Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже… +1323


AliExpress RU&CIS

UPD: со мной связались специалисты РЖД и совместно закрыли уязвимости.


Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».

К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.

И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.


Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.

Всё началось с гипотезы


В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.

Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?

Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.

Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!



То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.

Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.

В поисках Немо владельца системы


Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.

Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os

Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…

За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.



А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

Вот некоторые из найденных сервисов с паролями по умолчанию:

1. Камеры наружного наблюдения — подавляющее большинство.



Ещё камеры






Даже офисы внутри



Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.

2. Ip-телефоны и FreePBX сервера также большое количество.




3. IPMI серверов:

Asus

Dell (их подавляющее большинство)


Supermicro

Из серверов виртуализации встречаются ESXi, Proxmox и oVirt



Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)

4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)


5. Системы управления ИБП




6. Сетевое оборудование



Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.

Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.

Не полный кусок лога по прокси.



Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.

И все же кто же хозяин?


Думаю, что уже все и так догадались.

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

Это здец. Сеть просто в решето.

Причём это устройства по всей РФ.

Например, вот это вокзал Уфы

Антропово Костромской области


Развёрнута профессиональная система видеонаблюдения.

Нашёл презентацию по вокзалам.

macroscop


Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.

Как же так получилось?


Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.



То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…

Получилась вот такая картина:

  1. Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
  2. Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
  3. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
  4. Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
  5. Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
  6. С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
  7. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN

«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.

Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?



У меня лично есть всего три варианта ответа на этот вопрос:

1. У Вас исходно плохая команда.

Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.



2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.



3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.




Что нужно изменить, чтобы снизить вероятность возможных последствий?


Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.

Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.

В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.

Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.

Заключение


Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».

Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.



Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.

В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…

Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.

Связаться со мной можно через телеграм t.me/monoceros
Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os

Кстати, Евгений Игоревич, с повышением!



Источник




Комментарии (894):

  1. ramilexe
    /#22534420 / +7

    Это было круто! Читается как детектив. Неужели они не проводили никакой аудит?

    • DarkByte
      /#22535552 / +5

      На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.

      • xtelekom
        /#22537306 / +3

        Сталкивался с подобным, у нас и студентов не было. «распилконтора» присылала таблички которые надо заполнить, про наши сети, серваки и тд. Потом рисовали правильный отчет за много миллионов, все довольны.

      • inkvizitor68sl
        /#22537348 / +4

        Да всё проще, студентов наняли из МГУ ПС, скорее всего. За зачеты.

      • thatWhichMustNotBeNamed
        /#22540182 / +1

        истину глаголишь. Помню, как мы были 5ым суб-подрядчиком. И от общей котлеты в ~300кк получили только 9кк.

        • burzooom
          /#22541128 / +5

          5ым, то есть, не последним?

          • нет, мы были крайними (как говорят в армии). И все номинально было по закону: каждый из вышестоящих взял себе какой-то процент работы, который был обязан взять, чтобы можно было нанимать суб-подрядчика, но вот деньги они за это брали по принципу Парето.

      • alexsertov
        /#22542222 / +2

        «Как вы смогли так точно описать, как делается на ржд?» — моя первая мысль,
        «Наверное потому что так делается (почти) везде» — моя вторая мысль

    • Strigov
      /#22535560

      Если и проводили, то по бумагам на распиле, судя по всему.

      • ivan_safon
        /#22540170 / +1

        Возможно, даже и без бумаг провели)

    • Viceroyalty
      /#22536664

      Как мне говорил один человек занимающий хорошую должность «все, что ты говоришь — это техника, а основная задача ИБ — составить правильные документы, чтобы у регулятора не было претензий».

      • vanxant
        /#22537320

        Этот ваш «занимавший хорошую должность» ни разу не попадал.
        Документы у РЖД составлены наверняка правильно. А значит там есть «группа реагирования на инциденты ИБ», «ежемесячные журналы аудита» и ещё штук 10-15 разных журналов, которые нужны по требованиям ФСТЭК и ФСБ. И в которых оптом в конце года достаточно большие дяди не глядя расписались. А должности, ФИО и подписи на явной липе — это уже подлог.

        • dn842
          /#22537858 / +2

          Ответ неправильный, поскольку в данном случае работает принцип «без бумажки ты какашка». Если аттестат соответствия есть на систему защиты ИС от регулятора значит всё защищено (даже если реально там бардак). Ну а если сломали, ну с кем не бывает, значит преступники и всё такое поскольку усомниться в бумажке от регулятора невозможно по умолчанию.

          • vanxant
            /#22538468

            А я не зря про журналы написал. На момент аттестации там, скорее всего, даже пытались хоть какой-то порядок навести — отобрать свистки, снести левый софт и т.д.
            А уже потом неустановленные лица подключили неизвестные роутеры, поставили левый софт и установили пароли admin:admin.
            Однако ж, раз в месяц или типа того это всё должно повторно проверяться уже силами конторы, об чём должен составляться отчёт, вноситься изменения в схему сети и прочую документацию. С подписями ответственных лиц. Каковые (подписи) — есть, а аудита явно не было.

            • dn842
              /#22538518

              Тут еще не факт, что вообще систему защиты создавали хоть какую то, поскольку если у них информация которая циркулирует в системе формально не подлежит защите согласно законодательства то и вопросов к ним вообще никаких. А вот к пентестеру вопросы у правоохранителей по результатам публикации данной статьи могут вполне возникнуть за несанкционированное вмешательство в работу ИС.

              • vanxant
                /#22539612

                У них обработка десятков миллионов ПДн в год, так что ФСТЭК заходил со всем пристрастием. «Здесь вижу здесь не вижу» на таких масштабах не работает.

        • Viceroyalty
          /#22538076

          Этот ваш «занимавший хорошую должность» ни разу не попадал.
          как раз попадал, теперь, наверное, занимает хорошую должность в другом месте

        • Robur_le_Conquerant
          /#22539304 / +1

          понимаете, в чем дело. Подобные системы должны обслуживать и контролировать люди, несущие очень серьезную ответственность за то, за что они отвечают. У которых выбор моежт быть только один: или ты берешься за это и отвечаешь головой или не занимай эту должность. Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.

          • lolhunter
            /#22542658 / +1

            Отвечаешь головой подразумевает оплату. Если ген директор отвечает головой за фирму, а ИБшник за ИБ — очевидно зарплаты у них должны быть сопоставимы.
            Вот что-то я не вижу вакансий начальника ИБ с зарплатой в 2-3 миллиона в месяц ХОТЯ БЫ.

            • Areso
              /#22542818 / +1

              Вы много знаете главбухов с зарплатой в 2-3 миллиона в месяц, ХОТЯ БЫ?
              Я вот много знаю главбухов (работал несколько лет по бухгалтериям), но ни одна из них не зарабатывала 2-3 миллиона в месяц.
              На минуточку, главбух безо всяких допущений несёт личную ответственность, вплоть до уголовки.

            • Areso
              /#22542888

              Главбухи, кстати, еще нормально зарабатывают.
              Гораздо более интересная должность — и более «родственная» — это инженер по ТБ.
              Вот где откровенно маленькая зарплата ходит рука об руку с довольно высоким шансом попасть под уголовное расследование.

              • Yacudzer
                /#22543016 / +1

                Пром. безопасность — из той же оперы…

              • vedenin1980
                /#22544824

                откровенно маленькая зарплата

                Зато там требуется относительно невысокая квалификация. К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки (особенно в России).

                • titsi
                  /#22546528

                  К сожалению, довольно много людей не особо думают о будущем и готовы работать на опасных и вредных производствах за копейки

                  Потому что бухгалтер «Лида Ивановна» скорее всего не захочет учить 100500 книг по программированию, и каждый раз все заново переучивать так как устарело, но вот работать в 1с и excel ей по силам.

              • JerleShannara
                /#22545296

                Если журналы в порядке и документы по инструктажам по ТБ соответствуют требованиям, то почти любое нарушение ТБ, повлекшее за собой смерть/инвалидность, легко списывается на сам труп/инвалида, ибо «вот он расписался, что ознакомлен, прошел и понял инструктаж».

          • AgataMuceniece
            /#22547158

            Но такого нет. И не будет, так как эта система выстраивалась годами и другой у них нет.
            не в бровь, а в глаз!

      • mrsantak
        /#22539310

        Разница между "человеком занимающим должность" и работником в том, что первый занимает должность, а второй — работает. Ожидать от первого какой-либо работы было бы странно.

        • Viceroyalty
          /#22539796

          Но без его указания никакой работы-то и не будет сделано.
          Да и математически Ваше утверждение неверно: любой работник организации занимает должность, а работу кто-то все-таки делает.

          • mrsantak
            /#22540038

            Речь о том, что есть люди, которые находясь на какой-то должности выполняют свою работу. А есть люди которые эту должность просто занимают и при этом ни сами не делают ничего в рамках своей позиции, ни дают попасть на эту должность тому кто что-то будет делать. И заявление вида "Служба ИБ должна заботится о правильности бумажек, а не о, собственно, информационной безопасности" — это как раз про людей которые занимают должность, а не работают.

    • Robur_le_Conquerant
      /#22539282 / +2

      Знате, самое обидное то, что:
      1. ничего не поменяется
      2. никто не понесет за это наказания

      Тут я много чего написал. Потом стер. Потом опять написал. И снова стер. Любой админ любой дороги расскажет все подробности. Но он не найдет того, кому бы были интересны его рассказы…

      • ajijiadduh
        /#22541650 / +3

        2. как это никто? автор статьи понесёт

  2. Valyaromanova
    /#22534432 / +1

    Вот и подключайся теперь к открытой точке доступе, лучше без интернета посидеть для своей же безопасности.

    • Andrey_Epifantsev
      /#22534684

      Так вродеж шифрование между сайтом и устройством? Злоумышленник в середине не сможет прочитать ваши данные, даже если будет владельцем точки доступа.

      • Securityhigh
        /#22535218 / -1

        А вот и не всегда, до сих пор много сайтов используют HTTP, имеются и государственные, в особенности областные. Некоторые онлайн-кассы до сих пор сидят на ******* HTTP. Да и кто запрещал SSL Pinning.

        • std
          /#22537088

          а что такое ssl pinning в вашем понимании?

        • marataziat
          /#22537704

          > SSL Pinning
          Если вы про установку CA, то для нее нужен пароль администратора и доступ к компьютеру жертвы. Если вы про SSL pinning как про встроенный CA в нативные приложения, он только наруку играет тк кроме своего сертификата приложение никому не доверяет.

          • DaemonGloom
            /#22540634

            Скорее всего, имелся ввиду SSL Stripping для сайтов, которые не используют HSTS и не внесли себя в список preload в браузерах.

      • PsyHaSTe
        /#22535352 / +1

        Вот который раз убеждаюсь что лучше потратить 100 рублей на трафик в другом регионе и чтобы потом голова не болела за подмену сертификатов, просмотр какой-нибудь днс истории и прочего.

        • redmanmale
          /#22535970

          Так отменили же роуминг по стране.

          • PsyHaSTe
            /#22536042

            Ну я ездил недавно на кавказ, списалось дополнительно. Проверял баланс до выезда и после. Хотя, конечно, может и глюки.


            Но вывод один: никаких "бесплатных вайфаев".

            • jryj
              /#22536204

              Достаточно включить ВПН и не беспокоиться об открытых вайфаях. Помогает застраховаться и от подстав провайдера с подписками и т.п.

              • Viceroyalty
                /#22536676

                Особенно — если это свой VPN

                • Milein
                  /#22543484

                  А вместе со своим VPN можно ещё и свой DNS сервер поднять и часть рекламы и зловредов блочить на этом уровне.

            • Flammar
              /#22536810

              Так это наверное Абхазия была.

              • Viacheslav01
                /#22538976

                Много раз попадал в сочи, бац и ты всадил все деньги на разговоры через абхазского оператора.

                • Firsto
                  /#22540824

                  Мне в аналогичной ситуации Теле2 возместили все расходы.

                  • PsyHaSTe
                    /#22542320

                    Ну тут вопрос уже что мне совего времени на разборки жалко чем 150 рублей которые за пару дней улетели

                    • Firsto
                      /#22546268

                      По телефону поддержки за пять минут составили заявку, через два часа перезвонили, извинились и зачислили деньги на счёт.

