2740

Дырявый Сапсан

Дырявый Сапсан

Уже был пересказ новости с хабра, как один пассажир обнаружил дыру в безопасности, подключившись к Wi-Fi в поезде.

Недавно история получила продолжение.


Немного пояснений:

В поезде, для доступа к Wi-Fi, надо указать номер места, вагона и последние 4 цифры паспорта.

Собственно, данные паспорта должны где-то храниться, а если они хранятся в локальной сети, то может быть к ним есть доступ не только у системы авторизации.

Немного покопавшись, пассажир получил полный доступ к важным контейнерам на сервере, в том числе и базе данных.

https://habr.com/ru/post/476034/


Достаточно иметь ноутбук, а при должном умении, хватит и смартфона, установить популярные средства для администрирования сети. И спокойно подключиться к внутренней сети РЖД, скачать данные пассажиров, ставить майнеры, а то и вовсе, стереть содержимое.


Ну вот, дыры есть, пароли простые и одинаковые (это то же самое, что их отсутствие). Казалось бы, очевидно, нормально настроить докер и службы, чтобы каждый школьник не заходил в ssh под рутом.

Но нет, это ведь РДЖ. Тут все не как у людей.

Они взялись "расследовать" это дело.

https://habr.com/ru/news/t/476422/


По итогу расследования выяснили, что Сапсан взломать обычный человек не способен. Следовательно, взломавший - злоумышленник. К тому же, обладающий специальными техническими средствами.

А с системой все в порядке, ибо «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД»».

https://habr.com/ru/news/t/476920/


Из этого можно сделать вывод, что защищать персональные данные пассажиров дороже, чем нормально настроить порты.


Ну и ладно, потереть данные на сервере это не такая уж и трагедия, поезд от этого не остановится. К тому-же персональные данные давно уже все слили, их можно почти легально купить оптом или в розницу.

Главный посыл не в этом, а в том, что многие критически важные детали держатся на каких-нибудь племянниках троюродного брата жены директоров ИТ, с которых нет никакого спроса.


А если какой-нибудь здравомыслящий человек делает комментарии, то его пытаются напугать или говорят, что все и так прекрасно работает. В случае коллапса - наклеивают новые обои с нарисованными окнами и выставляют террористами, попавших под руку.


Технологии развиваются и расширяются, а процент чиновников, которые в них не разбираются, не падает. Скоро дело дойдет до того, что пара человек смогут парализовать всю страну, подключившись к дырявой инфраструктуре.

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

29
Автор поста оценил этот комментарий

Из комментов на Хабре:

Иллюстрация к комментарию
раскрыть ветку (1)
8
Автор поста оценил этот комментарий

Жил бы я поближе, обязательно купил бы билет и записал инструкцию.

Сейчас они в экстренном порядке латают дыры, учитывая ситуацию, залатают хреново и кто-нибудь опять играючи получит доступ. Будем ждать новостей.

показать ответы
0
Автор поста оценил этот комментарий

От частного к общему? Это и есть манипуляции. Если бы был просто пост о том как все плохо в иб, никто бы и не заметил, но тут привязка к событию вокруг РЖД. А сверху рассказываешь что бывает кумовство, плохие специ и тд. Таким способом тут все что угодно привязать можно.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Ничего не могу поделать, сам с такими ситуациями постоянно сталкиваюсь, сильно это все задевает. Пикабушечка - не новостной ресурс, если сухо-сжато, то всем пофиг.

Автор поста оценил этот комментарий

ты жонглёр? играешь фактами и вырезками так... аж противно. и жалко тех, кто поставил 400 плюсов на это.


1. Они будут расследовать каждый обнаруженный чуваком факт уязвимости.
2. Персональные данные пассажиров там не хранятся. Чувак немного слукавил. 4 цифры номера паспорта и номер места, где сидит человек - не являются персональными данными.

3. Про VPN в сеть ржд даже мне верится слабо, но это они там пусть проверяют.
4. Высказывание чиновника абсолютно адекватное. Полностью защитить невозможно ничего. Хорошо защитить можно что угодно, но чем сильнее защита, тем дороже стоит установка, настройка и сопровождение. А защищать то, что там хранится (фильмы, музыка и проч) думаю не только мне кажется бредом каким-то.


Ну а про племянников ничего писать не буду, ибо к сапсану это не имеет никакого отношения.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

#comment_154882087

Я не пуповина из ящика, которая говорит, что во всем виноваты абамка с укро-масонами. Вообще никак не влияю на ситуацию, в РЖД сами разберутся, как смогут.


Ситуация совершенно нейтральная, но позволяет рассказать, что ничего важного нельзя доверять, хоть трижды приближенным к кормушке.

Самая лучшая инфобезопастность, которую я видел это в банках, но и те сливают данные по подписке.

показать ответы
Автор поста оценил этот комментарий

А чего это Тс ты нами манипулируешь? По твоей ссылке написано что будут фиксить.

Так же справедливо что ломал пентестер а не любой человек.  

Ну и где написано что настраивал племянник брат и сват? Опять додумал? В отрасли и без них дохрена нерадивых спецов.

Вот так вот реальная проблема у РЖД превращается в высер в стиле усе пропало/ усе прогнило.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Рассказываю так, как оно есть. Везде дыры, куда ни плюнь.

Фиксить будут точно такие же "специалисты", как те, которые это настраивали.

Я не пентестер, не злоумышленник, но легко могу дернуть закрытую информацию. Не потому что я ее целенаправленно искал, из-за бумажек в виде "parol: qwe123qwe, ip: 240.21.8.16", которые висят в приемной, например.

Про брата-свата я ничего не думал, сказал только, как это бывает.

показать ответы

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества