператора.

[Firsto]

Мне в аналогичной ситуации Теле2 возместили все расходы.

[PsyHaSTe]

Ну тут вопрос уже что мне совего времени на разборки жалко чем 150 рублей которые за пару дней улетели

[Firsto]

По телефону поддержки за пять минут составили заявку, через два часа перезвонили, извинились и зачислили деньги на счёт.

[pae174]

Если HSTS Static на сайте не настроен то возможно выполнить атаку SSL Strip и перехватить весь трарик.
Если клиентская машина не умеет DNSSEC то возможно подсунуть ей левый ответ DNS и увести клиента на фишинговый сайт.

[tmin10]

SSL Strip в браузере легко заметить (для тех, кто в теме), не будет никакого защищённого соединения, урл будет http, замочков разных не будет.

[iDm1]

В том-то и дело, что «замочков» не будет. Актуальные браузеры отмечают http как заведомо небезопасное соединение, это невозможно не заметить.

Если речь идет о людях менее компетентных в данном вопросе, которые могут упустить такой нюанс, то они и VPN использовать тоже не будут. Потому выгода от VPN для защищенных соединений, среди которых и https, выглядит довольно призрачной.

[pae174]

> SSL Strip в браузере легко заметить

MithM может просто отдать клиенту вирус и после того, как она сработает, переадресовать клиента на настоящий сайт по самому настоящему HTTPS. Все замочки будут на месте. При таком сценарии развития событий ситуация визуально ничем не отличается от обычного редиректа http:// -> https://, просто перед редиректом клиент незаметно цепляет зловреда.

[iDm1]

Если можно выполнить код на клиенте с такими правами, что это может быть полезно вирусу, то все остальное уже не важно и получать можно любую информацию доступную этому клиенту как локально так и удаленно, да и вообще сделать с ним что угодно. Это уже другого уровня дыра, которая требует наличия уязвимости в ПО или эффективной социальной инженерии.

[pae174]

В браузерах встречаются уязвимости RCE вообще-то. Так что подсадка трояна через MitM открытой точки доступа вполне осуществима на практике и без какой-либо социальной инженерии.

[SagePtr]

Вот тут Mozilla как раз вовремя выкатил режим HTTPS Only

[Leonid_E]

И тут есть нюансы, https в ряде случаев перехватывается, в комментариях уже написали.

[numb]

Однажды, сидя с ноутом в Москве на Ярославском, пользовался их Wifi, чтобы котиков посмотреть. Написал мне коллега, с просьбой помочь с linux-сервером, который я ранее настраивал по SSH — ок, не проблема.

Открываю консоль,
ssh username@servername.ru…
ssh-клиент ругается что не узнает сервер по отпечатку, а после и вообще требует пароль вместо авторизации по ключу.
И тогда до меня дошло, что там классический MITM.

С того момента, публичным WiFi, в принципе, перестал пользоваться

[13werwolf13]

частично проблема решается если сидеть на таких публичных точках завернув 0.0.0.0/0 в wireguard или openvpn например, но только частично

[arheops]

Скорее неправильно настроенный нат, который заворачивает весь траффик по 22му порту на один сервер(типо проброс, но студентами выполнен)

[DimkoD]

Вокзальный WiFi это ТрансТелеком по заказу РЖД, гляньте принадлежность IP, даже заинтересовали, когда сеть сдавалась никаких подстановок там не было, может в процессе эксплуатации запретили доступы по некоторым портам, а перенаправление вполне может быть на веб-портал

[numb]

Это было 2 года назад, уже не узнать, я сейчас далеко от Москвы.
Веб портал — маловероятно, т.к. подключение принял именно ssh-сервер.
А вот криводастроенный NAT вполне может быть.

[mayorovp]

Была бы MITM - авторизация бы сработала прозрачно и у вас сервер бы "угнали".

Скорее всего это последствия так называемой "регистрации в сети", которая делается через подмену DNS.

[Securityhigh]

На дворе 2021 год, а ты только сейчас это понял? Что ж, жаль тебя)

[Banketniy]

Интересно, а если я попробую провернуть тоже самое на ласточке, не попаду ли я под уголовную ответственность?

[Yuriy_krd]

К сожалению, попадете :) УК РФ Статья 272. «Неправомерный доступ к компьютерной информации»

[Osnovjansky]

С одной стороны, вроде да, а с другой — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

[Viceroyalty]

Если они до сих не пытаются ее закрыть — у них лично давно все хорошо

[da411d]

Прошу заметить, автор не писал по какому адресу открыто.
Онтнаписал, что прошёлся по всех дверях, среди найденных открытых выбрал одну и туда уже зашел

[tmin10]

Правда, если продолжать аналогию, то не только увидел, а зашёл, посмотрел, что внури и как (бегло) и рассказал с фото…

[Yuriy_krd]

В общем случае, даже если дверь открыта — заходить нельзя (ст. 139 УК РФ). Но РЖД, походу, глубоко пофиг как на открытую дверь, так и на тех, кто шляется :)
P.S. тут должен быть анекдот про конкурс лентяев :)

[khulster]

— человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

И даже в этом случае он может получить иск за незаконное проникновение в жилище. А уж в случае с нашими гос. структурами, я бы точно не рисковал. Им же сейчас как воздух нужных «злоумышленники» которых можно будет публично рапсять.

[Dubor]

по этой статье судят не за сам доступ, а за, цитирую:

«Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»

[Yuriy_krd]

Вы забываете о ч.4 (тяжкие последствия). При этом, необязательно, чтобы тяжкие последствия наступили. Достаточно, чтобы была создана реальная угроза таких последствий. Т.е. Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд? Могли. При отключении кучи камер Вы могли бы понизить уровень безопасности? Могли. Значит, Вас ждет наказание по ст.272 ч.4. (до 7 лет заключения).

[Flammar]

Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд

В общем, не обязательно. Управление стрелками, насколько я понял из статьи, никто пока не проверял. Равно как и возможность залить прошивку или изменить положение камеры или другие её параметры. Может оказаться, что всё открыто только на чтение.

[Norno]

может…

[inkvizitor68sl]

Управление стрелками и другой механикой/машинерией должно быть в отдельной РЖДшной сети, в/из которой нет доступа в интернет.
(и это не я придумал как должно быть, именно так они изначально и делали, судя по рассказам участников). И раньше жестко следили за тем, чтобы доступ не протёк, у сотрудников по 2 ПК стояло на рабочем месте, например.

[Alexsey]

Тем не менее судя по скриншоту как минимум read only доступ к данным из этой сети есть.

[Xeldos]

Работал я когда-то в организации с двумя компами на рабочем месте… Только вот почта между сетями свободно ходила. Хотя за ней следили, надо признать. Не знаю, читали или нет, но за отправку файла однажды пришли люди с серьёзными лицами для серьёзного разговора.

[inkvizitor68sl]

«Почта ходила» делается двумя интерфейсами в сервере, между которыми forward не включен)
Ну разве что DNS должен разное отдавать ещё, но это мелочи.

[Flammar]

Я в 2002 работал в ГНИВЦ таможенной службы (двух компьютеров не было, для интернета был один на всех в отдельной комнате) почта ходила куда угодно и откуда угодно, DNS резолвили любые адреса, но «интернета», т.е. соединения с порта на порт «наружу», не было.

[Sap_ru]

Ну, как бы там много мест, что ДУ работает через VPN тоннели из внутренней сети во внешний мир, либо между двумя точками внутренней сети. С кучей на коленке слабаных шлюз и компьютеров в древними уязвимыми ОС. При желании точно дальше можно было и до ДЦ докопаться и до компьютеров на которых диспетчерский софт крутится. А это уже и управление стрелками и управление светофорами.

[Yacudzer]

В понятие «состав преступления» входит субъективная составляющая — умысел субъекта. Т.е. если на суде будет доказано что не было злого умысла, значит и состава преступления нет. Другой вопрос, что еще доказать надо…

[sourbarberry]

Можно и без умысла убить человека, например. И тут уже будет состав преступления налицо.
Можно без умысла побродить по внутренней сети, потыкать ради интереса какие-то галочки. А потом поезд пойдет под откос.
Умысла не было, но люди пострадали.

[Yacudzer]

Речь идет про доступ к сети, а не действия (бездействия) после получения доступа…

[burzooom]

то есть, всех водителей, сбивших насмерть пешеходов — отпускать?

[artemerschow]

Водителей сбивших пешеходов по случайности и целенаправленно — уровнять в сроках?

[burzooom]

«не было злого умысла, значит и состава преступления нет»
а нет состава преступления — признать невиновным и отпустить прямо из зала суда.

[artemerschow]

Вам подсказать или сами додумаетесь до существования чуть более сложной системы квалификации преступлений, чем есть преступление и нет преступления? Может тогда перестанете приводить некорректные аналогии?

[Xokare228]

Это так не работает, там написано «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления», то есть уже должен быть состав, а состав это «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», а тут если что из этого и было, то только копирование, и то с очень большой натяжкой

[levashove]

Считаются ли тяжкими последствиями сгоревшие пуканы в РЖД?

[Dubor]

и снова надо читать формулировку целиком:

Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления

нет деяний (а именно, копирования, модификации, удаления и т.п.) — нет состава преступления даже для первой части, не говоря уже о четвертой.

[reci]

Что есть просмотр, как не копирование?

[Dubor]

суд не так работает (мы же говорим о том, попадает ли автор статьи под действие 272 УК?).

суд берет текст статьи, практику правоприменения данной статьи, а так же разъяснения верховного суда (если есть). и именно по ним и принимает решение.

а не вот эти все философские: «а если копнуть глубоко, то когда ты смотришь на объект, то ты создаешь в мозгу его копию в виде сигналов нейронов, а значит, если ты посмотрел, то ты скопировал» и т.п.

[reci]

Почему же философские, вполне конкретные законы техники — перед отображением на экране информация должна быть скопирована на устройство пользователя. А дальше — «как дышло повернут»…

[janekprostojanek]

Вы совсем «плохой»?
Или просто пытаетесь умничать?

Я подключился по RDP к терминалу. На моем экране выведено изображение рабочего стола терминального сервера. Я отключился. Докажите юридически, что на мой компьютер скопирована какая-либо информация с терминального сервера.

[olsowolso]

Копирование в зрительную память человека? Или речь про кэши браузеров и прочее? Считается ли юридически что я скопировал информацию, если я не нажал «сохранить как»/«копировать» в меню, условно говоря?

[Dr_Faksov]

могли ведь переключить

«Ну тогда и за изнасилование сажайте, инструмент-то есть» — старый анегдот вспомнился. Вот я, теоретически, могу убить любого человека, к которому у меня есть физический доступ. И что теперь…

[tmin10]

А скриншоты не являются копированием информации? Т.е. была получена информация с камер, которая была скопирована и сохранена для иллюстраций в статье.

[Dubor]

А скриншоты не являются копированием информации?

а вот тут уже надо смотреть юридическую практику.

сам не готов вот прямо сейчас дать готовый ответ: по остаточным знаниям от второго образования могу предположить, что зависит от того, какая информация есть на скриншоте.

это как с порно: замазал/замылил первичные и вторичные признаки и уже не попадаешь под определение порнографии. хотя суть-то осталась =)

[GAS_85]

В данном случае они были получены из «открытых» источников.

[Xobotun]

Я вот думаю, не являемся ли мы тоже преступниками, посмотрев на скриншоты. Юридически же у нас не было права видеть интерфейс управления стрелками, верно? Для этого нужны соответствующие доступы, надо подписывать минимум трудовой договор с РЖД и чтобы управление этим интерфейсом входило в должностные обязанности.

А что до ч.4 – так мы все тут комментируем эту статью, наши комментарии могут прочитать и вдохновиться. Или мы в рабочем чате можем это распространить. И всё, сообщники. :D

[hokum13]

Ага, «организованной группой лиц, по предварительному сговору»… Впрочем абсурдность некоторых законов это не российское изобретение.

[Dubor]

зачастую, абсурден не закон, а трактовка закона лицом, не имеющим юридического образования.

ну пусть даже без юр. образования. просто лицом, даже не прочитавшего статью целиком и судящего о статье по ее названию.

что-то в духе:
— ага, в названии есть словосочетание «неправомерный доступ»! ой, а я видел скриншоты… меня посадят! как страшно жить в этой(tm) стране…

[mrsantak]

Абсурдность трактовок не отменяет абсурдность законов. Чтобы увидеть скриншот у себя в браузере вы его должны сначала загрузить, т.е. скопировать.

[nat_gtx]

Я случайно дизлайкнул, сорян. Браузер лагнул(

[hokum13]

Посмотри на мою карму. Сильно хуже мне от этого не станет.

[mayorovp]

А как случайный минус комментарию влияет на карму?

[JerleShannara]

С такой кармой на хабре уже толком жизни нету.

[Flammar]

Как можно ознакомиться с информацией, не скопировав её (хотя бы в ОЗУ ~«тонкого клиента»)?

[vehicross]

Полагаю, логи в большинстве своём не являются «охраняемой законом компьютерной информацией»

[FRiMN]

Запись в логе произведена не вами.

[JerleShannara]

Если то, что пишет логи, имеет сертификат нужного уровня, то увы, «сертифицированной системой (номер сертификата „№31337КУПИЛЗАБАБЛО/8888“) было обнаружено нарушение безопасности связанное с копированием информации с адреса 224.888.999.000, используемого гражданином Фунтом»

[FRiMN]

Эммм… А куда что копировалось?

[JerleShannara]

А это, увы, не важно, система сертифицирована.

[FRiMN]

Вот убейте не пойму, как логин в систему вызовет копирование информации… полагаю из логов. Учитывая что у меня и доступа к ним нету.

[gecube]

А это не важно — достаточно метаданных. SRC IP — DST IP — size of packet. Все. Никто не будет разбираться при наличии сертификата на железку.

[agat000]

либо копирование компьютерной информации»

Скрин — копирование. Да еще и распространение.
В крупной полу-государственной конторе, где я работал, изображение в камер относилось к Коммерческой Тайне (КТ), например. Здесь — стратегический объект, скрины с камер. В общем ай-ай-ай.

[Dr_Faksov]

изображение в камер относилось к Коммерческой Тайне (КТ)

А может не зря? Умный человек получит с камер кучу информации: расположение постов охраны, как какой охранник службу несёт, внутренний распорядок, планы помещений, правила приёма грузов\курьеров. Это то что в голову взбрело.
И устроить на основании этого проникновение и вынос тела будет ГОРАЗДО легче и безопаснее.

[agat000]

Я знаю, и не спорю. Сам занимался техническими системами безопасности. Но мля многих это неочевидно. Подумаешь, камера, что там такого секретного, маразматики и параноики из СБ совсем от безделья маются уже.

[ascheck]

К сожалению, автор тоже попадает.

[sazhyk]

Да, автор попадает. Но даже если автора накажут по всей строгости закона, дыр в сети меньше не станет. Автора не наказывать надо, а связаться и распросить что да как. И чем быстрее, тем лучше.

[kuznetsovkd]

Это вы видимо не про Россию.

[Evgen52]

Автора не наказывать надо, а связаться и распросить что да как.

Забавное наблюдение. Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление. А тут обратная ситуация, хотя такая же уголовная статья. Двойные стандарты во всем.

P.S. Это не лично к вам. Не оправдание коррупции и других нарушений, не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны. Далеко нам ещё до правового государства (нам — всему человечеству) с таким самосознанием.

[KivApple]

Автор не получил материального профита, не устроил хаос своими руками и даже статья выше без определённых профильных знаний и усилий никак не поможет это сделать другим людям (это не туториал «скопипастите эту команду и вуаля, вы только что взломали Пентагон»). Он «только посмотрел» и обнародовал проблему.

А коррпуционеры не просто смотрят, а действуют.

[psydvl]

Ну поднять впн и подключиться к прокси среднепродвинутый пользователь интернета в России уже научился…

[IMnEpaTOP]

У закона есть не только «буква», но и «дух». И в целом закон (justice) это попытка упорядочить и формализовать такой феномен поведения высших животных как «справедливость» (тоже, кстати, justice, она же юстиция).
Так вот, «Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление.» Потому что преступление есть нарушение справедливости. А справедливость связана с ущербом и нравственностью.
Автор своими действиями наоборот пытается избежать общественного ущерба (который неизбежно однажды возникнет, если сор из избы не вынести) и призвать ответственных за сложившуюся ситуацию к соблюдению нравственности. По этому и реакция в двух описанных вами случаях у общественности совершенно разная.

А вот то, что такое приходится объяснять…

[IMnEpaTOP]

Ровно об этом я и написал. Преступлением называют нарушение закона. Но нарушение закона может быть по разному оценено людьми, на которых этот закон распространяется. Поскольку закон всего лишь попытка формализовать справедливость и эта попытка не может во всех случаях работать корректно.
В одних случаях формальное преступление людьми не оценивается как истинное преступление, если справедливость при этом не нарушена. Но то, что людьми оценивается как преступление, всегда будет нарушением справедливости.

[JamboJet]

Напомню, что есть отдельный вид преступлений — «без потерпевших лиц», по которому на развитом западе давно идут дискуссии о уменьшении, либо полной ликвидации наказаний.

[Dr_Faksov]

Вы правы про оценку. Я почему-то вспомнил про человека зарезавшего авиадиспетчера. Который убил его детей, уронив самолёт в озеро. И которого за это слегка поругали.
Вот я не могу этого человека осуждать, хотя он убийца, по букве закона.

[Evgen52]

Вы правы. Я, если что, не призываю наказывать автора. Проблема в том, что дух и справедливость для каждого могут быть свои. И вы правильно сказали, что закон — это попытка формализовать что-то, с чем согласно большинство. И на то они и формальные правила, чтобы к ним формально относиться. Иначе это не закон, а "понятия" какие-то. Либо мы стремимся к правовому государству и соблюдаем законы все, а не только удобные, либо получаем то, что есть сейчас. Я намерено в целях демонстрации это несколько утрировал.

Признаю, я был неправ в том, что сравнил конкретно этот случай с преступлением. Сейчас перечитал статью УК, там есть слова "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации". Так что состава преступления здесь, конкретно, нет. Прошу прощения за это некорректное сравнение. Однако недавно была статья про, кажется, "mew" атаки, когда данные незащищенных баз массово удаляли. И там уже явно есть состав преступления, но меня в коментариях упорно убеждали, что хакеры молодцы и робингуды, а владельцы серверов сами виноваты, что не запаролили их. Просто сейчас сработала ассоциация с тем случаем, хоть это и не верно.

Ещё раз. Я не оспариваю моральную сторону. Я нисколько не осуждаю ни автора, ни комментаторов. Более того, по справделивости и по моему личному мнению автор молодец, не надо его наказывать, я полностью поддерживаю. Я лишь хотел обратить внимание реакцию общественности на формальную сторону вопроса, как раз ту, что должна по-идее отличать правовое общество от жизни "по справедливости" ("по понятиям"). Без каких-то оценочных суждений, просто забавный факт. Дальше пусть каждый делает свои выводы. Или не делает. К сожалению, люди несовершенны, и чувство справедливости может быть у каждого своё. Ведь какой-нибудь депутат может совершенно искренне считать справедливым, что он кому-то помог, а этот кто-то его отблагодарил. "Упорядочить и формализовать" — вы верно подметили. Мой посыл был лишь в этом.

[IMnEpaTOP]

Всё же правовое государство, это государство благоденствия (ведь за этим оно и создаётся?), а не государство одной гребёнки.
Я не просто так начал со слов о букве и духе закона. Поскольку в правовых государствах судей обязывают руководствоваться не только лишь буквой закона, но как раз учитывать и его дух. И лишь после этого выносить вердикт, который может и не совпадать с буквой. Т.е. налицо механизм, который призван нивелировать несовершенство формализации, когда следование закону дословно повлечёт к созданию несправедливости, а не её охране и восстановлению.

Это я к тому, что из вашего ответа как-будто чувствуется готовность терпеть несправедливость, если это происходит по закону. И наоборот, противопоставление стремления к справедливости нормальному функционированию системы права. Хотя я не вижу причин, по которым правовая система, работа добросовестно, должна отвергать идею обеспечения справедливости и отказываться от механизмов, которые позволяли бы этим процессам сходиться.

Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

[Evgen52]

Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

Спасибо! Хочется надеяться и верить, что не только мне. Ради этого я и оставил тот комментарий, может кто-то ещё задумается и мир станет лучше :)

На мой взгляд, проблема вашего подхода в том, что он позволяет оправдывать коррупцию: зачем чиновнику терпеть "несправедливость" и отказываться от "благодарности" из-за того, что это не согласуется с каким-то там законом? Я бы не хотел жить в таком мире.

[IMnEpaTOP]

От благодарности (без кавычек) действительно отказываться не стоит, если чиновник способен оставаться беспристрастным после этого. А если не способен, значит следует отказываться даже тогда, когда коррупционное преступление не подразумевается.

Но вы сами поставили " ", ведь понимаете/чувствуете, что коррупция есть преступление не просто так.
Проблема коррупции как раз в том, что она создаёт несправедливость (неравенство доступа, нанесение другому вреда руками государства и т.д.) и люди способны отличать одно от другого. И оправдывать коррупцию такой подход позволяет лишь коррупционерам (но они так поступают в любом случае, на то они и коррупционеры, дающие и берущие).

[Evgen52]

Вы исходите из предпосылки, что справедливость и несправедливость — понятия абсолютные и одинаковые для всех. Я же вам намерено привожу максимально яркие и, возможно, слегка преувеличенные контрпримеры, чтобы продемонстрировать, что это не так. Коррупционер может считать несправедливым запрет на взятки. Террорист может считать несправедливым, что в мире есть люди других вероисповеданий, цвета кожи, пола, ориентации, чего-то ещё. Мы с вами считаем несправедливостью "неравенство доступа, нанесение другому вреда руками государства и т.д.". Кто-то будет считать несправедливым, что к его интеллектуальной собственности есть доступ у других лиц, а кто-то будет считать справедливым сделать чужое народным достоянием. Сколько людей, столько и мнений. Именно поэтому я использовал кавычки, ведь справедливость или нет тут весьма условна и субъективна, в отличие от закона, который общий для всех и зафиксирован документально. Он приводит всех к общему знаменателю.

[Viceroyalty]

Чисто формально действие повлекло несанкционированное изменение логов (это не моя идея, за такое, увы, уже привлекали)

[questor]

Да ладно? А что за случаи, не подскажете? А то что-то попахивает параноей, как если бы кто-то проходящий под камерой на Курском вокзале был обвинён в том, что он своей фигурой привёл к крушению электрички. Ладно ещё бы имя было бы drop database, а что-то уж совсем смех.

[Xokare228]

Немного из другой оперы, но похожий случай, цитата из ППВС, которая появилась там не случайно, а на основе вполне реальной судебной практики

Постановление Пленума Верховного Суда РФ от 30.11.2017 N 48 «О судебной практике по делам о мошенничестве, присвоении и растрате»

21. В тех случаях, когда хищение совершается путем использования учетных данных собственника или иного владельца имущества независимо от способа получения доступа к таким данным (тайно либо путем обмана воспользовался телефоном потерпевшего, подключенным к услуге «мобильный банк», авторизовался в системе интернет-платежей под известными ему данными другого лица и т.п.), такие действия подлежат квалификации как кража, если виновным не было оказано незаконного воздействия на программное обеспечение серверов, компьютеров или на сами информационно-телекоммуникационные сети. При этом изменение данных о состоянии банковского счета и (или) о движении денежных средств, происшедшее в результате использования виновным учетных данных потерпевшего, не может признаваться таким воздействием.

Если хищение чужого имущества или приобретение права на чужое имущество осуществляется путем распространения заведомо ложных сведений в информационно-телекоммуникационных сетях, включая сеть «Интернет» (например, создание поддельных сайтов благотворительных организаций, интернет-магазинов, использование электронной почты), то такое мошенничество следует квалифицировать по статье 159, а не 159.6 УК РФ.

[Envek]

Тут всё логично: если украл деньги, используя только штатные средства (типа «подглядел пин-код, потом взял телефон жертвы, вошёл в банковское приложение с этим кодом, перевёл себе все деньги») — то это кража, а не взлом. А вот если пошёл подменять корневые сертификаты в хранилище телефона жертвы, чтобы провести mitm для разузнавания этого пин-кода (и потом взять телефон жертвы и перевести себе деньги) — это уже взлом с кражей.

[Xokare228]

Я и не спорю, что логично, но чтобы судам объяснить эту логику понадобился целый Верховный Суд

[Viceroyalty]

Пруфов найти не смог, можете считать, что я пользовался непроверенными слухами.

[Jef239]

Да, примерно так.

От следственного комитета

Главным следственными управлением Следственного комитета Российской Федерации по городу Санкт-Петербургу по поручению Председателя СК России Александра Бастрыкина, проведена проверка по факту совершения противоправных действий при проведении дистанционного обучения школьников, по результатам которой возбуждено уголовное дело по признакам преступления, предусмотренного ч.1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).

Проведенным анализом сведений, размещенных в сети Интернет о фактах срыва дистанционного обучения школьников, установлено, что к ним может быть причастен пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», то есть человек, занимающийся потоковой трансляцией видео в режиме реального времени. Указанное лицо снимает прохождение видеоигр, а также розыгрыши (пранки), которые выкладывает на своем канале под названием «Russia Paver» на платформе YouTube.

Так, 27 марта и 6 апреля 2020 года были размещены видеозаписи, на которых блогер присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в том числе представлялся сотрудником Министерства образования Российской Федерации. Факты срывов онлайн-уроков имелись на территории города Санкт-Петербурга.

В настоящее время проводятся необходимые следственные действия и оперативно-розыскные мероприятия, направленные на установление всех обстоятельств происшедшего, а также местонахождения лица, совершившего данное преступление и привлечение его к уголовной ответственности. Расследование уголовного дела продолжается.

TL;DR Получил в ссылку на конференцию в Zoom, постебался там, выложил запись на YouTube и получил уголовное дело за «неправомерный доступ». Причем «постебался» в состав преступления не входит. Так что любой родитель, выложивший фотку из Zoom ребёнка — рискует получить эту самую 272.

Почему это безграмотная практика (но, увы, практика) — читайте тут.

А вот про отключение обновлений windows, за которое тоже можно схлопать 272. Дела по 272 за перепрошивку телефонов по просьбе владельца и за копирование сим-карт (тоже по просьбе) — можете найти сами. Поиск можно начать тут.

[Dr_Faksov]

Либо мы стремимся к правовому государству и соблюдаем законы все

Фраза немного не полная. Поробую так — Либо мы стремимся к правовому государству и все соблюдаем все законы. Это вроде полнее.

Но! В правовом государстве именно дух — на первом месте. Уголовный кодекс — информация для размышления для судьи, не более. Судья может назначить наказание которого в кодексе вообще нет.

[Megakazbek]

Возможно, что вы просто не сумели раскодировать желания людей и ввели себя в заблуждение этим наблюдением.
Моё предположение такое, что люди предпочитают, чтобы среди них не было злоумышленников, творящих вред. Иногда эта задача решается неотвратимостью наказания за нарушения законов, но в некоторых случаях — нет. Из-за того, что вы неверно интерпретировали, к чему именно люди стремятся, вам и кажется, что они хотят то одного, то другого, хотя на самом деле они во всех случаях хотят одного.

[mSnus]

Некоторые законы написаны откровенно плохо и многое не предусматривают. Их надо переписывать, а не прогибать людей под кривые правила.

[Evgen52]

Я к этой мысли и пытался подвести читателя: законы надо переписывать, а не нарушать. То есть если не согласны, то сначала меняем закон, а потом уже действуем.

[ascheck]

Вопрос философский. Лев Николаевич Толстой был иной точки зрения, например, и осознанно не соблюдал законы, с которыми не согласен. И он в этом не уникален.

[Evgen52]

"Справедливости" можно добиваться разными путями. Можно добиваться принятия и соблюдения "справедливых" законов и измения/отмены "несправедливых", а можно игнорировать и нарушать те законы, которые лично считаешь "несправедливыми". Коррумпированные чиновники, очевидно, идут вторым путём. Я лично за первый. Просто понятия справедливости у разных людей разные, чисто субъективные, а закон — это общая база для общества, она хоть как-то объективна, и логичнее отталкиваться от неё. Если смогли убедить большинство людей в том, что ваша "справедливость" хорошая и несёт добро, то есть смогли принять это как закон, то прекрасно.

[ascheck]

«Закон что дышло...»
«Дуракам закон не писан...»
«Законы пишутся для подчиненных, а не для начальства...»
«Не пойман — не вор»
Это не мои мысли и не мои взгляды, просто напоминаю, что они есть.
Мы уходим в философию. У меня достаточно давно и ясно сформировалась часть картины мира, касающаяся законов: они ничего не запрещают в полном смысле слова «запрет», они только обозначают возможное наказание. Факт наказания и его суровость зависит от живых людей, а не объективных фактов, это субъективные вещи. Аналогии с футболом вполне уместны, вспомните «руку Бога» и «подвиг Суареса».
Я Ваше мнение услышал, но не хочу вступать в полемику, предлагаю просто взглянуть на этот же вопрос под другим углом.

[letchik]

Вы упускаете один очень важный момент: Уголовное наказание не следует из-за слепого нарушения статьи УК, нужно ещё наличие состава преступления.
Одним из признаков состава в уголовном праве является объективная сторона преступления, часть которой — общественно опасные последствия, а также преступный умысел.
В данном случае ни того ни другого нет. Состав преступления отсутствует.
Когда мы говорим про нарушения ПДД и коррупции — объективная сторона на лицо.

[Evgen52]

Да, спасибо, я об этом уже написал в своём последующем комментарии и извинился. Был, правда, аналогичный спор под статьей про mew атаки недавно, и вот там уже был состав преступления, так как данные умышленно удалялись. Но реакция многих участников обсуждения была аналогичной: хакеры красавчики, научили нерадивых админов, что надо защищать базы. Невольно в голове сработал триггер и на эту статью.

[ascheck]

Если вы забудете закрыть дверь в квартиру и кто-то просто зайдёт, ничего не возьмёт, просто походит, может даже в бахилах, чтобы не напачкать — это не нарушение? А если он после этого на подъезде напишет «в квартире №ХУ не заперта дверь», тоже? Общественно опасные последствия налицо — повышение интереса к проверке структуры на прочность.
Я на стороне автора и надеюсь, что моральный аспект перевесит в головах уполномоченных лиц, но даже просто проникнуть в чужую сеть без согласия владельца — нарушение.

[blind_oracle]

Недавно кто-то там уголовно возбудился на "нарушение неприкосновенности жилища" какого-то любителя новичков и шпилей из ФСБ.

Статьей 25 Конституции Российской Федерации закреплено право каждого на неприкосновенность его жилища. Никто не вправе проникать в жилище против воли проживающих в нем лиц, иначе как в случаях, установленных федеральным законом, или на основании вынесенного в соответствии с ним судебного решения.

За нарушение неприкосновенности жилища установлена уголовная ответственность, предусмотренная  статьей 139 УК РФ.

[letchik]

Если просто походит, ничего не возьмет и выйдет — то скорее всего дело так и закроют.
Из интернета:
«В то же время использование обмана, злоупотребления доверием для проникновения в жилище не образует рассматриваемого состава преступления, поскольку в этих случаях лицо проникает в жилище по воле проживающего в нем лица, хотя оно и находилось в заблуждении относительно тех или иных обстоятельств.» Проникновение в незакрытую дверь, можно квалифицировать как злоупотребление доверием, всё зависит от того, что будет говорить подозреваемый.
А вот если напишет — это уже будет совсем другая квалификация.

[Dr_Faksov]

Как ни странно — если войдёт, то преступление.

[ne555]

не следует из-за слепого нарушения статьи УК

А вот автор (если он тот за кого себя выдает) прошлой статьи в чате пишет, что дело заводили (за доступ)

Заголовок спойлера

[tmin10]

Он тут ниже в комментах отметился тоже.

[letchik]

Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава. Сам факт наличия дела — не говорит о виновности, вину устанавливает суд.
И, простите, «дело заводили РЖД» это как?

[ne555]

Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава, и в справке о судимосте факт привлечения будет висеть до конца жизни.

И, простите, «дело заводили РЖД» это как?

Может юзер запятую пропустил перед последним словом, но лучше уточнить у него самого.

[kspshnik]

Факт привлечения — это постановление руководителя следственного органа, а не чих младшего дознавателя. И при закрытии по отсутствию состава такое постановление даже не выпускается.

[spqr_voldi]

С самосознанием всё нормально. Вопрос в том, *кем* и *в чьих интересах* принимаются законы.

[lazer1064]

Совершенно с вами согласен! Автор однозначно злодей, ибо его действия могут привести к тому, что Беллингкет уже больше не сможет ничего расследовать в этой стране и потом радовать нас феерическими результатами! Я категорически против этого, я требую развлечений, и не только про стирку трусов фигуранта, но и еще чего нибудь, а то так и со скуки сдохнуть можно!

[Evgen52]

Простите, но вы согласны не со мной. Я нигде не утверждал, что автор злодей, я не призывал его наказывать. Даже специально дисклеймер написал:

не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны

Я вообще не про автора писал, а про нюансы формирования общественного мнения.

[jedecuz]

Да, автор совершенно зря попытался взаимодействовать с организацией оставаясь в правовом поле.
Надо было максимально анонимно и широко распространить материалы по уязвимостям в сети, дабы организация убеждалась сама.

[Dubor]

чтобы решать, попадает автор под действие статьи или нет, нужно не ее название читать, а саму статью:

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

[ascheck]

Да бросьте… Просто проведите аналогии, применительно к себе: кто-то, допустим, подобрал пароль к Вашему ящику. Это не будет преступлением, пока он не уничтожит/заблокирует и т.п.? К тому же, даже банальные скриншоты — это копирование.

[Dubor]

суд принимает решение не по аналогиям, а по вполне определенным правилам: опираясь на текст конкретной статьи и практике применения данной статьи.

мы же говорим о том, «попадает ли автор под действие статьи?», а не про то, считаю ли я преступлением то, что кто-то сумел подобрать пароль к моей почте?

[Trunk]

Интересно, на каком этапе в РЖД сейчас процессы по категорированию и защите ОКИИ (Объектов критической информационной инфраструктуры)? Возможно уже все категорировано и защищено? По бумагам…

[syrslava]

Видимо, на этапе «Фотографировать здание вокзала запрещено, это стратегический объект!!»

[Harwest]

Да-да, при этом лично проходил на вокзале двухэтапный контроль с интраскопами: проводили в спец комнату попросили включить и показать зеркалку. При этом в том же рюкзаке лежал пакет с десятком огневых фальшфаеров и цветных дымовых шашек.

[questor]

"Театр безопасности"

[DaemonGloom]

"Ну хоть что-то у нас в безопасности."

[El_Kraken_Feliz]

Камеру вырубать надо?:)

[ascheck]

«попросили включить» — это другое. С ноутбуками та же история, просят включить, чтобы убедиться, что это ноутбук/камера, а не способ пронести на борт что-то что нельзя.

[jok40]

Вы не поняли сути прикола. Это бородатый интернет-мем.

[PsyHaSTe]

[gresolio]

[EVolans]

Всмысле на каком? Провели категорирование и отписались как все и все. Требования защитить насколько я помню нет. Плюс на это деньги то с бюджета пойдут — можно конечно за свой счет если разрешат, но вроде страна не на столько дураков, т.е. защищаться пол страны будет за наши налоги. Ощущение что вы 187-фз вообще не читали ниразу.

[Trunk]

Почему же нет требования защитить?
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
Сроки да — точно не определены и зависят от сроков проведения категорирования.

[EVolans]

Срок проведения категорирования уже прошел, краний насколько помню был 1 октября 2020 года, потому что подача окии был срок 1 сентябя 2019 года, а категорирвоание в течение 1 года со срока подачи ОКИИ.
Для вас «требование защитить», и «требования по/к обеспечению защиты» синонимы? Вы правильно заметили — сроков после подачи категорирвоания нет. И не будет в ближайшее время, прост опотому что это не возможно в ближайшие несколько лет по факту. ЭТо физические не возможно, нет ни оборудования, ни кадров, а там на минуточку от 5 лет светит минимум. Кто на это пойдет работать за копейки?

[Scratch]

Мне кажется, пока им реально не снести все камеры, они ничего не сделают. Опять отмахнутся и всё

[dvserg]

Да камеры — это только верхушка айсберга. С таким подходом и критически важные элементы управления уязвимы. Что стоит «звездатым» хакерастам остановить национальные ЖД перевозки в какой-либо критический момент?

[HappyS]

ну потом какой нибудь школьник по приколу положит все это дело, а будут орать что это байден взломал. коллапс будет колоссальный транспортный. перевозки грузов стоят миллиарды рублей, не говоря уже о том что там полюбому где то есть самописная древняя как *** мамонта система управления стрелками, и можно просто два состава воткнуть друг в друга.

[vyo]

самописная древняя как *** мамонта система управления стрелками

Задача не из самых популярных, так-то говоря, чего бы системе и не быть заказной/самописной? Понятно, что она на деле дико корявая и далека от best practices, но самописность к этому же не обязательно приводит.

[slepnoga]

Вы эта, СУ СБЦ недооцениваете ))
Там до сих пор релейная автоматика на стативах, 60 вольт от телефона и все прочие дела и технологии времен главного железнодорожника Лазаря Кагановича.

[Myxer]

Поправьте меня, если я неправ, но когда оно все ляжет, то это никак не отразится на карманах тех, кто этим управляет. Зато когда это все надо будет восстанавливать значительная часть средств осядет в их карманах.
Так что получается они руководство напрямую финансово заинтересовано в наличии этих дыр и в действиях школьника.
Потом конечно скажут что он смотрел "берлинского пациента" и вобще завербован ЦРУ.

[zetroot]

Fallback до жезловой сигнализации не позволит

[KivApple]

Так это надо успеть среагировать. Ясное дело, что уже через сутки, если не меньше, поезда хоть как-то, но ходить будут. Но что мешает пользуясь эффектом неожиданности столкнуть/свести с рельсов несколько наиболее интересных поездов (а ещё бонусом заблокировать несколько интересных путей, жезловая сигнализация покорёженный поезд с пути не уберёт)?

[JerleShannara]

Железо в СЦБ делалось в те времена, когда ПК был Паровым Котлом, а не компьютером. Оно тупо не даст так выставить стрелки, пока будет исправным.

[El_Kraken_Feliz]

Вообще есть возможность пустить поезда лоб в лоб, отключив СЦБ
Так что глубоко в теории это не помеха

[DMGarikk]

этож каким образом то? руками переключая стрелки и заставив всех участников движения нарушить все существующие регламенты?

[psydvl]

Ну предположу что человек который переключает стрелки слепо верит тому что ему компухтер напишет
Так что да, чужими руками переключая стрелки в неподходящий момент

[DMGarikk]

стрелки практически везде прелеключаются автоматически. чтобы вручную переключить автоматическую стрелку, надо кучу бумаг потом исписать и чутьли не лично нескольких вышестоящих начальников в известность ставить

а ручные стрелки переключаются стрелочником по указанию диспетчера (по рации, а не по буковкам в комьютере… стрелочники у нас еще не доросли до своего компьютера), а тот в свою очередь верит не компьютеру, а графику движения поездов, схеме станции (в своей голове в первую очередь) и фактическому расположению подвижного состава там (тоже по сочетанию графика, своей головы и самое главно — рации)

[Jsty]

А данные о location поезда возможно сфальфицировать? Как они диспетчеру передаются? Может ли он увидеть поезд не там, где тот находится, а за 10 км до того местаб например, и на основе этого решение принять о переключении стрелок?

[JerleShannara]

Если отключить СЦБ, то поезд, условно говоря, перейдёт в «безопасный режим» с кучей ограничений, в том числе и по скорости и по действиям машиниста.

[Sap_ru]

Можно, например, перевести стрелку под составом. Или непосредственно перед составом — светофор-то переключится, но затормозить машинист всё равно не успеет.

[DMGarikk]

железо СЦБ сейчас уже апгрейдят

[adictive_max]

Прямо столкнуть или с рельсов свести — это сильно врядли. Там везде, где только возможно, защита от дурака зашита на аппаратном уровне, уж на таких критичных операциях — точно.

[unC0Rr]

Беглый поиск в гугле подсказывает, что перевод стрелок под поездом случается регулярно, а есть и вообще такое, меньше двух месяцев прошло:

26 ноября лоб в лоб столкнулись два грузовых состава с углём. Удар был такой силы, что первый вагон «обнял» тепловоз. Интересно, что об этом ЧП не писали транспортные СМИ, хотя авария серьёзная. Гружёные вагоны раскидало на несколько десятков метров. Пострадали ли локомотивные бригады, неизвестно. Зато есть информация о виновнике происшествия. Оказалось, что столкновение произошло по вине пресловутого стрелочника. Дублёр дежурного по станции неверно перевёл стрелки, направив поезда навстречу друг другу.

[Anrikigai]

Вообще очень удивительны мне такие истории.
Там же везде телематика стоит. Светофору никто красный не включает, он сам зажигается, когда поезд на конкретный участок пути въезжает.
И выключается сам, когда поезд покаидает этот участок.

Поэтому бывают переезды, которые подолгу стоят закрытыми в отсутствие поездов. Условно говоря, Состав заехал на перегон, и остановился. Может электричка, а может просто технические какие-то работы.

И сами поезда не должны на следующий перегон выезжать, пока он не освободился…

Со стрелкой надо, пожалуй, в рамках одного такого перегона столкнуть.
Так что, возможно, случаи перевода стрелок гораздо более часто встречаются, чем мы об этом знаем. Просто при достаточном расстоянии предотвращаются автоматически (остановкой и потерей времени).

[Norno]

Вопрос же еще в расчетном пути торможения, одно дело когда надо «не догнать впереди идущий поезд» или «успеть остановиться до стоящего» и другое когда 2 поезда движутся навстречу друг другу, вполне вероятно, что как раз последняя ситуация и не решалась имеющейся системой. А у груженого товарного поезда инерция ого-го.

[Anrikigai]

Да, согласен.
Поэтому и полагаю, что такие инциденты на самом деле не так и редки.
Просто мы знаем о тех, когда звезды сошлись ну совсем уж неудачно.

Примерно как на дорогах — даже суперводители совершают ошибки. Но большинство из них корректируется другими. А ДТП происходят, когда несколько факторов сошлись.

[Fragster]

В реальной жизни там есть еще и желтый цвет, который сообщает о том, что дальше будет красный. Это при попутном движении. А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда. И это не один светофор, они установлены через каждые n метров (сколько этот n не знаю, но на прямой видно почти всегда несколько. Наверное есть какие-то нормы на это)

[DMGarikk]

А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда.

там тоже по разному бывает, есть вариант когда они вообще не горят если направление 'встречное' и у машиниста есть инструкция что делать если светофор не горит и не закрыт скрещенными планками

[Fragster]

В open ttd это называлось path based signals, и служило для (имхо читерского) увеличения пропускной способности блоков со стрелками. Могу предположить, что на крупных станциях с большим количеством стрелок никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками. Как раз из-за не очень хорошего планирования (задержали отправку или кто-то приехал раньше) или перегруза станции. А «под поездом» переводят стрелки тупо потому что напутали. Ну или нет инфы, что он закончил движение по ней.

[DMGarikk]

никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками

1) никто не ставит — да
2) разруливается всё автоматикой, 'враждебный маршрут' просто не соберется… на некоторых станциях пути не кодируются и светофоры на них не стоят маршрутные… максимум маневровые, ответственность за сборку маршрутов несет диспетчер вместе с автоматикой… машинисту стоит только доступные сигналы смотреть и то что стрелка правильно переведена

А «под поездом» переводят стрелки тупо потому что напутали.

не напутали, а чтото гдето глюкануло, реле залипло, не сработал концевик у стрелки… СЦБ очень сложная система и в ней как в любой сложной системе есть баги и всякие неявные глюки против которых есть костыльные обходы… и при нарушении регламентов (ремонта, обслуживания, сборки маршрутов) и происходят такие казусы
… гдето читал телеграмму… не сработал концевик у стрелки, ответственный не предупредил диспетчера, (надо закрывать перегон по регламенту — а это срыв графика, а срыв графика — прощай премия), сунул перемычку и пошел чинить, пока шел там уже поезд завалился.

[SH42913]

Ну вот, спасибо за напоминание, теперь опять пропаду в OTTD на несколько дней :D

[imm]

Переходи на темную сторону Factorio, там тоже есть паровозики

[SH42913]

В Factorio ты делаешь транспортную сеть для себя, а в OTTD для людей! Ну и автобусов в Factorio нету :D

[ardraeiss]

Люди в OTTD лишь один из множества грузов.

[Fragster]

От организации транспортной сети зависит рост городов

[Sap_ru]

Светофоры действительно работают независимо и переключатся, но стрелку деспетчер-то может в любой момент перевести. Принудительно сбросить маршрут по ключу и перевести. Учитывая, что ДЦ уже давно электронное и сделано на говне — кривые программы на каком-нибудь QNX — то всё это более чем возможно.

[Vrocheck]

Диспетчер не может сбросить занятый маршрут, не может произвольно перевести любую стрелку. Автоматика в СЦБ надежнее людей, которые с ней работают.

Для таких «инцидентов» должно совпасть несколько факторов: неисправность + ошибка работника, или одновременная ошибка нескольких человек. При количестве инструкций на жд, ошибка человека — всегда нарушение чего-то должностного. Т.е. всегда есть крайние и не «назначенные», а действительно виноватые.

Поэтому работа в «поле» — сложна, ответственна и не благодарна.

А вот IT туда пришло сильно позже и не пропитано спецификой.

[EvilBeaver]

уж на таких критичных операциях — точно

А точно?

[Tomasina]

www.youtube.com/watch?v=RdF6DaeOeX4

[modestguy]

Для того, чтобы начать что-то делать — нужно освоить бюджет )))

[questor]

Если им вырубят камеры — они просто посадят того, кто это сделал и попросят много мильёнов из бюджета. А если вырубят из третьей страны — обвинят каких-нибудь американских хакеров, удобно же.

Так что скептически оцениваю возможность изменить к лучшему таким способом, слишком там сильно забюрократизированная структура.

[Leonid_E]

Так и вырубить через омериканский прокси или впн :)

[TimsTims]

обвинят каких-нибудь американских хакеров

Причем не будут говорить, что у них всё было дырявое. Скажут, что это были либо шпионы, либо из-за оборудования с бэкдорами…

[Viceroyalty]

Они наживутся на закупке новых и скажут «ломайте есчо»
(сарказм)

[imbasoft]

По логике вещей РДЖ — это критическая информационная инфраструктура (КИИ, 187-ФЗ) и по данному случаю должны возбудится ФСТЭК, ФСБ как церберы данного вопроса.

Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.

Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.

Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.

[LMonoceros]

Честно говоря, я много об этом думал.
С одной стороны весов — попасть под статью, а на второй — национальная безопасность всей страны.
Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы… Я дурак?

[KorP]

А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…

[dakuan]

Тут палка о двух концах. Если обратиться напрямую в РЖД или компетентные органы, то статья может точно так же светить (прецеденты были, к сожалению) и в этом случае публичная огласка и поддержка общественности может помочь автору.

[KorP]

Этичный хакинг, если это не касается вашей собственной железки/системы, это изначально палка о двух концах.

[TheKnight]

Что ж, остается пожелать вам удачи. Будем надеяться, что разум победит и все с вами будет в порядке.

[Viktor_T2]

Да, дурак, извини. Ты поимеешь проблем.

[MartiniStar]

Романтик. Да. Но уж точно, не дурак.

[Miharus]

Есть такой русский фильм, он так и называет «Дурак», там ситуация описана 1 в 1.

[Barma2012]

Совершенно верно!
Отличный фильм, кстати — всех россиян приглашаю к просмотру ))) Будет актуально.

[sim2q]

тяжёлый фильм, лучше Аритмию глянуть

[AllexIn]

Никакого описания 1 в 1 нету.
В фильме ГГ полный идиот, который вместо того, чтобы донести информацию начинает тупо истерить и выгонять людей на улицу.
Это как если бы автор статьи пришел на вокзал и начал орать, что все должны уйти, потому что сеть РЖД в любой момент может нагнуться. Согласитесь, совершенно идиотское поведение.
Так что, повторюсь, название фильма соответствует уровню интеллекта ГГ и не имеет отношения к автору этой статьи.

[N1ght1ngale]

Такие статьи, как мне кажется, лучше постить либо находясь не в России, либо с использованием всех возможных средств обеспечения анонимности.

[Darth_Anjan]

С одной стороны вы правы, и многие, я думаю, вас поддержат. А с другой стороны, мы же в России живём… Смотрели фильм «Дурак» (2014)?

[nerudo]

Я даже к нему финальную сцену придумал: рассматривает кто-то его бумажки с вычислениями, всматривается и говорит: «Так он же десятичную точку не туда поставил. Во дурак!!!»

[rexen]

Россия тут не уникальна. Достаточно вспомнить историю с Боингами 737 Max. Даже параллели со статьёй есть — например, Боинг «сам себя сертифицировал» — так же, как и «РЖД сам себя аудировал».

[MartiniStar]

Россия начинается с себя.
Это не фильм. Это человеческие жизни.

Вы знаете что он там нашёл?
Если согласились что не дурак, то понимаете что козырь в рукаве припрятал.

Вот лично яб, не поехала сейчас даже на электричке.
Дети ломанулись проверять, что там интересного есть.

Неее, не смотрела. ))) Мне уже по названию, не очень нравится. ))))

[syrslava]

У «Идиота» Достоевского тоже сомнительное название. Однако)

[MartiniStar]

Дурак не интересен, а идиот всегда.
Как правило, яркая личность с богатым внутренним миром )))))

[wigneddoom]

Я смотрел, фильм хорош, правильный посыл, интересная история. Но, что касается действий и поведения власть имущих, то какая-то клюква. Складывается ощущение, что сценаристы насмотрелись американских фильмов и натягивают их реальность, где действительна сильна местная власть в штатах, полиция подчиняется мэрии и т.д., на российские реалии.

[MartiniStar]

Мой комент не информативен.)

Оооо вы такой милый в этом ответе. (Смайлик с глазками из сердечек) )))

Вот настоящий рыцарь нашего времени, защищающий свою страну и обычных граждан.
(Смайлик с глазками из сердечек) )))

Власть будет иметь претензии, подумаем, поможем. Напишите на habr ;)

[yewuv]

Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы…

К сожалению, тут уже вопрос не в том, накажут (не дай бог) вас или нет. А в том, заделают ли все дыры или ограничатся парой-тройкой указанных. И, к сожалению, при таком подходе к работе вполне вероятен второй вариант, то есть фактически безопасность никак не изменится.

[outlingo]

Там все средства распилены и занесены куда надо кому над ов нужных пропорциях, поэтому на выполнение работ денег нет. Поинтересуйтесь сколько там получает какой-нибудь «ведущий специалист» и потом попробуйте представить, пойдет ли на такую оплату спец достаточно высокой квалификации?

[ascheck]

Ой, вот в средствах они не особо ограничены. Когда РЖД надо, оно берёт из бюджета сколько надо. На что оно тратит — другой вопрос, но вопрос исключительно их желания, а не возможности.

[reci]

Предыдущий комментарий об этом и был)

[Fragster]

Вероятность того, что после этой статьи какой-то скрипт-кидди с нестабильной психикой это сделает сильно возрасла. Сецурити бай обсцурити, все дела. А Джо реально не Неуловимый в данном случае. Интересно только одно — автор действительно нарвался случайно, или все-таки был интерес?

[Viceroyalty]

У скрипт-кидди обычно нет цели сломать все на корню

[ascheck]

да, но есть минимум 2 случая в истории когда это делалось скрипт-кидди случайно.

[Jsty]

Можете привести примеры?

[questor]

Прямо говоря: да, вы дурак, могли бы сидеть и промочать в тряпочку. Когда за вами придут — опубликуйте кошелёк, куда можно перевести добровольные пожертвования на хорошего адвоката, попробуем отбить, как Голунова в своё время не дали посадить.

[Vort123]

Всего лишь надо было пожертвовать пиаром и опубликовать статью с одноразового аккаунта. Скрывая свой IP как во время исследования сети, так и во время публикации статьи. Если там такие специалисты, то цепочку прокси им не раскрутить, даже с помощью Яровой.

[jawakharlal]

как мне кажется -вам сейчас надо срочно валить за пределы страны, хотя бы на месяц.

[questor]

Я надеюсь, что УЖЕ. ДО публикации статьи.

[lazer1064]

А мне кажется, что для «фигуранта», ну который «берлинский поциэнт», и его коллег из беллингката есть новая тема для феерического расследования.

[playnet]

Месяц? Лет 5 минимум. Подруге жены так пришлось в турции остаться, уже третий год как. Липовое обвинение на родителей выдвинули, но и их арестуют если получится (я так понимаю, в розыск только внутри страны подали). Родителей до сих пор «судят».

[MasMaX]

Главное не на поезде

[PsyHaSTe]

Удачи вам. Не пропадайте из информационного поля, пишите что как

[O5e2e2]

Думаю найденные вами уязвимости наверняка мониторятся спецслужбами наших западных партнеров. И не только в РЖД.
А вам явно пора на воды на месячишко, другой.

[O5e2e2]

Ух ты!!! И в карман ему и наверх ему… :)
Представители спецслужб наших западных партнеров всегда на посту!

[tehdima]

Не дурак, но вызываешь сочувствие в хорошем смысле
Прекрасно понимаю эту боль и тягу к жертвенной справедливости, и, честно говоря, жертва абсолютно равноценная. Была бы если бы это на самом деле решило проблему.
Скорее всего, если это все до них дойдет, они спустят на тебя собак что бы замять эту тему под темой «УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ», потому что их основная задача не сделать хорошую систему, а прикрыть свои задницы.
И вот от этого еще грустнее, потому что поезда нужны не потому что они удобны и быстры, а потому что это критически важная инфраструктура в случае черезвычайных ситуаций и военных действий, и если эти ситуации возникнут по вине злоумышленников то им ничего не стоит и лишить нас этой инфраструктуры. Но это функционеры не видят за тенью своих годовых премий.

Я правда надеюсь с автором все будет хорошо, помню его еще по старым статьям про прошивки роутеров. Если мне не изменяет память то на хабре был прецедент преследования после какого-то пинтеста метрополитена.

[Areso]

УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ

До боли напомнило, когда нашли открытый ftp сервер МВД (?) Украины… и опубликовали это на Хабре.
ужасные, коварные, русские хакеры из интернетов, агась
А Хабр обозвали хакерским не то форумом, не то сайтом.
Буде посмотреть на развитие событий, как говорится.

[Zolg]

Это интернационально: ведь и в solarwinds123 оказывается JetBrains виноват

[Louie]

Пока никакого попадания под статью нету. Все, что опубликовано здесь — не может быть однозначно идентифицировано. Преступного умысла нет. Доказать, что именно вы получили доступ куда-то весьма сложно. Но это пока.

Рекомендую проконсультироваться с адвокатом на предмет дальнейших действий, т.к. при контакте с РЖД или правоохранителями придется обьяснять как и чего было. А в этом случае могут быть классические истории по Достоевскому, типа «Вы и убили-с».

[Materializator]

Экспертизу зачастую делают специализированные люди из специализированных номерных институтов. Так что уже можно собирать деньги на адвоката и экспертизы защитников.

[gxcreator]

Ну, типа.
Надо было публиковать с фейка через тор.

[dAllonE]

Я дурак?

Вам виднее. ¯\_(ツ)_/¯
Надеюсь перед публикацией вы оценили юридические риски, посмотрели на всякий случай видео о жизни в тюрьме и точно понимаете чем рискуете.

Лично мне, оценка «безопасности граждан моей страны» выше своей свободы не очень понятна. Вроде бы у IT специалистов нет особых проблем с переездом, можно просто выбрать страну с более защищенными гражданами, если очень беспокоит этот вопрос.

[Viceroyalty]

Нет, подозреваю, что Вы либо патриот, либо отчаянный человек, либо отчаянный патриот. Но все же лучше не рисковать.

[SerJ_82]

Товарищ, у вас случайно нет канала на Ютубе? =)) Рассказ был крайне интересен, и может есть такие же обучающие видео?))

[sim2q]

Я дурак?

Если честно? — необдуманно, если со своего акка…
upd: глянул — профайл обжитый, эх… Удачи Вам!
up2: и нам — в не меньшей степени как юзерам всего вот этого

[hamMElion]

Вы не дурак — вы журналист. Задача журналиста находить, проверять и распространять информацию. Вы это сделали, причем отлично и профессионально. К сожалению, в России журналистов преследуют. Как можно скорее свяжитесь с профессиональным журналистским сообществом — вас защитят, им не привыкать. Профессиональное айти сообщество пока так, к сожалению, не умеет.
Второй момент — наведенная вами прозрачность на качество работы ответственных за это людей позволяет привлечь их к ответственности. И это им нужно реально бояться, а не вам. Вы просто сказали — а король-то голый. Очень-очень круто!

[strcpy]

Поступок идеалистический, вы видимо исходите из того, что вас окружают граждане. Но это не совсем так, это население, которое одобрило поправки в конституцию, которые в целом обеспечивают безнаказаность и стабильность феодальной системы.

[dvserg]

Да по сути здесь бы РКНу или какому-нибудь надзорному отделу МО за задницу хорошо взять разгильдяев от бизнеса. Любая критически важная для выживания страны в не мирное время структура должна быть защищена. Но «мы» можем только телеграмм пытаться блокировать.

[BioHazzardt]

Но «мы» можем только телеграмм пытаться блокировать.

ИЧСХ даже этого сделать не смогли

[ximaera]

Регулирование КИИ включает в себя также понятие преступной халатности, так что РЖДшникам также должно прийтись несладко.

[vanxant]

халатность наступает, только если есть ущерб (в прямых деньгах или здоровью-жизни).

[sinneren]

О, ведь это получается дешёвая, почти бесплатная защита. Зачем нужно тратиться на проектирование, интеграцию, поддержку такой системы, когда можно прикрыться такими влиятельными органами. Ведь если «дурак» влезет и что-то сделает, на него спустят всех собак, при том не своих, затраты — 0 (почти, издержки из той статьи расходов на камеры там, куда меньше, чем платить спецам хорошим. А ведь можно будет и попилить закупки в итоге, еще в наваре).

[Areso]

Не до всех дураков «влиятельные органы» могут физически дотянуться.
Пока Интернет окончательно не разрезали на лоскутное одеяло в пределах стран, всегда есть шанс, что там поиграется кто-то из нерезидентов.

[sinneren]

согласен. куда не дотянутся — там вон про издержки как я писал. А терр угроза как по мне за уши притянутое уж.

[alexhott]

Вот если автора начнут докучать, то в отместку от может написать всем этим органам и они будут вынуждены проверку провести, а без заявления не шевельнется никто, по бумажкам все чиннно.

[svs422]

Не только статья 272, но и 274.1. Можно посмотреть на этот счет накопленную судебную практику, интересные прецеденты уже были. Вот пример из блога моего коллеги, Валерия Комарова:
valerykomarov.blogspot.com/2020/11/2741.html
Если коротко — сотрудник сдавал экзамен для допуска к выезду и решил воспользоваться программой для обхода системы тестирования. Использование такой программы приравняли к «использованию компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации».

Так что, к сожалению, закон в этом случае может сработать, если применить аналогичную аргументацию. Но надеюсь, что предупрежден — значит вооружен, и автора это не коснется.

[dakuan]

Пугающая новость. При таком подходе к безопасности в этой сети запросто могут отыскаться не только незащищенные камеры, но и системы посерьезнее, с помощью которых злоумышленники могут натворить дел.

[questor]

Конечно найдутся. Вот например, под новый год опубликовали новость, что два года официальные лица в МВД пользовались чатиком в ватсапе, где публиковались передвижения первых лиц в государстве. Двести человек знало, Карл! Ни один не догадался, что это прямой слив информации! И это может быть завтра объявят фейком, но видя такие дыры, как в статье, очень сложно не поверить, что у нас в безопасности всё хорошо.

[androidt1c]

Вот совершенно наплевать, если утекут данные о передвижениях чиновников. А РЖД — это серьезно. А что у нас? Наказали кого-то из РЖД после предыдущей публикации. Скорее — наградили. А за чатик в ватцапе — сразу главу ГИБДД сняли. Наглядно — приоритеты властей!

[Daimos]

Видел комментарии, что туда дезу сливали, но в такое слабо верится.

[KorP]

Главное, что бы очередным «натуралистом» не объявили и товарищи в погонах не пришли.

[AndreyDmitriev]

Если там scada наружу торчат, то может там, внезапно и стрелки можно переводить?
Я много где на заводах работал, но такое впервые вижу. Обычно сеть проектируется разумно изолированной, а выходы в инет для сервисных целей защищаются несколькими замками.

[questor]

А ещё лучше: физически чтобы не было входа в изолированную сеть. Бывало, по два компа ставили на рабочее место: один в заводскую офисную сеть имеет доступ, другой — в АСУТПшную.

[el777]

Для защищенных сетей с уровня ДСП и выше только так.
Я когда услышал про это лет 20 назад смеялся — типа, вот чуваки даже про фаерволы не в курсе. Но на самом деле только так и можно. Кто знает какие есть дыры в самом фаерволе, его прошивке и т.п.? А они точно есть и только ждут своего часа.
Подтверждение — диверсии спецслужб против Иранской ядерной программы. Началось безобидно с возможности вставить флешку в USB, закончилось физическим распидорашиванием кучи ценнейшего оборудования, потерей наработанных веществ и нереальным убытком.

[knotri]

диверсии спецслужб против Иранской ядерной программы

А где про это можно прочитать подробнее?

[Naves]

habr.com/en/post/159053
ru.wikipedia.org/wiki/Stuxnet
ну и далее по ссылкам

[me21]

Google stuxnet

[onix74]

Инфраструктура РЖД, насколько я понимаю, относится к стратегически важным объектам. Должно быть всё выверено, проверено и перепроверено, всё по протоколам и «чек-листам». Неужели везде у них норм, а в сети такой бардак. Судя по этой статье и по статье, на которую ссылается данная, сеть строил «сын маминой подруги». Не укладывается у меня в голове, что может быть такой бардак. И верю не до конца, хотя и понимаю, что много специалистов, которые только лишь сертификатные специалисты.

[ert112]

Хотели бы сделать РЖД безопасной — сделали бы. Кхе-кхе (с)

[alamer]

«Сын маминой подруги» зачастую сидит на аутсорсе.
Когда РЖД внедряли портал, с которого утекли персональные данные, мы с коллегами докладывали начальству о том, что персональные данные всех сотрудников после авторизации фактически в открытом доступе. Но никто не воспринял разработчиков из региона всерьез и отмахнулся.
При этом нашим системам регулярно устраивали аудит.

[belyvoron]

понимаете, в чём дело. У нас в стране есть ИБ «чтобы соответствовать по бумажкам» и ИБ для реальной защиты. И вот совершенно разные. Вплоть до того, что файрвол, который имеет сертификат ФСТЭК, не защищает ни от чего. По одной простой причине, чтобы получить сертификат ФСТЭК, вендор выпилил всё что не прописано в нормативных требованиях, то есть по факту 90% того, что имеет отношение к реальной защите в современных реалиях.
Поэтому потребитель строить сеть либо чтобы соответствовало, либо чтобы была хоть какая-то защита, либо и то и то, но в 2 раза дороже. Если ты КИИ, то не соответствовать ты не можешь.

[force]

Да-да. Давайте шифровать взаимодействие. Но для этого же нужно пароли/сертификаты/ключи где-то хранить, а это мы сразу попадаем на разборки с безопасниками. Ок. тогда не будем шифровать, нет паролей — нет проблем.

[coolmiha]

Вы нашли открытый прокси или vpn? Как вы через прокси (http? socks?) попали во внутреннюю сеть?

[LMonoceros]

Я и то и другое нашёл. И не в одном экземпляре.

[denisshabr]

всё равно непонятно. VPN же требует пароль? Он был сохранён в микротике, в котором была открыта прокси без пароля?

[blind_oracle]

Прокси без разницы куда делать коннект — внутрь или наружу. Если оно не настроено правильно, конечно.

[saintbyte]

Прям фильм про хакеров из 90х.
Хотя я подозреваю это проблемы роста — я каждый день удивляюсь как навнедряли технологий в РЖД — прям светлое киберпанк будущие. А по сути со всеми этими технологии — люди которые вот отличие от меня испытавают не радость, а раздражение «этими инновациями»

[mentatxx]

Зарплаты небольшие, мониторинга очевидно нет, результат понятен

[u440]

На счёт зарплат в РЖД — информация несколько не корректная.
Они там выше медианы рынка, причём прилично.

[alamer]

Откуда информация? Сам отработал там в IT. И знаю ребят в IT в москве. Найти оффер на x2 от той зарплаты, что платили там, было очень просто. Буквально неделю заняло

[u440]

Когда подбирал себе людей (банковский сектор, ИТ) несколько раз РЖД перебегал дорогу зарплатами. Что было несколько удивительно, так как слухи про них как раз были, что там всё ИТ в нищете.

[DMGarikk]

вы когда так говорите, приводите в пример вилку
ну там например 150-250/250-300 миддл/сеньор

а то может вы себе людей подбирали на 50-100к и вам РЖД дорогу перебегал (вообще мне сложно представить вменяемого ИТшника который туда пойдёт хотябы просто с резюме… туда ходят обычно потомственные железнодорожники… но там своя секта такая внутренняя)

[u440]

Банковское ИТ.
2016 год.
Jun back — от 80 килорублей.
Senior back — 180 — 250 килоруб.

Собственно говоря уже отсылка к банковскому сектору осведомлённому человеку должна была всё сказать.

[DMGarikk]

Собственно говоря уже отсылка к банковскому сектору осведомлённому человеку должна была всё сказать.

Банковский сектор — это не только сбер. я вот к чему. далеко не все банки и связанные с финсектором организации платят по рынку

[outlingo]

Угу. Начальник отдела 300, 4 подчиненых по 50, в среднем 100. Знаем, да

[gecube]

когда звали в Сочи — там лаборатория у РЖД — зарплаты были сильно ниже рынка… Но это возможно я испорчен столичными ожиданиями (Северная Столица и Москва)

[playnet]

Везде по стране будет ниже москвы, это да. А вот питер уже может быть не сильно выше средних.
Для опытного девопса 200к в мск это маловато, для питера уже норм и думаю выше среднего. А в регионах да, там и 80 может быть круто.

[mentatxx]

Это не сложно проверить (вдруг за 10 лет многое поменялось)
Например, программист в Москве — от 60К, в Нижнем Новгороде — от 40К
team.rzd.ru/career/list/job/programmist

[u440]

Москва. 2020 год. Крупный вендор.
Программист бэк-энд junior (в терминах РЖД — «программист») — от 40 килорублей.

[around84]

а сыров и того меньше =)))

[nnick44]

Да, безалаберность полнейшая и какое то ощущение что это не только в РЖД

[t911]

«И чё!?» (с)
Логика топа скорее такая — то, что система не окружена рвом с крокодилами и не обнесена колючкой под напряжением, не означает, что можно легко залезть и открыть замок простой отмычкой.
Те кому надо инфой свободно пользуются, молча…
Кто навредит — легко найдут и покарают.
Имхо проще и дешевле ловить и наказывать, чем строить крепостные стены вокруг сарая.

[Yuriy_krd]

Кто навредит — легко найдут и покарают.

С таким бардаком, который описан в статье, думаете, это возможно?

[t911]

Это не бардак, а контролируемый хаос)))

[questor]

Слово "контролируемый" выглядит лишним в этом предложении.

[Strohmann]

Интересно, ты даже специально зарегистрировался, чтобы высказаться ;) Или уже поступил госзаказ на формирование восприятия статьи и приступили к выполнению?

[t911]

Ну да, решил выступить адвокатом дьявола.
И при чем тут госзаказ!? Я привел лишь одну из причин, почему в ржд все так сложилось. Не нужно параноить.

[SignFinder]

«Не подкармливать троллей». Отсутствие реакции на подобные посты ИМХО — лучшая реакция.
Хотя на хабре это не пройдет-публика тут не проглотит «Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.»

[u440]

Банан — иногда это просто банан. Не стоит придумывать (или проецировать тайные страсти) лишнего. Хабр славится своей «оппозиционной» картиной мира, но кроме борцов за независимость от разума и штатных пропагандистов на окладе существуют просто разумные и думающие люди. Которые просто высказывают своё личное мнение.
Которое почти всегда не совпадает с мнением борцов за всё хорошее и против всего плохого.

[vanxant]

Это в обе стороны работает. 86% берут массой, 4% за (N, M, ...) — организованностью и партийной дисциплиной.
No offence, просто наблюдение.

[Viceroyalty]

А что делают остальные 10%?

[vladkorotnev]

Жрут попкорн и молча наблюдают за побоищем :-)

[DGG]

Логика примерно такая, что если инкассаторов всё-равно грабят и любой инкассаторский автомобиль всё-равано можно раздавить танком, это не повод возить деньги в такси в картонной коробке

[t911]

Банк и привокзальный ларек все же разные по значимости и охране вещи.
Действует принцип целесообразности.

[DGG]

А аффтор как бы далеко не в системы управления ларьком влез

[andreyverbin]

Там scada системы торчат, теоретически поезд под откос можно пустить.

[stranger1101]

Найденные дыры очень знатные, нисколько это не хочу преуменьшать.
Но очень надеюсь, что «поезд под откос» таким образом пустить невозможно.

Даже если пустить два поезда на встречу на одном пути — есть же механизмы принудительного торможения, если такое произошло, если я ничего не путаю.
Которые реализованы уже на базе семафорной сети на основе просто того что колесной парой замыкается контакт между рельсами.

То есть несмотря на всю серьезность найденных уязвимостей (оставить РЖД без камер видеонаблюдения – это действительно очень стремно) – кажется что настолько жесткий прямой ущерб все-таки невозможен.

Возможно я ошибаюсь, все-таки это совсем не моя сфера интересов и знаю я её в основном по статьям на хабре же :)

[ilialin]

.

[Norno]

Выше приводили ссылку как из-за ошибки (буквально) стрелочника, столкнулись 2 поезд, так что, видимо, имеющиеся защиты отрабатывают не все возможные ситуации.

[slavai]

Нет. Системы СЦБ не дадут. Для опасных действий потребуется физическое участие ДСП либо старшего механика СЦБ.

Однако ж нарушить график движения поездов — легко.

[unC0Rr]

Ага, например, реализуется приведённый в статье сценарий, и вся РЖД остаётся без камер на месяц. Ладно, нашли-покарали, а ничего, что вся РЖД без камер осталась на месяц, не смущает? А если это будут иностранные диверсанты, и покарать не получается, так и сидеть без камер РЖД?

[t911]

А если марсиане или метеорит!???
А может это вовсе и не баг, а фича?))) А может даже перепись натуралистов…
Госструктура она как женщина — глупо искать в ее поступках и решениях прямую логику.

ПС. ох и заминусили ли то)))

[ximaera]

О, ну самое правильное было ещё и сексизмом сейчас полирнуть, да.

[t911]

Тебя это задело? Странно, в профиле вроде мужской пол указан.
Вообще то была метафора.

[u440]

+1

[Viceroyalty]

Пока только -30

[MartiniStar]

«Женя… Чаркин ты ли это» (с) )))

[KivApple]

Автор указал вариант как можно простыми (справится школьник с гуглом) действиями нанести ущерб на миллиарды рублей и значительно ослабить безопасность (лишить видеонаблюдения) всех объектов РЖД на месяцок (и это только вариант, который он озвучил, сколько вариантов он не озвучил и насколько они ужасны — неизвестно, если там есть доступ к управлению стрелками, то можно Армагеддон устроить). Ну, допустим, даже поймаете вы хакера (только если он из дружественной страны) и дальше что? Миллиард он вам не вернёт, хоть вы его четвертуйте. Если из-за ослабления безопасности случится теракт, жертвы не воскреснут от посадки виновного на двадцаточку.

Вы можете привести пример из «офлайна», где настолько значительный ущерб может нанести за несколько часов человек с улицы без каких-то изначальных доступов? Это не в солонки в кафе нассать, а поставить раком стратегическую транспортную систему самой большой страны на планете. Такое не компенсировать никаким штрафом и сроком.

[u440]

Вы можете привести пример из «офлайна», где настолько значительный ущерб может нанести за несколько часов человек с улицы без каких-то изначальных доступов?

Водозабор для мегаполиса?

[KivApple]

Вы про вариант отравления воды?
1. Нужен доступ к боевым отравляющим веществам в нужных количествах
2. Нужен физический доступ (из другой страны не провернуть, высоки шансы поимки на месте в процессе)
3. Пострадает много гражданских, но не военных и первых лиц государства (т. е. стратегическая безопасность страны вне угрозы)

[Viceroyalty]

4. Нужно не быть замеченным иначе люди просто останутся без воды, не более

[u440]

Про него.

1. Для злодеев, особенно с господпиткой от партнёров — вполне проходной вариант.
2. У нас нет железного занавеса. Да и местных исполнителей можно нанять.
3. Вполне объективная цель для террористов.
4. Без воды мегаполис на 11 млн. человек это техногенная катастрофа приличного масштаба, не так ли?

Понятно что там сложностей ну очень много, и служба «Водоканала» по плотным патронажем ФСБ и наверное ещё кого. Но чисто теоретически — вполне возможный вариант.

[unsignedchar]

Вполне объективная цель для террористов.

Террорист — не человек с улицы.

[u440]

Школяры тоже бывают весьма изобретательными. Вспомним хотя бы юношу, построившего дома рентгеновский аппарат и делавшего снимки руки. Подкладывая фотопластину на стену с соседями.

[ValdikSS]

Построил он его в сарае (или гараже), и испытывал там же. Ник у парня был sifun.
levtsn.livejournal.com/323151.html

[u440]

Сифун как раз построил вундерваффе в квартире.
Свой экспириенс он публиковал на форуме. Пошагово.

По ссылке есть фото «гаража»: https://www.yaplakal.com/forum28/topic292999.html

[Areso]

Стоит на сигнализации.
Охраняется вооруженными людьми.
Собственно здание водозабора стоит еще на одной сигнализации.
Видеонаблюдение.
На всех емкостях стоят пломбы.
Почти все системы контролируются — вплоть до того, что открытие ёмкости вызывает состояние тревоги в scada системе.
Перепады давления (как следствие предыдущего пункта) — аналогично.
Не забывайте, что они там имеют дело с ядовитыми химикатами (хлоркой), а также имеют в части локаций прекурсоры (что тоже добавляет пару-тройку слоев «защиты»).
Имеют изолированную не-интернет сеть (радиорелейка + проводная сеть на каких-то лохматых стандартах).
Вроде ничего не забыл.
p.s.: бывший сотрудник водоканала.

[kvazimoda24]

Главное, чтобы это всё не было настроено так же, как на РЖД.

[Areso]

1. Старые системы не являются надежными с точки зрения взлома, имхо. Единственная их защита — их физическая обособленность и стандарты, в которые молодежь просто не умеет, но если есть доступ, то набедокурить можно.
К примеру, водоканальские сети передачи данных обслуживаются поколением 55-65 лет.
2. Новые системы системы, которые строятся на современных стандартах, настроены примерно также как на РЖД, да.
Более того, в рамках разных инфраструктурных вливаний и всеобщей цифровизации происходит планомерное замещение старых систем новыми, и вот по поводу новых у меня тоже были определенные опасения.
Честно, пароли не проверял, надеюсь, что не по умолчанию :)

Сам работал с ERP системой и с биллингом; компьютерные системы, скады, аналоговые сети были в соседних отделах.

И да, зарплата курам на смех (как из анекдотов про «почему инженерам так мало платят?»), поэтому средний уровень специалистов и их мотивации тоже не фонтан.

[u440]

Аналогичная ситуация и в энергетике — переход на новые стандарты при сохранении старых подходов и оценки опасности на уровне «к нам влезет краб Моссада».

[playnet]

Мы часто купались в водоёмах «не купаться, охранная зона водоканала», никаких заборов и охраны. Хотя сам водозабор где-то далеко был.

[unsignedchar]

Мимо. Ничего из того, что может закинуть туда человек с улицы, сквозь фильтры не пройдет. А что пройдет — будет в гомеопатических концентрациях.

[Areso]

Можно «закидывать» то, что уже есть на станции. И это, имхо, более страшный вариант.
К примеру, из недавних факапов, ставших публичным:
realt.onliner.by/2020/06/24/chto-sluchilos-s-vodoj

[unsignedchar]

Можно «закидывать» то, что уже есть на станции.

Человек с улицы это не сделает.

[Areso]

Человек с улицы это не сделает.

Человек с доступом до Скада системы сможет отравить половину города.
И да, если раньше для этого нужно было иметь человека среди персонала, то теперь, в век всеобщего интернета вещей (IoT, где s значит безопасность), уже необязательно.
Достаточно вывести Скаду в общую сеть предприятия и иметь контур управления, доступный по локальной сети…

[unsignedchar]

Человек с доступом до Скада системы сможет отравить половину города.

Это не совсем человек с улицы. И что он на самом деле может сделать? Отключить обеззараживание? Это быстро заметят, и воду набирают не из болота… Вряд ли. Отключить обеззараживание и добавить в воду ботулотоксина какого-нибудь? Это совсем не человек с улицы.
Налить очень много хлора? Заметят сразу.
Выпустить весь хлор в воздух? Не думаю, что тесть такая кнопка.
Но в солонку нагадить сможет без особого труда, конечно же.

[juray]

Выпустить весь хлор в воздух?

Так вроде сильно мало где еще осталось хлорирование газообразным хлором (если вообще осталось), соли — гипохлориты гораздо безопаснее и удобнее.

[KivApple]

Ну то, что есть на станции, даёт слишком явные признаки, что с водой что-то не то. Подавляющее большинство людей её либо не выпьют совсем, либо выпьют недостаточные количества для серьёзного вреда здоровью. В новости нет никакой информации о пострадавших.

Ситуация неприятная, но не смертельно опасная. Для реальной угрозы нужно подмешать то, что не меняет в значительной степени вкус и запах воды (есть ли такое на станции?). Плюс чтобы это сделать из злого умысла нужен физический или виртуальный доступ на станцию. В новости нет ни слова о взломе, а на Хабре не было ни одной публикации о столько больших отверстиях в очистных сооружениях РФ. То есть человек с улицы идёт мимо.

[u440]

А если человек идёт не мимо, а на водохранилище? До станции водозабора?

[unsignedchar]

До станции водозабора

Гомеопатия тогда.

[Gryphon88]

Вы предлагаете грузовик азида в воду всыпать, или что?

[u440]

Я ничего не предлагаю, я рассматриваю такую возможность и степень её вероятного использования разного рода индивидуумами и организованными группами таковых.

[Gryphon88]

Если вкратце, то притравить водохранилище так, чтобы умерло много людей, может не любой, а так, чтобы не нашли, почти невозможно, уж очень своеобразная химия и в больших количествах нужна.

[Areso]

Вы себе представляете, как это работает?
Давайте поясню, упрощенно.
Генерально, у нас есть два популярных варианта:
1) качаем воду со скважин — это наиболее предпочтительный вариант, даже если рядом течёт река или есть водоём. Земля выступает фильтром.
2) забираем воду с водоёма. Вода забирается не с поверхности, а на определенной глубине несколькими системами. Закинуть туда что-то вероятно, но обычно это место находится под наблюдением. Без акваланга и прочих шпионских штук, тупо загрязнив водоём, мы получим хорошо если, не знаю, лишь небольшую долю от загрязнения в системе. Считайте функцией кубически обратно пропорциональной от расстояния до заборной системы.

Дальше предстоит пройти систему фильтрации. С одной стороны — это довольно эффективная штука, с другой — она эффективна не для всего.

Имхо, сложно, и надо иметь представление о том, что будет отфильтровано, а что — нет.

[u440]

Москва не питается со скважин. Она питается с водохранилища. Т.е. п.2
И вот тут конечно вопрос в степени технической (и химической) подготовки злоумышленника.

[Areso]

Я говорил про общие случаи, понятно, что от города к городу могут быть различия. Где-то одно, где-то другое, где-то оба варианта для разных районов (к примеру, в Минске, который я сегодня здесь уже упоминал). К примеру, где я работал, у нас использовались только скважины.

[artemerschow]

Она питается с водохранилища

С водохранилищ (мн. ч.).

Заголовок спойлера

www.mosvodokanal.ru/watersupply/sources

А учитывая, что это реки, тут вопрос не в технической или химической подготовке, а в немаленьких денежных и производственных ресурсах. Ну и сроках приличных за которое это можно хоть мало-мальски организовать.

[Daimos]

Минск например питается с кучи скважин по городу, плюс два района с водохранилища.

[reci]

Baza пишет, что уже появились преценты на водоочистных сооружениях

[victor_2004]

Понимаете ли… если у злоумышленников есть возможность тормознуть перевозки на РЖД… это залет на уровне нац безопасности. Ибо по рельсам в том числе и войска перебрасывают.

Если вдруг кто-то перейдет границу, а у нас не будет возможности оперативно перебросить резервы — то уже будет пофигу кого искать и карать.

А если у этого кого-то такая возможность будет… то это в принципе полный провал.

[speshuric]

Тормознуть — это одноразовый акт. А вот мониторить перемещения военной техники, нефтепродуктов, стратегически значимых продуктов — это интереснее.

[u440]

Это можно делать с обычным смартфоном без доступа в сеть РЖД. Достаточно группы в VK :)

[Viceroyalty]

Дешевле, пока не погибнут пассажиры

[A114n]

Даже если погибнут пассажиры — всё равно дешевле. Жизнь в РФ стоит смешные копейки. Зять Путина ковёр на свадьбу купил дороже, чем выплачивают компенсации за гибель россиянина.
Собственно, поэтому никто ничего и не будет исправлять.

[Viceroyalty]

Жизнь в РФ стоит смешные копейки

смотря чья

[lazer1064]

Успехов вам в карании живущих в США или в Канаде, например.

[maggg]

Это всё по-настоящему пугает.

[Matisumi]

Это просто жесть. Государственные компании с IT — это как обезьяна с гранатой. Им сказали — надо, выдали гранату (цифровизацию), а что с ней делать они понятия не имеют. И тот факт, что граната еще не взорвалась — просто счастливая случайность.

[blind_oracle]

Либо просто кто надо уже давно там заложил "фугасы", подключил их к CnC и ждёт команды...

[lostpassword]

Вы всерьёз думаете, что частные компании как-то по-другому относятся к IT?)
Подобный хаос скорее от размеров компании зависит и от количества филиалов / площадок, а не от государственная / частная / российская / зарубежная.

[nakamura]

Детектив прям! Занимательное чтиво.
Товарищ майор наверно негодуйе.

[Harwest]

После этого Чарина должны просто уволить.
Но не в этой стране.

[around84]

Премию дадут. За быстрое и профессиональное реагирование на проблему ИБ.

[vanxant]

Да тут подлогом попахивает как минимум. Вообще можно было бы бомбануть прокуратуру

[questor]

Которая ответит отпиской "по произведённой проверке факты не подтвердились" и потом всю новость объявят фейком?

[vanxant]

А скриншоты разных кастомных систем автор в пеинте нарисовал?
PS. Вы хоть представляете, сколько может стоить замять такое дело совсем без последствий?

[loderunner84]

И сколько же стоит замять это дело?) Если и виновные и прокуроры в одной ОПГ?) Какой канал может выпустить подобное расследование? Дождь?) Который смотрят 2,5 человека. Кому Вы что будете доказывать? 80 процентам обыдлевшего населения? Которые уже отчетливо начали понимать, что лучше рот лишний раз не раскрывать и в ненужном месте в ненужное время не оказываться. Которые предпочтут молча платить возрастающие налоги, чем иметь неиллюзорный шанс ощутить на собственной шкуре произвол блюстителей порядка. Вот Вам материал. Все в Ваших руках. Действуйте))

[vanxant]

Да нет там никакой ОПГ, там совершенно разные ведомства, у которых ближайший общий начальник — премьер. В сложившейся ситуации сразу нескольким силовым ведомствам светят очень жирные палки и звёзды на погоны, а против них какой-то замдиректора госкомпании.

[playnet]

«замдиректора» со своими связями и крышей. И возможностью перевести стрелки ниже.

[vikarti]

Ну могут сказать что это такой ханипот большой для ловли хакеров и реально никакие команды отдать нельзя (а видеоролики — закольцованы). А сведения о доступе — отсылаются куда следуют.
Правда обратное достаточно просто доказываться (камеры конкретных вокзалов ж идентифицированы — пройтись под ними).

[lazer1064]

прокуратура не бомбанется, она в танке. А вот бомбануть пынинскую задницу очередным расследованием от «фигуранта» — это да, сработает еще как.

[lostpassword]

Не соглашусь.
По такой же логике, за каждый крупный взлом нужно увольнять начальника ИБ. За каждый крупный простой — увольнять начальника IT. А лучше вообще всех топ-менеджеров, сразу, пачкой.
Только вот проблема в том, что в крупных корпоративных сетях такое положение вещей часто складывается. И если после каждого подобного факапа всех увольнять, то полные кадровые чистки будут происходить каждые полгода.
Как это исправить — сказать сложно, но увольнение директора IT точно не поможет.

[DimaBron]

С каждым прочитанным абзацем у меня челюсть отваливалась все ниже и ниже.
Потом я подумал — ну и что, навредить то все равно наверняка не получится. А нет, получится. Моя челюсть упала снова и уже не поднималась.
Автору детектива, конечно, благодарность. Надеюсь, скоро будет позитивное продолжение.

[around84]

не хотелось бы, чтобы господин Чаркин (или его подчинённые) сделал автора крайним. А эти могут…

[around84]

Работал в компании, у которой растут ноги из красно-серого гиганта.
Сейчас срочно соберут совещание и будут думать, кого назначить виноватым. По результатам долгого и нудного совещания найдут кого-нибудь из ИВЦ, лишат премии, возможно уволят…
И спокойно разойдутся пить чай с лимончиком.

[koshi-dono]

От того, что это кажется таким привычным и естественным, меня тошнит.

[Alendorff]

спокойно разойдутся пить чай с лимончиком

Из вот таких стаканов, надеюсь

[micronull]

Переживаю за автора.
LMonoceros обзаведитесь телефонами правозащитников и адвокатов, предупредите близких и друзей, дайте им так же эти телефоны.

[LMonoceros]

В личку кидай. У меня нет адвокатов

[hMartin]

Лучше сразу договориться с кем-нибудь из Агоры(известная международная правозащитная организация, живет донатами)
Насколько помню, специалист по интернетам — Дамир Гайнутдинов, чатик Агоры в телеге легко гуглится.
У меня не было проблем с законом, но был вопрос по о перс.данных, он достаточно быстро ответил в личке.

[micronull]

До недавнего времени знал только Агору, но их сайт почему-то сейчас закрыт на тех. работы.
Но вы можете связаться с Павлом из Агоры: t.me/Initiator он сможет вас направить к нужным людям.

Так же напишете Плюшеву в телегу: t.me/PlushevRepBot
Это известный журналист которые освещает события из ИТ. У него наверняка есть контакты нужных людей. К тому же он поможет осветить в СМИ ситуацию.

[McKinseyBA]

Судя по UPD, проблем не возникнет. Хотя бы отблагодарили (молчу про bounty) или запугали?

[akryukov]

Вы считаете, что свидетельство "статья была отредактирована" достаточно для такого вывода?

[McKinseyBA]

Мне интересно КАК все закончилось о чем и спросил автора. Карьера Чаркина показывает его не самым большим дураком и полюбовный исход выглядит ожидаемым, впрочем дождемся ответа автора.

[starfair]

Не удивлен, к сожалению. В бытность работы в одной из региональных госструктур, столкнулся и вынужден был работать долгое время с сисадмином, который когда то давно самостоятельно выучил что то в UNIX ещё древних времен, и был приглашен в формировавшийся отдел автоматизации. А потом по накатанной оставался на своей должности, прикрывая свои вопиющие косяки тем, что если его выгонят, всё рухнет (а могло, так как бардак был такой степени, что и правда разобраться в нем почти нереально, а поднят параллельно нормальную среду и переводить под неё, не давали бюджет). Так вот к чему это я, был случай, когда после модернизации аппаратной части сети (на её слабость данный админ всегда упирал), остались без пароля интелектуальный свичи от Cisco (хотя делал вроде бы сертифицированный интегратор), и один сверх меры умный маменькин сынок, прийдя на работу к мамочке, легким движением мышки, просто разорвал в клочья работу нескольких отделов, банально запретив работу оптического порта, по которому шла связь между этажами. Ну и что? Думаете кто то пострадал? Ага! Как бы не так! Всегда найдётся крайний злоумышлиник или растяпа (в данном случае — интегратор оказался виноват, хотя сеть принимал этот горе админ), на которого свернут. А начальник только получит премию за очередное решение трудной ситуации, которую он, по сути и создал.
Так что статья страшная по сути если задуматься, но меня не удивляет ни разу. Схемы понятны. И эти госзакупки, в таких вопросах это огромное зло. И никакой экономии в итоге не приносит. И это касается не только безопасности, но и вообще очень многих сфер.

[grub-itler]

Так всеж ради бабла. Вот эти ваши сервисы для людей, удовольствие от выполненной работы, расширение горизонтов — все не нужно, т.к. на деньги по факту не влияет. И не будет влиять ни при каких условиях.

[vanxant]

Понимаете, то, что на вокзале условного Пердюйска может работать профнепригодный админ это одно. А вот то что у них корпоративная сеть на 10 часовых поясов без вланов, мсэ и прочего — это уже «в консерватории» виноваты.

[starfair]

Согласен. Хотя, у нас и не Пердюйск и выплаты через нас проходили свыше 65% от бюджета региона. И все социальнозначимые, и любая задержка в работе — это полный абзац, как говорится. Но повезло, что вовремя сделали децентрализацию именно по финансовым потокам, и такие проблемы отчасти не возникали, так как очень большой кусок задач стал решаться уже на местах. И если где что и зависало, то в масштабах районов и решить там на местах всё таки проще, ибо объёмы решаемых вопросов всё же куда меньше. А иначе, могли все эти косяки оказаться куда печальнее.

[JPEGEC]

с сисадмином, который когда то давно самостоятельно выучил что то в UNIX ещё древних времен

Эвон как. У нас везде админы, оказывается, повально обученные на спецкурсах UNIX, а вам не свезло.
Может и программисты там не все образование имеют в части Visual Studio?

[starfair]

Ну, в этом вопросе немного проще. Специализированный софт писался на стороне по началу. Да и писан он был сперва на Cliper а потом поддержку осуществляли местные программисты переписав все под FoxPro. Но вообще, с реальными зарплатами которые платят в госсекторе разработчикам, там сильные квалифицированные кадры не придут даже. То же самое наверное относится и к админам. Хотя, я в свою бытность умудрился пройти полный курс системного инженера под Window Server 2003 (правда без сдачи экзаменов в Microsoft на MSСE), но к этому товарищу даже и близко лезть не стал, ибо уж очень он специфический был. А в другом подразделении всё более менее по уму тогда сделал и админил, хотя там и была сеть из отбросов, которые показались устаревшими этому горе админу нашему.
Ну да не суть! В РЖД то поди и зарплаты совсем другие, и по идее элиту среди спецов могут себе позволить переманить, а подиж — такая ситуация! :(

[DMGarikk]

В РЖД то поди и зарплаты совсем другие, и по идее элиту среди спецов могут себе позволить переманить

чёто у меня прям нервный смех начался ;)))

РЖД это фактически госконтора с соответствующим отношением и зарплатами.
мне помнится предлагали должность начальника ИТ отдела одного депо, и заниматься внедрением SAP которое тогда только началось… и зарплата была… космические 55тысяч рублей!!! (причем меня обязали немедленно устроится в институт (у меня нет вышки) и полностью соответствовать такой выской чести там работать)… я отказался… должность через полгода закрыли из-за превышения ФОТ… вместе с отделом (сократив тех двух несчастных которых успели набрать)

[9660]

Понимаете, суть в том что «знание unix» это совсем не рокетсайнс.
И откровенно говоря, большинство именно самостоятельно его «выучивают». Как и программисты Visual Studio. Поэтому претензия в данном моменте звучит несколько странно.
Человеческий фактор «я царек этого мирка» да, обычное дело, особенно в госструктурах.

[starfair]

Ну, ситуация не в том, что человек сам выучился на UNIX, хотя в 80-х, в СССР это был ещё тот квест и достижение! Я про то, что человек остался на том же уровне и просто банально не хотел повышать свою квалификацию, хотя находился на очень опасном с точки зрения безопасности функционирования месте. И кстати, самого UNIX подобного в качестве серверов или рабочих станций тогда у нас и не было. Он пришел сразу на Nowel NetWare 2.1 Затем, с огромным трудом его фактически заставили перейти на Microsoft NT ну и там по нарастающей. Но, при этом ни одних курсов или чего то подобного. И на деле рулили какие то его помошники, при том, что так же не шибко то обученные. Я же не про конкретного человека написал, а про то, что кто то успел сесть на хорошее место, или его поставили, а квалификацию свою повышать мягко говоря не спешит. А если он не квалифицирован даже в элементарных понятиях по современным вопросам сетевой инфраструктуры, как он может компетентно понимать, что делают другие, пусть и нанятые специалисты? Тут как минимум надо на одном языке разговаривать, а не так как мне приходилось разжевывать что такое домены с точки зрения Microsoft AD, маршрутиризация, и сетевая безопасность в настройках Cisco. При том, что я вообще по профилю своей работы занимался техсапортом по рабочим станциям, но просто больше некому было хоть как то разбираться в том, что за херь творится в нашей сети, и мой начальник, очень ответственный человек, поручил в это вникать. И думаю, в РЖД ситуация примерно такого же сценария. Поставили нужного человека с примерным образованием. Тот набрал чьих то племянников, сыночков и т.д от нужных людей, и несколько реальных спецов, которые сидят на низовых должностях, и просто устали в конце концов биться за безопасность, с учетом того что они получают меньше всех. В итоге интегратор и делал как хотел, а проверять тупо некому, ибо компетентным уже не надо, а ответственные за это — просто не знают как проверить работу. Конечно, наверное есть и аудит, но хороший аудит и стоит хорошо, и на нём скорее всего сэкономили конкретно

[ru6ak]

(хотя делал вроде бы сертифицированный интегратор)

А точно интегратор? Это обычная практика когда по бумагам делает интегратор, а по факту делает свой сотрудник, а потом откат наличной.

[grub-itler]

Куда смотрит совет директоров?… Кто-нибудь позвоните Путину!

[blind_oracle]

Позвонил, трубку не берёт

[hollycon]

Узнает из новостей или доложат. Распорядится разобраться. Те, кому надо будет разбираться, пойдут сразу к генеральному, он должен быть в курсе ибо это его хозяйство. У генерального есть зам по информационным. Генерал сам не станет вникать, отправит к нему. Внезапно Чаркин снова на коне.
Профит.

[drap_hap]

Скорее всего, как обычно: Эксплуатации платят мало и туда идут не самые квалифицированные сотрудники, а интеграторы с заказчиком пилят откаты и на работы по внедрению нанимают студентов.
По сути, пентест уже выполнен за бесплатно. Но вангую, что кардинально ничего не поменяется, максимум настроят микроты.

[MartiniStar]

А в аэропорту такое может быть?
На атомных электростанциях?

Даже по предоставленной инфе. в статье, выглядит серьёзно.
Про что автор не написал, думать страшно.
В этом вопросе ламер, но если бекдор есть в управления стрелками…
Можно столкнуть два пассажирских на перегонах.

[micronull]

Такие проблемы больше свойственны для госпредприятий и монополий.

У АЭС обособленные физически сети, как я понимаю. Судя по видео urbanturizm (как он кстати? Совсем не слышно), туда даже цифровой носитель в любом виде не пронести.
Аэропорты не относятся к монополиям и госпредприятиям, представлены в виде отдельных компаний, со своим ИТ штатом.

Вроде у РЖД когда-то был свой изолированный интранет. В начале 2000-х общался с сотрудником.

[MartiniStar]

Спасибо за пояснение.

Как мне казалось, ОАО «РЖД» Железнодорожный комплекс, который имеет особое стратегическое значение.
А тут такой бардак.

[playerro]

Имеет. Бардак. После истории с трусами это вообще не удивительно

[ProFfeSsoRr]

Судя по видео urbanturizm (как он кстати? Совсем не слышно)

сидит он. Письма к нему передают — он ответы пишет, вот и вся коммуникация. На ютубе выкладывали инфу.

[AndreyDmitriev]

Ну иногда для сервисных целей и на «изолированных» предприятиях делают внешний вход для обслуживания — мне довелось с таким работать. Двадцать лет назад выглядело это так — в цеху стоял сейф, в котором была телефонная розетка, isdn модем и висел неподключенный кабель. Для сервисного сеанса надо было договориться на определённое время с главным инженером и начальником смены. В назначенный час сейф открывался и кабель подключался к розетке. Я звонил модемом на определённый номер и логинился. При этом у меня три пароля было — для модема, сети и конкретной системы. Всё, что я делал, логгировалось. На всё время обновления у телефонной розетки и обновляемой системы дежурили два сотрудника. После обновления телефонный кабель отключался, и всё это обратно запиралось на ключ. Интернет добавил некоторое количество головной боли, поскольку решили подключение оставить постоянным, но для доступа раздали сервисным инженерам сторонных организаций этакие чипы-таблетки и считыватели.

[acDev]

МШ (urbanturizm) уже давно в СИЗО сидит. Чекисты хотят на много лет за решётку упрятать. ТГ канал с инфой: t.me/msh_urbanturizm

[Yuriy_krd]

Андрея МШ же «приняли» органы за госизмену. В сентябре были суды. А так да, его ролики были просто бомбой.

[AndreyDmitriev]

Такое может быть где угодно, где руки растут из известного места, и где думают этим же местом, а не головой. Сейчас промышленность компьютеризирована и автоматизирована, и в некоторых случаях необходимо иметь доступ извне, и ничего особо страшного в этом нет, если делать грамотно, благо технологии позволяют.
Для жизненно важных цепей есть аппаратные средства защиты. Гораздо сложнее защититься от инсайда (нашумевший stuxnet был таким), но и тут можно продумать сценарии и векторы возможных атак. А здесь всё просто «на блюдечке» лежит, судя по скриншотам.

[Shaman_RSHU]

Одна дочка Росатом из Петербурга, которая занимается проектированием уже несколько лет ищут архитектора по ИБ. Но вся проблема в том, что за предлагаемую з/п туда никто не идёт. Но никто ничего конечно делать там не будет, т.к. как и в РЖД, некоторые должности передаются по наследству, а всё что ниже никого не интересует.

[AndreyDmitriev]

В немецких компаниях выделенный инженер по ИБ в штате не всегда — иногда просто нанимают стороннюю компанию. РЖД могла ведь просто нанять компанию, скажем, того же Касперского для ревизии и реструктуризации инфраструктуры — он давно хочет в промышленность, и вот — вполне конкретная задача. Думаю, без распилов средств не обошлось бы, куда ж без этого, но зияющие дыры закрыли бы — там работают более-менее вменяемые разработчики.

[Shaman_RSHU]

У нас менталитет другой, чем в германии. Не все наши интеграторы ИБ «одинаково полезны» :) Обычно это формальный подход к заказчику — не на шаг влево/вправо от ТЗ. Не думаю, что РЖД способно разработать вменяемое ТЗ для этих работ.
Но согласен — даже в такой ситуации зияющие дыры закрыли бы.

[Viceroyalty]

.

[pae174]

> На атомных электростанциях?

Чарин этот, кстати, когда-то был главным по ИТ в Росатоме :-)

[AllexIn]

Ох… Ждём нашествие школьников на РЖД сервисы…
Интересно, успеют что-то предпринять, прежде чем всё начнет падать?

[knxx]

Не успеют, предположу что уже к обеду любопытные руки пролезут внутрь и начнут мародёрство

Возможно даже уже давно кто-то внутри сети и потихоньку продает оттуда информацию

[Securityhigh]

Что там продавать? База даже в открытый доступ утекла, все эти снимки с камер — нищета. Разве что на атаку пойти могут и свалить РЖД.

[knxx]

Базы, доступы, ржд же не маленькая структура — всегда найдется что-то интересное.

[Zibx]

РЖД занимается не только перевозкой пассажиров. Это ещё и перевозка ресурсов, переброс армии и поезд с ядерными боеголовками которые катаются по транспортной сети и маскируются под обычные. Не удивлюсь если последние нельзя заметить напрямую на общей схеме, но можно обнаружить их призраков, например, переключающиеся семафоры, стрелки, шлагбаумы, депо в которые нельзя заехать хоть место и есть.

[u440]

поезд с ядерными боеголовками которые катаются по транспортной сети и маскируются под обычные

Последний «Баргузин» снят с боевого дежурства в 1998, если память не изменяет. Теперь всё что ездит с боеголовками делает это на резиновых колёсах :))

[ule90]

конечно успеют: «жестко наказать натуралистов-злоумышленников, что б другим неповадно было! Что б видели открытую калитку с надписью ржд и боялись даже посмотреть в эту сторону, не то что б заходить и топтать газоны!»

[YuriM1983]

Я хотел написать какую-нибудь шутку, но это ведь капец. Причём за государственные (т.е. в т.ч. мои) деньги.

[Andrey_Epifantsev]

Причём за государственные (т.е. в т.ч. мои) деньги.

Вроде как РЖД деньги зарабатывает, а не катает всех бесплатно за счёт налогоплательщиков.

[Areso]

РЖД, конечно, зарабатывает.
Но государство им денег в долг даёт, причем много и довольно регулярно.
Каждый раз придумывают всё новые схемы.
Одна из последних — «вечные» облигации.

[ascheck]

Вам понравится: в какой-то кризисный год РЖД взяло в долг у государства, деньги не пригодились, оно их вернуло, а проценты, накапавшие на счёт, оставило себе. Точных цифр не помню, но нагуглится, думаю, без проблем.

[SandroSmith]

Ну, всё правильно. Корова — государственная, а всё что она даёт — молоко или телят, это уже наше.

[wigneddoom]

Да вроде как не бесплатно, но в убыток катает всех за счёт налогоплательщиков.

[vorphalack]

с учетом того, что пишут про кухню самого движения поездов и состояния путей и ПС — не знаешь с чего первого начинать хвататься за голову.

[lamerok]

Тут однозначно проблема в культуре безопасности, которую должно высшее руководство насаживать сверху. Если все так запущено, значит все делается — лишь бы быстрее — поднял VPN, поработал, забыл — уволился, VPN так и висит.
Конечно автоматизированные средства проверки помогут, но все равно основная проблема — это человек, и тут нужно высшему руководству насаживать такое поведение, которое бы не позволило приводить к тому, что мы видим. А так конечно УЖОС, напоминает мне времена, когда мы были админами на кафедре и юзали сервер кафедры еще 5 лет после окончания универа, пока его не поменяли физически, потому что всем было пофиг, что там вообще стоит и поднято.

[geleos27]

Я конечн прошу прощения, но каким чудом все это еще не легло от какогонибудь шифровальщика?

[Harwest]

Зачем шифровальщики если можно завалить сразу пачку серваков — там IPMI интерфейсы торчат в локалку.

[geleos27]

Я не очень искушен в средствах выведения IT систем из строя)

Суть вопроса — каким чудом инфраструктуру не зацепило массово распространяющейся вирусней / атаками коих в последнее время вагон.

[outlingo]

Деквалификация. Тех кто мог сделать код что в любую щель пролезет давно понанимали большие компании, а нынешний молодняк в большинстве своем… Не слишком хорошо знаком с основами, скажем так. 90% даже про syn/ack не слышали, а уж воспользоваться каким-нибудь HTTP CONNECT через прокси для сканирования удаленной сети для них как магия.

[Viceroyalty]

Да и просто лень, каждое телодвижение для улучшение вирусни — это де делать надо, а кому не лень много делать — тот работает

[CherryPah]

Потому что нестандартно. Абсолютно не сложно для таргетированной атаки (что и показал автор), но не стандартно для бота.
*Глянул логи с ФВ*
Ботам сканерам ищущих цель для шифрования не интересен микротовский winbox и постройка обратных туннелей. Они там самбу ищут или 3389 с admin/admin или еще какую-нить легковоспроизводимую ботом в автоматическом режиме дырку. Человек к этому процессу вообще не подключается, благо обозначенных RDP с admin/admin в интернете еще хватает на хлеб с маслом

[compilator]

И после этого остаются люди, которые не верят, что горе-ФСБ-шники смогли так обделаться

[QDeathNick]

Да, аналогия напрашивается, и я тут ещё столкнулся с «дырой в безопасности» не совсем в госструктуре, но тоже наглядно видно, что верхушки расслаблены и не видят необходимости заботиться о ИБ.
Раз уж начал, расскажу без деталей, сегодня глава канцелярии Романовых по глупости спалил свою переписку, чудно было почитать про «заговоры» императорского двора, не думал, что люди в 21 веке таким бредом всерьёз занимаются.

[syrslava]

Как-то тема «как я нашёл первый прокси» осталась неясной. Автор подразумевает, что это произошло случайно при обширном поиске в интернете по неспецифичным критериям, или я что-то не понял?

[ascheck]

Автор не искал вход именно в РЖД, он сканил интернет на открытые прокси и среди найденных оказался сабж.

[denisshabr]

так все и поверили.

[drap_hap]

Это не важно

[vikarti]

Интересно, сюжет WarGames (там же в самом начале — товарищь просто искал скриптом перебирал номера и искал где модемы, и нашел) сейчас в России ТОЖЕ реализуем? (с поправкой на технологии) или хоть тут сделали нормально?

[kurilovigor]

Этим вопросом следует заниматься не Чаркину, а ФСБ (в перерывах между стирками)

[ascheck]

Учитывая статус РЖД, дыры в его безопасности вполне могут стать входной точкой для проникновения в сети других организаций и структур.

[talbot]

Учитывая что у РЖД полно интеграций со СМЭВ, реализация подобного сценария—вопрос времени.

[mayorovp]

Ну, это уже от админов СМЭВ зависит. Насколько бы тесная интеграция не требовалась — она всё равно ограничена протоколами, по которым работает сама СМЭВ, а их список довольно ограничен — так что не думаю что специально для РЖД кто-то вертел там спецдырки в защите.

Другое дело, есть ли там вообще защита в СМЭВ или всё так же плохо...

[ascheck]

Можно только гадать. Но мне кажется вполне реалистичным такой сценарий:
криворукиржд: вы запарили! у нас ничего не работает, откройте доступ с наших IP, дайте рута и всё!
инженеры СМЭВ: ну ок…

[u440]

Сценарий в отношении СМЭВ не реалистичен. Вероятность 0%.

Я работал со СМЭВ.

[SeregaSA73]

дел.

[Securityhigh]

Мне кажется зря он вообще на Хабр это написал.

[tetelevm]

Всё понятно, очередной злоумышленник и натуралист, а "уязвимостей, которые бы влияли на утечку каких-то критических данных, нет". И вообще, мультимедийный портал "Камеры РЖД" функционирует как положено и не нуждается в доработке.

[Viceroyalty]

«Все должны быть честными и вести себя хорошо, тогда и не будет взломов»

[Viceroyalty]

Забыл тег сарказм — наловил минусов

[ivanovdev]

Зря вы эту идею с камерами им подсказали

[Alext12]

КМК это самое безобидное из того что можно сделать.

[Securityhigh]

Напугало меня твое отношение к своей безопасности, один узел VPN/Proxy. Я бы для такого использовал хотя бы связку Tor и Proxy или просто Tor. Пусть пострадает скорость и потрачу не 20 минут, а 25, но меня потом не отправят по УК 272, тебя спокойно могут.

[blind_oracle]

Я думаю автор не дурак и себя как надо защитил. Не домой же он внп строил...

[MacIn]

Здесь нужно не РЖД пинать, а писать в прокуратуру и ФСБ, так как это вопрос транспортной безопасности. Они быстрее, причем физически, допинают до сведения.

Автор, вы написали «куда следует»? Я бы сейчас подал обращение на Лубянку со ссылкой на вашу статью.

KorP

А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…

Хотите, расскажу, как я недавно пытался сообщить о физической неисправности инфраструктуры на ЖД?
Не хотите? Ну ладно, слушайте.
На одном из пешеходных переходов между станциями, по несколько километров до каждой, от влаги заглючила сигнализация — часть светофоров горит красным, а часть зеленым. Не критично, но, гипотетически, к трагедии привести может.
Есть, думаете, номер, по которому можно сообщить? Хрен там плавал. Звони на общую горячую линию, стой в очереди с теми, кто узнает про стоимость билетов.
Пробиваешься до оператора — «ок, мы перенаправляем вас в службу приема обращений граждан, срок рассмотрения — до месяца», там туси вместе с теми, кто жалуется на грубого проводника.
Принимают твое сообщение — чин по чину, дают номер регистрационный, но предупреждают, что пока они спустят обращение по инстанциям из Москвы, до месяца может занять.
И спрашивают "а вы не можете дойти до соседней станции и там сообщить устно — это быстрее будет".

[Sequoza]

Они быстрее, причем физически, допинают до сведения.

Вот только кого? Жители Воронежа снова напряглись.

[Gryphon88]

Здесь нужно не РЖД пинать, а писать в прокуратуру и ФСБ, так как это вопрос транспортной безопасности.

Так-то так, но поскольку на приёмке должна быть подпись и из конторы, КИИ всё-таки, могут и они обидеться, из солидарности, благо, повод есть. Так что спортлото Хабр ещё не самый плохой вариант.

[fruit_cake]

У нас с многоквартирного дома упал какой-то сетевой кабель и лежал на проезжей части. Мы неделю звонили во все возможные инстанции и никто не знал чей это кабель. Машины по нему ездили и всем было всё равно. Я взял ножницы по металлу и перерезал его, на следующий день приехала бригада и вернула его на место (у кого-то что-то перестало работать и он соответственно об этом сообщил).

[syrslava]

комменты здесь же
habr.com/ru/post/536750/#comment_22534544

[artemerschow]

Обращаться есть смысл только когда компания адекватная и есть вероятность, что тебя услышат, а не отмахнутся как раньше и ничего не исправят. Или не подадут в суд и ничего не исправят. А такие примеры есть. Не говорите, что этого не знали.

[AvioD]

А судьи кто, адекватная компания или нет, и заслужила ли она возможность закрыть уязвимости до того, как они были опубликованы? Субъективное мнение? А у меня вот, может быть, оно другое — для меня все какие-то неадекватные, все не нравятся. Мы уж либо говорим о некой этике подобных взломов — и всегда придерживаемся ее. Либо творим что хотим.

Автор проделал нужный и полезный труд, вне сомнений. Как и вне сомнений то, что этим бардаком в РЖД должен срочно кто-то заняться. Но позиция автора по этому вопросу «Безопасность граждан превыше моей свободы», этот геройский настрой — выглядит, по меньшей мере, очень странно.
Слить в публичное пространство данные о уязвимостях системы, даже не предприняв попыток сообщить что-либо РЖД — означает подвергнуть прямой опасности своих сограждан. Где гарантии, что вот прямо сейчас, какой-нибудь умник не сломает что-то критичное в одной из систем РЖД, что может привести к аварии, с человеческими жертвами? Или что прямо сейчас кто-то не загружает данные о проданных билетах за последние лет 10?

Желание проучить РЖД и пропушить их на активные действия, за халатность и отписки с юными натуралистами мне понятно. Мне не очень понятно — почему это делается ценой таких потенциальных жертв для людей, которые вообще ни в чем не виноваты.

[syrslava]

Я обычно, перед тем как на хабре что-то комментировать, стараюсь хотя бы по диагонали просмотреть все комментарии, чтобы увидеть, поднималась ли где эта тема. И многим скромно рекомендую делать так же.

[AvioD]

Мой ответ предназначался конкретному сообщению именно в этой ветке. Давайте не засорять комментарии обсуждением того, где и как нужно писать.

[artemerschow]

Да понятно, что тут нет и не может быть четкого алгоритма когда так поступать, а когда эдак. Да, субъективное мнение, опыт предыдущих обращений, история общения компании с внешним миром, характер причин уязвимости. Я почти на 100% уверен, что если бы причина возникновения такой проблемы выглядела бы хоть немного как ошибка, случайность, а не общий наплевательский подход, то автор предварительно бы попытался связаться. Или если бы в истории с сапсаном ответ был бы иным.

Ну и да, даже мой максимально скромный опыт подсказывает, что порой, увы, пока не пнёшь, не полетит.

[AvioD]

А в чем проблема отправить содержание этой статьи в РЖД, хотя бы за сутки-двое до публикации? Вот в ФСБ советуют еще писать. Они точно не поставили бы автора в очередь с теми, кто прибытие поездов по телефону уточняет.

Ну РЖД, предположим, пнули. А пассажиров за какие грехи пинаем?

[artemerschow]

А ещё автора статьи тут романтиком называют)

[KivApple]

Ну рандомные действия школьников (которые за несколько часов побоялись что-то делать, раз до сих пор нет новостей о крахе РЖД, и скорее всего не будет), возможно, лучше, чем спланированная атака террористов или зарубежных спецслужб в нужное время (и им эта статья никак не помогает, так как они уже знали, если хотели, дырка совсем большая, а автор не выложил совсем уж пошаговый туториал).

[AvioD]

Наверняка лучше. А вы уверены, что из зарубежных спецслужб прямо сейчас никто с огромным интересом не копается в сети, жутко довольный такой свалившейся с небес халяве?

На мой взгляд, если уж лезть в это, с целью «сделать мир лучше и безопаснее», то нужно делать это максимально последовательно и качественно. Подход «Я вот нашел, вам рассказал, а дальше мои полномочия все», мне в крайней степени не нравится.
Что-то нехорошее сейчас случится и будем с горечью все поговорки вспоминать на эту тему, в стиле «Хотел как лучше, а получилось, как всегда» и «Благими намерениями дорога в ад выстлана»

[Viceroyalty]

Вот уж кто-кто а ведущие спецслужбы найдут как куда-нибудь влезть без помощи автора

[u440]

Вы преувеличиваете степень профессионализма спецслужб. Как наших, так и их.

[Viceroyalty]

Израильские обошлись без блогеров ломая иранские центрифуги, и наши, вроде, давно не ведущие

[alias1923]

Краснодарский край, РЖД
lenta.ru/news/2020/12/29/bomb
Желающих испортить спокойную, мирную жизнь далеко искать не надо

[G1lgamesh]

Я очень надеюсь, что автор пребывает не в РФ. И уже знает, куда подаваться за политическим убежищем, на случай, если статья получит огласку. Не удивлюсь, если с такими дырками можно будет накопать расписание перевозок, в том числе для вежливых людей.

[drap_hap]

Честно говоря, сомневаюсь, что он не за VPN сидел.

[Loggus66]

Автор имеет акк на Хабре и пиарит ТГ канал. Что-нибудь по связке «IP из логов Хабра + телефон и круг контактов на ТГ» да найдётся.

[alias1923]

Хорошо хоть в нефтегазовой компании все хроршо с ИБ… А нет, показалось.

[amarao]

Вступаете в недобровольные сексуальные отношения с РЖД? Вступайте! Главное, не раскачивайте в процессе!

[Sn0wsec]

«Все настолько плохо, что даже хорошо»©… что способом борьбы с подобным уровнем некомпетентности, автор выбрал огласку и привлечение общественности с помощью статьи… Но существует вероятность, что проблему это не решит, а только усугубит последствия, а вся ответственность за последующие действия «мамкиных кибер-злодеев» ляжет на плечи автора. Тонкая грань между grey/white даже не всегда до конца понятна специалистам, что уже говорить о прокурорах и судьях. Безусловно определяющим фактором будут намерения, автор хочет чтобы «мир стал более безопасным», но способы достижения этой цели, по моему мнению выбраны не «самые оптимальные», плюс повествование из статьи можно прямо копипастить в чистосердечное признание, с точки зрения прокурора. Последствия для РЖД описанные в статье — как угрозы «национальной безопасности», а вся ответственность за действия других после публикации статьи и даже действия тех нашел эти дыры до статьи, к сожалению на авторе.
Поэтому хотелось бы уточнить, почему выбран подобный способ, почему не воспользоваться общепринятой методикой responsible disclosure, как стандартом индустрии и наиболее надежным способом — сделать «мир более безопасным» и избежать проблем для себя любимого?

[botyaslonim]

В РЖД, судя по многочисленным свидетельствам, жуткий блат и кумовство. Поэтому наверх часто всплывает самое некомпетентное. Вы им про технологии, а они спросят: сколько у тебя денег и кто твой папа? Ну вот и всё…

[sicambr]

Разработчики БЖРК считают их ракетный комплекс невидимым на сети РЖД.
Но виновным назначат натуралиста.

[pae174]

БЖРК действительно невидим на сети РЖД. Просто потому что его не существует уже лет 20 примерно.

[DMGarikk]

ну если смех откинуть, то реально многие считают что БЖРК был очень хорошо замаскирован под реф.поезд, хотя даже самый последний стрелочник знает что эти вагоны — военные. это надо совсем быть далеким от ЖД чтобы не понимать этого

а учитывая что вагоны БЖРК ремонтировались в пассажирских депо (у нас народ развлекался раскладывая механизм открывания крыши и упоров… это, на секундочку, было в 80е годы… я не застал но мне много про них рассказывали), и никто не заставлял персонал подписывать бумаги о неразглашении… то… я незнаю какая там была такая особо секретная военная тайна

[mk2]

Ну, военная тайна это скорее "а где этот поезд катается прямо сейчас". И чтобы когда он на боевом дежурстве, его не могли уничтожить до пуска ракет. Сейчас конечно с таким отношением туда на ремонте могли бы пихнуть gps приёмник и получить полный маршрут.

[DMGarikk]

а мне вот интересно, ведь даже 'неизвестно где катается' — это срывает график основных перевозок и о нем знают все диспетчеры как минимум… поскольку им приходится всех задерживать когда он едет.

[Evgen52]

Я не в теме, но предположу, может диспетчеры и не знают? Для них он, может, выглядит как обычный поезд в системе. Надо им развести два состава, для чего детали о том, что внутри у них?

[DMGarikk]

ну у них же есть график движения поездов чутьли не на несколько дней вперед. чёт я сомневаюсь что эта штука имеет отдельную нитку в графике и вообще будет заранее записываться туда.

[DMGarikk]

которые, я так полагаю, передвигаются без регулярного расписания?