      • pae174
        /#22535698

        Если HSTS Static на сайте не настроен то возможно выполнить атаку SSL Strip и перехватить весь трарик.
        Если клиентская машина не умеет DNSSEC то возможно подсунуть ей левый ответ DNS и увести клиента на фишинговый сайт.

        • tmin10
          /#22536190

          SSL Strip в браузере легко заметить (для тех, кто в теме), не будет никакого защищённого соединения, урл будет http, замочков разных не будет.

          • iDm1
            /#22536630

            В том-то и дело, что «замочков» не будет. Актуальные браузеры отмечают http как заведомо небезопасное соединение, это невозможно не заметить.

            Если речь идет о людях менее компетентных в данном вопросе, которые могут упустить такой нюанс, то они и VPN использовать тоже не будут. Потому выгода от VPN для защищенных соединений, среди которых и https, выглядит довольно призрачной.

          • pae174
            /#22537596

            > SSL Strip в браузере легко заметить

            MithM может просто отдать клиенту вирус и после того, как она сработает, переадресовать клиента на настоящий сайт по самому настоящему HTTPS. Все замочки будут на месте. При таком сценарии развития событий ситуация визуально ничем не отличается от обычного редиректа http:// -> https://, просто перед редиректом клиент незаметно цепляет зловреда.

            • iDm1
              /#22537712

              Если можно выполнить код на клиенте с такими правами, что это может быть полезно вирусу, то все остальное уже не важно и получать можно любую информацию доступную этому клиенту как локально так и удаленно, да и вообще сделать с ним что угодно. Это уже другого уровня дыра, которая требует наличия уязвимости в ПО или эффективной социальной инженерии.

              • pae174
                /#22537950

                В браузерах встречаются уязвимости RCE вообще-то. Так что подсадка трояна через MitM открытой точки доступа вполне осуществима на практике и без какой-либо социальной инженерии.

      • Leonid_E
        /#22536166

        И тут есть нюансы, https в ряде случаев перехватывается, в комментариях уже написали.

    • numb
      /#22535178

      Однажды, сидя с ноутом в Москве на Ярославском, пользовался их Wifi, чтобы котиков посмотреть. Написал мне коллега, с просьбой помочь с linux-сервером, который я ранее настраивал по SSH — ок, не проблема.

      Открываю консоль,
      ssh username@servername.ru…
      ssh-клиент ругается что не узнает сервер по отпечатку, а после и вообще требует пароль вместо авторизации по ключу.
      И тогда до меня дошло, что там классический MITM.

      С того момента, публичным WiFi, в принципе, перестал пользоваться

      • 13werwolf13
        /#22535842

        частично проблема решается если сидеть на таких публичных точках завернув 0.0.0.0/0 в wireguard или openvpn например, но только частично

      • arheops
        /#22536780 / +3

        Скорее неправильно настроенный нат, который заворачивает весь траффик по 22му порту на один сервер(типо проброс, но студентами выполнен)

      • DimkoD
        /#22542400

        Вокзальный WiFi это ТрансТелеком по заказу РЖД, гляньте принадлежность IP, даже заинтересовали, когда сеть сдавалась никаких подстановок там не было, может в процессе эксплуатации запретили доступы по некоторым портам, а перенаправление вполне может быть на веб-портал

        • numb
          /#22548424

          Это было 2 года назад, уже не узнать, я сейчас далеко от Москвы.
          Веб портал — маловероятно, т.к. подключение принял именно ssh-сервер.
          А вот криводастроенный NAT вполне может быть.

    • Securityhigh
      /#22535228 / -4

      На дворе 2021 год, а ты только сейчас это понял? Что ж, жаль тебя)

  3. Banketniy
    /#22534434 / +2

    Интересно, а если я попробую провернуть тоже самое на ласточке, не попаду ли я под уголовную ответственность?

    • Yuriy_krd
      /#22534574 / +1

      К сожалению, попадете :) УК РФ Статья 272. «Неправомерный доступ к компьютерной информации»

      • Osnovjansky
        /#22536534 / +3

        С одной стороны, вроде да, а с другой — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

        • welovelain
          /#22536562

          точнее увидел открытую дверь и написал в интернете: по адресу такому-то дверь открыта! У них все в порядке?

          • Viceroyalty
            /#22536692

            Если они до сих не пытаются ее закрыть — у них лично давно все хорошо

          • da411d
            /#22536822 / +2

            Прошу заметить, автор не писал по какому адресу открыто.
            Онтнаписал, что прошёлся по всех дверях, среди найденных открытых выбрал одну и туда уже зашел

          • tmin10
            /#22536900

            Правда, если продолжать аналогию, то не только увидел, а зашёл, посмотрел, что внури и как (бегло) и рассказал с фото…

        • Yuriy_krd
          /#22536766 / +2

          В общем случае, даже если дверь открыта — заходить нельзя (ст. 139 УК РФ). Но РЖД, походу, глубоко пофиг как на открытую дверь, так и на тех, кто шляется :)
          P.S. тут должен быть анекдот про конкурс лентяев :)

        • khulster
          /#22538010 / +1

          — человек зашел в открытую дверь, спросить: «У вас всё в порядке?»

          И даже в этом случае он может получить иск за незаконное проникновение в жилище. А уж в случае с нашими гос. структурами, я бы точно не рисковал. Им же сейчас как воздух нужных «злоумышленники» которых можно будет публично рапсять.

      • Dubor
        /#22536748 / +2

        по этой статье судят не за сам доступ, а за, цитирую:

        «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»

        • Yuriy_krd
          /#22536906

          Вы забываете о ч.4 (тяжкие последствия). При этом, необязательно, чтобы тяжкие последствия наступили. Достаточно, чтобы была создана реальная угроза таких последствий. Т.е. Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд? Могли. При отключении кучи камер Вы могли бы понизить уровень безопасности? Могли. Значит, Вас ждет наказание по ст.272 ч.4. (до 7 лет заключения).

          • Flammar
            /#22537112

            Вы, проникнув в сеть РЖД, могли ведь переключить стрелки и пустить под откос поезд
            В общем, не обязательно. Управление стрелками, насколько я понял из статьи, никто пока не проверял. Равно как и возможность залить прошивку или изменить положение камеры или другие её параметры. Может оказаться, что всё открыто только на чтение.

            • F0iL
              /#22537368

              Среди скриншотов железок я вижу как минимум одну, подверженную Ripple20, и прошивку которой с высокой вероятности не обновляли (учитывая все остальное описанное). Так что от доступа для чтения до доступа на запись один шаг.

            • inkvizitor68sl
              /#22537386

              Управление стрелками и другой механикой/машинерией должно быть в отдельной РЖДшной сети, в/из которой нет доступа в интернет.
              (и это не я придумал как должно быть, именно так они изначально и делали, судя по рассказам участников). И раньше жестко следили за тем, чтобы доступ не протёк, у сотрудников по 2 ПК стояло на рабочем месте, например.

              • Alexsey
                /#22537806

                Тем не менее судя по скриншоту как минимум read only доступ к данным из этой сети есть.

              • /#22539020

                Работал я когда-то в организации с двумя компами на рабочем месте… Только вот почта между сетями свободно ходила. Хотя за ней следили, надо признать. Не знаю, читали или нет, но за отправку файла однажды пришли люди с серьёзными лицами для серьёзного разговора.

                • inkvizitor68sl
                  /#22539038

                  «Почта ходила» делается двумя интерфейсами в сервере, между которыми forward не включен)
                  Ну разве что DNS должен разное отдавать ещё, но это мелочи.

            • Sap_ru
              /#22546058

              Ну, как бы там много мест, что ДУ работает через VPN тоннели из внутренней сети во внешний мир, либо между двумя точками внутренней сети. С кучей на коленке слабаных шлюз и компьютеров в древними уязвимыми ОС. При желании точно дальше можно было и до ДЦ докопаться и до компьютеров на которых диспетчерский софт крутится. А это уже и управление стрелками и управление светофорами.

          • Yacudzer
            /#22537672

            В понятие «состав преступления» входит субъективная составляющая — умысел субъекта. Т.е. если на суде будет доказано что не было злого умысла, значит и состава преступления нет. Другой вопрос, что еще доказать надо…

            • sourbarberry
              /#22541178

              Можно и без умысла убить человека, например. И тут уже будет состав преступления налицо.
              Можно без умысла побродить по внутренней сети, потыкать ради интереса какие-то галочки. А потом поезд пойдет под откос.
              Умысла не было, но люди пострадали.

              • Yacudzer
                /#22542552

                Речь идет про доступ к сети, а не действия (бездействия) после получения доступа…

            • burzooom
              /#22542492 / -1

              то есть, всех водителей, сбивших насмерть пешеходов — отпускать?

              • artemerschow
                /#22542802

                Водителей сбивших пешеходов по случайности и целенаправленно — уровнять в сроках?

                • burzooom
                  /#22542840

                  «не было злого умысла, значит и состава преступления нет»
                  а нет состава преступления — признать невиновным и отпустить прямо из зала суда.

                  • artemerschow
                    /#22542992

                    Вам подсказать или сами додумаетесь до существования чуть более сложной системы квалификации преступлений, чем есть преступление и нет преступления? Может тогда перестанете приводить некорректные аналогии?

          • Xokare228
            /#22537922

            Это так не работает, там написано «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления», то есть уже должен быть состав, а состав это «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», а тут если что из этого и было, то только копирование, и то с очень большой натяжкой

          • levashove
            /#22537952 / +1

            Считаются ли тяжкими последствиями сгоревшие пуканы в РЖД?

          • Dubor
            /#22538034

            и снова надо читать формулировку целиком:

            Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления


            нет деяний (а именно, копирования, модификации, удаления и т.п.) — нет состава преступления даже для первой части, не говоря уже о четвертой.

            • reci
              /#22541132

              Что есть просмотр, как не копирование?

              • Dubor
                /#22542566

                суд не так работает (мы же говорим о том, попадает ли автор статьи под действие 272 УК?).

                суд берет текст статьи, практику правоприменения данной статьи, а так же разъяснения верховного суда (если есть). и именно по ним и принимает решение.

                а не вот эти все философские: «а если копнуть глубоко, то когда ты смотришь на объект, то ты создаешь в мозгу его копию в виде сигналов нейронов, а значит, если ты посмотрел, то ты скопировал» и т.п.

                • reci
                  /#22542674 / +1

                  Почему же философские, вполне конкретные законы техники — перед отображением на экране информация должна быть скопирована на устройство пользователя. А дальше — «как дышло повернут»…

                  • janekprostojanek
                    /#22547664

                    Вы совсем «плохой»?
                    Или просто пытаетесь умничать?

                    Я подключился по RDP к терминалу. На моем экране выведено изображение рабочего стола терминального сервера. Я отключился. Докажите юридически, что на мой компьютер скопирована какая-либо информация с терминального сервера.

              • olsowolso
                /#22547160

                Копирование в зрительную память человека? Или речь про кэши браузеров и прочее? Считается ли юридически что я скопировал информацию, если я не нажал «сохранить как»/«копировать» в меню, условно говоря?

          • Dr_Faksov
            /#22544318

            могли ведь переключить


            «Ну тогда и за изнасилование сажайте, инструмент-то есть» — старый анегдот вспомнился. Вот я, теоретически, могу убить любого человека, к которому у меня есть физический доступ. И что теперь…

        • tmin10
          /#22536912 / +2

          А скриншоты не являются копированием информации? Т.е. была получена информация с камер, которая была скопирована и сохранена для иллюстраций в статье.

          • Dubor
            /#22538216

            А скриншоты не являются копированием информации?


            а вот тут уже надо смотреть юридическую практику.

            сам не готов вот прямо сейчас дать готовый ответ: по остаточным знаниям от второго образования могу предположить, что зависит от того, какая информация есть на скриншоте.

            это как с порно: замазал/замылил первичные и вторичные признаки и уже не попадаешь под определение порнографии. хотя суть-то осталась =)

        • Xobotun
          /#22536996

          Я вот думаю, не являемся ли мы тоже преступниками, посмотрев на скриншоты. Юридически же у нас не было права видеть интерфейс управления стрелками, верно? Для этого нужны соответствующие доступы, надо подписывать минимум трудовой договор с РЖД и чтобы управление этим интерфейсом входило в должностные обязанности.


