РЖД проведет расследование по факту получения доступа в сервисную часть системы Wi-Fi «Сапсана»



    Проблема, описанная в статье на Хабре "Самый беззащитный — это Сапсан" получила большой резонанс в сети и многие СМИ заинтересовались этим событием, что не удивительно, так как ситуации такого уровня должны требовать от разработчиков и архитекторов анализа ошибок в системе и быстрого внесения изменений для закрытия уязвимых мест. По информации издания «Коммерсантъ», в ОАО «РЖД» также узнали о проблеме и проведут внутреннее расследование информации о взломе (в компании именно так описана произошедшая ситуация) системы Wi-Fi высокоскоростного поезда «Сапсан».

    «На сервере информационно-развлекательной системы (ИРС) поездов «Сапсан» не хранятся персональные данные пассажиров. Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО «РЖД», фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным, в соответствии с действующим законодательством РФ, и хранятся на сервере ИРС не более одного дня. Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов,» — официально заявили в пресс-службе ОАО «Российские железные дороги».

    Хотя пользователь keklick1337 в своей публикации рассказал, что обнаружил в анализируемой системе «VPN в сеть РЖД» и написал «РЖД, поправьте все, через пару месяцев снова проверю».

    На данный момент ОАО «РЖД» проводит технологическое расследование факта взлома системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан». К чему приведут результаты расследования и будет ли пользователь keklick1337 участвовать в этом мероприятии дополнительно, если в ОАО «РЖД» все же попытаются с ним связаться для уточнения деталей и помощи, не уточняется.

    В ОАО «РЖД» нет программы поощрения за найденные уязвимости в их системах, так что можно только отсылать компании в электронном виде информацию о проблемах, но получить за это вознаграждение нельзя. А вероятность, что эту проблему быстро проанализируют и оперативно исправят, очень небольшая.

    Как оказалось, это далеко не первая проблема, обнаруженная в системе безопасности ОАО «РЖД». Ранее в конце августа 2019 года на Хабре также была резонансная публикация о том, что в свободном доступе оказались данные (имена, номера рабочих телефонов, должности, фотографии и номер СНИЛС) 703 тыс. сотрудников ОАО «РЖД» (всего в компании 732 тыс. сотрудников): "Утечка персональных данных предположительно сотрудников ОАО «РЖД»". Результатом этой серьезной утечки данных стало обращение компании в правоохранительные органы, а информация о ходе расследования этого инцидента публично не озвучивалась.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 110

      +30
      Наказание невиновных и награждение непричастных
        0

        Новость:


        а) Хорошая;
        б) Возможно ли хоть как-то именно её прокомментировать, если всё уже сказано в самой старт-статье и её комментариях — а большинство дополнительных комментариев новости суть "само спюобой разумеющиеся"?

          0

          б) Ну вот вы её уже хоть как-то прокомментировали.

          +2

          Можно ли считать эту заметку приглашением к холивару про 272 УК?

            0
            Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации?

            Чел же не копировал и не менял
              +1
              В логах появились строки о входе, например? Значит, информация модифицирована.
                0
                Логи пишутся штатными средствами, вне зависимости от всего.
                И инфа дополнена новыми записями, логи на то и логи. Обычные пассажиры тоже пишутся в логи.
                А вот если эти логи взять и перезаписать руками, то да, это уже модификация.
                  +2
                  Он зашел в БД и просмотрел как минимум несколько таблиц, следовательно эта информация была _скопирована_ в оперативную память его устройства. Дело закрыто.
                    +1
                    Неважно, что штатными. Строка создана о входе? Значит, файл модифицирован по вине вошедшего.
              +23
              будет ли пользователь keklick1337 участвовать в этом мероприятии

              сколько решит суд столько и будет
                0

                Самое интересное, что чувака вычислят. Дату и поезд на котором он ехал известна, по камерам будет с десяток подозреваемых, не больше


                Только если чувак намернно не внёс дезу относительно названия поезда, даты и времени

                  0

                  Да зачем вычислять? Пригласят, пообещают баунти, ящик печенья и банку варенья. А дальше — как повезёт.

                    –1

                    Бутылку разве что пообещают.
                    Пацаны ж "понесли репутационные потери", "отвечать" надо за дела.
                    Но ситуация, конечно, интересная с камерами, хотя т там могут быть раздолбайские реализации и всё уже потерялось.

                +8
                Будет очень жаль если пострадает keklick1337. По сути он указал только на проблему в безопасности их системы. Для него теперь важна не компенсация за уязвимость, а чтобы к делу не приобщили.
                  +11
                  Писать такую статью сразу в среде white hat считается неэтично, этичным считается, что сначала нужно уведомить об уязвимости. Правда зная специфику российских «безопасников» в гос. компаниях (зачастую это бывшие ФСБшнки, ФСОшники, полицейские или вообще пожарники), лучше делать это анонимно, иначе даже за уведомление о найденной уязвимости могут попытаться посадить на бутылку
                    +3
                    Белые шляпы — наивные люди, к сожалению, витающие в облаках с розовыми понями.
                    То что в их среде считается этичным или неэтичным — все это только в их среде, не более.
                    С точки зрения буквы закона, любой несанкционированный пентест чужой системы — это преступление, а из каких таких благих побуждений это было сделано — это не оправдание и даже не смягчающее обстоятельство, а мотив.
                    Поэтому в случае, если делу будет дан ход, то суд будет руководствоваться именно буквой закона, и у белой шляпы шансов выйти сухим из воды практически нет.
                      +2
                      А не писать такие статьи — оставлять уязвимые системы. Ибо без широкого резонанса от сообщений об уязвимостях просто отмахиваются. Пока гром не грянет.

                      Так что keklick1337 сделал доброе дело, но этого недостаточно — надо еще успеть убежать
                      0
                      del
                      +7
                      По результатам исследователю будут шить ст. 272 УК, и он будет участвовать в расследовании, только в качестве подозреваевомого.
                        +5
                        и хранятся на сервере ИРС не более одного дня.

                        Хмм, то есть подтвердили, что спустя сутки можно выудить кое какую информацию.

                        Сервер ИРС не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов,»

                        Классика жанра лукавство и взаимоисключающие параграфы.
                          +4

                          И вообще поезд уволился ещё месяц назад

                            0
                            Ну так значит и нет состава преступления, правильно?
                            +2
                            Комментарий пресс-службы РЖД просто
                            огонь
                            image
                              +3
                              Интересно было бы послушать тех, кто разрабатывал эту систему, хотя бы анонимно. Знали ли они о проблемах во время разработки, что на эти возражения говорило руководство…
                                +1
                                предполагаю, что руководство говорило: «заткнись и кодь». Как в ТЗ написано, так и делали. Или делали на столько качественно, на сколько хватило денег.
                                  +2
                                  ТЗ? в РЖД? У меня для вас плохие новости…
                                  +6

                                  Вы что, никогда не сталкивались с тендерами и конкурсами?
                                  Выделяется N денег, конкурс выигрывает компания и на N/2 нанимается субподрядчик. Далее история повторяется пока от N не остаётся 10000 рублей на которую ищется уже исполнитель, согласный работать за такие деньги. Ну а дальше по принципу "как заплачено, так и замонстрячено" получается итоговый результат.

                                    +8
                                    А я вам расскажу. Я разрабатывал подобную систему, это было лет 10-15 назад и в соседней братской стране, и это была не железная дорога, а телеком, но с данными было примерно так же.

                                    Моя первая работа — маленькая фирма, выигравшая тендер, я, еще учашийся в универе, был там и программистом, и сисадмином, и архитектором, и еще временами вирусы чистил в бухгалтерии. Мне сказали писать на JSP — я писал. Как мог. Платили мне столько, чтобы я не умер с голоду (это все равно было больше, чем я мог получать работая физиком по специальности). Про такие проблемы я был не в курсе. Многие вещи узнавал на лету. Например прочитал статью про sql injection, и после этого заискейпил все параметры. Часть возможно не сделал.
                                    Коллеги были еще хуже — точно такие же студенты. Еще был один «сеньор», который нами руководил, он мне тогда казался очень крутым и знающим, но про sql injection он тоже оказалось не слышал до этого.

                                    SSL например.Было разрешено все что можно, все проверки и валидации отключались. Потому что если что-нибудь не отключить — то все сразу падает с ошибкой SSL certificate validation failed. Я поковырялся два дня, но у меня не получилось. «Гуру» пришел и сказал что надо написать свой SslManager и во всех методах validate вернуть true.

                                    Короче говоря: делают это низкоквалифицированные кадры, методом SO-programming (последовательно вставляя нагугленные куски кода, пока это не заработает). Там я поработал чуть меньше года, и ушел в другое место
                                      0
                                      (скорей всего)Пишется примерно как и всё остальное в РЖД, в основном великовозрастными программерами, без ТЗ с плавающим дедлайном и тестированием в проме. Но опять же зависит от проекта и конкретного разработчика, бывает что на выходе вполне себе рабочий продукт(пока его использовать по интсрукции)
                                      З.Ы. из личного опыта
                                      –16
                                      А вот давайте рассмотрим такую, чисто гипотетическую ситуацию — Вот есть, например, кинотеатр. Он бесплатный, в нем показывают кино. Для того, чтобы в него зайти, нужно сказать некие четыре цифры и сказать свою фамилию (да, впрочем, и не важно что, пусть даже и ничего, к делу не относится). И вот в этом кинотеатре есть служебные помещения — будка киномеханика, кладовка со швабрами, еще там что-то. Естественно, эти помещения немного закрыты, но именно, что немного. Там нет ничего ценного, что нужно было бы защищать охраной с автоматами. И вот, некий молодой человек, преисполнившись любопытства, вскрывает простенький замок служебного помещения и залезает в подсобку. А там — как положено, какой то старый мусор, пара пустых бутылок, чьи-то старые штаны, бумажки с какими-то номерами. Ну залез и залез, ладно, что там брать то? Но этот молодой человек, буквально на следующий день стал кричать на весь интернет — А вы знаете, вот там в киношке бесплатной, в подсобке замок ногтем открывается! А там! Киномеханик бухал, кто-то штаны снимал, и вообще, швабры лежат.
                                      Я не знаю как кому, но, вот лично на мой взгляд, это как то даже и некрасиво. А владельцу кинотеатра, который бесплатно всем кино показывает, теперь оправдываться надо, за то, что у него в подсобке швабры лежат…
                                        +4

                                        У него в подсобке дыра в женский туалет. Шаблонно, но несколько точнее передает ситуацию.

                                          0
                                          Позвольте, где там дыра в женский туалет? Там только 4 (четыре) цифры из номера паспорта, и номер места, на котором ехал пассажир. Где тут дыра?
                                            +2

                                            Пассажир имеет доступ к инфраструктуре, обслуживающей других пассажиров. И где же тут дыра?

                                              0
                                              Да нет, вы правы, конечно. С безопасностью сети в сапсане (и не только в сапсане) все плохо, очевидно. Только она есть (сеть). А ведь никто не обязан был ее делать. И даже до сих пор не обязан ее делать. И безопасной ее делать — тоже не обязан. Ну и, так-то, пассажир имеет доступ к другим пассажирам — это ли не дыра в безопасности?
                                                +5
                                                Не обязан предоставлять услугу. А вот если уже предоставляешь — обязан предоставлять её качественно. Это во-первых. А во-вторых, они фактически вывешивают поимённые списки всех пассажиров на всеобщее обозрение. Я конечно не параноик, но на каком основании и по какому праву они этим занимаются?
                                                  0
                                                  А где здесь некачественность услуги? Развлекательная система работает? Работает! Авторизация работает? Работает! А услуги ИБ РЖД никому не обещала. Ну и на вторую часть комментария, я не видел этих списков, даже обфусцированных. Разговор идет как раз о том, что никакие ПДн не хранятся. Ни в оригинальной статье ни где-либо еще я не увидел, что автор смог найти ПДн. Если я не прав, в этом отношении — тогда поправьте.
                                                    0
                                                    Цитата из оригинальной статьи

                                                    На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.


                                                    Думаю что это как раз означает ПД этих пассажиров
                                                  0
                                                  Во, точно, не обязан делать. И закроют дыру, просто отключив сеть wifi: нет сети — нет проблемы. Так же, как после утечки корпоративный портал отключили. Ну а что, деньги освоены, перед начальством отчитались, премии получены — кому оно теперь нужно?
                                                    +2
                                                    И безопасной ее делать — тоже не обязан.

                                                    РЖД ведь является оператором персональных данных. Разве соответствующий ФЗ не обязывает их работать с ними определенным, обозначенным в законе, образом? (при условии, что данные, к которым удалось получить несанкционированный доступ, являются персональными с точки зрения закона, естественно)

                                                  +1
                                                  Сервер ИРС не связан с внутренней сетью ОАО «РЖД»

                                                  Вот в этом я бы усомнился, даже если предположить что автор первой статьи слукавил про ВПН.
                                                    +1
                                                    Извините, а с чем сравниваются эти 4 цифры, которые нужно вводить?

                                                    Что там в базе лежит? Я из предыдущей статьи так и не понял, автор не стал нам много показывать, но у меня было такое ощущение, что там в открытом виде в БД лежат номера паспортов. Ну потому что для госкорпорации это было бы совсем неудивительно.
                                                      0
                                                      Может с солеными хешами последних четырех цифр?
                                                        +3
                                                        В свете описанного в исходной статье, вы явно их переоцениваете ). А так-то это, скорей всего, банальная некомпетентность разработчиков с одной стороны, которым просто не пришли в голову все эти вопросы. А с другой стороны — заказчика, который не заморочился пригласить стороннего специалиста для аудита безопастности системы. Хотя это обычная практика — я сам неоднократно сталкивался с такими нюансами взлома от приглашенного эксперта, что не специалисту тяжело даже представить такой канал, не то чтобы предусмотреть его на этапе разработки )).
                                                          +1
                                                          Перебрать 10000 комбинаций и посчитать от них хеши не проблема. Дальше достаточно найти эти хеши в базе.
                                                            0

                                                            С солью так не получится

                                                              0
                                                              Почему?
                                                              Это же просто брутфорс на 10000 комбинаций.
                                                                0
                                                                Для каждой записи в базе по 10000 комбинаций.
                                                                  0
                                                                  Верно, согласен.
                                                                  Просто 10000 это совсем мало, очень уж быстро можно перебрать.
                                                                0
                                                                Вы правы, я частично глупость написал. Но все же соль — это открытая информация. Достаточно посчитать по 10000 комбинаций для каждой записи в базе «соль: хеш» с соответствующей солью. Пассажиров там немного, так что это будет довольно быстро.
                                                      –1
                                                      Вспоминается история про хакера и солонку в столовой.
                                                      День первый
                                                      Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»

                                                      День второй
                                                      Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»

                                                      День пятый
                                                      Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».