вы ошибаетесь, ВСЕ поезда по ЖД передвигаются по расписанию
некоторые бывает ставят вне графика, НО они всёравно получают свою нитку графика и некое подобие 'расписания'

дело тут не в регулярности, а в том что расписание движения поездо расписано на несколько дней, а может недель вперед (тут уже я за давностью лет подробностей не помню)

[lazer1064]

нет, ибо обычно он никуда не едет, а стоит на станции на военной площадке или спецпутях.

[sicambr]

Речь не о старом, о "Баргузине".

[pae174]

Старый уже сдали на лом. Новый сначала пытались строить, но потом отказались от этой затеи и свернули проект — там тупо кончились деньги. Так что по крайней мере до 2027 года его даже в планах нет.

[Googly1]

Очень недеюсь, что автор достаточно запутал следы своей регистрации: удалил email, писал из Tor и тд.
Спасибо за подробную статью!
Буду благодарен за новые, в стиле вредных советов ИБ.

[bougakov]

Автор для иллюстрации серьёзности проблемы использует не те картинки. Дайте я помогу.

Вот на Евгения Игоревича смотрит генерал Пол Накасоне, командующий United States Cyber Command. Интересующимся этой личностью предлагаю погуглить «Иран + Nitro Zeus».



Согласно принятому американским конгрессом H.R.5515 — National Defense Authorization Act for Fiscal Year 2019 его ведомство активно поощряется делать закладки («implants») в гражданских сетях («grid» — электросети, транспорт) вероятных противников с целью «deter, safeguard or defend against attacks or malicious cyberactivities against the United States.»

Статья в New York Times утверждает, что американцы перестали полагаться на уговоры и увещевания, и теперь целенаправленно в рамках гос. программы ставят закладки в ключевые элементы российской инфраструктуры. С 2020 года, согласно National Security Presidential Memoranda 13 генералу за такими действиями не надо бегать на утверждение к президенту.

Цитата:

The critical question — impossible to know without access to the classified details of the operation — is how deep into the Russian grid the United States has bored. Only then will it be clear whether it would be possible to plunge Russia into darkness or cripple its military — a question that may not be answerable until the code is activated.

Описанные автором дыры наводят на мысль, что их можно использовать для системного нарушения движения поездов. Если их нашёл автор, то подчинённые генерала — и подавно. Описанный автором риск порчи камер — это цветочки. Если после очередной шалости вроде взлома SolarWind американцы решат ответить ударом по РЖД — поезда по стране будут ходить по маршрутам, рассчитанным в тетрадке, а стрелки будут переключаться месяцы вручную, пока всё будет востанавливаться. По каскаду это приведёт к сбоям в отраслях, зависящих от ж.д. поставок — сначала мазута и нефти, потом остальных.

[KivApple]

поезда по стране будут ходить по маршрутам, рассчитанным в тетрадке, а стрелки будут переключаться месяцы вручную, пока всё будет востанавливаться. По каскаду это приведёт к сбоям в отраслях, зависящих от ж.д. поставок — сначала мазута и нефти, потом остальных

+ Несколько десятков сошедших с рельсов/столкнувшихся поездов в день Х, если захотят (кстати, это ещё повреждение и/или блокировка путей на часы/дни)

А если поезда и время правильно выбрать… РЖД не только гражданских возит.

[bougakov]

Ну вот, наконец-то обсуждаем проблему в терминах, которые понятны ребятам из Ипатьевского переулка, дом 4.

[Sequoza]

Описанные автором дыры наводят на мысль

Чем-чем а дырами это назвать точно нельзя.

[blind_oracle]

А как? Дырищи? Открытые двери? Провалы? :)

[Areso]

Немного не дотягивает до Триумфальной арки.

[Oxyd]

Скорее перетягивает. Это уже как двери ангара для Боинга.

[Viceroyalty]

Отсутствие заборов

[Sequoza]

Зря иронизируете. Моя ошибка, это дыра в безопасности, но это не то, о чем говорит комментатор выше.
Зафакапились инеграторы, админы или отдел безопасности. Но комментатор винит «Пол Накасоне» вместе с United States Cyber Command, которые, видимо, выступали подрядчиками РЖД.
Конкретно этот случай — мимо.

[blind_oracle]

Он про вину ничего не говорил, просто его комментарий гораздо более наглядно иллюстрирует последствия такого разгильдяйства. В нужный момент, вполне возможно, кто-то из ведомства этого товарища нажмёт кнопочку и РЖД ляжет.

[Sequoza]

Это вот так что-ли:
2 абзац — представление генерала.
3 абзац — внедрение закладок.
4-5 абзац мастерство перевода в стиле RT:

Статья в New York Times утверждает, что американцы перестали полагаться на уговоры и увещевания, и теперь целенаправленно в рамках гос. программы ставят закладки в ключевые элементы российской инфраструктуры

Позвольте для вас выделить немного больше слов для выделения контекста, который чуть меняет смысл высказывания:

The critical question — impossible to know without access to the classified details of the operation — is how deep into the Russian grid the United States has bored. Only then will it be clear whether it would be possible to plunge Russia into darkness or cripple its military — a question that may not be answerable until the code is activated.

Далее в статье:

So far, there is no evidence that the United States has actually turned off the power in any of the efforts to establish what American officials call a “persistent presence” inside Russian networks, just as the Russians have not turned off power in the United States. But the placement of malicious code inside both systems revives the question of whether a nation’s power grid — or other critical infrastructure that keeps homes, factories, and hospitals running — constitutes a legitimate target for online attack.

С каких пор "...impossible to know without access to the classified details of the operation.." и "..there is no evidence.." переводится, что «NYT утверждает»? Потенциально возможно, но это такая же инфа, как и русские хакеры.
5-ый абзац — немного про последствия взлома ржд, не забыв, конечно, упомянув зачем-то американцев, мстящих за SolarWind.
Извините, но, как мне кажется, посыл явно не про важность дисциплины и ответственности на работе.

[iDm1]

Кстати акцентировать внимание на том, что такими дырами в безопасности могут воспользоваться иностранные спецслужбы идея хорошая. В текущей политической ситуации это может гораздо лучше побудить РЖД и других заняться безопасностью своих сетей, а не посадкой «натуралистов».

[bougakov]

Что значит «могут»? Нужно исходить из предпосылки, что «давно смогли».

Для понимания — над планом «Nitro Zeus», который должен был был оставить Иран без энергосетей и прочей инфраструктуры в случае обострения кризиса, трудились тысячи людей. Думаете, они с 2016 года ничем новым не занимались?

The plan, code-named Nitro Zeus, was devised to disable Iran’s air defenses, communications systems and crucial parts of its power grid, and was shelved, at least for the foreseeable future, after the nuclear deal struck between Iran and six other nations last summer was fulfilled.

Nitro Zeus was part of an effort to assure President Obama that he had alternatives, short of a full-scale war, if Iran lashed out at the United States or its allies in the region. At its height, officials say, the planning for Nitro Zeus involved thousands of American military and intelligence personnel, spending tens of millions of dollars and placing electronic implants in Iranian computer networks to “prepare the battlefield,” in the parlance of the Pentagon.

[namikiri]

Немного не по теме, но после подобного как-то сомнений в необходимости Эльбрусов стало чуть поменьше. Вся статья — сплошь «вражеские» технологии. Нет, я не топлю за повальное импортозамещение, но, тем не менее, не хотелось бы страдать из-за политических распрей где-то там.

[Anrikigai]

Все эти «вражеские» технологии тупо были халатно сконфигурированы.
Не о каких «закладках» в них речи не идет.

Какая разница, не сподобился админ пароль установить на Mikrotik или на Эльбрус?
И пропаганда «а вот угрохаем кучу денег, перейдем на отечественное, и станет безопасно» очень опасна.

[wigneddoom]

Разница есть, если где-то упоминается Mikrotik, значит сетевой инфраструктуры нет, от слова совсем.

[Anrikigai]

Вы считаете Микротики таким шлаком, что отечественное изедлие сразу будет значительно лучше?

Боюсь, ему даже до уровня Микротика придется долго расти. Если, конечно, это не будет какой-нибудь Huawei с переклеенной этикеткой.

P.S. Хотя я и вполне позитивно отношусь к Микротикам я тоже считаю, что сеть в такой крупной организации должна строиться на оборудовании более высокого класса.
Но в данном случае выбор оборудования для построения сети отнюдь не главная проблема. И на Миктротиках можно было бы сделать значительно более безопасно. И на Cisco с дефолтными паролями и не настроенными ACL получить такое же решето…

[wigneddoom]

Нет, я не считаю Микротик прям шлаком, вполне себе хороший продукт для своих целей. Просто практика показывает, что люди пытаются Микротиками затыкать дыры. Но для этого нужны знания и умения.
Банально у Циски есть программы обучения, сертификации и т. д. Поэтому я считаю, что ПТУ'шник с сертификатом Циски более умелый чем эникейщик с Микротиком.

И на Cisco с дефолтными паролями и не настроенными ACL получить такое же решето…

Опять, если человек надрессирован, на всяких курсах, экзаменах, то у него под коркой головного мозга отложатся знания, о том, что нужно менять пароли, конфигурировать ACL и т. д.

P/S. Простите, что мне лень искать эту статью на Хабре. Но она была, где говорили о том, что сетевые инженеры ещё нужны. Они действительно нужны, но в противовес им всегда ставят девопсов, админов, и даже всяких эникейщиков. А потом получают такие факапы.

[DikSoft]

Банально у Циски есть программы обучения, сертификации и т. д.

У Микротика тоже есть, кстати. И довольно качественная программа…
Другое дело, что по цене он сильно доступнее и попадает в кривые руки часто, но явно это не вина оборудования и производителя.

[wigneddoom]

О, не знал. Это безусловно плюс. Надеюсь они включат в курс, что всегда надо менять дефолтные пароли.

[vladkorotnev]

ИМХО, такие вещи не должны быть в курсах, а прямо на уровне ОС, как приглашение логина.

Т.е. воткнул роутер в розетку при первой распаковке — он DHCP поднял, но нифига не роутит, и по всем интерфейсам настройки выдаёт только запрос установить пароль, с проверкой по критериям стойкости, чтобы уж совсем на отвали не выставляли. И пока пароль не пропишешь, пользоваться оборудованием не можешь.

[playnet]

Хотя я и вполне позитивно отношусь к Микротикам я тоже считаю, что сеть в такой крупной организации должна строиться на оборудовании более высокого класса.

Речь не про ДЦ, а например вокзал вне столиц, с парой компов — настоящая циска не даст вообще ничего в такую же цену (то есть linksys с лейблом циски — всё-таки не циска), а просто подобный функционал будет стоить в 5-10 раз больше. И для чего? Для шильдика циско? Для «хейтим микроты»? И опять же, не циской единой, в своих нишах juniper не хуже например. Бонусом — циска это сша, а там не просто закладки обязательны, но даже просто за разглашение этих закладок циске светят проблемы.

[Anrikigai]

Я и не цисковод, и не спец по микротикам, вполне могу ошибаться.
Но мне кажется, что у Микротика отсутствует централизованное управление. Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.

А я апологет централизованного управления. Тем более при отсутсвии достаточно квалифицированных кадром «на местах» особенно важно, чтобы основные настройки прилетали из центра.

Уж лучше сделать «стандартный набор правил» (для нескольких типов вокзалов) и разрешить чуть больше, чем необходимо в конкретной точке, нежели отдать полностью на откуп локальному персоналу, когда каждый настраивает, как бог на душу положит.

Это стоит денег, тут абсолютно согласен. Хоть Cisco, хоть Huawei, по любому дороже.
Кстати, у Huawei вроде есть централизованное управление, нана циске свет клином сошелся.

[playnet]

А что должно входить в «централизованного управления»? cli у микрота есть, цепляется к тому же ansible.Подгрузка конфигов по tftp? А если был сбой питания и всё включилось одновременно, или канал лежит при ребуте? Микроты — они ведь быстро грузятся, это не веб-смарт хп, которые у нас 5+ минут грузились. И получится что роутер готов раньше остальной инфраструктуры. А на одной из прошлых работ было плановое выключение, и после включения ничего не смогло загрузиться. Потому что «для удобства» был DHCP со статическими адресами в настройках, вот только 2 дхцп были… в виртуалках. А все хостноды вирт кластера — тоже были с dhcp, и в итоге кластер не взлетел, ноды не поднялись, сеть не ожила. Поднимали её руками потом.
Так что статические конфиги прямо в роутере это ок, а для руления — ssh и cli.
Вообще, есть конечно SDN (software-defined networks), но что-то мне подсказывает, что сейчас это будет бОльшим злом. Вот лет через 30-40…

[Anrikigai]

В данном контексте (мы говорим о безопасности, а не к примеру, настройках BGP), я под централизованным управлением понимаю инструмент, в котором удобно управлять политиками на устройствах разных моделей по всей сети. На огромных в ЦОД, на средних в головном офисе, на мелких в удаленных подразделениях из пары компов (камер, СКУД).

Безусловно, можно через ansible рулить Микротиками. Но многих ли вы знаете, кто так делает, скажем, на фаерволе в ЦОД?

Если я могу дать обычному безопаснику или сетевику инструмент для управления правилами фаервола, в котором он визуально понятно задаст их хоть для центрального Интернет фаервола, хоть для ЦОД, хоть для мелочевки удаленной, он будет этим пользоваться, создавать правила «по запросу»,
Если же ему придется писать плейбуку (вероятно с параметрами, ибо объект «видеокамера» един, но имееет разные IP на каждой площадке)…

Меня терзают смутные сомнения, что даже специально выделенному погонщику с кнутом удастся добиться нормальных гранулированных политик, а не «разрешено все, кроме уж совсем явных гадостей».

Можно еще поговорить на тему аварийных ситуаций. Скажем, залил удаленно новые правила доступа и сам себя отрезал.
На Cisco, пока не сказал «записать», можно попросить кого-то просто перезагрузить устройство и вновь обрести контроль.
Можно ли так на Микротике, я не уверен.

Насколько безопасно новую прошивку заливать?
Сердце не екнет, запустить самописную плейбуку, обновляющую сотню удаленных микротиков?


Я не хочу разводить холивар на эту тему. Тем более советовать выкинуть Микротики и заменить на что-то другое. Ни в коем случае.

Но касательно «централизованного управления» я все-таки считаю так:
Можно управлять Микротиками через ansible? Да, можно.

Можно это назвать системой централизованного управления?
«Мы управляем нашими микротиками централизованно» сказать можно.
Но это будет все-таки то, о чем я писал в самом начале: «Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.»

[ajijiadduh]

the dude не подходит под централизованное управление?
mikrotik.com/thedude

[Anrikigai]

О, что-то появилось.
Класс!

[playnet]

года 2 как появилось…

[DikSoft]

Знааачительно больше, чем 2 года )

[gecube]

На Cisco, пока не сказал «записать», можно попросить кого-то просто перезагрузить устройство и вновь обрести контроль.
Можно ли так на Микротике, я не уверен.

можно… safe mode называется или вроде того

[merlin-vrn]

del

[Meklon]

Можно в Safemode редактировать конфиг. Если связь оборвется и ты не сможешь подтвердить, то устройство откатит изменения.

[namikiri]

Вот.

[Anrikigai]

Да, к сожалению мысли, что «Эльбрусами» нужно заняться не для решения этой проблемы, а после приведения всей системы в порядок, я действительно не уловил.

[bougakov]

увлечение «Эльбрусами» — это симптом болезни, а не лекарство.

В бизнесе есть разделение на «капитальные затраты» (CAPEX — железки) и «операционные» (OPEX — работы, услуги, зарплаты). Если деньги вваливаются в железки, а обслуживающие их люди получают низкие зарплаты — это симптом того, что с управлением что-то не то (либо некомпетентны, либо набивают карманы, либо и то и другое). Коррупционные схемы легче реализовывать на капитальных затратах — событие разовое, проще скрыть.

Понятный пример — установка металлоискателей на вокзалах или закупка томографов без вложений в ставки и обучение врачей. Деньги освоены, ленточку перерезали, отчитались — но лучше не стало.

[ascheck]

Крайне странно Вы приплели сюда CAPEX и OPEX… В разных производствах их соотношение разное, никакого прямого указания на качество управления оно не даёт.
Крупные разовые закупки на миллиард менее заметны, чем 100 контрактов с подставными фирмами на обслугу по 10-50к в месяц? Тоже спорно.
Я не оправдываю наши структуры, но не согласен с озвученной логикой.

[San_tit]

а что исправит наличие вместо микротика с дефолтным паролем какого-нибудь РКСС/Русьтелетех или еще чего-то с таким же дефолтным паролем? «Вражеские» технологии носят критический характер тогда, когда у вас всё остальное защищено нормально, а так замена микротиков на отечественное железо эквивалентно решению вопроса о материале изоляции кабеля, когда у вас метр через метр на нем без изоляции вообще.

[namikiri]

Да, видимо, это не было так очевидно, как я себе представлял, но, оставляя комментарий про Эльбрус, я подразумевал, что всё остальное должно быть приведено в порядок. И не пытался выставить процессор собственной разработки как панацею ото всех бед, а, скорее, как решение одной из проблем безопасности.

[San_tit]

Да нет, это всё понятно, но эта самая минимальная проблема по сути, и решать ее надо будет тогда, когда всё (на самом деле, существенно более дешевое) уже сделано (я про уже существующие системы, при сборке новых есть смысл использовать доверенное оборудование сразу).

Безусловно, стимулировать и помогать развивать производство оборудования надо еще «вчера», но оно вообще не панацея от халатности и недостаточного профессионализма кадров.

[namikiri]

Комментарий, просто, был к соответствующей заметке, а не ко всей статье в целом. Потому он и такой.

[in_heb]

закладки закладками, а оставлять дефолтный пароль на устройствах и обвинять в этом американцев это что-то из серии «Обама испражняется в подъездах»
ну да конечно, сотрудники ЦРУ лично конфигурят микротики в РЖД

[Areso]

закладки закладками, а оставлять дефолтный пароль на устройствах и обвинять в этом американцев это что-то из серии «Обама испражняется в подъездах»
ну да конечно, сотрудники ЦРУ лично конфигурят микротики в РЖД

Миром правит не тайная ложа, а явная лажа©

[namikiri]

Вот тут я всё пояснил.

[DimkoD]

Не нужно иностранных, у нас достаточно отличных архитекторов и инженеров кто сделает сеть, но благодаря таким вот IT-директорам их к работе не допускают. Товарища нужно увольнять с профнепригодностью по специальности, но надежда что это случится очень маленькая.
Хорошие сети у нас на частных предприятиях существуют, это не фантастика, там где люди действительно этого хотят — всё сделано красиво

[tangro]

Автора, без сомнения, найдут и посадят. Ну или найдут и посадят кого-то другого, кто попадёт под руку. Конкретно этот один открытый шлюз закроют. Выпустят прес-релиз «была проведена проверка безопасности, критических проблем не обнаружено». Всё остальное останется, как и было.

[maksipes]

Евгений Чаркин занимается самым обычным саботажем на своем рабочем месте, ИМХО.

[botyaslonim]

Вредитель. Дело Промпартии

[Sergey-S-Kovalev]

Делай добро так что бы не узнали и не смогли найти.

[Zverienish]

И наверное сертификаты ФСТЭК и ФСБ есть о соответствии требованиям.

[Robur_le_Conquerant]

вы знаете, как получаются эти сертификаты? Да, именно так. Вы правильно подумали.

[vanxant]

Ну раз вы «понимаете», то расскажите нам тут на хабре, как получают эти «сертификаты». И, заодно, что это за неведомые такие «сертификаты».

[Valya-roller]

Что-то мне подсказывает что получение доступа к админским панелям управления камерами может дать не только картинку с пирона, но и картинку внутри сервера (Remote code execution). Я просто уверен что многие из этих камер не обновлялись годами и повысить привилегии до уровня «сервер админ» сможет любой школьник.

[Valya-roller]

а ну точно же. в таком случае нет слов, одни эмоции.

[sscoodd]

Смотрю с уровня принадлежащего ржд завода: айти хозяйство постепенно ветшает, ибо все делается по остаточному принципу.
Зарплаты у айти специалистов (да и у всех вообще, кроме топов) совсем небольшие, толковый спец на такое не согласится. В результате остаются не особо мотивированные и/или опытные, а задачи выполняются по принципу минимизации затрат сил. Что уж говорить о развитии — принцип работы чисто реактивный, не дёргайся, пока не просят.

Бюрократия такова, что любые, даже критически важные закупки нужно проводить через казначейство. Недавно был свидетелем ситуации, когда в 6 рейде вышли из строя два диска и критическая система жила на грани краха пару месяцев, пока решался вопрос покупки.

Купить что-то в ЗИП — нереально, не согласуют. Купить что-то для развития — только через тендер, где все равно все произойдет так, что новый сервер доедет изрядно похудев на комплектующие/характеристики.

Автору респект, картина маслом: бесконечное "кроилово" приводит к тотальному упадку, что в сфере айти вылилось в дырявые сети и реальную угрозу остановки стратегической отрасли. Да и это же лишь фрагмент картины. Стоит закопаться поглубже, там вообще отверзнутся бездны особенностей национального хозяйствования…

[playnet]

Недавно был свидетелем ситуации, когда в 6 рейде вышли из строя два диска

1) диск «горячего резерва» (hot spare). При покупке массива заявляется как обязательный, и что без него вообще никак. Чуть более заумно — и проканает. Ну или собирать сразу с ним из того что есть
2) гарантия. У HP вплоть до того, что утром приезжает курьер «у вас диск сыпется, вот замена». Работал в гос конторе, там на гарантию не скупились.

[sscoodd]

1) Так точно.
2) а вот тут наоброт.

[BigDrive]

Я так понимаю перевести стрелки на путях и столкнуть пару поездов это уже не составляет труда?
Это же живые люди, это уже серьезные аварии. Как выше люди писали надо обращаться с этим не в РЖД, а в ФСБ, тут дело жаренным пахнет.

[Daimos]

Ну не всё так просто, перевод стрелок контролируется и блокируется, чтобы маршруты не пересекались. Так же как и включение светофоров.
Там надо серьезно в код влезть, чтобы вручную так просто переключить можно было. А местами и невозможно будет, где еще СЦБ не такое компьютеризированное полностью.

[Zibx]

Палить нахождение в системе управлением стрелками будет только дурак. Настоящий злоумышленник поменяет местами ядерную боеголовку с цистерной мазута, после чего прицепит эту боеголовку к поезду с порохом и всю связку встроит в поезд перевозящий бумалуп куда-нибудь в Воронеж.

[Jabberwocky]

Ядерная боеголовка ездит только с охраной живыми людьми и отдельным эшелоном. Железнодорожники знают только что литерный поезд (что везет — не знают, максимум знают что есть какая-то степень негабаритности) и маршрут ему прокладывают.

[tomoto]

Превосходно. Но честно говоря я думал, что автор не живет в РФ. Если честно, выйди эта статья в 2020 я бы посчитал ее лучшей в теге телекомуникаций. Отличный подарок на новый год.

[iliabvf]

А вот теперь главное, чтобы не взялись за вас, чиновники бывают очень обидчивые и глупые.

[vikvvv]

Спасибо за статью! Надеюсь что здравый смысл победит, не в последнюю очередь благодаря таким людям как автор.

[madcatdev]

Статья хорошая, проблема действительно есть.
Не понравился только этот абзац:

А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану.

Все эти камеры, металлодетекторы с рентгенами, заборы и охрана — по большей части существуют для отмыва денег (по меньшей — для глобальной слежки за людьми и создания угнетающей атмосферы "как на зоне"), никакой реальной безопасности они не дают.

Очень хорошо про это рассказано в этом видео .

[artemerschow]

Или в этом :)

[wigneddoom]

Или в этом

[u440]

Теракты предотвращаются на 99% агентурной работой. И где-то 1% — системами безопасности.
Наверное везде, кроме КНР и КНДР.

[wigneddoom]

Очень смелое заявление о 99%. Согласен, оперативная работа и предотвращение преступлений — это то чем в первую очередь нужно заниматься. Но теракты есть, и лучше пусть как у нас в России массовые мероприятия ограждают бетонными блоками или мусоровозами, чем какой-то фнатик проедет на грузовике по толпе.

[u440]

Возможно. Как и то, что я скорее всего имел в виду теракты типа волгоградских.

В ходе проведения Олимпиады в Сочи по окрестным горам/лесам сидело N групп ССО (ФСБ, ГРУ и прочие). Было перехвачено довольно много групп идущих на проведение терактов во время Олимпийских игр. Так что да — заслоны тоже работают.
Но подозреваю, что гораздо больше террористов приземлили ещё на старте, по наводке от информаторов и агентов.

[alex-khv]

Где об этом можно прочитать, проверить?

[u440]

Не знаю.

https://yandex.ru/search/

https://topwar.ru/43486-fsb-otchitalas-o-predotvraschenii-teraktov-vo-vremya-olimpiady-v-sochi.html

https://www.championat.com/other/article-3234693-terakty-oboshli-storonoj-olimpijskij-sochi.html

[olekl]

Да кому оно надо было там теракты устраивать? А спецслужбы там, емнип, занимались подменой анализов, а не ловлей неуловимых террористов…

[u440]

Как видно из сообщения выше — были персонажи, которым было интересно «там устроить теракт».

[olekl]

Точнее, «фсб об этом отчиталась». В этом посте ржд тоже отчиталась, что у них все ок с безопасностью, а во всем натуралисты виноваты.

[u440]

Ваше право — верить или не верить, это дело хозяйское.
У меня есть подтверждения вышеописанного от участника с нашей стороны (ССО). Ему я верю, соответственно вышеприведённые публикации для меня верифицированы.

На этом предлагаю спор закончить — переубеждать кого-либо на «хабре» дело бесполезное :)

[lazer1064]

так было раньше. И не 99, а 70%. И работают агентурные средства безопасности только в странах, где население доверяет власти. В тех странах, где население перестает верить власти, случается распад СССР. Сейчас технические средства контроля безопасности все поменяли — доверие народа власти уже не так важно, а с появлением военного ИИ и подавно народ будет уже не нужен.

[Bearpuh]

Как то давно, когда была такая WiMAX сеть Starnet рядом с Yota, я нашел несколько уязвимостей в ней и в их устройствах: модемах, роутерах, впрочем как и в йотовских и написал подробное письмо в Starnet со всеми техническими деталями — никак не отреагировали. К слову сказать — не задавался целью, случайно мимоходом обнаружил. Писать статью на хабре даже мысли не было. Не знаю, может быть мне тоже стоило тогда хайпануть))).
Автору могу только пожелать удачи, она ему пригодится.

[maledog]

Собственно это только кажется, что крупные корпоративные сети хорошо защищены. Никогда не преследовал цели взлома, но админское прошлое оставляет осадочек. Как правило оказывается что хорошо защищен в лучшем случае периметр, а когда попадаешь во внутреннюю сеть, как подрядчик, то выясняется что изнутри защита или отсутствует или слабая. Где-то забудут закрыть буфер обмена и монтирование каталога по RDP, где-то можно туннель во внешний мир или к своему компьютеру. Да и когда работал админом у нас тоже не очень было с защитой от утечки данных. Вроде ты все закрыл и зарегулировал и акт и приказы за подписью генерального есть. А приходит кто-то из топов и требует открыть ему доступ куда угодно, при этом не отключая от локалки, или разработчик требует прямой порт наружу для отладки на неопределенный срок, но когда дело доходит до того чтобы сообщить что срок закончился, то иногда оказывается что и разработчик месяц как уволился, но выясняешь ты это только сейчас, так как никто не требовал заблокировать его доступы.

[alexhott]

Пробовали когда-нибудь устроиться работать по IT специальности в госучреждение или то что является его наследием (энергетика, ЖКХ, железные дороги и тп)? Там зарплаты в два раза ниже рынка. Студенты идут подтянуть скилы на годик если никуда не берут, или сидят люди овер 50 дорабатывая до пенсии.
Развернуть систему — нанимается подрядчик, может и хороший, делает, показывает что работает — ОК. Потом местные спецы лезут туда и меняют настройки. А может и подрядчик с этим оборудованием имел мало опыта и не закрыл лишнего.
Аудит там проводится и нормально проводится, по тендеру конторой в которой хорошие спецы. По результату выдают отчет с моделями уязвимостей и кучей таблиц и текста толщиной с войну и мир. Но на исполнение этот отчет попадает в руки местных спецов, которые его на полочку кладут. А начальство напугавший покупает систему за стопитсот мильенов, которая на регулярной основе выдает отчет с 10000 строк, и чего с ними делать никто не знает, вернее знает но не может.

[Bearpuh]

Пробовали когда-нибудь устроиться работать по IT специальности в госучреждение или то что является его наследием (энергетика, ЖКХ, железные дороги и тп)? Там зарплаты в два раза ниже рынка.

Я работаю в госе. ЗП в полтора раза выше чем на предыдущем месте в коммерции.
Тут не совсем в этом дело. Я пока не встречал ни одной крупной или не оч крупной организации, в которой все было бы хорошо в плане ИБ. Могу только сказать, что данный вопрос «на коленке» не решается. Нужна система во всем — система и политика паролей/ключей, организации доступов, система предотвращения вторжений, система логирования действий админов и пр.пользователей, система алертинга, постоянное сканирование дыр и уязвимостей и т.д. Фаервол на выход вообще никто не настраивает)) Я встречал специалистов, которые все это умеют и знают как организовать, но сталкиваются с хотелками архитекторов, разрабов, топов, как тут уже упомянули и система рушится.
Вообще, самые большие дыры — в головах. Грустно все это.

[Areso]

хотелками архитекторов, разрабов, топов

а кто конкретно из них заставляет оставлять пароли admin:admin?

Понятно, что между безопасностью и удобством (перечисленных лиц) есть определенный компромисс. Но вот между расхлябанностью, а иногда и откровенной преступной халатностью и безопасностью компромисса нет и быть не может.