          А что до ч.4 – так мы все тут комментируем эту статью, наши комментарии могут прочитать и вдохновиться. Или мы в рабочем чате можем это распространить. И всё, сообщники. :D

          • hokum13
            /#22537900

            Ага, «организованной группой лиц, по предварительному сговору»… Впрочем абсурдность некоторых законов это не российское изобретение.

            • Dubor
              /#22538066

              зачастую, абсурден не закон, а трактовка закона лицом, не имеющим юридического образования.

              ну пусть даже без юр. образования. просто лицом, даже не прочитавшего статью целиком и судящего о статье по ее названию.

              что-то в духе:
              — ага, в названии есть словосочетание «неправомерный доступ»! ой, а я видел скриншоты… меня посадят! как страшно жить в этой(tm) стране…

              • mrsantak
                /#22539342

                Абсурдность трактовок не отменяет абсурдность законов. Чтобы увидеть скриншот у себя в браузере вы его должны сначала загрузить, т.е. скопировать.

        • Flammar
          /#22537012 / +3

          Как можно ознакомиться с информацией, не скопировав её (хотя бы в ОЗУ ~«тонкого клиента»)?

        • F0iL
          /#22537042

          Приплести при желании легко что угодно. Залогинился в систему с дефолтным паролем — появилась запись в логе — содержимое лог-файла, а так же метаданные о его объеме и времени доступа были модифицированы, «эксперты» подтвердят — ну вы поняли.

          • vehicross
            /#22540266

            Полагаю, логи в большинстве своём не являются «охраняемой законом компьютерной информацией»

        • agat000
          /#22541230

          либо копирование компьютерной информации»

          Скрин — копирование. Да еще и распространение.
          В крупной полу-государственной конторе, где я работал, изображение в камер относилось к Коммерческой Тайне (КТ), например. Здесь — стратегический объект, скрины с камер. В общем ай-ай-ай.

          • Dr_Faksov
            /#22544366

            изображение в камер относилось к Коммерческой Тайне (КТ)


            А может не зря? Умный человек получит с камер кучу информации: расположение постов охраны, как какой охранник службу несёт, внутренний распорядок, планы помещений, правила приёма грузов\курьеров. Это то что в голову взбрело.
            И устроить на основании этого проникновение и вынос тела будет ГОРАЗДО легче и безопаснее.

            • agat000
              /#22546402

              Я знаю, и не спорю. Сам занимался техническими системами безопасности. Но мля многих это неочевидно. Подумаешь, камера, что там такого секретного, маразматики и параноики из СБ совсем от безделья маются уже.

    • ascheck
      /#22534966

      К сожалению, автор тоже попадает.

      • sazhyk
        /#22535316 / +7

        Да, автор попадает. Но даже если автора накажут по всей строгости закона, дыр в сети меньше не станет. Автора не наказывать надо, а связаться и распросить что да как. И чем быстрее, тем лучше.

        • Evgen52
          /#22536160 / -5

          Автора не наказывать надо, а связаться и распросить что да как.

          Забавное наблюдение. Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление. А тут обратная ситуация, хотя такая же уголовная статья. Двойные стандарты во всем.


          P.S. Это не лично к вам. Не оправдание коррупции и других нарушений, не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны. Далеко нам ещё до правового государства (нам — всему человечеству) с таким самосознанием.

          • KivApple
            /#22536168 / +2

            Автор не получил материального профита, не устроил хаос своими руками и даже статья выше без определённых профильных знаний и усилий никак не поможет это сделать другим людям (это не туториал «скопипастите эту команду и вуаля, вы только что взломали Пентагон»). Он «только посмотрел» и обнародовал проблему.

            А коррпуционеры не просто смотрят, а действуют.

            • psydvl
              /#22538134

              Ну поднять впн и подключиться к прокси среднепродвинутый пользователь интернета в России уже научился…

          • IMnEpaTOP
            /#22536230

            У закона есть не только «буква», но и «дух». И в целом закон (justice) это попытка упорядочить и формализовать такой феномен поведения высших животных как «справедливость» (тоже, кстати, justice, она же юстиция).
            Так вот, «Когда речь в комментариях заходит о коррупции, нарушениях ПДД или чего-то ещё незаконного, то обычно в праведном гневе люди выступают за то, что важна неотвратимость наказания за преступление.» Потому что преступление есть нарушение справедливости. А справедливость связана с ущербом и нравственностью.
            Автор своими действиями наоборот пытается избежать общественного ущерба (который неизбежно однажды возникнет, если сор из избы не вынести) и призвать ответственных за сложившуюся ситуацию к соблюдению нравственности. По этому и реакция в двух описанных вами случаях у общественности совершенно разная.

            А вот то, что такое приходится объяснять…

            • Pavel_The_Best
              /#22536420 / +1

              Справедливость для всех разная, поэтому нельзя говорить, что преступление — нарушение справедливости.

              • IMnEpaTOP
                /#22536476 / +3

                Ровно об этом я и написал. Преступлением называют нарушение закона. Но нарушение закона может быть по разному оценено людьми, на которых этот закон распространяется. Поскольку закон всего лишь попытка формализовать справедливость и эта попытка не может во всех случаях работать корректно.
                В одних случаях формальное преступление людьми не оценивается как истинное преступление, если справедливость при этом не нарушена. Но то, что людьми оценивается как преступление, всегда будет нарушением справедливости.

                • JamboJet
                  /#22543114

                  Напомню, что есть отдельный вид преступлений — «без потерпевших лиц», по которому на развитом западе давно идут дискуссии о уменьшении, либо полной ликвидации наказаний.

                • Dr_Faksov
                  /#22544466

                  Вы правы про оценку. Я почему-то вспомнил про человека зарезавшего авиадиспетчера. Который убил его детей, уронив самолёт в озеро. И которого за это слегка поругали.
                  Вот я не могу этого человека осуждать, хотя он убийца, по букве закона.

            • Evgen52
              /#22536584

              Вы правы. Я, если что, не призываю наказывать автора. Проблема в том, что дух и справедливость для каждого могут быть свои. И вы правильно сказали, что закон — это попытка формализовать что-то, с чем согласно большинство. И на то они и формальные правила, чтобы к ним формально относиться. Иначе это не закон, а "понятия" какие-то. Либо мы стремимся к правовому государству и соблюдаем законы все, а не только удобные, либо получаем то, что есть сейчас. Я намерено в целях демонстрации это несколько утрировал.


              Признаю, я был неправ в том, что сравнил конкретно этот случай с преступлением. Сейчас перечитал статью УК, там есть слова "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации". Так что состава преступления здесь, конкретно, нет. Прошу прощения за это некорректное сравнение. Однако недавно была статья про, кажется, "mew" атаки, когда данные незащищенных баз массово удаляли. И там уже явно есть состав преступления, но меня в коментариях упорно убеждали, что хакеры молодцы и робингуды, а владельцы серверов сами виноваты, что не запаролили их. Просто сейчас сработала ассоциация с тем случаем, хоть это и не верно.


              Ещё раз. Я не оспариваю моральную сторону. Я нисколько не осуждаю ни автора, ни комментаторов. Более того, по справделивости и по моему личному мнению автор молодец, не надо его наказывать, я полностью поддерживаю. Я лишь хотел обратить внимание реакцию общественности на формальную сторону вопроса, как раз ту, что должна по-идее отличать правовое общество от жизни "по справедливости" ("по понятиям"). Без каких-то оценочных суждений, просто забавный факт. Дальше пусть каждый делает свои выводы. Или не делает. К сожалению, люди несовершенны, и чувство справедливости может быть у каждого своё. Ведь какой-нибудь депутат может совершенно искренне считать справедливым, что он кому-то помог, а этот кто-то его отблагодарил. "Упорядочить и формализовать" — вы верно подметили. Мой посыл был лишь в этом.

              • IMnEpaTOP
                /#22536678

                Всё же правовое государство, это государство благоденствия (ведь за этим оно и создаётся?), а не государство одной гребёнки.
                Я не просто так начал со слов о букве и духе закона. Поскольку в правовых государствах судей обязывают руководствоваться не только лишь буквой закона, но как раз учитывать и его дух. И лишь после этого выносить вердикт, который может и не совпадать с буквой. Т.е. налицо механизм, который призван нивелировать несовершенство формализации, когда следование закону дословно повлечёт к созданию несправедливости, а не её охране и восстановлению.

                Это я к тому, что из вашего ответа как-будто чувствуется готовность терпеть несправедливость, если это происходит по закону. И наоборот, противопоставление стремления к справедливости нормальному функционированию системы права. Хотя я не вижу причин, по которым правовая система, работа добросовестно, должна отвергать идею обеспечения справедливости и отказываться от механизмов, которые позволяли бы этим процессам сходиться.

                Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

                • Evgen52
                  /#22536798

                  Возможно этот пост, этот тред станут для вас поводом поразмыслить над этой темой и помогут лучше понимать происходящее вокруг.

                  Спасибо! Хочется надеяться и верить, что не только мне. Ради этого я и оставил тот комментарий, может кто-то ещё задумается и мир станет лучше :)


                  На мой взгляд, проблема вашего подхода в том, что он позволяет оправдывать коррупцию: зачем чиновнику терпеть "несправедливость" и отказываться от "благодарности" из-за того, что это не согласуется с каким-то там законом? Я бы не хотел жить в таком мире.

                  • IMnEpaTOP
                    /#22536984

                    От благодарности (без кавычек) действительно отказываться не стоит, если чиновник способен оставаться беспристрастным после этого. А если не способен, значит следует отказываться даже тогда, когда коррупционное преступление не подразумевается.

                    Но вы сами поставили " ", ведь понимаете/чувствуете, что коррупция есть преступление не просто так.
                    Проблема коррупции как раз в том, что она создаёт несправедливость (неравенство доступа, нанесение другому вреда руками государства и т.д.) и люди способны отличать одно от другого. И оправдывать коррупцию такой подход позволяет лишь коррупционерам (но они так поступают в любом случае, на то они и коррупционеры, дающие и берущие).

                    • Evgen52
                      /#22537200

                      Вы исходите из предпосылки, что справедливость и несправедливость — понятия абсолютные и одинаковые для всех. Я же вам намерено привожу максимально яркие и, возможно, слегка преувеличенные контрпримеры, чтобы продемонстрировать, что это не так. Коррупционер может считать несправедливым запрет на взятки. Террорист может считать несправедливым, что в мире есть люди других вероисповеданий, цвета кожи, пола, ориентации, чего-то ещё. Мы с вами считаем несправедливостью "неравенство доступа, нанесение другому вреда руками государства и т.д.". Кто-то будет считать несправедливым, что к его интеллектуальной собственности есть доступ у других лиц, а кто-то будет считать справедливым сделать чужое народным достоянием. Сколько людей, столько и мнений. Именно поэтому я использовал кавычки, ведь справедливость или нет тут весьма условна и субъективна, в отличие от закона, который общий для всех и зафиксирован документально. Он приводит всех к общему знаменателю.

              • Viceroyalty
                /#22536710

                Чисто формально действие повлекло несанкционированное изменение логов (это не моя идея, за такое, увы, уже привлекали)

                • questor
                  /#22537180

                  Да ладно? А что за случаи, не подскажете? А то что-то попахивает параноей, как если бы кто-то проходящий под камерой на Курском вокзале был обвинён в том, что он своей фигурой привёл к крушению электрички. Ладно ещё бы имя было бы drop database, а что-то уж совсем смех.

                  • Xokare228
                    /#22537988

                    Немного из другой оперы, но похожий случай, цитата из ППВС, которая появилась там не случайно, а на основе вполне реальной судебной практики

                    Постановление Пленума Верховного Суда РФ от 30.11.2017 N 48 «О судебной практике по делам о мошенничестве, присвоении и растрате»

                    21. В тех случаях, когда хищение совершается путем использования учетных данных собственника или иного владельца имущества независимо от способа получения доступа к таким данным (тайно либо путем обмана воспользовался телефоном потерпевшего, подключенным к услуге «мобильный банк», авторизовался в системе интернет-платежей под известными ему данными другого лица и т.п.), такие действия подлежат квалификации как кража, если виновным не было оказано незаконного воздействия на программное обеспечение серверов, компьютеров или на сами информационно-телекоммуникационные сети. При этом изменение данных о состоянии банковского счета и (или) о движении денежных средств, происшедшее в результате использования виновным учетных данных потерпевшего, не может признаваться таким воздействием.