                                                      День 96-ой
                                                      Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

                                                      День 97-ой
                                                      Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.

                                                      День 188-ой
                                                      Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.

                                                      День 190-ый
                                                      Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.

                                                      День 193-ый
                                                      Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.

                                                      День 194-ый
                                                      В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

                                                      Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.

                                                      День 200-ый
                                                      Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
                                                        +6
                                                        Баяны принято прятать под спойлером.
                                                        +2
                                                        Хорошо, что это вскрылось, пока в будке только драные штаны. Но, возможно, услуги «кинотеатра» расширятся и в будке появится золотишко. Внимание вопрос: повесит ли РЖД замок получше на будку или ничего не сделает и будет кричать, что его обокрали злые хацкеры, когда кто-то упрёт золотишко?
                                                          +1
                                                          Как я понимаю, по вашей логике, в том что вор залез и украл золото, виноваты будут РЖД а не вор?
                                                            +3
                                                            Вор виноват в том что он украл, но, если кто-то не закрывает место с золотишком на хороший замок, то дурак именно он. К тому же, его предупредили.
                                                              0
                                                              На мой взгляд, ваша изначальная аналогия была не совсем верна. Я бы сформулировал это так: РЖД, руководствуясь своими правилами перевозки, обязывает вас перевозить свое золото в их специальном сейфе, который обладает плохой защитой от взлома. В этом случае, РЖД несет ответственность за ваше золото, и если его украдут — РЖД виновато. А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает
                                                                0
                                                                На самом деле аналогия Ваша, я лишь предположил, что услуга будет развиваться. Если не будет развиваться, то и хрен с ними. Пусть хранят свои драные штаны, от госкомпании другого не стоит ожидать. Лишь бы в этот сейф, с плохой защитой, не положили моё добро. А то что доступ к wi-fi через данные билета может означать, что ПД там уже есть.
                                                                  0
                                                                  Я имел ввиду аналогию с появлением в кассе золотишка :)
                                                                  Сейф то тут при чем, я не понял? Кому какое дело кто что в своих подсобках хранит? Закон только обязывает определенным образом хранить определенные данные. В оригинальной статье я не увидел компрометации ПДн, автор пишет только про последние цифры номера паспорта. В опровержении РЖД тоже фигурируют только последние четыре цифры номера, и особо подчеркивается, что ПДн в этой системе не хранятся и не обрабатываются. Так что я, практически искренне не понимаю, какие могут быть в данном случае претензии к РЖД? Ну вот правда, без слухов и домыслов?
                                                                    +1
                                                                    Если совсем без слухов и домыслов, то только «предоставление услуги, не соответствующей современным требованиям безопасности».
                                                                    Если мы верим keklick1337, то: «На диске у них хранилось много хорошей инфы, и в базе данных (mysql) у них лежали все пассажиры текущего и прошлых рейсов.
                                                                    Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.»
                                                                    «К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут»
                                                                    Кто-то врёт…

                                                                      –1
                                                                      Да ну блин! Просил же без домыслов и слухов. Каким требованиям безопасности сеточка с киношками должна соответствовать по вашему мнению?
                                                                      Термин «много хорошей инфы» лично вот мне — совершенно непонятен. Для кого хорошей? Для операционной системы «хорошей инфой» будет своп, например. В каком виде там есть впн, ели большую часть времени интернет недоступен? Откуда стало известно, что это «внутренняя сеть РЖД»? А не, например, ДМЗ или еще что? В каком виде в базе пользователи лежат? В виде тушек что-ли? 152-й ФЗ вполне определяет состав ПДн и способы их хранения. Если уважаемый keklick1337 имеет подтверждения, что закон со стороны РЖД нарушается — на костер РЖД (через суд, естественно), если нет — на костер keklick1337, за разведение лишнего хайпа. Извините за резкость, немного накипело.
                                                                        +2
                                                                        Да ну блин! Если мы не опираемся ни на какую стороннюю информацию, то говорить можно только лишь о том что сам сейчас видишь или слышишь. Я не могу ничего предъявить РЖД, т.к. я не лазил в сети Сапсана. Вы не можете утверждать, что в сети Сапсана нет ПДн, VPN, что РЖД не нарушает закона о ПД и пр., так как Вас там нет (или есть) (или Вы кот, который и есть и нет :) ). Всё это скатывается в мусор и не имеет смысла.
                                                                        Если Вам не понятны выражения keklick1337, попробуйте затребовать разъяснений от него. Мне в общем понятно. И я написал
                                                                        Если мы верим keklick1337
                                                                          –1
                                                                          Да, извините, вы поправили комментарий немного, а я не сразу заметил. Действительно, очевидно кто-то лукавит. РЖД заинтересованы — очевидно. Хакер, тоже заинтересован — рассказать всем какой он крутой. Кому верить каждый сам решит. Кстати, в комментариях к оригинальной статье автор, что то не появляется… Либо испугался поднявшейся волны, либо…
                                                                  +2
                                                                  А вы можете ею и не пользоваться, за вас это сделает злоумышленник, вошедший в сеть поезда под свежеполученными известным уже путём вашими учётными данными: номером билета (или места в вагоне, не помню, что там в оригинале) и номером паспорта. Объясняйте потом товарищу майору, что это не вы рознь в интернетах разжигали.
                                                                +3
                                                                Тут скорее такая аналогия: человек увидел открытым помещение с золотом и предупредил, а на него за это вешают якобы то, что золота стало на кило меньше.
                                                                  0
                                                                  РЖД и вор.
                                                                  Потому что золото не их, и за сохранность несут ответственность. Во всяком случае пока явно не указано обратное.
                                                                +1

                                                                Скорее — в будке киномеханика хлипкая дверца на щеколде, открывающаяся прямо в сейф кинотеатра, со всей выручкой и документами.

                                                                  +1

                                                                  У вас есть бесплатный кинотеатр (ну как бесплатный, для просмотра надо купить попкорна на тыщу, иначе не пустят).


                                                                  А пока — не могу согласиться. РЖД ничего у вас не брало на ответственное хранение, и, соответственно, ничего вам не должно. Услугой бесплатного WiFi пользоваться никто никого не принуждает

                                                                  Хранени ПД? Для них, может, и пройдёт бесследно (особенно если там "не совсем" ПД). Получается что брало и хранит, т.е. золото совсем не РЖД выходит. И не понятно при чём тут пользование услугой WiFi, кода данные всё равно есть. У вас, пользуясь аналогиями, "когда убьют, тогда и звоните", потому как другой вскрывший не будет писать на Хабр, а найдёт уязвимости более прибыльное применение (тем более что там, похоже, не только паспорта).

                                                                    0
                                                                    У вас неправильная аналогия.
                                                                    По правильной, «а там — бумажки с номерами и фамилиями всех зрителей за вчера и сегодня». Согласны, что «молодой человеку» несколько не ожидал и может не хотеть, чтобы его бумажку завтра мог увидеть любой завтрашний зритель?
                                                                    Вот если бы там списка пассажиров не было — было бы как раз некрасиво и даже незаконно. А так да, «владельцу» теперь надо оправдываться, почему данные клиентов недостаточно защищены.
                                                                      +1
                                                                      Так я, как раз, и топлю за то, что нигде не написано, какие данные там keklick1337 обнаружил? Пара строчек о «много интересной инфы» и в «базе лежат пользователи», как бы не говорят, что слабозащищенный паровоз, с почти домашней сеточкой на китайских точках доступа, возит на себе ПДн всех пассажиров. Это прямое и грубое нарушение 152ФЗ со стороны РЖД, если что. С этим можно сразу суд.
                                                                        +2
                                                                        А Вы задали ему вопрос, что он там обнаружил? Да, это важный вопрос.
                                                                        По тексту выглядит, что как минимум полные ФИО и номера паспортов — хотя да, прямо не написано.
                                                                        С этим можно сразу суд.

                                                                        И сразу в статусе обвиняемого?
                                                                      +1
                                                                      Если там лежат только швабры — это его проблемы. Суть в том, что владелец кинотеатра хранит в подсобке МОИ документы. Мои личные данные.
                                                                      +4
                                                                      «Наш VPN уволился две недели назад»
                                                                        +3
                                                                        В ОАО «РЖД» нет программы поощрения за найденные уязвимости в их системах
                                                                        Вполне можно ожидать что их уже неоднократно поблекхатили.
                                                                          +4
                                                                          И правильно сделали.
                                                                          Нужно в корне менять подход, не просто молча «так и быть закроем», а
                                                                          1) обязательно отчитываться о всех фактах, публично (на западе есть такое, там за утаивание милионные штрафы)
                                                                          2) улучшать обратную связь, включая баунти. Сейчас найденные уязвимости можно только продать как 0day, если хочется хоть какую-то копеечку получить.
                                                                          0
                                                                          Не хотелось бы чтобы автор статьи пострадал, парень наоборот указал на ошибки и недостатки, никакого злого умысла не имел, иначе в чём смысл публиковать статью в свободном доступе. Просто как всегда кого-то нужно сделать крайним
                                                                            +3

                                                                            Автору прошлой статьи бы уехать на время и счёт за границей банковский открыть. А то всякое бывает.

                                                                              +5
                                                                              И желательно уезжать не поездом.
                                                                              0
                                                                              Будет так же, как с питерским SkyNet?
                                                                              Когда с клиентского роутера провайдер пытается вычитать файл конфига для своей же сети, а потом требует 3 млн денег за неправильный конфиг?
                                                                                0
                                                                                провайдер пытается вычитать файл конфига для своей же сети
                                                                                Провайдер ничего не пытался вычитывать, вычитывали клиентские браузеры, которые прибавляли префикс «wpad.» к домену, полученному по DHCP и пытались его использовать для автоконфигурации прокси, которого на самом деле не было.
                                                                                В данном случае технически провайдер виноват только в том, что не запретил имя «wpad» в качестве поддомена у себя в DDNS-сервисе.
                                                                                  +1
                                                                                  На мой взгляд, то же можно сказать и про сапсан: разработчики виноваты только в том, что не закрыли маленькую дырку, не? /sarcasm
                                                                                  Делать сервис автоконфига и разрешать создавать поддомен для автоконфига, доступный всем и каждому — это как ставить kerberos и шарить всем доступ к kdc.
                                                                                  PS почему-то в новости от фонтанки нет точки зрения пользователя, которому не отключили домен wpad по его звонку, а роутер уходил в перезагрузку от сотни коннектов/сек от клиенских браузеров, ищущих wpad.cfg, тему на пикабу тоже снесли.
                                                                                    0
                                                                                    Делать сервис автоконфига