[Bearpuh]

а кто конкретно из них заставляет оставлять пароли admin:admin?

С этим даже и не собирался спорить. Это ежу понятно. Неудачный пример привел.
Я имел ввиду «временные дырки», которые проковыриваются по команде сверху, а потом про них забывают/забивают и не документируют никак.

[wigneddoom]

А я не совсем понимаю причём тут зарплаты. Миротики должен настраивать ПТУ'шник, которому на уровне рефлексов должно быть вложенно не оставлять пароли по-дефолту. Специалист (якобы) у них сидит в руководстве и я думаю не обделён зарплатой. Bearpuh прав, нет системы.

[Bearpuh]

Да не должны сетевые железки, как и сервера настраиваться людьми вообще!
Мы же не в каменном веке живем. Автоматизацию для этого придумали. Пришла новая железка, поставили, применили нужную роль и все. Да и паролей вообще не должно быть нигде от слова совсем — только ключи. Пароль только на локаль с физическим доступом.

[wigneddoom]

А кто будет уметь эту роль настраивать? Или у нас сейчас внезапно вендорлок пропал?

[n0str0m0]

Самое ироничное, что ничего толком сделано не будет, максимум закроют доступ из вне к этому VPN, до тех пор, пока опять не откроют по забывчивости.

[Zibx]

ЭЭэээй, нельзя vpn закрывать, через него микросервис с диджитал оушена с админкой для табло работает!

[decomeron]

И эти люди хотят еще три Силиконовой долины сделать в России. Вы научитесь сначала пароль ставить.

[An_Tosha]

«Некий терминал c Дебианом» — это система управления очередью (СУО) Damask.
Стойки на вокзалах, печатающие талончики для доступа к кассам продажи билетов.

[Adjuster2004]

Руководство его ещё раз повысит после этого всего?

Автору статьи большая благодарность.
И статья хорошо изложена, и материал насыщенный.
К сожалению, в российских законах есть статьи благодарности за патриотизм. Особенно в уголовном праве.

[elve]

Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Я вот думаю что им надо хотя бы пароли на железках выставить. Даже если бы он был один на всех железках, но сложный и длинный, то этой статьи могло и не появиться (хотя конечно так делать не надо. каждой железке свой пароль ;) ).

[QDeathNick]

Чтобы сменить пароль, его надо записать, а куда его записать в случае с РЖД?

[ShadowTheAge]

Можно на электронное табло на вокзалах

[anonymous]

Сейчас РЖД снова начнет активную деятельность. Но не по залатыванию дыр в сетевой инфраструктуре и выплате нашедшему их вознаграждения, а статью подберёт подходящую.
Это уже не юный натуралист и злоумышленник.

[PavelMSTU]

+500 к посту. И ни одного минуса.

Вывод: русское IT общество абсолютно солидарна с автором. Такие вещи нужно аккуратно выносить в свет. Это вопрос национальной безопасности.

РЖД как неуловимый джо, он нафиг никому не нужен. Пока… Но пройдёт время и цифровой терроризм не за горами. Нужно фиксить.

[PavelMSTU]

Мой внутренний конспиролог говорит, что Хабр взломали :)

Ну как-то не верится что уже 530 плюсов и НИ ОДНОГО минуса. Вот прямо совсем ни одного.

Вывод: ХАБР ВЗЛОМАН!!! :)))

[acDev]

764 плюсиков, ноль минусов.

[PavelMSTU]

Ага уже 847 плюсов…

Ввожу новый термин: Консенсусная демократия широких масс.

[inkvizitor68sl]

Поставил минус просто чтобы протестировать ваше утверждение.
В ином случае, конечно же, оставил бы плюс, а менять сейчас на хабре оценку поста нельзя.

[Azya]

Нет, менять голос нельзя.

[Harwest]

Уже за тысячу перевалило.
Похоже статья идет на премию года )

[unix196]

отправил другу-начальнику-железнодорожнику данную ссылку, получил эпичный ответ:

Вот ты глупости не пиши всякие и жёлтую прессу читай поменьше. Проблемы есть всегда у всех компаний, в тч у монополистов.

Видимо подобный подход принят на всех уровнях жд. Так что желтую прессу не читаем, все нормально, проблем нет, расходимся!

[clevergod]

Автору респект за интересную и редкую статью. Такого на просторах интернета не найдешь, хотя информации подобной и о других крупных компаниях навалом у каждого, но все боятся и держат ее при себе.
Скаду нашел смотрю, но не акцентировал внимания на ней, что зря, на каждом PHDays этот вопрос поднимается оргами PT. Риски воистину огромны при ее эксплуатации.
погонам и криворуким халатно относящимся к ИБ админам — не трогайте парня, он за халяву провел аудит внешки просто вдохновившись статьей предшественника и грубость слов и халатность администрации РЖД к ситуации!
Жаль, что в России и других странах СНГ, таких парней пытаются наказать, а не отблагодарить, за то, что они показали реальные проблемы и тем самым предовратили реальные катастрофы. Просто наверняка РЖД проводила аудиты ИБ и пентесты, что думаю можно поискать в тендерных площадках, но увы «все ушло в закат». Еще больше печалит, что такие мастодонты в таком запущении и ничего не предпринимают сами для улучшения ситуации в целом в стране, так же органы гоняются за одиночками, вместо того, чтобы дрючить такие компании за безобразие и халатность.
! Это напоминает случаи на дороге, когда мой знакомый стоя в пробке и увидев, что рядом стоящий автомобиль воспламенился — сказал об этом хозяину, даже не чувствующему запаха гари из под капота, и потушил его собственным огнетушителем и еще был обласкан и даже поступали угрозы привлечения за поджег т.к. хозяин машины четко был уверен, что быть такого не может и это автоподстава т.к. якобы у нормального автолюбителя огнетушителя нет. Просто смешно и страшно среди кого мы живем.
Конечно скажите осуждающие — почему не обратился напрямую, почему в органы надзорные анонимку не кинул? Скажу от себя — это бесполезно, больше десятка таких обращений и ни одного ответа, кроме угроз и упреков, вот и вынуждены ребята обращаться к общественности.
И да есть у этого всего большой минус, после таких статей «школота» полезет проверять догадки автора и вот это самое ужасное.
Очень надеюсь, что автора не «накажут» и начнут присматриваться к замечаниям, а в будущем сделают гос программу поддержки или даже РосБагБаунти.

[olafars]

Да никто ничего не сделает, никакой РосБагБаунти н-и-ч-е-г-о. Все эти конторы «варятся» в «собственном соку», когда-то давно, за такую любезность к потенциальному врагу, поставили бы к стене. Сейчас всё иначе. Здесь нанесён репутационный ущерб личный и компании, думаю юристы РЖД уже «точат» ножи. Руководитель никакой ответственности не понесёт и скорее всего отделается выговором на бумаге.
Халатность в отношении технологий (софта, железа) — повсеместная, к глубокому сожалению. Начиная с какого-то простого сайта какой-нибудь «Рога и Копыта», которая собирает данные пользователей, заканчивая компаниями масштаба РЖД. Данная ситуация показывает и подтверждает лишь то, что РЖД — это Россия, а Россия — это РЖД. А ещё, что всему этому не хватает общественного контроля.
Автору большое уважение за проделанную работу. Пожалуйста, не пропадай, а лучше съезди отдохнуть на месяц — другой за пределы СНГ.

[imm]

— О, какая дырявая система, надо исследовать!
— Хм, не может же быть всё так плохо!
— Я понял это honeypot! Ща затестим!
<срочные новости: 2021 в России начался с транспортного коллапса>
— Бл…

[maikus]

Опасное дело публиковать такое. Отомстят эти упыри по-своему, по упыриному. Я бы стал искать частный выход на ФСБ, чтобы материалы попали в нужные руки с правильными коментариями.

[wtigga]

А в ФСБ только преданные долгу профессионалы сидят, которые готовы жизнь положить за безопасность родины.

Фото профессионалов

[Harwest]

Чужую жизнь причем.

[maikus]

Вы, наверное, не поняли немножко мой коммент. Я имел в виду, что вместо шумной публикации для здоровья полезней было бы постараться выйти на правильного человека в силовой структуре, который сможет правильно дать ход этому делу.
А ваше фото — оффтопик, ведь эти люди, очевидно, работают в другом отделе Конторы.

Но, не могу с вами не согласиться, конечно, вы правы на счёт них! Профессионалами из ФСБ этих людей назвать можно только с сарказмом. Серьёзно накосячили ребята, не справились с поставленной задачей, засветились везде, где это возможно, да еще и лица у них такие, прямо скажем, неприятные.
И ведь не первый раз такое! Помню, ещё летом 2019го травили Сисяна ядами, и не дотравили. В ведущих СМИ цивилизованного мира этот случай освещался.

[wtigga]

Вы тоже не поняли мой коммент. Эта «Контора» (с большой буквы, как вы пишете) не содержит в себе благородных рыцарей с нужными руками. Это ведь то же самое ФСБ, которое организует дела вроде Сети и Нового Величия. Вот кто к ним придёт, того и повяжут.

[Rohan66]

Наивный чукотский мальчик! ФСБешник НЕ МОЖЕТ быть другом. ИМХО. Приятель — максимум…

[tmin10]

Причём проблема решается пакетиками с порционной солью…

[tmin10]

Выдаёт из коробки за стойкой сотрудник, пряма на поднос пару положить можно, подменить незаметно проблематично.

[tmin10]

Если сотрудник совершает такое, то виновного найдут достаточно быстро. Т.е. неотвратимость наказания как раз работает в этом случае.

[Zibx]

РЖД — стратегическая штука, она не только про пассажиров.

[Areso]

Да и добавлю. Если хотите безопасности. Приходите например к нам в финтех и банки.

Только вот уверен что большинство айтишников тех кто тут в комментариях язвит, быстро взвоет и охренеет когда их заставят работать по стандартам PCI DSS и так далее.

Когда что бы внести изменение за 5 минут требуется день на согласования.

Как бы сказать, э, помягче. Наличие жесткого (и относительного рабочего ИБ) еще ничего не гарантирует.
Спорим, что между сегментами есть и машины/железки общие и передача данных работает?
Не могу говорить за всю Одессу, но как минимум дважды я нечто подобное уже видел.

[Zibx]

Думаете РЖД не имеет сертификатов PCI DSS? Что-то мне подсказывает что имеет и что транзакции хранятся в открытом виде где-то в том же зоопарке в котором копался автор статьи.

[tmin10]

У нас сейчас на проекте похоже: любое изменение инфрструктуры — неделя на согласование с безопасниками. Довольно больно что-то менять так.

[talbot]

С одной стороны К8s финтеху и самым большим банкам не помеха, они давно сотрудничают. Как и медленное внесение изменений давно уже из разряда легенды, никто не мешает деплоить по 50 раз в день.
Хотя я ещё застал отдельный комп со своей сетью для доступа к коду и логам PCI DSS сегмента. Но больше это не нужно, хотя строгий air gap между серверами в PCI DSS и обычными соблюдается.

[cnnr]

Вот тут я подпишусь полностью и абсолютно. Когда банк с заказчиком согласует требования месяц, а потом у отдела разработки 2 дня на реализацию и 2 часа на апдейт, и это только ночью — о да) Правда, кубер у нас уже был.

[areafishing]

Никакая багбаунти программа у ржд запущена не будет. Не удивлюсь если автора аккуратно привлекут к различным интересным статьям уголовного или административного кодекса. Да и вообще, не думаю что Россия в ближайшее время прийдет к программам багбаунти в гос организациях.

[Shiva-TM]

Автор, а ведь вас могут и начать искать и даже не силами МВД. Удачи. Я конспирологию не очень люблю но возможно это и не раздолбайство а вполне для кого надо запланированная дыра.

[unsignedchar]

могут и начать искать и даже не силами МВД

Стрелочника найти значительно проще. А лично автор — не думаю, что он настолько необходим. Неудачника с открытой нодой TOR могут ожидать проблемы, ага.

[in_heb]

Неудачника где-нибудь в условной Франции?

[elve]

Не надо приписывать заговору результат обыкновенного раздолбайства =).

[enc0de]

комментарии излишни в данном случае

[Lexx918]

Страннику Артуру пригодилось бы знать где какой товарняк едет. А то вечно сутками ждёт под мостом прежде чем зацепиться и ехать дальше)

[kick_fuel]

Во-первых, у автора железные яйца, за что огромное уважение, во-вторых было очень интересно читать, спасибо:)

[Sk1FF]

Их интросеть это такое решето которое во многих местах торчит на ружу.

[Dolios]

Забыли пункт 0: Уволить директора по информационным технологиям ОАО «РЖД» Чаркина Евгения Игоревича с занимаемой должности с пожизненным запретом занимать должности в компаниях с государственным участием. За некомпетентность.

[ProRunner]

Хабр в transparency report явно отчитается ещё как минимум об одном запросе.

[Areso]

Boomburum
Предлагаю повесить свидетельство канарейки прямо в подвал к этой статье, где обычно НЛО отмечается.
«Мы пока не получали запросов от компетентных органов по поводу этой статьи...»

Или уже поздно?

[spc]

А они молодцы:

"РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет", — сообщили в РЖД.

Теперь все будут хвалить РЖД за заботу о «персональных данных клиентов».

[DarkMike]

Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением

Nuff said

[tyderh]

угрозы безопасности движения нет

Это прекрасно.

[Flammar]

Пока не совершено ничего уголовно наказуемого, можно отрицать возможность совершения таких деяний.

[digore]

— Шеф, шеф, у нас дыра в безопасности!
— Ну, хоть что-то у нас в безопасности!

[AI_zek]

Ждём в СМИ новостей в духе:
— Хакер из Новосибирска взломал корпоративную сеть РЖД
— Сеть РЖД оказалась уязвимой, получены доступы к…
— РЖД отрицает факт взлома сети
— РЖД запросит субсидий на 10 млрд у государства на модернизацию компьютерной сети

[k3NGuru]

t.me/dvachannel/62897
уже

[kryvichh]

Дырявая как решето: энтузиаст продемонстрировал ужасающий масштаб уязвимостей IT-инфраструктуры РЖД

[key08rus]

В точку! Хакер из Новосибирска взломал сети РЖД и заявил о незащищенности сервисов компании

[keklick1337]

Эх, друг, они заводили дело на меня. Хабр сразу слил инфо.
Поздравляю, ты написал тут текста на 272 в чистом виде

[tmin10]

Не могли бы описать свой опыт после публикации статьи?

[Alexsey]

Интересно — на момент слива хабр уже был вне российской юрисдикции или еще нет? А то на этот слив можно по разному реагировать в зависимости от ответа на этот вопрос.

[CherryPah]

А какая разница в чьей он находится юрисдикции если запрос официальный?

[Areso]

На российские (официальные) запросы в других странах могут и не отвечать. И именно для этого и существуют всякие сущности вроде интерпола и взаимодействий ведомств разных стран.
Потому что, внезапно, официальный запрос от органа власти другого государства не является достаточным основанием для выдачи данных (в большинстве стран мира, между прочим).

[CherryPah]

По поводу смены юрисдикции
ООО «Хабр» никуда не делось, и все еще находится по адресу г. Москва, Спартаковский пер., д. 2, стр. 1
Также стоит обратить внимание на последний абзац
habr.com/ru/docs/docs/transparency

Хабр включён в реестр организаторов распространителей информации (ОРИ) и должен выполнять требования действующего законодательства.

ИМХО вся эта смена юрисдикций у многих IT компаний делается либо для выхода на международные рынки (но как я понимаю англоязычный хабр вроде пока не взлетел) либо для оптимизации налогов, либо (и это вроде как раз этот случай) для защиты от банального рейдерства со стороны властьимущих. Но если компания хочет вести какую-либо деятельность (а особенно коммерческую) в какой-либо стране ( и сейчас не только про РФ разговор) ей или ее региональному представительству придется соблюдать законы этой страны.

Что касается сущностей и взаимодействия ведомств — они в результате все таки существуют и работают.

Могут и не отвечать

Могут не отвечать и не могут отвечать это все таки разные вещи, поскольку первое подразумевает что отвечать все таки могут.
Я не хочу сейчас как-либо очернить или оскорбить Хабр, но это давно уже не пиратская бухта с техногиками-либертатианцами, а вполне себе коммерческая площадка (причем львиная доля заказчиков из РФ), которая навряд ли захочет попасть под ковровую бомбардировку РКНа за отказ в сотрудничестве. Добрым словом и пистолетом как известно.
Пример Parler из цивилизованных стран мира вроде все еще в горячем висит.

[dartraiden]

Думаю, меня поддержат многие… напишите, пожалуйста, статью об этом.

[tbl]

скорее всего дело еще тянется, а автор под подпиской о неразглашении

[dartraiden]

Ну, можно, вероятно, написать об этом факте. Мол, подписка, извините, не могу, не просите пока.

[Boomburum]

Откуда такая информация? Вы видели в материалах дела какие-либо документы от Хабра?

[Blond8he8]

Уже четыре раза обновил страницу с надеждой на апдейт от вас.

Надеюсь, вы сможете найти время и возможность поделиться процессом/итогом.

[Rohan66]

Когда я учился в Юбилейном на курсах по ТЗИ — там было две женщины из Питера от РЖД. Были чисто для галочки. Нужны были «специалисты» с «корочками». Вот они, наверное, и занимаются сейчас ИБ.
К слову — командировочные у них были — 100р/сутки. У меня — 700.

[OsipovRoman]

Вы не представляете, как это узнаваемо и от этого еще страшнее!

Когда мы с ребятами делали систему для одного очень крупного издательства — вы знаете, какой там был от сервера главного пароль и логин?

admin
admin1

[DMGarikk]

… я помню в одной конторе работал, видел софтину для банкоматов которая там платежи проводит
так вот там прямо в бинарник были зашиты логин и пароль: 'Администратор'/_какойто_пароль_

причем достаточно было блокнотом exeшник открыть чтобы их увидеть… а там внутри можно и платежи проводить куда хочешь и сколько хочешь.

народ из той конторы-производителя нивкакую не понимал что это плохо...'ну мы сертификат pcidss получили, значит всё нормально, у нас всегда так было'

[vl65]

В РЖД планово разгоняют своих IT специалистов. Это, наверное, единственная крупная компания, которая целенаправленно сокращает свой IT потенциал.

[ISVLabs]

не только ИТ. сегодня общался с парнишкой электриком из какой-то ремзоны РЖД. он посетовал, что станки сыпятся, ремонтировать некому. электронщиков часть поувольняли (сократили), часть сама поуходила. в итоге, никого вообще грамотных не осталось. думаю, подобный бардак и «оптимизации» творятся не только в РЖД, но и в любой крупной конторе… :(

[vanxant]

А звать его «Дочь», фамилия — «Офицеров», живёт в Крыму?:)

[ISVLabs]

не понял сарказма. у нас не столица, у нас з/п в 30к рублей считается нормальной для специалиста. естественно, начальством считается… поэтому и бегут все в Москву, Питер, Сочи и куда угодно.

[dts]

ещё одно подтверждение, что безопасник нужен, чтобы топов убаюкивать, а не для обеспечения реальной безопасности. Во многих компаниях раздутые отделы безопасности занятые непонятно чем, но топы их очень любят.

[Oxyd]

«Никогда такого не было и вот опять!» ©

[maximd4]

Люблю такие истории, спасибо автору. К слову — помнится, лет 30 назад в Технике-Молодежи была опубликована статья о поимке шпиона, чуть-чуть взломавшего Пентагон. Эта статья, без преувеличения, стала поворотным пунктом в выборе будущей професии.

upd: нашел — zhurnalko.net/=nauka-i-tehnika/tehnika-molodezhi/1991-04--num23

[Nikobraz]

Кстати да, много процессов идет похожих на идущие в те времена.

[Shaman_RSHU]

Не успели:

[tester12]

Ну, теперь есть кандидат. Статья на Хабре — вместо резюме.

[questor]

Ага, попросят подтвердить авторство статьи, там же на собеседовании и повяжут.

[OZR]

И «З/П не указана». Откуда ещё брать кадры в отделы безопасности? Наглядное пособие — фильм «Поймай меня если сможешь»… Система замкнутого круга.

[Shaman_RSHU]

Смысл им указывать З/П. На такие должности на таких ресурсах ищут обычно «расходники». Где З/П существенные должности по наследству передаются.

[speshuric]

Они с SolarWinds что ли поспорили кто громче обделается?

[Areso]

Пока наши «ведут».
Беспарольный (и безключевой) доступ в сеть предприятия это куда круче, чем пароль solarwinds123.

[slavik83sunday]

Защита баз данных уровня — кассета с порнофильмами в шкафу под полотенцем)

[skillfactory_school]

LMonoceros благодарю за статью. Просто хрестоматийный пример халатности в ИБ. Дам почитать нашим студентам-пентестерам. Берегите себя пожалуйста!

[Gryphon88]

Если не секрет, Вы рассказываете студентам, как правильно и вовремя кричать «Эй, Вы! Я же хотел добра!»?

[skillfactory_school]

Лучше всего — если кричать не придется вовсе :-)

[Gryphon88]

Тогда шляпа должна быть чёрная, потому как даже белые временами влетают :)

[Valtes]

Прежде всего это халатность в ИТ.
У каждого нормального айтишника должно быть внутреннее чувство безопасности.

[Sad_Bro]

вот так вот микротики по мануалам из ютуба настраивать.

[maximd4]

«Только микротик!», кричали они… ))

[A114n]

Немного удивляют искренние комментарии вида «эвон оно как!», «нифига себе!», «я в ужасе!».

То есть у меня такая же реакция, только не на очевидные факты из этой статьи — а на пещерное сознание обывателей, которые «если не доказано обратное» верят в благостность и функциональность окружающего мира.

Я, скажем, всегда знал, что ситуация по всей стране примерно такая и есть.

Это следует из общей наблюдаемой логики событий, которая не требует хакерских взломов. Достаточно посмотреть на открытые процессы в экономике, политике, на логику кадровых назначений, на динамику принимаемых законов и так далее. Для этого не нужно заниматься какими-то специальными исследованиями, большинство событий — это вполне открытая, даже новостная информация.

Но если с кем-то об этом заговорить, какие будут ответы?
«Либерундель продался госдепу!»
«Ага-ага, всё тебе путин виноват!»
«За что вы Россию ненавидите?»
«Да везде всё то же самое!»
«Приплетаю рашку!»
И так далее, и тому подобное.
Я уж не говорю о классическом: «ну это отдельные недостатки, у всех бывают ошибки, случается, зато всё остальное нормально работает».

Для примера: я не могу сделать подобного расследования, скажем, относительно систем безопасности российских АЭС — но я уверяю вас, что там всё то же самое. И если найдется достаточно безбашенный человек — то вы про них прочитаете через пару-тройку лет то же самое. Тут, кстати, упоминали систему городских водозаборов — и не зря упоминали, потому что и там тоже ситуация абсолютно такая же. Про ГЭС нам давно всё объяснила Саяно-Шушенская, про шахты — взрывы в Воркуте и Новокузнецке, про заводы — прошлогодняя авария в Норильске. Если бы меня спросили о системе вай-фай в метро, о системе камер наблюдения в Москве, о системе ковидного мониторинга до всех этих публикаций — я бы в двух словах объяснил, что эти системы будут дырявыми и плохо работающими, даже не умея их взламывать. Просто потому что ничего другого существующая организация процессов в РФ породить не может.

Это же касается, например, новой «вакцины» — риторический вопрос «как страна, неспособная производить удобрения, может сделать работающую вакцину» уже звучал, и это вовсе не ирония, а вполне серьёзная причина для размышлений.

Я очень рад, что подобные статьи регулярно здесь появляются, потому что они позволяют обывателям глубже понять мир, в котором они живут (а в некоторых областях реальной жизни программисты являются куда бОльшими обывателями, чем какие-нибудь продавцы). С этой же точки зрения полезны и ролики Навального, например.

Но хотелось бы, чтобы люди благодаря этим статьям не только удивлённо открывали рот и писали «надо же!», но и выстраивали у себя в голове адекватное реальности представление о том, где же они живут и что именно вокруг них происходит. Чтобы не считать такие вот происшествия «отдельными недостатками».

[SirEdvin]

А почему вас это удивляет? Ну, я подозреваю, что данными пользовались, но всяких злобных людей, которые чисто "будем творить зло" на самом деле практически не существует, как эксплотуатировать такие уязвимости то?

[begemot_sun]

Так что же делать, вы не ответили на главный вопрос, который сами же неявно поставили?

заводить трактор — не вариант.

[ardraeiss]

риторический вопрос «как страна, неспособная производить удобрения, может сделать работающую вакцину» уже звучал

Потому что "оказывается, может". И как-то сомнений в способности соорудить страшную ядерную или бактериологическую бяку нет, риторический вопрос в таких случаях обычно звучит "не, ну а кто ж ещё?"

Потому что на Руси в отдельной сфере "блоху подковать", человека в космос первым запустить или там первый тяжёлый бомбардировщик создать всегда кто-нибудь да найдётся. Особенно если это тема хоть как относится к военным.
А вот что-то поприземлённей и чтоб хорошо массово производить — тут начинаются проблемы. И это как минимум со времён Российской Империи. И, увы, пока не видать чтоб эта особенность внятно исправлялась.

[AVAF]

Отреагировали:
В РЖД опровергли сообщения об утечке данных клиентов regnum.ru/news/society/3162072.html

[Blond8he8]

Может быть я не догоняю что-то?
В посте речь идёт о несанкционированном доступе без ухищрений. Вопроса о сливе персональных данных не стояло и до сообщения от РЖД.

[iamitbeard]

После прочтения я полысел больше, чем есть сейчас… Просто тлен. Автору респект.

[EvilBeaver]

К сожалению, люди уровня Евгения Игоревича ни черта не понимают в ИТ, но ооочень не любят, когда их вот так, с фотографией и фамилией, публично тыкают носом в дерьмо. Они-то уже привыкли считать себя над людьми. Поэтому реакция Евгения Игоревича, скорее всего будет в стиле: "ах ты, сучья гнида, раздавлю!", последуют уголовные дела, но ничего исправлено не будет.

[Trunk]

Почему же нет требования защитить?
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
Сроки да — точно не определены и зависят от сроков проведения категорирования.

[wigneddoom]

Автору уважение, хорошо макнул РЖД. Надеюсь всё у него будет хорошо.

К Хабрасообществу. А чего вы ожидали? Если на хабре пишутся статьи типа: "Сетевые инженеры ещё нужны". Сейчас рынок в России таков, что проще пойти на хайповые темы.
Сплошь и рядом сетевиков заменяют на девопсов и админов.

Десять лет назад, когда мне нужно было соединить две части города в один L2 сегмент, я просто звонил сетевику, обжимал два кабеля по метру и вперёд. Сегодня, как разработчику, приходится людям объяснять что такое VLAN, как работает мультикаст, ходить на форумы Циски и VMware и указывать что и где нужно в интерфейсе нажать.

[alex-1917]

как можно макнуть в РФ почти-нумытознаем-гос-контору?
жаль пацана.к успеху шел...)))
(напомнило историю про толстого кота и аэрофлот, немного хайпа быстро закончилось, а пожизненный бан в аэрофлоте остался...)

[NecroRomnt]

У Автора стальные шары.
С этими людьми нельзя иметь дело. Их стоит сторониться как прокажённых.
Уже были стать о том как white-hat'а наши конторы под суд отдавали за подобные исследования.

[Andy_Big]

Эх, ну зачем же писать такие статьи под своим аккаунтом? Будет очень обидно, но не очень удивительно, если РЖД решит решить проблему в духе «злоумышленник найден, его ждет наказание по статье ххх».

[tester12]

«Я только опубликовал статью, а взламывал неизвестный хакер, который скинул мне по почте все скриншоты». Как-то так.

[Harwest]

Пойдет соучастником. А это уже 'в составе преступной группировки' :(

[AlexKhmelevskiy]

найс статейка. Автор хорош)
P.s. надеюсь цены на проезды не поднимутся :D

[VladislavVladimir]

история, не имеющая отношения к России! дело было… в Камбодже (почему нет? ). ну так вот (Вы не поверите!) там аналогичная ситуация с госзакупками, тендерами и прочим из области создания видимости борьбы с этой… как её… коррупцией! ситуация имела место некоторое время тому назад, когда закупки происходили на «бумажной» платформе, без применения телекоммуникационных систем (Камбоджа, Карл!). итак, наступает момент истины- вскрытие конвертов. нарастает тревога, у здания Камбоджийского перевозчика «Гореть вам всем в аду» несколько дорогостоящих автомобилей с тревожными людьми, ожидающими положительного результата. вдруг из здания этого уважаемого заведения выбегает положительно заряженная секретарь этого мероприятия и с тревогой в лице проводит мониторинг ближайших магазинов, после чего бежит с первой космической скоростью в один из них. внимание, вопрос! в какой именно и для чего? шампанское? как бы не так! она бежит в промтовары за ЭЛЕКТРИЕСКОЙ ЛАМПОЧКОЙ! именно она (лампочка, естественно) предопределяла победителя конкурса! алгоритм необычайно прост. итак, влетает несколько заявок от претендентов. судьба (победитель) этого богоугодного мероприятия предопределена заранее. теперь надо легализоваться. для этого надо узнать, что в конвертах (речь про цифры), для чего и нужна волшебная лампа, ведь может так случиться, что в одном из конвертов цифра будет ниже цифры уже определённого победителя. и если такое происходит, конверт любезно меняется. но это всё про Камбоджу, у нас всё честно.

[mikeuz]

Комментарий к комментариям:
1. Подозреваю, что статья написана как раз из-за того, что и РЖД и органы настойчиво стремятся пообщаться лично!
2. vpn, как и другие способы p2p могут стать уликой. Именно потому что точка — точка. Одного дядю так уже поймали и осудили (мутил через иностранный (для него) vpn, сопоставили ip-шники и время сеанса).

[gecube]

Да все уже… из РФ такое делать НЕБЕЗОПАСНО.
Любой домашний интернет — по договору, с паспортными данными.
Любой вайфай в кафешке — по смс регистрации.
Вайфай бесплатный в метро? Еще хуже — они MAC адреса записывают.
Единственное, что воспользовавшись интернетом друга или хакнув соседа по лестничной клетке — можно неиллюзорно их подставить )

[Oxyd]

Ну TOR ещё, с залочеными, на забугорье, выходными нодами.

[gecube]

Чего-то не уверен, что это сильно поможет

[cap_nemo]

Если смешивать политику и ИТ, то ничего хорошего не будет.

Вот политика: очевидно, что глава ИТ в случае каких либо происшествий будет пытаться прикрыть себя и ведомство. А кому-то вряд ли будет хорошо, если в результате пострадают его близкие. Как обычно, накажут козла отпущения, например, автора статьи, или какого-нибудь сис.админа, который и так собирается на пенсию. Все будут пытаться выйти сухими из воды.

А вот ИТ: если автор влез уже в сеть с «благими» намерениями, то надо было массово поменять пароли на микротиках хотя бы для того, чтобы проблема в ИТ вылезла наружу. И она начала был решаться хоть как-то изнутри, потому что ее бы заметили и начали вынужденно разбираться. Без необходимости ничего никто делать не будет.

Что по итогу: автор справедливо возмутился положением дел, и описал статью. Сейчас найдется много желающих проверить информацию, и будут осуществляться атаки на РЖД в стиле «Смотри, как я могу!». Осветить проблему — это вовсе не значит решить ее, можно только усугубить. А по итогу получится, что автор хотел добрых намерений, а получилось, что систему будут ломать кул-хацкеры, и не исключено что и сломают. И хорошо, если никто из-за этого не пострадает.

Мгновение здравого смысла: такая информация должна попадать в авторитетные бизнес (не ИТ!) издания, сильно урезанной, чтобы потом акции РЖД просели. Вот тогда и появится необходимость что-то делать. Можно быть уверенным, что главу ИТ вряд ли похвалят за потерю денег, и в следующий раз он может быть дважды подумает называть автора «натуралистом». Хотя исследовать природу — это почетно.

[SNNikitin]

если автор влез уже в сеть с «благими» намерениями, то надо было массово поменять пароли на микротиках хотя бы для того, чтобы проблема в ИТ вылезла наружу

Вы серьёзно?
Это точно статья, плюс — явное вредительство с возможными жертвами и ущербом на многие миллионы и миллиарды

[cap_nemo]

Отчасти с Вами можно согласиться…

А в чем явное вредительство? Есть маршрутизатор, у которого поменяли пароль, не меняя других настроек. Все работает в штатном режиме. Другое дело, что владельцы уже не могут им управлять до момента получения этого пароля. Так они и сами могут забыть пароль, или Обама/Байден, который портит парадные/подъезды, им поменяет, или другие сотрудники спецслужб с запада или востока. Действия автора еще нужно доказать, доказать злой умысел. Здесь можно по разному трактовать законы. Это дело адвокатов.

Многие коллеги, которые, написали комментарии, считают явное вредительство — это халатное отношение к безопасности транспортной системы, и я с ними солидарен. Я думаю все будут очень сильно и приятно удивлены, если руководители высшего ранга в РЖД внезапно понесут ответственность.

При этом я не призываю ни к каким действиям и не подстрекаю к вредительству. Словосочетания со словами «надо было» — это просто идея, я не заставляю ее никого реализовывать. Тем более в прошедшем времени.

Да и потом, может сменив пароль, он бы наоборот предотвратил возможные беды, от других кул-хакеров?

[SNNikitin]

владельцы уже не могут им управлять

Вот, собственно и вредительство. А если ляжет сегмент или надо будет замерить какой-то из узлов сети? Это из самого банального.

Действия автора еще нужно доказать, доказать злой умысел

Смена паролей — активное действие, направленное на снижение контроля над сетью уполномоченными лицами. Налицо преступный (не злой) умысел.

Здесь можно по разному трактовать законы

Не в случае смены паролей.

явное вредительство — это халатное отношение к безопасности транспортной системы, и я с ними солидарен

Совершение преступления кем-то не дает право совершать преступление кем-то другим.

Словосочетания со словами «надо было» — это просто идея, я не заставляю ее никого реализовывать

Трампа за такое жестко забанили повсюду и вон импичмент шьют ;)

сменив пароль, он бы наоборот предотвратил возможные беды, от других кул-хакеров?

Сослагательное наклонение уместно в философии и девичьих мечтах, но не очень — в технике и юриспруденции ;)

[cap_nemo]

Смена паролей должна быть доказана. А при том, что там могут резвиться еще пару хакеров, доказать смену паролей именно автором затруднительно. Можно сослаться на логи в маршрутизаторах — скажете Вы. Тогда попробуйте доказать, что прошивка не была изменена на момент изменения паролей, и после этого логи не отредактированы. Потом докажите, еще цепочку фактов. К примеру, что именно автор сидел за компьютером, с которого был осуществлен вход в сеть или на устройство.

Вы описываете идеализированное представление о ситуации. И я могу только согласиться с вашими аргументами. В реальной жизни это работать, увы, не будет. Потому что большая часть людей пойдет по пути наименьшего сопротивления — напишут пресс-релиз, и прикроют самую очевидную дыру. А потом все будет так же как и раньше.

Так что получается парадокс — действуя по такому идеализированному пониманию закона, мы допускаем дальнейшее попустительство ситуации. А это отличная почва для дальнейших злоупотреблений, которые обязательно будут.

Рассуждение о девичьих мечтах в технике — это уже тоже сама по себе философия :) Предложите разрешение предложенного парадокса?

[SNNikitin]

Смена паролей должна быть доказана

Логи помогут, все верно

попробуйте доказать

Если логи нормальные — то это не так чтобы проблема
Если не очень — то можно взять всех, кто резвился и дальше выяснять, кто что делал по старинке, в оффлайне — допросы, очные ставки и т.д.

В любом случае, я не настолько компетентен в ОРМ, думаю, там есть необходимые методики

Вы описываете идеализированное представление о ситуации.

Ну, если считать соблюдение законов идеализацией — то соглашусь ;)

В реальной жизни это работать, увы, не будет.

Не буду отрицать

Так что получается парадокс — действуя по такому идеализированному пониманию закона, мы допускаем дальнейшее попустительство ситуации. А это отличная почва для дальнейших злоупотреблений, которые обязательно будут.

Тут, на самом деле, нет парадокса :)
На рядового гражданина не возложены функции поддержания законности как таковой (в части, не касающейся его непосредственно, конечно) — для этого есть специальные узаконенные службы. Более того, во многих случаях рядовому гражданину прямо запрещено выполнять функции таких служб (в частности, субъектов ОРМ), вплоть до имитации этих функций (даже машину свою нельзя оклеить под машину полиции).
Так что, законных методов тут примерно один — уведомить оные службы, остальные априори незаконны. Других вариантов в рамках существующей системы у законопослушного гражданина просто нет.
Есть, конечно, еще один вариант — личное участие в изменениях существующей системы, но тут масса нюансов :) За какие-то варианты (даже за их упоминание!) можно неиллюзорно получить вполне законный срок, а ненаказуемых — не так уж и много остается, например, легальная политическая борьба, вхождение в состав правительства (или руководства означенных служб) и инициация изменений «сверху». И вот вариант, выбранный автором, уже не так чтобы законен, а предлагаемый Вами — уже вполне тянет на статью, как я и упоминал изначально ;)
Возвращаясь на землю, скажу так — злоупотребления будут, независимо от того, сядет ли конкретный исполнитель конкретных действий (считая упомянутые Вами) — и это еще более грустно.

Рассуждение о девичьих мечтах в технике — это уже тоже сама по себе философия :)

Не без этого ;)

Предложите разрешение предложенного парадокса?

Есть три варианта для личности:
1. Игнорировать
2. Эмигрировать
3. Пытаться бороться
И примерно ноль вариантов для системы, не меняющих ее по сути и наполнению.
Шансы личности на победу по варианту 3 лично я оцениваю как исчезающе малые, а вот шансы оной личности получить вариант 4 (вполне реальный срок, как минимум) — увы, как более чем реальные.

[cap_nemo]

С точки зрения форензики (методологии раскрытия компьютерных инцидентов) — собрать доказательную базу, не так уж и просто. Как вы правильно заметили, в ИТ нет места девичим мечтам, тем более при проведении расследования. Не нужно быть экспертом, чтобы понимать, что можно логи и подменить. Так что доказывать придется много всего и технически — это не так то просто. По старинке пригласить пару офицеров из киберкомандования США тоже можно, только они скорее всего не появятся здесь. У них и так полно дел по всему миру)

Наши комментарии в остальном стали приобретать мировозренческую окраску, и ей здесь не место. Благодарю за конструктивные доводы!

[dvk99]

А чего вы шьете автору УК 272, там указан неправомерный доступ, «при условии обеспечения специальных средств защиты». Тут речи о защите нет, если только пароли по-умолчанию защитой назвать. Никто ничего не ломал, вошли в открытые двери.
И, кстати, неплохо, если школота полезет камеры отключать, может и пошевелятся тогда.

[SamaRazor]

На бумаге там защита есть, будьте уверены. Все угрозы безопасности смоделированы, действия предприняты. А то что там admin:admin, так это происки этого же хакера, а ты докажи что не он.

[dvk99]

Презумпцию невиновности уже отменили? Хотя, в рамках нашей системы тут уместен смайлик.
Не удивлюсь, если представят протоколы и 15 свидетелей, что пароли там были правильные и вскрыты распределенным брутфорсом, а пятитонники IDP от палоальто сломаны распределенным на пол-мира ddos на 7-м уровне.
Такие организации привыкли хамством компенсировать недостаток ума. И в суде это вполне прокатывает по независящим от истины причинам. Надеюсь, автор вполне отдавал себе отчет в этом.

[Valtes]

Все-таки правильнее было сначала сообщить об уязвимых конфигурациях в РЖД и в Госсопку. Причин тут несколько:
Первая и самая главная — закрыть такие бреши оперативно невозможно никакими силами. В результате под угрозу поставлено функционирование крупной компании, которая дает рабочие места десяткам тысяч людей и обеспечивает важным сервисом миллионы. Можно по разному относиться к РЖД, но точно не стоит останавливать ее функционирование. А после этой статьи куча мамкиных (и не только) хакеров полезут проверять, правда ли написана, и возможно окажутся менее ответственными и, возможно, сделают что-то плохое.
Вторая — получить официальный ответ от компании или не получить его (это тоже результат).

Как-то так…

[imm]

РЖД птиц гордый, в прошлый раз недостаточно сильно пнули даже обнародованием информации о Сапсане — не взлетел, не почесался, и официально ответил, что у них всё расчудесно, результат:

В результате под угрозу поставлено функционирование крупной компании, которая дает рабочие места десяткам тысяч людей и обеспечивает важным сервисом миллионы.

А на «приватные» сообщения им и подавно положить большой ржавый рельс.

[Neikist]

Они даже сейчас, после публичного слива инфы заявляют что «Все прекрасно, угрозы нет»… А без этого скорее всего даже на ответ не почесались бы.

[Valtes]

Между тем это правильный путь. Плюс заметьте, что еще неплохо написать в ГОССОПКА.
Не поделитесь ссылкой, где они заявляют, что «угрозы нет»?

[Neikist]

habr.com/ru/news/t/537172

[Kvaskin]

Нужда ломать РЖД = нужде ломать общественный туалет в центре столицы. Меня не беспокоит доступ к камерам иных лиц. А платить бешеное бабло из бюджета за разработку/защиту/поддержку/ипр.х, как налогоплательщеку, за то что кто-то, когда-то решит столкнуть два поезда (в лучшем случае), что кстати не имеет никакого смысла, потому что это тупо. — НЕТ! — мне не нужна защита РЖД и вливание в нее очередного бабла, только потому что кто-то надул пузырь небезопасности!!! Да унитазы надо защищать — утенка достаточно.

[Neikist]

Вы статью хоть читали? В том и суть что там далеко не одни только камеры доступны. Насчет аварии поездов сомнительно, но остановить железную дорогу по всей стране есть подозрения что вполне возможно.

[Kvaskin]

«Все информационные системы уязвимы априори» — вот с этого надо начинать статью. Уязвимо все и всегда. В какой момент уязвимость приобретает значение? В тот самый когда встает вопрос безопасноcти. Вопрос безопасности не встал даже в этой статье, так в чем тогда смысл статьи? Потратить аххулиард денег на латание язвимостей? Ну так можно любой другой фигней позаниматься, главное чтобы не за чужой счет.

[Neikist]

Когда любой школьник с мозгами может положить железнодорожные перевозки по всей России будь у него желание — это по умолчанию имеет значение. Сами же взвоете если вдруг начнутся проблемы с товарами в магазинах и доставками заказов когда наверно крупнейший перевозчик вдруг не сможет ничего перевозить. Ну и само собой будет «весело» тем кому куда то ехать надо срочно, или откуда то уезжать.

[Anrikigai]

Вот поэтому и говорят о сегментации, Zero Trust и прочих подходах.
Чтобы даже если по чьему-то головотяпству (или из-за уязвимости) злоумышленник куда-то вломился, то там и остался. А не гулял уже по всей сети, как у себя дома.

Защитить так, чтобы никто никогда ничего не сломал нереально. Но когда из-за одной уязвимости (ошибки конфигурации...) можно грохнуть вообще всю сеть — такое недопустимо. И это архитектурная проблема, а не выбор «некошерного» производителя, например.

[elve]

Потратить волшебные пендели, чтоб хотя бы пароли на железках прописали ). Ахулиард рублей уже не раз тратился, но не чет не помогает =).

[Alviy]

Была ли у автора альтернатива при условии, что он хочет изменить эту удручающую ситуацию?

[MiGuSan]

каждый пассионарий находит свою судьбу.

[DHeart]

Предвижу ответ РЖД: "Это легализация материалов иностранных спецслужб"

[Alexufo]

ой ладно… пачками утекали персональные данные, а тут данные для организации терактов, в которые никто на самом деле не верит, отсюда такое отношение к ИБ у любой гос. конторы и их начальников.

[Uris]

Во! узнаю Хабр. Такими постами гордиться надо. 1000 плюсов будет точно. Но сообществу надо защитить бы автора. Последствия для него могут быть хреновыми. Вообще-то мы сила, черт побери!

[alex-1917]

Есть реальные примеры защиты какого-либо автора силами сообщества?
За прошедшие 15 лет?
Вот и у меня тоже нет…
)))

[Uris]

Правы вы. Не поспоришь. Посмотрим, что дальше из этого получится.

[IronHead]

Голунов
Шиес
Возможно получится с Фургалом.

[Alexufo]

Когда пришли за Ализаром из госнаркоконтроля я никого не видел.

[Alexufo]

Все просто ржали с ситуации, из-за заявлений от некомпетентных злодеев, сообщество ржущих?) Все итак знали, что это бесплезно, а Сысоев надеюсь после этого ватность свою понизил.

[Alexufo]

Да-да, групповой нарциссизм… приятный, но бесполезный.

[MiGuSan]

Тем временем ТГ канал по безопасности ОС MikroTik набрал почти +20% пользователей за сутки…

[Vort123]

Кому интересна полная версия статьи — смотрите в архивах.
Из этой версии уже начали куски пропадать.

[Haoose]

Пока убрали только скрины внутренних сервисов (схема путей, мониторинг состояния систем обеспечения здания, система управления кондиционированием и вентиляцией, системы управления табло на перронах, система DaMask, SCADA-системы). Наверно представители «попросили» )

[usego]

>UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.

Ога, всё это за пол дня закрыли? Тут на много дней работы начиная с планирования. Похоже это автора уже закрыли, а не уязвимости.

[MiGuSan]

скорее всего, начали закрывать входы в сеть) выходы закрывают другие органы)

[LMonoceros]

Я жив и здоров :-)

[Gryphon88]

Если не секрет, как с вами связывались: через личку Хабра, через телеграм или ещё как?

[tmin10]

По выключенному телефону, конечно же. Классика.

[monah_tuk]

Согласен. Без общественного резонанса — никак. На 1 канал же его не пустят, без приписок "злоумышленник", "юный натуралист" и прочими уничижительными ярлыками.

[To4KaXD]

Рад, что у вас все хорошо!

[Alexufo]

на дату сообщения обращайте внимания, когда читаете вчерашнюю статью)
Автора может уже и не быть)

[CherryPah]

А сейчас?

[LMonoceros]

И сейчас всё ровно.
Такое ощущение, что пошумели и забыли.

[aztec102]

Очень достойная статья! Поддерживаю что тоже читал как детектив! Беспощадная Россия!

[monah_tuk]

Беспощадная Россия!

Патентуйте название для цикла книг!

[SirEdvin]

Статья классная, но в ней, к сожалению и опасности автора, слишком много деталей :(

[gregoryawesoman]

да уж, приятно что среди сограждан есть толковые люди, аргументированно и четко все изложено.

после такого хочется на НЛО улететь подальше))
надеюсь с автором все будет хорошо

[Hakhagmon]

Статья супер, теперь главное чтоб по статье не приплели))

[timahvey]

Автор бесстрашный, как Робин Гуд. Агонь!
То что статья «изобилует деталями», скорее всего автор:
а) намекает на то, что там вообще полный *ц;
б) КРИЧИТ ИТ-отделу (а он есть не на бумаге?) РЖД и прежде всего его руководству, что нужно в серьёз воспринимать уведомления про такие вещи и вообще настраивать таки безопасность;
в) делает это популярно, т.к. иной раз еще в РФ за такие подсказки вместо баунти (которые выплачивают багхантерам за бугром) могут еще и «статью впаять».

[navion]

У них и правда некуда писать про безопасность:

220 gvc-cggw-cgfe-01.rzd.ru ESMTP CommuniGate Pro 6.2.15
HELO mail.example.com
250 gvc-cggw-cgfe-01.rzd.ru your name is not mail.example.com
RCPT TO: info@rzd.ru
250 info@rzd.ru will leave the Internet
RCPT TO: security@rzd.ru
571 security@rzd.ru prohibited. We do not relay

[outlingo]

MAIL FROM? Не, не слышал, ага

[navion]

Просто убрал лишний вывод.

[Areso]

А вас это удивляет? Попробуйте попросить ящик безопасников в любой крупной компании…
Все «внешние» точки входа будут говорить, что знать таковых не знают. Ни имён, ни телефонов, ни даже ящиков (даже обезличенных).
А то вдруг вы пришёлете им троянчика на security@company_name.ru, и всё, плакало секьюрити…
В теории, им должны пересылать такие сообщения с более публичных ящиков, ну а на практике.

[navion]

Обычно ящик security всё же существует и нередко с него отвечают админы или ИБ.

Я когда-то заморочился поиском управлялок от бесперебойников со стандартным паролем и рассылкой предупреждения владельцам — ответили все, кроме корейского провайдера.

[just_bank]

а если на «abuse@»? такие адреса чаще мониторятся

[navion]

Нет ни abuse, ни noc, ни support в доменах rzd.ru и css.rzd.ru, а для их AS20702 в качестве abuse-c указан персональный емейл.

[Anrikigai]

Проще проникнуть внутрь сети, чем найти, кому сообщить о проникновении :)

[Oxyd]

Натравил ZE, на диапазон адресов этой AS…
Как говорил товарищ Гоблин, в «Братстве Кольца» — «Эту страну спасут только танковые клинья и ковровые бомбометания!» ©

[Otrub]

Как только прочитал в статье и комментариях про жд, коррупцию, безопасность и профессионалов из топ менеджеров, сразу навеяло тему из Атлант расправил плечи..

[AlexR0v]

ну вот, автора уже и хакером обозвали.
Прям на главной яндекса

[AlexR0v]

да я к тому, что со стороны РЖД его следовало бы наградить, а получится скорее всего совсем наоборот. Лучше бы я ошибался конечно.

[Oxyd]

Согласно RFC1983:

hacker
A person who delights in having an intimate understanding of the
internal workings of a system, computers and computer networks in
particular. The term is often misused in a pejorative context,
where «cracker» would be the correct term. See also: cracker.

Так что всё правильно у него написано.

[vanxant]

Палитесь, «главная» специально для вас построена на основе ваших каналов (начинается на до, заканчивается на дь)

[AlexR0v]

да смысл не в этом, а в заголовках новостей, пусть даже построенным по моим предпочтениям. Никто не написал, что энтузиаст-исследователь помог найти уязвимости в РЖД, написали, что хакер взломал.

[monah_tuk]

Всё верно. Это не обзывательство. Посмотрите проекты на GitHub/GitLab/BitBacket/etc, там у многие есть документ HACKING, описываюсь базовые аспекты по внесения изменений в код. Т.е. это документ для тех, кто собирается лезть во внутренности. Разработчики ядра Linux тоже поголовно хакерами кличутся. Ну и выше ссылку на RFC1983 привели.

А ругательства это что-то вроде "мамкин хацкер", кул-хацкер и т.п. :)

PS вы : после https пропустили

[lizarge]

UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости.

Реально?) за 12 часов пофиксили все роутеры без паролей, прошили новыми промывками и все cконфигурировали? Или прошли по шагам которые автор предлагает?

[BigD]

LMonoceros Вас заставили это написать?

[spc]

А старорежимными смайликами еще кто-то пользуется?

[mayorovp]

Скорее всего закрыли выявленные внешние HTTP-прокси, это и делается быстро, и остроту проблемы снимает.

[QDeathNick]

Вы реально думаете что проблема техническая и хабр может как-то помочь её решить?
ИМХО проблема не технического характера, а в организационной структуре, мотивации и желаниях верхушки, а это никак не решить даже всем IT-сообществом.

[ifap]

Злой ли тут умысел или традиционное рассийское расп… разгильдяйство, судить не берусь. А что делать… раз автор не скрывает себя, то ему и карты в руки: перед публикацией статье направить заявление в ФСБ по выявленным фактам ненадлежащей защиты критической инфраструктуры, риска терактов и этого всего. Пока гром не грянет привет не прилетит — эти люди не почешутся.

[ifap]

Хм… и что Вы лично сделали политически активного, кроме призыва что-сделать к другим?

[monah_tuk]

Боюсь, что в нашей действительно нужно сначала публиковать в пабликах, предавать гласности, заручаться поддержкой общества и общественников и только потом писать заявления в ФСБ со всеми деталями и подробностями. Да ещё и выкладывать их на ресурс по принципу WDT: если не сброшу, оно опубликуется. Потому как крайнего тут даже искать не нужно, ибо, обращаясь к цитате из начала поста:

Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист.

Сюда добавляем информацию про "критическую инфраструктуру" и "злоумышленник" легко трансформируется в "террорист", а тут уже и очередные звёздочки на погонах маячат.

Я бы хотел ошибаться, но современные реалии заставляют меня мыслить только так :(

[ifap]

Тут да, палка о двух концах. С одной стороны, опубликуешь, поднимется шум, могут «забросать ветками» и привет, «факты не подтвердлились». С другой стороны, товарищ майор может захотеть срубить палок срубить по-быстрому на самом заявителе, а если он хоть сколько-то публичная персона — поостережется. Универсального рецепта нет, автор должен сам для себя решить, какие риски считать приемлемыми.

[Anrikigai]

И, полагаю, срубить палок товарищу майору гораздо проще на заявителе, нежели на Евгении Чаркине.

[A114n]

автор показал крайне слабую защиту критической инфраструктуры России на примере РЖД

Так смешно читать всегда пропагандистов.

Какая «инфраструктура», лол? Какие «бэкдоры из США»? В России куча министров, в том числе глав военных и силовых ведомств, имеют гражданство европейских стран. Вот это и есть главный бэкдор. Вилла и виноградники Медведева (заместителя председателя Совета Безопасности) в стране НАТО — вот это настоящий бэкдор. Пока есть этот бэкдор — всю эта дурь про «критическую инфраструктуру» пусть рассказывают Соловьёв с Киселёвым. Которые тоже, правда, со своими семьями живут в странах НАТО.

[hhba]

Отличная статья, автору большое спасибо и (без шуток) счастья в личной жизни. К таким проблемам надо привлекать внимание, и делать это по возможности так, чтобы тебя не сделали крайним. Кажется заява в транспортную прокуратуру — едва ли не лучший способ продолжения банкета, и делать это надо срочно (пока заяву не накатали на вас). Рынок поставки оборудования в РЖД исчисляется триллионами рублей, и на некоторых вещах делается серьезная маржа, так что можно легко наступить людям на хвост, а они в ответ наступят на горло. Впрочем пока что, как я вижу, все решилось благодаря какому-то неравнодушному человеку.

Под катом некоторые дополнительные подробности (не понаслышке, правда это опыт десятилетней давности):

0) Общефилософское утверждение, проверенное жизненным опытом — абсолютно всегда где-то на свете есть кто-то, кто умеет делать твою работу лучше тебя, и он легко найдет дыры в твоей безопасности, UB в твоем коде, косяки на твоей плате и так далее. Данный пост он как раз об этом — прийти в большую контору, где «от пионеров до пенсионеров», и потыкать носом в косяки. У автора в принципе не было никаких шансов не найти ни одного косяка, в этом смысле пост не интригующий. Хотя безусловно это нужно делать, более того — конторы сами должны быть заинтересованы в похожих аудитах.

1) Как на дороге, так и на дорогу (в коммерческих конторах, работающих с РЖД) работают за весьма скромные деньги чрезвычайно трудолюбивые люди. Когда это машинисты, путейцы, кто-то еще отрасле-специфичный — можно смело сказать, что это не только трудолюбивые люди, но и лучшие специалисты в своем роде. Но когда это что-то общепромышленное (электронщики, программисты, сетевики и т.д.), то зачастую это отнюдь не самые лучшие специалисты — потому только самые идейные готовы годами работать на зарплате ниже рынка (а там надо работать именно годами, чтобы успеть сделать хоть что-то), вместо того, чтобы уйти куда-то еще. К высказанному выше общефилософскому утверждению это только добавляет бульона. Тем более должно было быть много косяков именно в РЖД. Думаю ничуть не меньше можно было бы налутить в каком-нить секретном НИИ.

2) Железная дорога де-факто является объектом критической инфраструктуры не вся целиком (включая АСУ «Экспресс», туалеты и видеокамеры), а только в наиболее значимой своей части. А она, в свою очередь, может при необходимости существовать даже без напольных устройств СЦБ, так что рассказы про мамкиных террористов, которые поставили раком какой-нибудь ход — скорее из области фантастики. Неудобства создать можно, да и то не Бог весть какие.

3) Урежем осетра дальше — мне трудно сказать, что там за ИБП на скриншоте и кого они питают (но вряд ли это общее питание какого-нибудь блок-поста), но вот это вот "Ужас, там SCADA, сейчас пущу поезд под откос" точно не в кассу. Во-первых, если мне не изменяет память и зрение, то на скриншоте показан АРМ АПК-ДК (аппаратно-программный комплекс диспетчерского контроля), с него вы особо не поуправляете станцией. Во-вторых, даже получив прямой доступ к не в пример более «опасным» АРМ ДНЦ (поездного диспетчера) или АРМ ДСП (дежурного по станции) вы не сможете так вот легко отправить под откос поезд (то есть что-то, следующее поездным маршрутом). Вот начудить с маневрами на некоторых станциях уже будет можно, хотя это редко имеет серъезные последствия. Еще знатоки темы вспомнят про сбросовые стрелки и разрывы маршрутов, но они в основном не так просто управляются (а при местном управлении — вообще только с пультом КОК). В данном случае устройства автоматики и телемеханики выручат как в случае непреднамеренных ошибок и отказов оборудования, так и в случае злонамеренных действий… хотя с этим уже сложнее (см. п. 5).

4) Почти основной способ обеспечения безопасности (которая не safety, а security) на многих объектах критической инфраструктуры, и железная дорога тут не исключение — security through obscurity. Разделение сетей, запрет (банальный, на уровне локальных политик) на выполнение каких-то действий на ПК, имеющих связь с критическими элементами, закрытость протоколов связи между микропроцессорными элементами ЖАТ, сложность ТРА станций, и т.д. и т.п. Конечно мы и тут видим нарушения, как на том же скрине с АПК-ДК — возможно какой-нибудь начальник у себя на рабочем компе запустил АРМ ШЧД (диспетчера дистанции СЦБ), и это плохо, либо с АРМ ШЧД был организован несанкционированный доступ в интернет, что еще хуже. Но это скорее исключительная ситуация, в целом, не обладая нужными знаниями, вы тем более никакой поезд под откос не пустите.

5) Известно, что брак первой категории, авария или крушение гарантируется только сочетанием трех факторов: неисправности оборудования, поездной обстановки и человеческого фактора. В данном посте рассматривается раздувание человеческого фактора до масштаба диверсии, причем столь серьезной, чтобы обойтись лишь одним этим фактором. Однако для такого уровня не нужны никакие сетевые уязвимости. Уверен, что я и сейчас легко смогу проникнуть почти в любую релейку (просто зная, что для этого нужно). Дальше при наличии знаний можно сделать многое, гораздо больше, чем через эти ваши энторнеты. И еще, и еще, и еще много всего, и даже можно в релейку не заходить на самом деле! И с этим либо вообще ничего нельзя сделать, либо просто нерентабельно.