                    Если хищение чужого имущества или приобретение права на чужое имущество осуществляется путем распространения заведомо ложных сведений в информационно-телекоммуникационных сетях, включая сеть «Интернет» (например, создание поддельных сайтов благотворительных организаций, интернет-магазинов, использование электронной почты), то такое мошенничество следует квалифицировать по статье 159, а не 159.6 УК РФ.

                    • Envek
                      /#22539392 / +3

                      Тут всё логично: если украл деньги, используя только штатные средства (типа «подглядел пин-код, потом взял телефон жертвы, вошёл в банковское приложение с этим кодом, перевёл себе все деньги») — то это кража, а не взлом. А вот если пошёл подменять корневые сертификаты в хранилище телефона жертвы, чтобы провести mitm для разузнавания этого пин-кода (и потом взять телефон жертвы и перевести себе деньги) — это уже взлом с кражей.

                      • Xokare228
                        /#22542832 / +1

                        Я и не спорю, что логично, но чтобы судам объяснить эту логику понадобился целый Верховный Суд

                  • Viceroyalty
                    /#22538192

                    Пруфов найти не смог, можете считать, что я пользовался непроверенными слухами.

                  • Jef239
                    /#22540466

                    Да, примерно так.

                    От следственного комитета
                    Главным следственными управлением Следственного комитета Российской Федерации по городу Санкт-Петербургу по поручению Председателя СК России Александра Бастрыкина, проведена проверка по факту совершения противоправных действий при проведении дистанционного обучения школьников, по результатам которой возбуждено уголовное дело по признакам преступления, предусмотренного ч.1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).

                    Проведенным анализом сведений, размещенных в сети Интернет о фактах срыва дистанционного обучения школьников, установлено, что к ним может быть причастен пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», то есть человек, занимающийся потоковой трансляцией видео в режиме реального времени. Указанное лицо снимает прохождение видеоигр, а также розыгрыши (пранки), которые выкладывает на своем канале под названием «Russia Paver» на платформе YouTube.

                    Так, 27 марта и 6 апреля 2020 года были размещены видеозаписи, на которых блогер присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в том числе представлялся сотрудником Министерства образования Российской Федерации. Факты срывов онлайн-уроков имелись на территории города Санкт-Петербурга.

                    В настоящее время проводятся необходимые следственные действия и оперативно-розыскные мероприятия, направленные на установление всех обстоятельств происшедшего, а также местонахождения лица, совершившего данное преступление и привлечение его к уголовной ответственности. Расследование уголовного дела продолжается.

              • Dr_Faksov
                /#22544512

                Либо мы стремимся к правовому государству и соблюдаем законы все


                Фраза немного не полная. Поробую так — Либо мы стремимся к правовому государству и все соблюдаем все законы. Это вроде полнее.

                Но! В правовом государстве именно дух — на первом месте. Уголовный кодекс — информация для размышления для судьи, не более. Судья может назначить наказание которого в кодексе вообще нет.

          • Megakazbek
            /#22536250

            Возможно, что вы просто не сумели раскодировать желания людей и ввели себя в заблуждение этим наблюдением.
            Моё предположение такое, что люди предпочитают, чтобы среди них не было злоумышленников, творящих вред. Иногда эта задача решается неотвратимостью наказания за нарушения законов, но в некоторых случаях — нет. Из-за того, что вы неверно интерпретировали, к чему именно люди стремятся, вам и кажется, что они хотят то одного, то другого, хотя на самом деле они во всех случаях хотят одного.

          • mSnus
            /#22536756

            Некоторые законы написаны откровенно плохо и многое не предусматривают. Их надо переписывать, а не прогибать людей под кривые правила.

            • Evgen52
              /#22536868

              Я к этой мысли и пытался подвести читателя: законы надо переписывать, а не нарушать. То есть если не согласны, то сначала меняем закон, а потом уже действуем.

              • ascheck
                /#22536904 / +1

                Вопрос философский. Лев Николаевич Толстой был иной точки зрения, например, и осознанно не соблюдал законы, с которыми не согласен. И он в этом не уникален.

                • Evgen52
                  /#22536998

                  "Справедливости" можно добиваться разными путями. Можно добиваться принятия и соблюдения "справедливых" законов и измения/отмены "несправедливых", а можно игнорировать и нарушать те законы, которые лично считаешь "несправедливыми". Коррумпированные чиновники, очевидно, идут вторым путём. Я лично за первый. Просто понятия справедливости у разных людей разные, чисто субъективные, а закон — это общая база для общества, она хоть как-то объективна, и логичнее отталкиваться от неё. Если смогли убедить большинство людей в том, что ваша "справедливость" хорошая и несёт добро, то есть смогли принять это как закон, то прекрасно.

          • letchik
            /#22536782

            Вы упускаете один очень важный момент: Уголовное наказание не следует из-за слепого нарушения статьи УК, нужно ещё наличие состава преступления.
            Одним из признаков состава в уголовном праве является объективная сторона преступления, часть которой — общественно опасные последствия, а также преступный умысел.
            В данном случае ни того ни другого нет. Состав преступления отсутствует.
            Когда мы говорим про нарушения ПДД и коррупции — объективная сторона на лицо.

            • Evgen52
              /#22536840

              Да, спасибо, я об этом уже написал в своём последующем комментарии и извинился. Был, правда, аналогичный спор под статьей про mew атаки недавно, и вот там уже был состав преступления, так как данные умышленно удалялись. Но реакция многих участников обсуждения была аналогичной: хакеры красавчики, научили нерадивых админов, что надо защищать базы. Невольно в голове сработал триггер и на эту статью.

            • ascheck
              /#22536940

              Если вы забудете закрыть дверь в квартиру и кто-то просто зайдёт, ничего не возьмёт, просто походит, может даже в бахилах, чтобы не напачкать — это не нарушение? А если он после этого на подъезде напишет «в квартире №ХУ не заперта дверь», тоже? Общественно опасные последствия налицо — повышение интереса к проверке структуры на прочность.
              Я на стороне автора и надеюсь, что моральный аспект перевесит в головах уполномоченных лиц, но даже просто проникнуть в чужую сеть без согласия владельца — нарушение.

              • blind_oracle
                /#22537020

                Недавно кто-то там уголовно возбудился на "нарушение неприкосновенности жилища" какого-то любителя новичков и шпилей из ФСБ.


                Статьей 25 Конституции Российской Федерации закреплено право каждого на неприкосновенность его жилища. Никто не вправе проникать в жилище против воли проживающих в нем лиц, иначе как в случаях, установленных федеральным законом, или на основании вынесенного в соответствии с ним судебного решения.
                
                За нарушение неприкосновенности жилища установлена уголовная ответственность, предусмотренная  статьей 139 УК РФ.

              • letchik
                /#22537664

                Если просто походит, ничего не возьмет и выйдет — то скорее всего дело так и закроют.
                Из интернета:
                «В то же время использование обмана, злоупотребления доверием для проникновения в жилище не образует рассматриваемого состава преступления, поскольку в этих случаях лицо проникает в жилище по воле проживающего в нем лица, хотя оно и находилось в заблуждении относительно тех или иных обстоятельств.» Проникновение в незакрытую дверь, можно квалифицировать как злоупотребление доверием, всё зависит от того, что будет говорить подозреваемый.
                А вот если напишет — это уже будет совсем другая квалификация.

              • Dr_Faksov
                /#22544810

                Как ни странно — если войдёт, то преступление.

            • ne555
              /#22537146

              не следует из-за слепого нарушения статьи УК

              А вот автор (если он тот за кого себя выдает) прошлой статьи в чате пишет, что дело заводили (за доступ)
              Заголовок спойлера

              • tmin10
                /#22537190

                Он тут ниже в комментах отметился тоже.

              • letchik
                /#22537590

                Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава. Сам факт наличия дела — не говорит о виновности, вину устанавливает суд.
                И, простите, «дело заводили РЖД» это как?

                • ne555
                  /#22537736

                  Безотносительно конкретной ситуации: уголовное дело может быть заведено и закрыто по доследственной проверке по отсутствию состава, и в справке о судимосте факт привлечения будет висеть до конца жизни.

                  И, простите, «дело заводили РЖД» это как?

                  Может юзер запятую пропустил перед последним словом, но лучше уточнить у него самого.

                  • kspshnik
                    /#22538828

                    Факт привлечения — это постановление руководителя следственного органа, а не чих младшего дознавателя. И при закрытии по отсутствию состава такое постановление даже не выпускается.

          • spqr_voldi
            /#22537356

            С самосознанием всё нормально. Вопрос в том, *кем* и *в чьих интересах* принимаются законы.

          • lazer1064
            /#22537426 / +3

            Совершенно с вами согласен! Автор однозначно злодей, ибо его действия могут привести к тому, что Беллингкет уже больше не сможет ничего расследовать в этой стране и потом радовать нас феерическими результатами! Я категорически против этого, я требую развлечений, и не только про стирку трусов фигуранта, но и еще чего нибудь, а то так и со скуки сдохнуть можно!

            • Evgen52
              /#22538384

              Простите, но вы согласны не со мной. Я нигде не утверждал, что автор злодей, я не призывал его наказывать. Даже специально дисклеймер написал:


              не претензия, не призыв к репрессиям :) Просто наблюдение, мысли вслух о том, что люди порой, сами того не замечая, предпочитают замечать законы и требовать их исполнения только когда для них это удобно и выгодно, и игнорировать, когда они с ними не согласны

              Я вообще не про автора писал, а про нюансы формирования общественного мнения.

          • jedecuz
            /#22538574

            Да, автор совершенно зря попытался взаимодействовать с организацией оставаясь в правовом поле.
            Надо было максимально анонимно и широко распространить материалы по уязвимостям в сети, дабы организация убеждалась сама.

      • Dubor
        /#22536764 / +1

        чтобы решать, попадает автор под действие статьи или нет, нужно не ее название читать, а саму статью:

        Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

        • ascheck
          /#22536972

          Да бросьте… Просто проведите аналогии, применительно к себе: кто-то, допустим, подобрал пароль к Вашему ящику. Это не будет преступлением, пока он не уничтожит/заблокирует и т.п.? К тому же, даже банальные скриншоты — это копирование.

          • Dubor
            /#22538110

            суд принимает решение не по аналогиям, а по вполне определенным правилам: опираясь на текст конкретной статьи и практике применения данной статьи.

            мы же говорим о том, «попадает ли автор под действие статьи?», а не про то, считаю ли я преступлением то, что кто-то сумел подобрать пароль к моей почте?

  4. Trunk
    /#22534436 / +1

    Интересно, на каком этапе в РЖД сейчас процессы по категорированию и защите ОКИИ (Объектов критической информационной инфраструктуры)? Возможно уже все категорировано и защищено? По бумагам…

    • syrslava
      /#22534832 / +3

      Видимо, на этапе «Фотографировать здание вокзала запрещено, это стратегический объект!!»

      • Harwest
        /#22535016

        Да-да, при этом лично проходил на вокзале двухэтапный контроль с интраскопами: проводили в спец комнату попросили включить и показать зеркалку. При этом в том же рюкзаке лежал пакет с десятком огневых фальшфаеров и цветных дымовых шашек.

      • El_Kraken_Feliz
        /#22535090

        Камеру вырубать надо?:)

        • ascheck
          /#22536986

          «попросили включить» — это другое. С ноутбуками та же история, просят включить, чтобы убедиться, что это ноутбук/камера, а не способ пронести на борт что-то что нельзя.

          • jok40
            /#22537166

            Вы не поняли сути прикола. Это бородатый интернет-мем.

    • EVolans
      /#22537318

      Всмысле на каком? Провели категорирование и отписались как все и все. Требования защитить насколько я помню нет. Плюс на это деньги то с бюджета пойдут — можно конечно за свой счет если разрешат, но вроде страна не на столько дураков, т.е. защищаться пол страны будет за наши налоги. Ощущение что вы 187-фз вообще не читали ниразу.

      • Trunk
        /#22537598

        Почему же нет требования защитить?
        Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования». Необходимо подключиться к ГОССОПКЕ.
        Сроки да — точно не определены и зависят от сроков проведения категорирования.

        • EVolans
          /#22537658

          Срок проведения категорирования уже прошел, краний насколько помню был 1 октября 2020 года, потому что подача окии был срок 1 сентябя 2019 года, а категорирвоание в течение 1 года со срока подачи ОКИИ.
          Для вас «требование защитить», и «требования по/к обеспечению защиты» синонимы? Вы правильно заметили — сроков после подачи категорирвоания нет. И не будет в ближайшее время, прост опотому что это не возможно в ближайшие несколько лет по факту. ЭТо физические не возможно, нет ни оборудования, ни кадров, а там на минуточку от 5 лет светит минимум. Кто на это пойдет работать за копейки?

  5. Scratch
    /#22534452 / +4

    Мне кажется, пока им реально не снести все камеры, они ничего не сделают. Опять отмахнутся и всё

    • dvserg
      /#22534494

      Да камеры — это только верхушка айсберга. С таким подходом и критически важные элементы управления уязвимы. Что стоит «звездатым» хакерастам остановить национальные ЖД перевозки в какой-либо критический момент?

      • F0iL
        /#22535518 / +1

        Например, там были интерфейсы управления ИБП, причем, судя по всему, больших ИБП. Кто знает, что именно за оборудование там к этим ИБП подключено?
        Опять же, IPMI-интерфейсы серверов, и точно такой же вопрос, что именно на этих серверах крутится…
        А уж конфигами сетевых маршрутизаторов так вообще можно много веселого наворотить.

        • HappyS
          /#22536182 / +1

          ну потом какой нибудь школьник по приколу положит все это дело, а будут орать что это байден взломал. коллапс будет колоссальный транспортный. перевозки грузов стоят миллиарды рублей, не говоря уже о том что там полюбому где то есть самописная древняя как *** мамонта система управления стрелками, и можно просто два состава воткнуть друг в друга.

          • vyo
            /#22538928 / +1

            самописная древняя как *** мамонта система управления стрелками

            Задача не из самых популярных, так-то говоря, чего бы системе и не быть заказной/самописной? Понятно, что она на деле дико корявая и далека от best practices, но самописность к этому же не обязательно приводит.

            • slepnoga
              /#22539030 / +2

              Вы эта, СУ СБЦ недооцениваете ))
              Там до сих пор релейная автоматика на стативах, 60 вольт от телефона и все прочие дела и технологии времен главного железнодорожника Лазаря Кагановича.

          • Myxer
            /#22543372

            Поправьте меня, если я неправ, но когда оно все ляжет, то это никак не отразится на карманах тех, кто этим управляет. Зато когда это все надо будет восстанавливать значительная часть средств осядет в их карманах.
            Так что получается они руководство напрямую финансово заинтересовано в наличии этих дыр и в действиях школьника.
            Потом конечно скажут что он смотрел "берлинского пациента" и вобще завербован ЦРУ.

      • zetroot
        /#22535826 / +1

        Fallback до жезловой сигнализации не позволит

        • KivApple
          /#22535864 / +1

          Так это надо успеть среагировать. Ясное дело, что уже через сутки, если не меньше, поезда хоть как-то, но ходить будут. Но что мешает пользуясь эффектом неожиданности столкнуть/свести с рельсов несколько наиболее интересных поездов (а ещё бонусом заблокировать несколько интересных путей, жезловая сигнализация покорёженный поезд с пути не уберёт)?

          • JerleShannara
            /#22536312 / +3

            Железо в СЦБ делалось в те времена, когда ПК был Паровым Котлом, а не компьютером. Оно тупо не даст так выставить стрелки, пока будет исправным.

            • El_Kraken_Feliz
              /#22536400

              Вообще есть возможность пустить поезда лоб в лоб, отключив СЦБ
              Так что глубоко в теории это не помеха

              • DMGarikk
                /#22536874

                этож каким образом то? руками переключая стрелки и заставив всех участников движения нарушить все существующие регламенты?

                • psydvl
                  /#22538162

                  Ну предположу что человек который переключает стрелки слепо верит тому что ему компухтер напишет
                  Так что да, чужими руками переключая стрелки в неподходящий момент

                  • DMGarikk
                    /#22538222 / +1

                    стрелки практически везде прелеключаются автоматически. чтобы вручную переключить автоматическую стрелку, надо кучу бумаг потом исписать и чутьли не лично нескольких вышестоящих начальников в известность ставить

                    а ручные стрелки переключаются стрелочником по указанию диспетчера (по рации, а не по буковкам в комьютере… стрелочники у нас еще не доросли до своего компьютера), а тот в свою очередь верит не компьютеру, а графику движения поездов, схеме станции (в своей голове в первую очередь) и фактическому расположению подвижного состава там (тоже по сочетанию графика, своей головы и самое главно — рации)

              • JerleShannara
                /#22539208

                Если отключить СЦБ, то поезд, условно говоря, перейдёт в «безопасный режим» с кучей ограничений, в том числе и по скорости и по действиям машиниста.

                • Sap_ru
                  /#22546062

                  Можно, например, перевести стрелку под составом. Или непосредственно перед составом — светофор-то переключится, но затормозить машинист всё равно не успеет.

            • DMGarikk
              /#22536866

              железо СЦБ сейчас уже апгрейдят

          • adictive_max
            /#22536380

            Прямо столкнуть или с рельсов свести — это сильно врядли. Там везде, где только возможно, защита от дурака зашита на аппаратном уровне, уж на таких критичных операциях — точно.

            • unC0Rr
              /#22536740

              Беглый поиск в гугле подсказывает, что перевод стрелок под поездом случается регулярно, а есть и вообще такое, меньше двух месяцев прошло:

              26 ноября лоб в лоб столкнулись два грузовых состава с углём. Удар был такой силы, что первый вагон «обнял» тепловоз. Интересно, что об этом ЧП не писали транспортные СМИ, хотя авария серьёзная. Гружёные вагоны раскидало на несколько десятков метров. Пострадали ли локомотивные бригады, неизвестно. Зато есть информация о виновнике происшествия. Оказалось, что столкновение произошло по вине пресловутого стрелочника. Дублёр дежурного по станции неверно перевёл стрелки, направив поезда навстречу друг другу.

              • Anrikigai
                /#22536842

                Вообще очень удивительны мне такие истории.
                Там же везде телематика стоит. Светофору никто красный не включает, он сам зажигается, когда поезд на конкретный участок пути въезжает.
                И выключается сам, когда поезд покаидает этот участок.

                Поэтому бывают переезды, которые подолгу стоят закрытыми в отсутствие поездов. Условно говоря, Состав заехал на перегон, и остановился. Может электричка, а может просто технические какие-то работы.

                И сами поезда не должны на следующий перегон выезжать, пока он не освободился…

                Со стрелкой надо, пожалуй, в рамках одного такого перегона столкнуть.
                Так что, возможно, случаи перевода стрелок гораздо более часто встречаются, чем мы об этом знаем. Просто при достаточном расстоянии предотвращаются автоматически (остановкой и потерей времени).

                • Norno
                  /#22537346

                  Вопрос же еще в расчетном пути торможения, одно дело когда надо «не догнать впереди идущий поезд» или «успеть остановиться до стоящего» и другое когда 2 поезда движутся навстречу друг другу, вполне вероятно, что как раз последняя ситуация и не решалась имеющейся системой. А у груженого товарного поезда инерция ого-го.

                  • Anrikigai
                    /#22537412

                    Да, согласен.
                    Поэтому и полагаю, что такие инциденты на самом деле не так и редки.
                    Просто мы знаем о тех, когда звезды сошлись ну совсем уж неудачно.

                    Примерно как на дорогах — даже суперводители совершают ошибки. Но большинство из них корректируется другими. А ДТП происходят, когда несколько факторов сошлись.

                  • Fragster
                    /#22537514

                    В реальной жизни там есть еще и желтый цвет, который сообщает о том, что дальше будет красный. Это при попутном движении. А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда. И это не один светофор, они установлены через каждые n метров (сколько этот n не знаю, но на прямой видно почти всегда несколько. Наверное есть какие-то нормы на это)

                    • DMGarikk
                      /#22537742

                      А про встречное направление — при въезде на участок все светофоры во встречном направлении становятся красными до разъезда.

                      там тоже по разному бывает, есть вариант когда они вообще не горят если направление 'встречное' и у машиниста есть инструкция что делать если светофор не горит и не закрыт скрещенными планками

                • Fragster
                  /#22537472

                  В open ttd это называлось path based signals, и служило для (имхо читерского) увеличения пропускной способности блоков со стрелками. Могу предположить, что на крупных станциях с большим количеством стрелок никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками. Как раз из-за не очень хорошего планирования (задержали отправку или кто-то приехал раньше) или перегруза станции. А «под поездом» переводят стрелки тупо потому что напутали. Ну или нет инфы, что он закончил движение по ней.

                  • DMGarikk
                    /#22537762

                    никто не ставит светофоры по три штуки у каждой стрелки, а вот это вот все разруливается более-менее руками

                    1) никто не ставит — да
                    2) разруливается всё автоматикой, 'враждебный маршрут' просто не соберется… на некоторых станциях пути не кодируются и светофоры на них не стоят маршрутные… максимум маневровые, ответственность за сборку маршрутов несет диспетчер вместе с автоматикой… машинисту стоит только доступные сигналы смотреть и то что стрелка правильно переведена
                    А «под поездом» переводят стрелки тупо потому что напутали.

                    не напутали, а чтото гдето глюкануло, реле залипло, не сработал концевик у стрелки… СЦБ очень сложная система и в ней как в любой сложной системе есть баги и всякие неявные глюки против которых есть костыльные обходы… и при нарушении регламентов (ремонта, обслуживания, сборки маршрутов) и происходят такие казусы

                  • SH42913
                    /#22537970

                    Ну вот, спасибо за напоминание, теперь опять пропаду в OTTD на несколько дней :D

                    • imm
                      /#22538082

                      Переходи на темную сторону Factorio, там тоже есть паровозики

                      • SH42913
                        /#22538440

                        В Factorio ты делаешь транспортную сеть для себя, а в OTTD для людей! Ну и автобусов в Factorio нету :D

                        • ardraeiss
                          /#22538634

                          Люди в OTTD лишь один из множества грузов.

                          • Fragster
                            /#22547202

                            От организации транспортной сети зависит рост городов

                • Sap_ru
                  /#22546066

                  Светофоры действительно работают независимо и переключатся, но стрелку деспетчер-то может в любой момент перевести. Принудительно сбросить маршрут по ключу и перевести. Учитывая, что ДЦ уже давно электронное и сделано на говне — кривые программы на каком-нибудь QNX — то всё это более чем возможно.

                  • Vrocheck
                    /#22546476

                    Диспетчер не может сбросить занятый маршрут, не может произвольно перевести любую стрелку. Автоматика в СЦБ надежнее людей, которые с ней работают.

                    Для таких «инцидентов» должно совпасть несколько факторов: неисправность + ошибка работника, или одновременная ошибка нескольких человек. При количестве инструкций на жд, ошибка человека — всегда нарушение чего-то должностного. Т.е. всегда есть крайние и не «назначенные», а действительно виноватые.

                    Поэтому работа в «поле» — сложна, ответственна и не благодарна.

                    А вот IT туда пришло сильно позже и не пропитано спецификой.

            • EvilBeaver
              /#22537610

              уж на таких критичных операциях — точно

              А точно?

    • modestguy
      /#22534606

      Для того, чтобы начать что-то делать — нужно освоить бюджет )))

    • questor
      /#22535136 / +1

      Если им вырубят камеры — они просто посадят того, кто это сделал и попросят много мильёнов из бюджета. А если вырубят из третьей страны — обвинят каких-нибудь американских хакеров, удобно же.


      Так что скептически оцениваю возможность изменить к лучшему таким способом, слишком там сильно забюрократизированная структура.

      • Leonid_E
        /#22536188

        Так и вырубить через омериканский прокси или впн :)

      • TimsTims
        /#22538268

        обвинят каких-нибудь американских хакеров
        Причем не будут говорить, что у них всё было дырявое. Скажут, что это были либо шпионы, либо из-за оборудования с бэкдорами…

    • Viceroyalty
      /#22536742

      Они наживутся на закупке новых и скажут «ломайте есчо»
      (сарказм)

  6. imbasoft
    /#22534456 / +8

    По логике вещей РДЖ — это критическая информационная инфраструктура (КИИ, 187-ФЗ) и по данному случаю должны возбудится ФСТЭК, ФСБ как церберы данного вопроса.

    Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.

    Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.

    Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.

    • LMonoceros
      /#22534496 / +10

      Честно говоря, я много об этом думал.
      С одной стороны весов — попасть под статью, а на второй — национальная безопасность всей страны.
      Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы… Я дурак?

      • KorP
        /#22534512

        А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…

        • dakuan
          /#22534544 / +6

          Тут палка о двух концах. Если обратиться напрямую в РЖД или компетентные органы, то статья может точно так же светить (прецеденты были, к сожалению) и в этом случае публичная огласка и поддержка общественности может помочь автору.

          • KorP
            /#22534554

            Этичный хакинг, если это не касается вашей собственной железки/системы, это изначально палка о двух концах.

      • TheKnight
        /#22534542 / +2

        Что ж, остается пожелать вам удачи. Будем надеяться, что разум победит и все с вами будет в порядке.

      • Viktor_T2
        /#22534566 / -10

        Да, дурак, извини. Ты поимеешь проблем.

        • MartiniStar
          /#22534686 / +1

          Романтик. Да. Но уж точно, не дурак.

          • Miharus
            /#22535976 / +1

            Есть такой русский фильм, он так и называет «Дурак», там ситуация описана 1 в 1.

            • Barma2012
              /#22537108

              Совершенно верно!
              Отличный фильм, кстати — всех россиян приглашаю к просмотру ))) Будет актуально.

              • sim2q
                /#22537444

                тяжёлый фильм, лучше Аритмию глянуть

            • AllexIn
              /#22546270

              Никакого описания 1 в 1 нету.
              В фильме ГГ полный идиот, который вместо того, чтобы донести информацию начинает тупо истерить и выгонять людей на улицу.
              Это как если бы автор статьи пришел на вокзал и начал орать, что все должны уйти, потому что сеть РЖД в любой момент может нагнуться. Согласитесь, совершенно идиотское поведение.
              Так что, повторюсь, название фильма соответствует уровню интеллекта ГГ и не имеет отношения к автору этой статьи.

          • N1ght1ngale
            /#22537032 / +1

            Такие статьи, как мне кажется, лучше постить либо находясь не в России, либо с использованием всех возможных средств обеспечения анонимности.

      • Darth_Anjan
        /#22534568 / +5

        С одной стороны вы правы, и многие, я думаю, вас поддержат. А с другой стороны, мы же в России живём… Смотрели фильм «Дурак» (2014)?

        • nerudo
          /#22534836

          Я даже к нему финальную сцену придумал: рассматривает кто-то его бумажки с вычислениями, всматривается и говорит: «Так он же десятичную точку не туда поставил. Во дурак!!!»

        • rexen
          /#22534840 / +2

          Россия тут не уникальна. Достаточно вспомнить историю с Боингами 737 Max. Даже параллели со статьёй есть — например, Боинг «сам себя сертифицировал» — так же, как и «РЖД сам себя аудировал».

        • MartiniStar
          /#22534880

          Россия начинается с себя.
          Это не фильм. Это человеческие жизни.


          Вы знаете что он там нашёл?
          Если согласились что не дурак, то понимаете что козырь в рукаве припрятал.


          Вот лично яб, не поехала сейчас даже на электричке.
          Дети ломанулись проверять, что там интересного есть.


          Неее, не смотрела. ))) Мне уже по названию, не очень нравится. ))))

          • syrslava
            /#22535014

            У «Идиота» Достоевского тоже сомнительное название. Однако)

            • MartiniStar
              /#22535032

              Дурак не интересен, а идиот всегда.
              Как правило, яркая личность с богатым внутренним миром )))))

        • wigneddoom
          /#22536092

          Я смотрел, фильм хорош, правильный посыл, интересная история. Но, что касается действий и поведения власть имущих, то какая-то клюква. Складывается ощущение, что сценаристы насмотрелись американских фильмов и натягивают их реальность, где действительна сильна местная власть в штатах, полиция подчиняется мэрии и т.д., на российские реалии.

      • MartiniStar
        /#22534672

        Мой комент не информативен.)


        Оооо вы такой милый в этом ответе. (Смайлик с глазками из сердечек) )))


        Вот настоящий рыцарь нашего времени, защищающий свою страну и обычных граждан.
        (Смайлик с глазками из сердечек) )))


        Власть будет иметь претензии, подумаем, поможем. Напишите на habr ;)

      • yewuv
        /#22534806

        Я хорошо подумал и решил, что безопасность граждан мой страны превыше даже моей свободы…

        К сожалению, тут уже вопрос не в том, накажут (не дай бог) вас или нет. А в том, заделают ли все дыры или ограничатся парой-тройкой указанных. И, к сожалению, при таком подходе к работе вполне вероятен второй вариант, то есть фактически безопасность никак не изменится.

        • outlingo
          /#22535878

          Там все средства распилены и занесены куда надо кому над ов нужных пропорциях, поэтому на выполнение работ денег нет. Поинтересуйтесь сколько там получает какой-нибудь «ведущий специалист» и потом попробуйте представить, пойдет ли на такую оплату спец достаточно высокой квалификации?

          • ascheck
            /#22537030

            Ой, вот в средствах они не особо ограничены. Когда РЖД надо, оно берёт из бюджета сколько надо. На что оно тратит — другой вопрос, но вопрос исключительно их желания, а не возможности.

            • reci
              /#22541864

              Предыдущий комментарий об этом и был)

      • Fragster
        /#22534964

        Вероятность того, что после этой статьи какой-то скрипт-кидди с нестабильной психикой это сделает сильно возрасла. Сецурити бай обсцурити, все дела. А Джо реально не Неуловимый в данном случае. Интересно только одно — автор действительно нарвался случайно, или все-таки был интерес?

        • Viceroyalty
          /#22536772 / +1

          У скрипт-кидди обычно нет цели сломать все на корню

          • ascheck
            /#22537036

            да, но есть минимум 2 случая в истории когда это делалось скрипт-кидди случайно.

      • questor
        /#22535154

        Прямо говоря: да, вы дурак, могли бы сидеть и промочать в тряпочку. Когда за вами придут — опубликуйте кошелёк, куда можно перевести добровольные пожертвования на хорошего адвоката, попробуем отбить, как Голунова в своё время не дали посадить.

      • Vort123
        /#22535336 / +7

        Всего лишь надо было пожертвовать пиаром и опубликовать статью с одноразового аккаунта. Скрывая свой IP как во время исследования сети, так и во время публикации статьи. Если там такие специалисты, то цепочку прокси им не раскрутить, даже с помощью Яровой.

      • jawakharlal
        /#22535370 / +2

        как мне кажется -вам сейчас надо срочно валить за пределы страны, хотя бы на месяц.

        • questor
          /#22535430 / +1

          Я надеюсь, что УЖЕ. ДО публикации статьи.

        • lazer1064
          /#22537568 / -1

          А мне кажется, что для «фигуранта», ну который «берлинский поциэнт», и его коллег из беллингката есть новая тема для феерического расследования.

        • playnet
          /#22538260 / +1

          Месяц? Лет 5 минимум. Подруге жены так пришлось в турции остаться, уже третий год как. Липовое обвинение на родителей выдвинули, но и их арестуют если получится (я так понимаю, в розыск только внутри страны подали). Родителей до сих пор «судят».

        • MasMaX
          /#22541336 / +2

          Главное не на поезде

      • PsyHaSTe
        /#22535382 / +1

        Удачи вам. Не пропадайте из информационного поля, пишите что как

      • O5e2e2
        /#22535752

        Думаю найденные вами уязвимости наверняка мониторятся спецслужбами наших западных партнеров. И не только в РЖД.

        • O5e2e2
          /#22542456 / -2

          Ух ты!!! И в карман ему и наверх ему… :)
          Представители спецслужб наших западных партнеров всегда на посту!

      • tehdima
        /#22535776

        Не дурак, но вызываешь сочувствие в хорошем смысле
        Прекрасно понимаю эту боль и тягу к жертвенной справедливости, и, честно говоря, жертва абсолютно равноценная. Была бы если бы это на самом деле решило проблему.
        Скорее всего, если это все до них дойдет, они спустят на тебя собак что бы замять эту тему под темой «УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ», потому что их основная задача не сделать хорошую систему, а прикрыть свои задницы.
        И вот от этого еще грустнее, потому что поезда нужны не потому что они удобны и быстры, а потому что это критически важная инфраструктура в случае черезвычайных ситуаций и военных действий, и если эти ситуации возникнут по вине злоумышленников то им ничего не стоит и лишить нас этой инфраструктуры. Но это функционеры не видят за тенью своих годовых премий.

        Я правда надеюсь с автором все будет хорошо, помню его еще по старым статьям про прошивки роутеров. Если мне не изменяет память то на хабре был прецедент преследования после какого-то пинтеста метрополитена.

        • Areso
          /#22536002

          УЖАСНЫХ ХАКЕРОВ С ИНТЕРНЕТОВ

          До боли напомнило, когда нашли открытый ftp сервер МВД (?) Украины… и опубликовали это на Хабре.
          ужасные, коварные, русские хакеры из интернетов, агась
          А Хабр обозвали хакерским не то форумом, не то сайтом.
          Буде посмотреть на развитие событий, как говорится.

          • Zolg
            /#22537376

            Это интернационально: ведь и в solarwinds123 оказывается JetBrains виноват

      • Louie
        /#22536088 / +1

        Пока никакого попадания под статью нету. Все, что опубликовано здесь — не может быть однозначно идентифицировано. Преступного умысла нет. Доказать, что именно вы получили доступ куда-то весьма сложно. Но это пока.

        Рекомендую проконсультироваться с адвокатом на предмет дальнейших действий, т.к. при контакте с РЖД или правоохранителями придется обьяснять как и чего было. А в этом случае могут быть классические истории по Достоевскому, типа «Вы и убили-с».

        • Materializator
          /#22537912

          Экспертизу зачастую делают специализированные люди из специализированных номерных институтов. Так что уже можно собирать деньги на адвоката и экспертизы защитников.

      • Max-812
        /#22536102

        Нет. Вы честный и немного наивный человек. В современной России это уже почти исчезающий вид. :( Искренне желаю Вам удачи!

      • gxcreator
        /#22536508

        Ну, типа.
        Надо было публиковать с фейка через тор.

      • dAllonE
        /#22536688

        Я дурак?

        Вам виднее. ?\_(?)_/?
        Надеюсь перед публикацией вы оценили юридические риски, посмотрели на всякий случай видео о жизни в тюрьме и точно понимаете чем рискуете.

        Лично мне, оценка «безопасности граждан моей страны» выше своей свободы не очень понятна. Вроде бы у IT специалистов нет особых проблем с переездом, можно просто выбрать страну с более защищенными гражданами, если очень беспокоит этот вопрос.

      • Viceroyalty
        /#22536754

        Нет, подозреваю, что Вы либо патриот, либо отчаянный человек, либо отчаянный патриот. Но все же лучше не рисковать.

      • SerJ_82
        /#22536860

        Товарищ, у вас случайно нет канала на Ютубе? =)) Рассказ был крайне интересен, и может есть такие же обучающие видео?))

      • sim2q
        /#22537430 / +1

        Я дурак?
        Если честно? — необдуманно, если со своего акка…
        upd: глянул — профайл обжитый, эх… Удачи Вам!
        up2: и нам — в не меньшей степени как юзерам всего вот этого

      • hamMElion
        /#22538214

        Вы не дурак — вы журналист. Задача журналиста находить, проверять и распространять информацию. Вы это сделали, причем отлично и профессионально. К сожалению, в России журналистов преследуют. Как можно скорее свяжитесь с профессиональным журналистским сообществом — вас защитят, им не привыкать. Профессиональное айти сообщество пока так, к сожалению, не умеет.
        Второй момент — наведенная вами прозрачность на качество работы ответственных за это людей позволяет привлечь их к ответственности. И это им нужно реально бояться, а не вам. Вы просто сказали — а король-то голый. Очень-очень круто!

      • strcpy
        /#22539128 / +2

        Поступок идеалистический, вы видимо исходите из того, что вас окружают граждане. Но это не совсем так, это население, которое одобрило поправки в конституцию, которые в целом обеспечивают безнаказаность и стабильность феодальной системы.

    • dvserg
      /#22534518 / +2

      Да по сути здесь бы РКНу или какому-нибудь надзорному отделу МО за задницу хорошо взять разгильдяев от бизнеса. Любая критически важная для выживания страны в не мирное время структура должна быть защищена. Но «мы» можем только телеграмм пытаться блокировать.

      • BioHazzardt
        /#22536412 / +4

        Но «мы» можем только телеграмм пытаться блокировать.

        ИЧСХ даже этого сделать не смогли

    • ximaera
      /#22535714

      Регулирование КИИ включает в себя также понятие преступной халатности, так что РЖДшникам также должно прийтись несладко.

      • vanxant
        /#22535778

        халатность наступает, только если есть ущерб (в прямых деньгах или здоровью-жизни).

    • sinneren
      /#22535858

      О, ведь это получается дешёвая, почти бесплатная защита. Зачем нужно тратиться на проектирование, интеграцию, поддержку такой системы, когда можно прикрыться такими влиятельными органами. Ведь если «дурак» влезет и что-то сделает, на него спустят всех собак, при том не своих, затраты — 0 (почти, издержки из той статьи расходов на камеры там, куда меньше, чем платить спецам хорошим. А ведь можно будет и попилить закупки в итоге, еще в наваре).

      • Areso
        /#22536014 / +1

        Не до всех дураков «влиятельные органы» могут физически дотянуться.
        Пока Интернет окончательно не разрезали на лоскутное одеяло в пределах стран, всегда есть шанс, что там поиграется кто-то из нерезидентов.

        • sinneren
          /#22536100

          согласен. куда не дотянутся — там вон про издержки как я писал. А терр угроза как по мне за уши притянутое уж.

    • alexhott
      /#22536308

      Вот если автора начнут докучать, то в отместку от может написать всем этим органам и они будут вынуждены проверку провести, а без заявления не шевельнется никто, по бумажкам все чиннно.

    • svs422
      /#22536542

      Не только статья 272, но и 274.1. Можно посмотреть на этот счет накопленную судебную практику, интересные прецеденты уже были. Вот пример из блога моего коллеги, Валерия Комарова:
      valerykomarov.blogspot.com/2020/11/2741.html
      Если коротко — сотрудник сдавал экзамен для допуска к выезду и решил воспользоваться программой для обхода системы тестирования. Использование такой программы приравняли к «использованию компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации».

      Так что, к сожалению, закон в этом случае может сработать, если применить аналогичную аргументацию. Но надеюсь, что предупрежден — значит вооружен, и автора это не коснется.

  7. dakuan
    /#22534484 / +3

    Пугающая новость. При таком подходе к безопасности в этой сети запросто могут отыскаться не только незащищенные камеры, но и системы посерьезнее, с помощью которых злоумышленники могут натворить дел.

    • questor
      /#22535194

      Конечно найдутся. Вот например, под новый год опубликовали новость, что два года официальные лица в МВД пользовались чатиком в ватсапе, где публиковались передвижения первых лиц в государстве. Двести человек знало, Карл! Ни один не догадался, что это прямой слив информации! И это может быть завтра объявят фейком, но видя такие дыры, как в статье, очень сложно не поверить, что у нас в безопасности всё хорошо.

      • androidt1c
        /#22535946 / +1

        Вот совершенно наплевать, если утекут данные о передвижениях чиновников. А РЖД — это серьезно. А что у нас? Наказали кого-то из РЖД после предыдущей публикации. Скорее — наградили. А за чатик в ватцапе — сразу главу ГИБДД сняли. Наглядно — приоритеты властей!

      • Daimos
        /#22536838

        Видел комментарии, что туда дезу сливали, но в такое слабо верится.

  8. KorP
    /#22534504 / +2

    Главное, что бы очередным «натуралистом» не объявили и товарищи в погонах не пришли.

  9. AndreyDmitriev
    /#22534514 / +1

    Если там scada наружу торчат, то может там, внезапно и стрелки можно переводить?
    Я много где на заводах работал, но такое впервые вижу. Обычно сеть проектируется разумно изолированной, а выходы в инет для сервисных целей защищаются несколькими замками.

    • questor
      /#22535226 / +4

      А ещё лучше: физически чтобы не было входа в изолированную сеть. Бывало, по два компа ставили на рабочее место: один в заводскую офисную сеть имеет доступ, другой — в АСУТПшную.

      • el777
        /#22536226

        Для защищенных сетей с уровня ДСП и выше только так.
        Я когда услышал про это лет 20 назад смеялся — типа, вот чуваки даже про фаерволы не в курсе. Но на самом деле только так и можно. Кто знает какие есть дыры в самом фаерволе, его прошивке и т.п.? А они точно есть и только ждут своего часа.
        Подтверждение — диверсии спецслужб против Иранской ядерной программы. Началось безобидно с возможности вставить флешку в USB, закончилось физическим распидорашиванием кучи ценнейшего оборудования, потерей наработанных веществ и нереальным убытком.

  10. onix74
    /#22534526 / +1

    Инфраструктура РЖД, насколько я понимаю, относится к стратегически важным объектам. Должно быть всё выверено, проверено и перепроверено, всё по протоколам и «чек-листам». Неужели везде у них норм, а в сети такой бардак. Судя по этой статье и по статье, на которую ссылается данная, сеть строил «сын маминой подруги». Не укладывается у меня в голове, что может быть такой бардак. И верю не до конца, хотя и понимаю, что много специалистов, которые только лишь сертификатные специалисты.

    • ert112
      /#22534562 / +1

      Хотели бы сделать РЖД безопасной — сделали бы. Кхе-кхе (с)

    • alamer
      /#22534764

      «Сын маминой подруги» зачастую сидит на аутсорсе.
      Когда РЖД внедряли портал, с которого утекли персональные данные, мы с коллегами докладывали начальству о том, что персональные данные всех сотрудников после авторизации фактически в открытом доступе. Но никто не воспринял разработчиков из региона всерьез и отмахнулся.
      При этом нашим системам регулярно устраивали аудит.

    • belyvoron
      /#22535866 / +1

      понимаете, в чём дело. У нас в стране есть ИБ «чтобы соответствовать по бумажкам» и ИБ для реальной защиты. И вот совершенно разные. Вплоть до того, что файрвол, который имеет сертификат ФСТЭК, не защищает ни от чего. По одной простой причине, чтобы получить сертификат ФСТЭК, вендор выпилил всё что не прописано в нормативных требованиях, то есть по факту 90% того, что имеет отношение к реальной защите в современных реалиях.
      Поэтому потребитель строить сеть либо чтобы соответствовало, либо чтобы была хоть какая-то защита, либо и то и то, но в 2 раза дороже. Если ты КИИ, то не соответствовать ты не можешь.

      • force
        /#22542174

        Да-да. Давайте шифровать взаимодействие. Но для этого же нужно пароли/сертификаты/ключи где-то хранить, а это мы сразу попадаем на разборки с безопасниками. Ок. тогда не будем шифровать, нет паролей — нет проблем.

  11. coolmiha
    /#22534540 / +1

    Вы нашли открытый прокси или vpn? Как вы через прокси (http? socks?) попали во внутреннюю сеть?

    • LMonoceros
      /#22534556 / +1

      Я и то и другое нашёл. И не в одном экземпляре.

      • denisshabr
        /#22535252 / +1

        всё равно непонятно. VPN же требует пароль? Он был сохранён в микротике, в котором была открыта прокси без пароля?

        • Pavel_The_Best
          /#22536526 / +2

          Человек и так уже на статью наговорил наверняка. Вы хотите, чтобы он в открытый доступ выложил инструкции, как он эту информацию нашел? Чтобы пара школьников-хацкеров парализовала ЖД-перевозки в РФ, по сути уничтожив все надежды на нормальную жизнь?
          Автор статьи довольно хорошо сохранил баланс между «я взломал РЖД, но я вам об этом ничего не скажу» и «запускайте вот этот скрипт и 600 людей умрут от столкновения двух поездов».

    • blind_oracle
      /#22535328 / +1

      Прокси без разницы куда делать коннект — внутрь или наружу. Если оно не настроено правильно, конечно.

  12. saintbyte
    /#22534550 / +1

    Прям фильм про хакеров из 90х.
    Хотя я подозреваю это проблемы роста — я каждый день удивляюсь как навнедряли технологий в РЖД — прям светлое киберпанк будущие. А по сути со всеми этими технологии — люди которые вот отличие от меня испытавают не радость, а раздражение «этими инновациями»

    • mentatxx
      /#22534918 / +1

      Зарплаты небольшие, мониторинга очевидно нет, результат понятен

      • u440
        /#22535254 / -1

        На счёт зарплат в РЖД — информация несколько не корректная.
        Они там выше медианы рынка, причём прилично.

        • alamer
          /#22535466 / +1

          Откуда информация? Сам отработал там в IT. И знаю ребят в IT в москве. Найти оффер на x2 от той зарплаты, что платили там, было очень просто. Буквально неделю заняло

          • u440
            /#22537460

            Когда подбирал себе людей (банковский сектор, ИТ) несколько раз РЖД перебегал дорогу зарплатами. Что было несколько удивительно, так как слухи про них как раз были, что там всё ИТ в нищете.

            • DMGarikk
              /#22539002

              вы когда так говорите, приводите в пример вилку
              ну там например 150-250/250-300 миддл/сеньор

              а то может вы себе людей подбирали на 50-100к и вам РЖД дорогу перебегал (вообще мне сложно представить вменяемого ИТшника который туда пойдёт хотябы просто с резюме… туда ходят обычно потомственные железнодорожники… но там своя секта такая внутренняя)

              • u440
                /#22539072

                Банковское ИТ.
                2016 год.
                Jun back — от 80 килорублей.
                Senior back — 180 — 250 килоруб.

                Собственно говоря уже отсылка к банковскому сектору осведомлённому человеку должна была всё сказать.

                • DMGarikk
                  /#22542010 / +1

                  Собственно говоря уже отсылка к банковскому сектору осведомлённому человеку должна была всё сказать.

                  Банковский сектор — это не только сбер. я вот к чему. далеко не все банки и связанные с финсектором организации платят по рынку

        • outlingo
          /#22535928 / +1

          Угу. Начальник отдела 300, 4 подчиненых по 50, в среднем 100. Знаем, да

        • gecube
          /#22536146

          когда звали в Сочи — там лаборатория у РЖД — зарплаты были сильно ниже рынка… Но это возможно я испорчен столичными ожиданиями (Северная Столица и Москва)

          • playnet
            /#22538564

            Везде по стране будет ниже москвы, это да. А вот питер уже может быть не сильно выше средних.
            Для опытного девопса 200к в мск это маловато, для питера уже норм и думаю выше среднего. А в регионах да, там и 80 может быть круто.

        • mentatxx
          /#22538922

          Это не сложно проверить (вдруг за 10 лет многое поменялось)
          Например, программист в Москве — от 60К, в Нижнем Новгороде — от 40К
          team.rzd.ru/career/list/job/programmist

          image

          • u440
            /#22539006

            Москва. 2020 год. Крупный вендор.
            Программист бэк-энд junior (в терминах РЖД — «программист») — от 40 килорублей.

            • /#22539086

              Ну, если у РЖД "программисты" это сплошь джуны, то я, честно говоря, не удивлен описанному в статье.