                                                                                    Опять же, сервис автоконфига делал не провайдер, Microsoft, Mozilla и остальные
                                                                                    и разрешать создавать поддомен для автоконфига, доступный всем и каждому
                                                                                    А вот это полностью их вина, да.
                                                                                    Потому что сегодня wpad, а завтра какой-нибудь нехороший парень зарегистрирует поддомен типа securepayment.sknt.ru, повесит на него фишинговую страницу с letsencrypt-сертом, немного вложится в SEO-оптимизацию, чтобы по запросу «скайнет оплата» быть в верхах поиска, и будет собирать данные банковских карт.
                                                                                0
                                                                                Вот, все таки, прекрасный ресурс — Хабр! Прекрасные люди тут обитают. Слова какого-то анонимного хакера (который так ничего и не выиграл на хакерской конфе в питере) о «много интересной инфы» и «лежащих в базе пассажирах» безоговорочно принимаются на веру. Из них раздувается мощный инфоповод, с публикациями на крупнейших новостных порталах, паникой в крупнейшем российском жд перевозчике, и множеством подтверждений в стиле «некий программист, пожелавший остаться неизвестным». Я замечаю, что я озадачен! Доказательств утечки никаких, автор оригинальной статьи куда-то пропал, на вопросы не отвечает, а инфоповод набирает ход, обрастая вымыслами как снежный ком…
                                                                                Многие из здесь присутствующих, я уверен, не раз, приезжая в какой-нибудь отель, где-нибудь на отшибе, просто из любопытства осматривались в местной сетке. Некоторые находили камеры видеонаблюдения с паролями по умолчанию, некоторые нет, некоторым удавалось найти свежее меню ресторана на завтра, некоторым нет… Некоторые писали в своем уютненьком, что мол ай-яй-яй, какие там админы плохие, ничего не закрыто (хотя на самом деле ничего криминального там не было), некоторые писали владельцам, что мол вот, смотрите, у вас там все видно( это как с расстегнутой ширинкой, некоторые ржать втихую будут, а некоторые тихо предупредят).
                                                                                  +4
                                                                                  Простите, человек написал, что нашёл дыру (а не взломал пентагон на хакатоне) и предупредил РЖД.
                                                                                  Что при этом, по версии некоторых журналистов, хакер изнасиловал Сапсан и журналиста в придачу — это уже вопрос к журналистам, а la belle Habr не при чём.
                                                                                    0
                                                                                    Видимо я невнимательно прочитал статью. Кроме негатива, что мол вот я в прошлый раз им про дыру рассказал — а они мне денег не дали, нигде не увидел, что кто-то кого-то предупредил.
                                                                                    Я про оригинальную статью если что. И комментарии к ней.
                                                                                      +1
                                                                                      " РЖД, поправьте всё, через пару месяцев снова проверю" было воспринято как «в РЖД есть описание»
                                                                                      В любом случае, человек сделал добро — и бросил его в воду, т.е. написал, где дыра и ушёл подальше, чтоб ответным добром не забрызгало.
                                                                                      То же самое было и с WiFi в метро, когда все метаданные о человеке передавались открыто — после шума на хабре быстро закрыли дыру, ну или хотя бы замаскировали.
                                                                                      Ну и сравнение с отелем некорректно — сколько там людей за сезон бывает, на 1 сапсан наберётся хотя бы?
                                                                                      А если такая дыра обнаружится в большой сети отелей и из комнатки в париже можно получать данные и подглядывать за постояльцами по всему миру — то да, тут нужно бить в набат, ибо черевато.
                                                                                      PS хотел бы человек сделать гадость — продал бы описание хака занедорого всем желающим.
                                                                                      PPS И всё-таки, причем здесь Хабр? Нет 100% премодерации статей? Пропускаются статьи, могущие кому-то повредить? Ещё и вход не по паспорту, ужас-ужас.
                                                                                        0
                                                                                        Да кто тут будет в набат бить-то?.. Если только кто-то из действующих разработчиков сапсанового ПО, порядочным окажется. А так, вы что, в России нет никаких уязвимостей!;) Тем более в крупных монополиях. Не дай вам бог про такое сказать! На том все и держится.
                                                                                        И потому кое-кому нужен подконтрольный интернет, а еще лучше сразу рубильник к нему…
                                                                                          0
                                                                                          Ой-вэй, так оно уже: допустим, в ужасном мессенжере whatsgramm тусуются исключительно наркотеррористы-педофилы, вот скриншот.
                                                                                          Так что срочно досатём банхаммер и бьём по адресу 0.0.0.0/0!
                                                                                          –2
                                                                                          Нет, ну серьезно!? Какое же он добро сделал? Незаконно проникать на чужую частную территорию — незаконно. Заходить в чужие запертые дома — незаконно (и пофиг что там замок простой). Заходить в чужие внутренние сети — незаконно. Если вы залезете на склад, а потом всем будете рассказывать, что там забор дырявый и замок мизинцем отрывается — вас посадят — и ни у кого не возникнет когнитивного диссонанса. Так почему же, когда кто-то «отламывает по фану» чужую сеть, все считают что он сделал добро?!
                                                                                            +1
                                                                                            Заходить в чужие внутренние сети — незаконно.
                                                                                            Это кто сказал? Читайте УК РФ внимательнее:
                                                                                            Статья 272. Неправомерный доступ к компьютерной информации.
                                                                                            1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации
                                                                                            То есть если человек ничего не испортил, не подменил и не украл (т.е. скопировал к себе) — то по букве закона он чист.