Из вышесказанного заключаем следующее — безусловно увиденное ужасно. Безусловно можно лишить РЖД всего видеонаблюдения (правда оно небось и не РЖД принадлежит, ха-ха, но не суть). Причем продавцы его будут только рады, можете не сомневаться (а ФСБ все равно придет за вами, а не в те кабинеты). Особенно все это вызывает возмущение именно у айтишной публики, так что внимание к посту понятно. Но — опасности и возможности такого взлома сильно преувеличены, это с одной стороны, а с другой стороны все на самом деле гораздо хуже. Причин, как и всегда, две — некомпетентность исполнителей и незаинтересованность руководителей. Причем я и к исполнителям не готов предъявить ни одной претензии (в большинстве случаев у них воистину собачья работа), и к руководителями тоже — невозможно расти над собой в отсутствие конкуренции. ЧСХ конкуренция компаний в таких отраслях также нечасто обречена на успех, а конкуренция персоналий в текущей общественно-политической модели не работает.

[Neikist]

Устроить коллапс на жд можно не только операциями в реальном мире. Обрушить учетные системы или запутать данные в них, отрубить табло, терминалы, системы продажи билетов и прочую инфраструктуру. Пока это все из бекапов раскатят (а то ведь и их подчистить может быть можно) — будет тот еще пушной зверек.

[hhba]

Для пассажиров и ЦППК — да. Но не для РЖД.

[Neikist]

А чем РЖД лучше? Например вполне возможно используют какую нибудь из электронных систем учета и планирования ТО, ремонтов. Можно незаметно подменить данные, и пока внимательно с бумажками не сверят — могут в итоге получить проблемы в виде вовремя не обслуженных узлов ЖД или поездов (ну или заменят в какой тех. карте ремонта одни требуемые материалы — другими), что в свою очередь может привести к поломкам. И это лишь один частный пример.

[hhba]

Мммм, заменят материалы? Вы можете привести конкретный пример того, как это будет сделано, по шагам, или высказываете гипотетическую возможность? Просто гипотетических возможностей очень много… Стоит обсуждать вполне конкретные user stories.

[Neikist]

Конкретные user stories можно обсуждать только посидев в сети несколько месяцев и изучив все доступные системы и возможности, а не как автор статьи, нарыть кучу дыр за несколько часов и глубоко не копать.

[hhba]

Нет нет нет, просто «сидеть в сети» — не поможет. Вы же про какие-то материалы пишете? Кажется здесь требуется другая компетенция. Не стоит огульно преувеличивать возможности кулхацкера только потому, что ранее кто-то был склонен их недооценивать.

[Neikist]

В смысле? Взять заменить одно масло в тех карте (использующееся под условия) на другое, которое под условия использования не подходит. А то и вовсе удалить замену масла из тех карты. Как элементарнейший пример. А поизучав тему можно и гораздо интереснее вещи придумать.

[hhba]

Вот, я и говорю — если вы знаете что-то про какое-то конкретное масло, то давайте разберем этот конкретный пример. Вести разговор «например, в общем, про масло» — бессмысленно, мы переходим в плоскость «можно сделать в принципе что угодно».

[Neikist]

Так о том ведь и речь что возможностей миллионы. Изучить остатки материалов и запчастей на складах, медленно, месяц за месяцем снижать количество затрат материалов на тех. операции, заменять сами запчасти мало подходящими аналогами (думаю документацию на поезда в сети нарыть можно, и по ней подбирать) чтобы они попадали в планы закупок и закупались вместо нормальных, а потом устанавливались. А с бумажными тех.картами никто это сверять не будет. Иначе зачем автоматизация нужна?
З.Ы. Одно время в разработке 1С: ТОИР участвовал, в ржд понятное дело не она используется, но думаю аналог какой нибудь есть.

[hhba]

Я все же настаиваю — это все теоретические возможности. Вам не «документация на поезда», прости Господи, будет нужна, чтобы все это сделать. В этом РЖД ничем не отличается от любой другой крупной конторы — снаружи, одними логическими выводами, нельзя понять очень многое о действиях людей.

[monah_tuk]

Там автор только по верхам пробежался. С другой стороны, полезность такого жирного кусочка ещё в том, что его можно использовать как плацдарм для разного рода атак, запутывания следов и т.п.

[alex_124]

Автор, низкий поклон! Надеюсь, они закрыли дыры не так же, как проводят аудит
А я в пятницу поеду на поезде — весело что :(

[osoznanie]

А есть книжки/видео по которым можно научиться так свободно путешествовать по сети и, особенно, отточить навыки? Вроде слова по большей части знакомы, но так легко применять и ориентироваться хотелось бы уметь!

[Calc]

толстая книга по linux, толстая книга по tcp/ip, статьи по построению сетей
Как вариант вкорячить к себе proxmox и поиграть с кластерами.
Дополнительно изучить все утилиты linux по работе с сетями
Как бы всё. Тут нет никаких особых знаний, да и хакинга никакого
микротики тупые до безобразия, порты основных сервисов определены изначально.
ssh на 22м порту без защиты — смерть сервера

Забыл главное, понимание модели OSI, а то arp -a не сможешь выполнить :)

[monah_tuk]

Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист.

Как же меня бомбануло… За расследование огромное спасибо!

[xilix]

Нужно убрать из дома все гаджеты, компьютеры и ноутбуки на случай обыска. Потом же не вернут ничего.

[Dioxin]

мой страны
Чьей страны? Предлагаю как следует подумать над этим.

Я дурак?
Время покажет.
Но может лучше было просто аккуратнее писать об этом с минимальным риском для себя?
Одно хорошо — герои не перевелись.
А вообще, зная ситуацию в бюджетке, хорошо что вообще что-то работает.

связались со мной специалисты РЖД и совместно закрыли уязвимости.
Печеньками то хоть накормили?

[baxxter]

Почему автор не написал об уязвимости в РЖД, но не поленился расписать статью со скриншотами и маркдауном на хабр?
Героев нынче судят не по поступкам, а по тому насколько громче эти «герои» кукарекают. Синдром BLM и СЖВ в действии.
Я нисколько не оправдываю головотяпство ИТ-сотрудников (или их ИТ-подрядчиков) РЖД, но обьясните — что такого ужасного «взломал» автор? Пару роутеров SOHO-класса и несколько китайских камер видеонаблюдения? Я бы еще понял беспокойство, если бы он получил доступ к каким то БД, серверам или сетевому ядру ЦОД, но в данном контексте статья выглядит как «Мам, смотри, я взломал РЖД!!11»

[molybdenum]

не может ли какой нибудь злобный нехороший пропалченый шпион сидя в Зимбабве запросто с помощью камер РЖД проследить перемещение суперсекретных химиков за одним пациентом?

[baxxter]

Тогда тем более к автору еще больше претензий — ни в коем случае не нужно было раскрывать эти уязвимости публично. Теперь каждый второй мамкин хакер полез пробивать рубежи, как выяснилось слабо подготовленной, инфраструктуры РЖД. Но зато автор себе побыстрее плюсиков в карму нахватал, произвел так сказать ИБ-открытие года, собственная значимость ведь действительно важнее судьбы огромного предприятия!

[merlin-vrn]

Так вы же сами утверждаете, что это сеть филала, вокзал с парой камер, и что «хакер» даже сам не разобрался, что это? А тут он вдруг что-то, оказывается, «должен был».

Вы хотя бы статью прочитайте полностью и не по диагонали, прежде чем отвечать. В том числе, прежде, чем отвечать на этот комментарий.

[baxxter]

Если я в один прекрасный день допустим попаду к вам в квартиру, потому что вы не заперли дверь, сниму об этом ролик «Квартира Никиты Куприянова уже не в безопасности!!11» для видеоблога, а вы об этом узнаете из трендов ютуба, то как я буду выглядеть в ваших глазах? Как злоумышленник или как герой-блоггер, тестирующий безопасность чужих жилищ?
То, что вы не заперли дверь — глупость.
То, что я залез к вам в квартиру и не уведомил об этом вас, как хозяина, даже из лучших побуждений — тоже глупость.
Так обьясните мне, почему глупость РЖД должна как то оправдывать глупость автора (состоит в том, что он не уведомил хозяина системы)?

[Kwisatz]

Если в один прекрасный день вы попадете на склад боеприпасов, который открыт 24/7 то какие ваши действия? Дежурного найти не возможно, если вдруг найти он спускает на вас собаку и кричит «поймаю, удавлю».

Склад стоит в районе где вы живете, недалеко школа, куда ходят ваши дети, и сквер где отдыхаю ваши родители.

[WeSKeRuS]

Не система, а проходной двор. Интересно скок крипты можно намайнить заразив всю сеть? А сколько сайтов можно за Д-досить? Блин, да эта система не то что бы сама себе угроза, она угроза всему ру сегменту интернета.

[2PAE]

Настолько хорошо закрыли уязвимости что статья даже пропала из топа Хабра?

[Osnovjansky]

Топ — суточный. Статья опубликована вчера в 08:51

[HepoH]

Статья пропала из суточного топа хабра, поскольку сутки с момента публикации прошли. Она все еще в недельном топе.

[Boomburum]

Всё верно. Да и чего стесняться — не только в недельном, но и в месячном и даже в годовом :)

[ne555]

Boomburum, а почему на Desktope-e категория 'Лучшие' ограничиваются: 'день/месяц/год'?
В мобильной версии сайта так: 'день/месяц/год/все время'

[Boomburum]

Вероятно пролюбили этот таб сортировки :) Поставил задачу, чтобы вернули на десктопе.

[KvanTTT]

Тоже было бы интересно посмотреть за все время. Такое впечатление, что это вообще лучшая статья на хабре — никогда не видел больше 1000 плюсов. А этой статьей всего два дня и больше 1200 плюсов.

[AceOfDimonds]

Теперь главное-не пить чай с незнакомыми людьми. По-другому в России решать проблемы не умеют.

[ifdru]

Печально видеть, как спустя каких-то 20 лет от начала построения корпоративной сети РЖД протеряны все полимеры. Как сетевая инфраструктура строится на неподобающих устройствах, с настройками по умолчанию и без применения какой-либо концепции безопасности. Особенно печально видеть даже не отрицание проблемы, а отсутствие каких-либо конвульсий по решению проблемы.

[olik-zander]

А если предположить, что почти во всех компаниях, подконтрольных государству, наверх всплывают бездельники, умеющие лишь состряпать «научное» лицо, становится понятно, почему «живётся весело, вольготно на Руси».

[Neikist]

пропадает на 2 года (видимо на компьютерных курсах)

2 года сразу после вуза? Я бы скорее армию предположил.

[u440]

Мысль вслух (для «хабра» 100% непопулярная и попадающая в минусование): а не атака ли это на Чарского?
На кой ляд он в статье, да ещё с фото?

[flx0]

Так ведь в самом начале статьи написано. Год назад на хабре была статья, в которой показали дыру в Сапсане, а Чаркин вместо того чтобы поблагодарить автора и заткнуть дыру начал поливать его помоями и утверждать что в РЖД все хорошо. Вот его и ткнули теперь носом насколько хорошо.
Когда ИТ-директор в большой компании не понимает что такое баг-баунти и аудит безопасности, зато имеет много ЧСВ, результат немного предсказуем.
Собственно, если бы не прошлогодняя позиция этого самого Чаркина, содержимое статьи вероятно бы отправилось не на хабр, а на security@rzd.ru, автор получил бы разумное вознаграждение, и никакого скандала бы не было.

[u440]

Статью про «Сапсан» помню, вполне была травоядная.
Реакции Чаркина не видел, каюсь.

Ну то есть тут «Другие действия», а не банальная заказуха? Ну не сильно лучше :)

P.S. CIO (как и прочие CxO) часто не просто имеют высокий ЧСВ, а из него состоят. Это особенность у них такая. Во всём мире :)

[Areso]

P.S. CIO (как и прочие CxO) часто не просто имеют высокий ЧСВ, а из него состоят. Это особенность у них такая. Во всём мире :)

Не согласен, мне встречались адекватные люди. Нечасто, но было.

[flx0]

Если верить его linkedin, то таки не пропадает. Там была некая FM Logistic и Actis Systems.

[Alesh]

Вот это залет, так залет, в гнездо со слонами…
Но думаю дальше пресс-релиза, что найдут и покарают автора статьи дело не продвинется.

[tvaishim]

Удручает количество комментариев обеспокоенных о безопасности автора (юридической и даже физической) в связи с публикацией. Как показатель запуганности общества.

[u440]

«Хабр» <> «всё общество».

Скорее даже наоборот.

[t911]

Что собственно произошло — идет автор по улице и дергает все подряд двери в домах. И тут в одном оказывается дверь не закрыта. Автор взял и зашел в дом без спроса хозяев, посидел на диване, посмотрел что есть в холодильнике. А потом вышел на улицу и начал кричать во весь голос: «Ей хозяева, у вас дом открыт, вы чего не закрываетесь, не ставите забор и колючку!!!».
Какому хозяину понравиться подобная самодеятельность натуралиста?

[Anrikigai]

В случае с «домом без хоязев», безопасность их квартиры исключительно их проблема. И даже обнаружив такую можно вполне «забить».

Но мы говорим о безопасности РЖД. Для меня разница огромная.
И попытки «оповестить хозяев» ранее уже предпринимались. Но не увенчались успехов.

Неужели вы действительно считаете, что как в вашем примере, нужно просто «забить»?

P.S. Если мне скажут, что я забыл закрыть машину или оставил в ней кошелек на видном месте, я поблагодарю, а не буду назежать «фигли вы моей машиной интересуетесь»

[baxxter]

Не искажайте смысл. Так в данном случае по аналогии об осталенной открытой двери рассказали не Вам (хозяину), а всем вокруг. Почему вообще подобные действия должны поощряться? Это какая то медвежья услуга — сообщать об уязвимостях публично.

[DjPhoeniX]

Продолжая аналогию в другую сторону, предположим, вы нашли припаркованный автомобиль с открытым окном. У вас есть несколько путей:

1. Попытаться найти табличку с номером телефона, при наличии — позвонить владельцу. (Написать ответственному лицу в компании о проблеме).
2. Если вам лень искать табличку (или её нет) — пнуть машину по колесу, надеясь на сработавшую сигнализацию. (Сделать что-то некритичное используя найденную проблему, что не повредит компании, но привлечёт внимание ответственных лиц)
3. Попытаться закрыть окно самостоятельно. (Заблокировать публичный доступ к уязвимости и т.п. — но может сделать и хуже, вы же не знаете, вдруг это специально).
4. Любой из «плохих сценариев» — плюнуть туда, бросить окурок, угнать в конце концов...

Автор пошёл примерно по пути пинка по колесу. Причём сказал, что таблички с номером телефона не было.

[baxxter]

Автор пошел по пути самопиара, потому что очевидно, написать вкратце об узвимости на десяток публичных email и подождать неделю реакции РЖД требует меньше усилий и времени, чем расписать такую статью с замазыванием скриншотов и историческими ликбезами о факапах ИТ в РЖД в прошлом

[Anrikigai]

Не искажайте смысл. Я не просто так сразу написал:

И попытки «оповестить хозяев» ранее уже предпринимались. Но не увенчались успехом.

Не надо меня сравнивать с этими деятелями. Наша реакция кардинально отличается даже при «рассказе хозяину».

[SNNikitin]

Неприкосновенность жилища и уязвимость критических объектов инфораструктуры — разные и юридические категории, и статьи :)
Аналогия неуместна, как и многие, построенные на чисто поверхностных чертах сходства

[Alesh]

Вы вряд ли сможете внятно объяснить почему не уместна. Поэтому не стоит приводить как довод в споре.

[Areso]

Тяжесть последствий?
Если обнесут жилище — это безусловно печальный факт, и всё такое, но пострадает лишь владелец/проживающий в этом жилище.
А если обнесут объект уровня РЖД, и тем самым нарушат его обычную деятельность, то пострадают:
1) экономика, завязанная на грузоперевозки по ЖД;
2) пассажиры;
2.1) ПДН пассажиров;
3) обороноспособность страны.

Грубо говоря, если закрывать или нет дверь частного жилья каждый решает сам (в силу рисков, личных убеждений, веры и тому подобного), то юридические лица, особенно системообразующего характера, такого права не имеют, и их деятельность в отношении «закрытия дверей» строго регулируется законом.

[SNNikitin]

Вы вряд ли сможете внятно объяснить почему не уместна.

Смелое и ничем не обоснованное утверждение ;) На грани фола.
На самом деле, все очень просто, ключевым моментом является социальная, общественная, политическая, экономическая или любая другая значимость, а также — вытекающие нюансы.
Жилище важно исключительно для малой группы индивидуумов, в то время как критические объекты инфраструктуры — для куда более значимых групп людей, прямо или косвенно, более того, в определенных случаях, от неприкосновенности критических объектов может напрямую зависеть и благополучие жилища — как пример, тут уже обсуждалась система водозабора, в случае нарушения безопасности которой огромное количество жилищ может потенциально стать угрозой для индивидуумов, их населяющих.
Отсюда вытекают и нюансы — в частности, государство/собственник создает специальные службы и процедуры для защиты своих критически важных объектов, в то время как защита индивидуальных жилищ не порождает необходимости создания подобных же служб.

Поэтому не стоит приводить как довод в споре.

Не напомните ли мне, где, когда и при каких обстоятельствах я спрашивал Вашего совета? ;)

[Alesh]

Напомню контекст — «Какому хозяину понравиться подобная самодеятельность натуралиста?» Мы вроде бы обсуждали реакцию «хозяина» на действие «натуралиста», нет? Именно к этому и относилась моя ремарка (ни разу не совет)). Имелось виду что хозяин в независимости от того частный он или не очень будет недоволен такой активностью натуралистов.

А высокую значимость объектов инфраструктуры я даже в мыслях не собирался ставить под сомнение. Так чта… могли бы и без минуса в мою карму обойтись :)

[SNNikitin]

Общая канва обсуждения была немного другой ;)
А минусить я не могу — прав не хватает, карма мала ;)

[DX168B]

Да уж. Бывали у меня на практике такие дырявые сети. Начиная с «невинного» проброса порта RDP наружу и кончая утечкой персональных данных клиентов одного интернет-провайдера, в числе клиентов которого был и я сам.

[sergey-b]

Если их взломают какие-нибудь школьники, то они просто скажут, что это враги атаковали через аппаратные закладки в оборудовании. Хорошо устроились. Пора уже баг баунти на уровне государства объявить. Кто найдет уязвимость на инфраструктурном и стратегическом объекте, получает медаль или орден, в зависимости от критичности обнаруженного дефекта.

[flx0]

Вы таки не поверите, но оно уже есть. https://bdu.fstec.ru/vul
Туда можно репортить уязвимости, и ФСТЭК на них возможно даже возбудится. Правда не думаю, что вам за это что-то заплатят, если вы это не делали по контракту на аудит.

[navion]

Может хотя бы дадут грамоту, как Red Hat пишет репортеров на страничке в KB?

[flx0]

Страница рейтинга исследователей функционирует в тестовом режиме!

https://bdu.fstec.ru/site/rating
:3

[ColaCoca]

Полнейший трешак конечно

[IndyCar]

Прочел список организаций из «поздравительного»… Надеюсь все перечисленные организации уже занялись аудитом, ну и с Новым Годом их!
А то боюсь представить, как бы там расплавленный металл не попал бы прямо на пути сообщения, а то и чего похуже.

[baxxter]

В больших организациях горизонт планирования бюджетов минимум — полугодие, а то и год. А если это по каким то критериям покадает в капитальные инвестиции — то может быть и три года. Так что в лучшем случае конкурс на аудит они начнут отыгрывать во втором полугодии. Никто там метаться кабанчиком и продавливать какие то оперативные решения на уровне финдиректоров не будет из за того, что какой то аноним решил прославиться на хабре. Провели служебную проверку, поменяли пароли по её решению, позакрывали порты и всё (может быть даже премию кто то получил по итогам этих действий). Статья опять же на манер желтой прессы, чтобы попугать обывателя — не понятно к насколько большой и важной части инфраструктуры можно было получить доступ через эти микротики и что с этим сделать. Видеокамеры, роутеры уровня SOHO — это неприятно, да, но не критично

[zxosa]

как минимум управление стрелками и ибп. Погасить ибп скриптами и всё встанет до ручного перезапуска, а это срыв расписания и убытки

[baxxter]

Гораздо вероятней банальное эксплуатирование оборудования в качестве майнеров крипты, чем какие то диверсии из видимо хулиганских побуждений.
Пришел дежурный, заметил перевод стрелок не по плану — перевел обратно.
Пришел админ, щелкнул ИБП, все снова заработало.
Факапы в ИТ случаются ежедневно и ежечасно даже без всяких хулиганов\террористов\шпионов\диверсантов\злых хакеров — это норма, даже гугл почта недавно падала например.
Автор получил доступ каким то подсетям, каким то камерам и устройствам, непонятно какого филиала РЖД, т.е. даже сам не разобрался к чему. Да даже квалифицированному админу без грамотной оставленной документации от предыдущего админа порой нужен не один месяц, чтобы разобраться что и за что отвечает в сети и где находится, а вы тут фантазируете о каких то маловероятных сценариях, где злобный хакер нажатием одной кнопки парализует работу всего РЖД. И самый главный вопрос — зачем это все хакеру, какая выгода? Гипотетически можно защищать вообще всё от вообще всего, но в жизни обычно все прагматичнее — защищают только самое важное и на что хватает ресурсов.

[Anrikigai]

Из свеженького:

Непропатченная 0-day уязвимость в Windows 10 позволяет атакующим испортить жёсткий диск с файловой системой NTFS. Для успешной эксплуатации будет достаточно однострочной команды, которую можно доставить пользователю сразу несколькими способами.

Источник: www.anti-malware.ru/news/2021-01-14-111332/34730

Находясь в сети, где явно даже DNS запрос (ответ) подменить проблем не составит (никто и не заметит) даже таким простым способом можно грохнуть все жесткие диски.
Но это же фигня, придет админ, раскатает бэкапы (хотя скорее переставит винду, ибо веры в актуальные бэкапы при тамошнем подходе не много)…

P.S. «IPMI наружу» — не очень вяжется с популярными тут утверждениями «да это не настоящая сетка, просто вокзал с двумя компами».

[spc]

Камрады, поздравяю, вы — непрофессиональная аудиория.

[Oxyd]

От души посмеялся, спасибо! :-)

[navion]

Сразу вспомнился анекдот про секретный танк:

Скрытый текст

— Товарищи солдаты! Перед вами новый, секретный образец танка. Его броня способна выдержать температуру от -500 до +500 градусов по Цельсию… "
— Товарищ майор! Температуры -500 по Цельсию не бывает!
— Кто сказал?
— Ученые говорят!
— Для дебилов повторяю: танк СЕКРЕТНЫЙ! Ученые могут и не знать!

[dvoryakanton]

В 2016 году США запускает программу Bug bounty
Летом этого года стало известно о том, что Министерство обороны США с помощью программы поиска уязвимостей выявило в своих системах более ста потенциальных брешей. В проекте Пентагона приняло участие свыше 1400 специалистов.

Тем же годом МинКомСвязь сообщает о запуске собственной программы Bug Bounty
Российские государственные ведомства заинтересовались подобной инициативой поиска уязвимостей. Представители Минкомсвязи уже разрабатывают стратегию запуска отечественной Bug Bounty.

Угадайте чего так и не появилось за 5 лет.

[A_J]

Программа Bug bounty от РЖД — найди уязвимость в нашей сети и получи билет до Воркуты бесплатно!

[DimaFromMai]

Отличная статья, особенно понравился второй ответ «юного натуралиста»:

Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.

Можно ещё добавить, что и на работу берут по тому же принципу.

[DimaFromMai]

Тоже сразу так подумал, похоже, что да.

[Sk1FF]

Это к вопросу как утекли персональные данные рабочих данной корпорации !LOL Для тех кто захочет повторить подвиг топикстартера подсказка защиты нет априоре не на одной из сети дорог одна сеть один интранет.

[aqwAntonio]

“UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости” — вы сами верите в то, что написали?

[LMonoceros]

А почему нет? У Микротов замечательный апи. По проблеме именно микротов, описанных в статье, достаточно написать скрипт, который по всем пройдётся и выполнит ряд действий.
Закрыть доступы из вне — это не долго.

[gecube]

Наверное, потому что это решает только одну проблему? Самую явную?

[aqwAntonio]

сам же автор приводит перечень мероприятий для решения проблемы, очевидно, что это все за один день не сделать. просто написал то, что «специалисты» ржд попросили его написать

[selfa4]

Забавно, что они только после взлома решили провести аудит. Удачи им с такой политикой

[BergDeGolle]

Моё почтение к автору, даёт стимул самому развиваться в безопасности чтобы не попасть в таком контексте на хабр)

[woooody]

Мне кажется, что в таких организациях начинают что-то делать только после того, как ущерб от взлома превышает затраты на аудит/устраниение. Либо после публикации подобных статей и, как следствие, разнорядке сверху.

[horon]

Камеры на вокзалах != РЖД. Камеры на вокзалах это сеть подразделения дирекции пригородных вокзалов, сеть физически доступа в сеть РЖД не имеет. Кстати такая сеть не одна, так что — без камер вокзалы бы в любом варианте бы не остались. Реально сеть РЖД достаточно люто защищена, как техническими средствами (там в общем то известна структура сети вплоть до порта), так и целой кучей регламентов. Особенно сегменты с критичными бизнес приложениями и обеспечением движения.

[DMGarikk]

вот не надо тут такой казуистикой заниматься, если уж так копнуть то каждый вокзал, каждая станция — это отдельное юрлицо и типа-не РЖД.

[horon]

речь о том что скомпрометированная сеть к реальной "сети РЖД, которая управляет поездами" отношения не имеет никакого.

[DMGarikk]

такое можно утверждать только если вы админ той сети и у вас есть правдивый и свежий отчет по аудиту и по тестам проникновения. а то что вы защищаете РЖД это даже забавно, вы там дейтсвительно работаете в ИТ отделе?

заявления про «достаточно люто защищена» довольно голословны, ИБ это не только про передачу IP пакетов, в данной сети есть довольно много данных и в т.ч. телефонные сервера, чтобы позвонить кому надо и получить какието сведения/передать неверные данные

[horon]

не хочу ничего доказывать, однако, смею заметить, ни один поезд под откос ещё не улетел.

[surVrus]

Доказательство отсутствия (что этого не может произойти) не равно отсутствию доказательств, что если это не происходило — то и не может произойти. ТО есть для редких событий методы индукции не работают.
Пример: индюк получает корм 1000 дней. Вопрос: получит ли он корм на 1001 день? Ответ: нет, не получит. Потому, что из него сварят суп.
Или иной вариант: все наблюдения на территории Европы показывали, что лебеди — белые. Но это не доказательство тому, что нет черных лебедей. Достаточно было одного наблюдения черного лебедя.

[Sk1FF]

Хочу вас огорчить

[Nicks_TechSupport]

Автор, напишите подробнее, кто связался, чтого конкретно сказали.
Больше похоже на формальный подход к делу от РЖД — позвоните ему, скажите. что всё ОК, чтобы пресса не раздувала, а мы пока подумаем, что делать.

[greatvovan]

Не совсем понятно, как всё началось… Вы прошлись по спискам публичных прокси и нашли среди них принадлежащие РЖД? Если да, то на основе какой информации? Или вы работали в каком-то Wi-Fi принадлежащем РЖД?

[zacisco]

у меня друг некоторое время назад устроился в РЖД и через какое-то время уволился и тоже не один. отношение к сотрудникам отвратное. он как и ещё несколько ребят (администрирование и ИБ) что-то восстанавливали после прошлых уволившихся. уже года 2, наверное, прошло с тех пор… не удивляет такое положение вещей как в статье

[aleks-kucher]

там где личная выгода ставится выше профессионализма, постоянно будут происходить такие вещи.

[ivymike]

интересно будет услышать новый комментарий товарища Чаркина

[VIPDC]

Вы прям в корень зрите, как раз сегодня ответочка нарисовалась, по сути всё это уже написали в комментариях

[artemerschow]

LMonoceros этот ответ бы отдельным постом может?

[dartraiden]

Краткая выжимка из его ответа:
— «факт неправомерного доступа был подтверждён»
— «автор… спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров»
— «органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации»

[ivymike]

из комментария г-на Чаркина

Не исключена намеренно оставленная уязвимость.

… молодец, г-н Чаркин, свой зад прикрыл

[1simpleuser]

Это особенность рынка софта для видеонаблюдения. Он остался далеко в прошлом и занимаются этими системами, как правило, слаботочники, а не IT профи.
Несколько лет назад они монтировали коаксиальные провода и AHD/TVI камеры, а теперь занялись китайскими «новинками» на основе IP камер, проброской портов и подключением белых айпишников,
чтобы удобно было извне указывать пароль прямо в строе rtsp подключения.

[leonP4]

Год прошел, а у них ничего не меняется. Новая статья с их дырами, так даже не на профильном ресурсе, обычные юзеры пикабу смогли "натыкать".
https://pikabu.ru/story/rzhd_i_bezopasnost_9344657

[aztec102]

Я думаю по большой части за всей инфраструктурой нужно сделить. Что тогда в статье, что сейчас выглядят и будут детьми. Сетевики достойные не пойдут туда работать, если только вилка не достойна рынка, в чем я очень сомневаюсь. Возможно ситуация немного иная, это попросту некому это всё прибирать. Внедрили что-то, хорошо - сейчас другие задачи или как тушители пожаров работают.

[siberianlaika]

В начале 2000-х довелось поработать в коммерческой конторе, которая присосалась к РЖД и внедряла в Москве и регионах небезызвестную SAP R/3 (это та немецкая чудо-система, где расценки на каждый чих по цене самолета, во всяком случае в те времена так было). Насмотрелся на коррупцию, как руководство не палясь хвалилось, как они "занесли" очередному чиновнику, чтобы подписать акты. И с админами тогдашней РЖД довелось взаимодействовать. Хорошие добрые люди, с низкими зарплатами и квалификацией на уровне этих зарплат. Времена сменились и конторы той больше нет, а в РЖД выглядит так, что мало что изменилось. Сейчас 2024 и Чаркин на той же должности.