                                                                                            В 274 статье есть такая же приписка, да.
                                                                                              –1
                                                                                              Эээ… Я что то не понимаю, хакер осуществлял правомерный доступ?
                                                                                              а так то, помимо 272, 273 и 274й статьи есть Статя 13 КоАП
                                                                                              Ну и потом, создание скриншотов — есть копирование информации в любом случае. А уж разглашение такой информации в публичных источниках — так и подавно. Разрешение на публикацию информации о организации сети развлекательной системы «Сапсана» есть? А ведь это их коммерческая информация.
                                                                                              ну и вишенка:
                                                                                              Согласно статье 273 УК РФ создание, использование и распространение вредоносных компьютерных программ, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, является уголовно наказуемым. Предполагаемое наказание лишение свободы на срок до четырех лет (если действия хакеров повлекли тяжкие последствия до семи лет) с выплатой штрафа в размере до двухсот тысяч рублей. Эксплойты же были?
                                                                                                +2
                                                                                                Законно найти дыру невозможно.
                                                                                                Даже с соглашением о пентесте, всегда можно сказать — «эти людишки не только протестировали нашу систему, но и попортили её, а теперь денег каких-то ещё просят, посадите их по 272 пожалуйста»
                                                                                                На ваш взгляд, увидел дыру в реакторебезопасности — проходи мимо, быстро и молча, дабы не присесть?
                                                                                                  0
                                                                                                  Законно — можно. Заключаешь договор, подписываешь NDA и вперед, доступ к информации санкционирован владельцем информации.
                                                                                                  А на мой взгляд, не проходи мимо и молча — сообщи владельцу реактораинформационной системы — а не кричи на весь мир о дыре в реакторебезопасности.
                                                                                                    +3
                                                                                                    сообщи владельцу информационной системы
                                                                                                    Проблема в том, что во многих случаях (особенно применительно к гос- и полугос-структурам), после «сообщения владельцу» никаких действий принято не будет вообще. Поэтому раскрытие информации в СМИ — это единственный способ заставить их что-то исправить и не подвергать сливу персональные данные, своего рода гражданский долг и поддержание порядка.
                                                                                                      +2
                                                                                                      Это на хабре была статья, как официальных пентестеров госучереждений в Америке поймали с документом возле двери со сработавшей сигнализацией и собираются посадить за взлом?
                                                                                                      Бумажки — бумажками, но закон есть закон.
                                                                                                      Владелец может и санкционировал, но если у СБ свои резоны — бумажкой не отмахаться.
                                                                                                    +1
                                                                                                    Я что то не понимаю, хакер осуществлял правомерный доступ?
                                                                                                    Неправомерный. Но его действия не привели к «уничтожению, блокированию, модификации либо копированию компьютерной информации», поэтому под действие этой статьи он не попадает.
                                                                                                    а так то, помимо 272, 273 и 274й статьи есть Статя 13 КоАП
                                                                                                    И какую именно статью из этого списка он нарушил? Они там практически все про нарушения операторов связи и СМИ.
                                                                                                    информации о организации сети развлекательной системы «Сапсана» есть? А ведь это их коммерческая информация.
                                                                                                    Такая коммерческая информация, что доступна любому прохожему, лол.
                                                                                                    Согласно статье 273 УК РФ создание, использование и распространение вредоносных компьютерных программ, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, является уголовно наказуемым.
                                                                                                    Вот только там опять же явно сказано, что оно является уголовно наказуемым только если эти прграммы "… заведомо приводят к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети". А если нет — то не является.
                                                                                                    Читайте не только заголовок статьи УК, но и текст ее формулировки, там можно много интересного найти :)
                                                                                                      0
                                                                                                      Неправомерный доступ к информации — это добро?
                                                                                                        +1
                                                                                                        Зависит от цели.
                                                                                                        Если цель — обнаружить уязвимости, посодействовать улучшению безопасности системы и в конечном итоге защитить персональные данные граждан, то да, безусловно добро.
                                                                                                        Если цель — украть информацию и использовать ее в мошеннических целях или перепродать, то зло.
                                                                                                        Каждый случай индивидуален.
                                                                                                          –1
                                                                                                          То есть, цель оправдывает средства?
                                                                                                            +2
                                                                                                            Если цель добрая, во благо общества и сам процесс и его результат не несет никому зла (кроме раздолбаев, профанов и откатчиков на местах) — то да.
                                                                                                            По крайней мере, в отношении здесь обсуждаемой цели безусловно да.
                                                                                                              –2
                                                                                                              То есть, получается, для спасения мира можно убивать людей? Ну, разумеется, если они откатчики на местах, раздолбаи и профаны?
                                                                                                                +2
                                                                                                                Как вы резко перескочили от взлома к убийствам. Вы не на RT работаете случайно?
                                                                                                                «Сегодня он играет джаз — а завтра Родину продаст!»
                                                                                                                  +4
                                                                                                                  И сколько человек убил хакер, ткнув в дыру?
                                                                                                                  Вы ударились в такую софистику, что я вынужден спросить: простите, вы не журналист?
                                                                                                                  А то, судя по тону беседы, скоро стоит ждать статьи «хакеры, взломавшие РЖД, призывают убивать раздолбаев и откатчиков, сообщество поддерживает!»
                                                                                                                    +1
                                                                                                                    Вы очень лихо сравнили обнародование информации о том, что кто-то на местах из рук вон плохо делает свою работу, подставляя под удар данные ничего не подозревающих граждан с убийством. Попробуйте тоньше.
                                                                                                                      +1
                                                                                                                      Я ничего ни с чем не сравниваю, я просто уточняю, до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить? Сегодня окно Овертона здесь, а завтра оно отодвинется немного, и станет допустимо, например, поедать себе подобных. Раз ступив на этот путь — уже нельзя остановиться, иначе вы не достигнете цели, и, соответственно, она не сможет оправдать ваши средства.
                                                                                                                      Именно исходя из такой морали, я считаю, что нельзя делать зло, прикрываясь благими целями. Именно исходя из этой логики я считаю, что нельзя делать людям гадости, только потому что они уроды, иначе вы встаете с ними на одну доску, и становитесь ничуть не лучше их. И именно поэтому, я считаю, что в данной истории не прав в первую очередь хакер, который решил проехаться на хайпе.
                                                                                                                        +3
                                                                                                                        Да-да-да, «Сегодня ты ешь мясо, завтра — убиваешь котят, а послезватра — переключишься на детей? Кто и как сможет определить эту грань и сказать стоп?»
                                                                                                                        Хотя стоп, не так: «Сегодня вы критикуете раскрытие потенциально опасных дыр, завтра — проголосутете за принудительную чипизацию населения, а послезавтра отключите свободный интернет и пойдёте работать надзирателем в концлагерь? до каких пределов благая цель оправдывает грязные средства? Ну, где остановиться? Мол, вот это еще можно, а вот то уже нельзя? Кто и как сможет это определить?»
                                                                                                                        Словоблудие — оно такое словоблудие, ага.
                                                                                                                          0
                                                                                                                          Не передергивайте пожалуйста. Я не критикую раскрытие потенциально опасных дыр, я критикую противозаконные методы работы раскрывающих.
                                                                                                                            +2
                                                                                                                            Простите, но вы же первый начали, вспомнив про мораль, законность и убийства.
                                                                                                                            PS беседа, на мой взгляд, ушла за границы конструктива, на сём и откланяюсь.
                                                                                                          0
                                                                                                          Но эксплойт был ПРЕДНАЗНАЧЕН для пентеста. Т.е. САНКЦИОНИРОВАННОГО доступа к информации. Для НЕсанкционированного он ИСПОЛЬЗОВАЛСЯ.
                                                                                                        +2
                                                                                                        Потому-что в отличии от склада на котором хранится чье-то имущество, здесь хранятся, или могут храниться, персональные и личные данные каждого из нас. И хозяин этого склада даже не думает и не хочет предпринимать никаких мер по их защите, подвергая нас опасности. Угрожая при этом уголовным преследованием за проникновение туда, будучи абсолютно неспособным установить сам факт такового проникновения.
                                                                                                0
                                                                                                Я считаю, что РЖД должно дать развернутый комментарий по существу затронутых вопросов, а не отписку. Потому что, если некоторые факты окажутся правдой, это будет нарушением требований 152-ФЗ «О персональных данных» к мерам по защите. Не в их интересах признавать факты отсутствия осведомленности о реальном устройстве сети Сапсана, не соответствующем их вере в ТЗ. А «состав преступления» автора еще придётся поискать. Учитывая описанное, там и логов-то никаких не будет — т.е. не будет достаточных доказательств инцидента.
                                                                                                  0

                                                                                                  Я думаю там такие бабки отмыты на этом wifi, что признание хоть какой то уязвимости недопустимо с их стороны. Поэтому будут отбрекиваться и тихонько всё поправят

                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                  Самое читаемое