              Ну и с вашим "крупным вендором" явно что-то не так, в СПб (зарплаты которого от Москвы обычно отстают) 40к — это уровень скорее даже интерна/трейни, а не Джуна.

              • DmitryLTL
                /#22539124

                А куда вы думаете устраиваются толпы проходимцов курсов? Им же где-то надо начинать. На всех смузи не хватает.

  13. nnick44
    /#22534558 / +1

    Да, безалаберность полнейшая и какое то ощущение что это не только в РЖД

  14. t911
    /#22534560 / -6

    «И чё!?» (с)
    Логика топа скорее такая — то, что система не окружена рвом с крокодилами и не обнесена колючкой под напряжением, не означает, что можно легко залезть и открыть замок простой отмычкой.
    Те кому надо инфой свободно пользуются, молча…
    Кто навредит — легко найдут и покарают.
    Имхо проще и дешевле ловить и наказывать, чем строить крепостные стены вокруг сарая.

    • Yuriy_krd
      /#22534590 / +4

      Кто навредит — легко найдут и покарают.

      С таким бардаком, который описан в статье, думаете, это возможно?

      • t911
        /#22534760

        Это не бардак, а контролируемый хаос)))

        • questor
          /#22535236 / +3

          Слово "контролируемый" выглядит лишним в этом предложении.

    • Strohmann
      /#22534656

      Интересно, ты даже специально зарегистрировался, чтобы высказаться ;) Или уже поступил госзаказ на формирование восприятия статьи и приступили к выполнению?

      • t911
        /#22534690

        Ну да, решил выступить адвокатом дьявола.
        И при чем тут госзаказ!? Я привел лишь одну из причин, почему в ржд все так сложилось. Не нужно параноить.

      • SignFinder
        /#22534778

        «Не подкармливать троллей». Отсутствие реакции на подобные посты ИМХО — лучшая реакция.
        Хотя на хабре это не пройдет-публика тут не проглотит «Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет.»

      • u440
        /#22539032 / +1

        Банан — иногда это просто банан. Не стоит придумывать (или проецировать тайные страсти) лишнего. Хабр славится своей «оппозиционной» картиной мира, но кроме борцов за независимость от разума и штатных пропагандистов на окладе существуют просто разумные и думающие люди. Которые просто высказывают своё личное мнение.
        Которое почти всегда не совпадает с мнением борцов за всё хорошее и против всего плохого.

        • /#22539114 / +2

          Нюанс как раз не в несовпадении мнений (среди борцов за все хорошее разногласий тоже полно), а в том, что зачастую ваши "разумные и думающие" люди грубо пытаются изнасиловать элементарную логику и отчаянно натянуть сову на глобус, не говоря уж вотэбаутизме и прочих грязных приемах. Что и вызывает у местных обитателей диссонанс и обоснованные подозрения.


          Да и в целом, как уже не раз было сказано раньше,

          Скрытый текст
          На техническом ресурсе, стоит на нем появиться интересной статье или новости хоть немного затрагивающей остросоциальные темы, сразу же в комментарии набегают полчища только что зареганных пользователей (у большинства из которых ни одного осмысленного коммента на технические темы) и активно начинают набрасывать на вентилятор и ретранслировать повестку 1-го телеканала, периодически переходя на оскорбления и откровенные фейки.
          Да уж, чего это я, наверное это действительно просто неравнодушные граждане, молчав столько лет, решили наконец-то поучаствовать в почему-то именно в политической дискуссии и специально для этого зарегались на Хабре...

          • vanxant
            /#22539138

            Это в обе стороны работает. 86% берут массой, 4% за (N, M, ...) — организованностью и партийной дисциплиной.
            No offence, просто наблюдение.

            • Viceroyalty
              /#22539834

              А что делают остальные 10%?

              • vladkorotnev
                /#22540410

                Жрут попкорн и молча наблюдают за побоищем :-)

    • DGG
      /#22534674

      Логика примерно такая, что если инкассаторов всё-равно грабят и любой инкассаторский автомобиль всё-равано можно раздавить танком, это не повод возить деньги в такси в картонной коробке

      • t911
        /#22534714

        Банк и привокзальный ларек все же разные по значимости и охране вещи.
        Действует принцип целесообразности.

        • DGG
          /#22534896 / +1

          А аффтор как бы далеко не в системы управления ларьком влез

        • andreyverbin
          /#22535144

          Там scada системы торчат, теоретически поезд под откос можно пустить.

          • /#22536604

            Найденные дыры очень знатные, нисколько это не хочу преуменьшать.
            Но очень надеюсь, что «поезд под откос» таким образом пустить невозможно.

            Даже если пустить два поезда на встречу на одном пути — есть же механизмы принудительного торможения, если такое произошло, если я ничего не путаю.
            Которые реализованы уже на базе семафорной сети на основе просто того что колесной парой замыкается контакт между рельсами.

            То есть несмотря на всю серьезность найденных уязвимостей (оставить РЖД без камер видеонаблюдения – это действительно очень стремно) – кажется что настолько жесткий прямой ущерб все-таки невозможен.

            Возможно я ошибаюсь, все-таки это совсем не моя сфера интересов и знаю я её в основном по статьям на хабре же :)

            • Norno
              /#22537512

              Выше приводили ссылку как из-за ошибки (буквально) стрелочника, столкнулись 2 поезд, так что, видимо, имеющиеся защиты отрабатывают не все возможные ситуации.

          • slavai
            /#22537620

            Нет. Системы СЦБ не дадут. Для опасных действий потребуется физическое участие ДСП либо старшего механика СЦБ.


            Однако ж нарушить график движения поездов — легко.

    • unC0Rr
      /#22534886 / +1

      Ага, например, реализуется приведённый в статье сценарий, и вся РЖД остаётся без камер на месяц. Ладно, нашли-покарали, а ничего, что вся РЖД без камер осталась на месяц, не смущает? А если это будут иностранные диверсанты, и покарать не получается, так и сидеть без камер РЖД?

      • t911
        /#22535694 / -1

        А если марсиане или метеорит!???
        А может это вовсе и не баг, а фича?))) А может даже перепись натуралистов…
        Госструктура она как женщина — глупо искать в ее поступках и решениях прямую логику.

        ПС. ох и заминусили ли то)))

        • ximaera
          /#22535738

          О, ну самое правильное было ещё и сексизмом сейчас полирнуть, да.

          • t911
            /#22535792 / -8

            Тебя это задело? Странно, в профиле вроде мужской пол указан.
            Вообще то была метафора.

    • KivApple
      /#22535126

      Автор указал вариант как можно простыми (справится школьник с гуглом) действиями нанести ущерб на миллиарды рублей и значительно ослабить безопасность (лишить видеонаблюдения) всех объектов РЖД на месяцок. Ну, допустим, даже поймаете вы хакера (только если он из дружественной страны) и дальше что? Миллиард он вам не вернёт, хоть вы его четвертуйте. Если из-за ослабления безопасности случится теракт, жертвы не воскреснут от посадки виновного на двадцаточку.

      Вы можете привести пример из «офлайна», где настолько значительный ущерб может нанести за несколько часов человек с улицы?

      • u440
        /#22535296

        Вы можете привести пример из «офлайна», где настолько значительный ущерб может нанести за несколько часов человек с улицы без каких-то изначальных доступов?


        Водозабор для мегаполиса?

        • KivApple
          /#22535426

          Вы про вариант отравления воды?
          1. Нужен доступ к боевым отравляющим веществам в нужных количествах
          2. Нужен физический доступ (из другой страны не провернуть, высоки шансы поимки на месте в процессе)
          3. Пострадает много гражданских, но не военных и первых лиц государства (т. е. стратегическая безопасность страны вне угрозы)

          • Viceroyalty
            /#22536830

            4. Нужно не быть замеченным иначе люди просто останутся без воды, не более

          • u440
            /#22537398 / +1

            Про него.

            1. Для злодеев, особенно с господпиткой от партнёров — вполне проходной вариант.
            2. У нас нет железного занавеса. Да и местных исполнителей можно нанять.
            3. Вполне объективная цель для террористов.
            4. Без воды мегаполис на 11 млн. человек это техногенная катастрофа приличного масштаба, не так ли?

            Понятно что там сложностей ну очень много, и служба «Водоканала» по плотным патронажем ФСБ и наверное ещё кого. Но чисто теоретически — вполне возможный вариант.

            • unsignedchar
              /#22537466

              Вполне объективная цель для террористов.


              Террорист — не человек с улицы.

              • u440
                /#22537640

                Школяры тоже бывают весьма изобретательными. Вспомним хотя бы юношу, построившего дома рентгеновский аппарат и делавшего снимки руки. Подкладывая фотопластину на стену с соседями.

        • Areso
          /#22535444 / +1

          Стоит на сигнализации.
          Охраняется вооруженными людьми.
          Собственно здание водозабора стоит еще на одной сигнализации.
          Видеонаблюдение.
          На всех емкостях стоят пломбы.
          Почти все системы контролируются — вплоть до того, что открытие ёмкости вызывает состояние тревоги в scada системе.
          Перепады давления (как следствие предыдущего пункта) — аналогично.
          Не забывайте, что они там имеют дело с ядовитыми химикатами (хлоркой), а также имеют в части локаций прекурсоры (что тоже добавляет пару-тройку слоев «защиты»).
          Имеют изолированную не-интернет сеть (радиорелейка + проводная сеть на каких-то лохматых стандартах).
          Вроде ничего не забыл.
          p.s.: бывший сотрудник водоканала.

          • kvazimoda24
            /#22535748

            Главное, чтобы это всё не было настроено так же, как на РЖД.

            • Areso
              /#22535920 / +1

              1. Старые системы не являются надежными с точки зрения взлома, имхо. Единственная их защита — их физическая обособленность и стандарты, в которые молодежь просто не умеет, но если есть доступ, то набедокурить можно.
              К примеру, водоканальские сети передачи данных обслуживаются поколением 55-65 лет.
              2. Новые системы системы, которые строятся на современных стандартах, настроены примерно также как на РЖД, да.
              Более того, в рамках разных инфраструктурных вливаний и всеобщей цифровизации происходит планомерное замещение старых систем новыми, и вот по поводу новых у меня тоже были определенные опасения.
              Честно, пароли не проверял, надеюсь, что не по умолчанию :)

              Сам работал с ERP системой и с биллингом; компьютерные системы, скады, аналоговые сети были в соседних отделах.

              И да, зарплата курам на смех (как из анекдотов про «почему инженерам так мало платят?»), поэтому средний уровень специалистов и их мотивации тоже не фонтан.

              • u440
                /#22537418

                Аналогичная ситуация и в энергетике — переход на новые стандарты при сохранении старых подходов и оценки опасности на уровне «к нам влезет краб Моссада».

          • playnet
            /#22538602

            Мы часто купались в водоёмах «не купаться, охранная зона водоканала», никаких заборов и охраны. Хотя сам водозабор где-то далеко был.

        • unsignedchar
          /#22535730

          Мимо. Ничего из того, что может закинуть туда человек с улицы, сквозь фильтры не пройдет. А что пройдет — будет в гомеопатических концентрациях.

          • Areso
            /#22535968

            Можно «закидывать» то, что уже есть на станции. И это, имхо, более страшный вариант.
            К примеру, из недавних факапов, ставших публичным:
            realt.onliner.by/2020/06/24/chto-sluchilos-s-vodoj

            • unsignedchar
              /#22535996

              Можно «закидывать» то, что уже есть на станции.


              Человек с улицы это не сделает.

              • Areso
                /#22536062

                Человек с улицы это не сделает.

                Человек с доступом до Скада системы сможет отравить половину города.
                И да, если раньше для этого нужно было иметь человека среди персонала, то теперь, в век всеобщего интернета вещей (IoT, где s значит безопасность), уже необязательно.
                Достаточно вывести Скаду в общую сеть предприятия и иметь контур управления, доступный по локальной сети…

                • unsignedchar
                  /#22536268

                  Человек с доступом до Скада системы сможет отравить половину города.


                  Это не совсем человек с улицы. И что он на самом деле может сделать? Отключить обеззараживание? Это быстро заметят, и воду набирают не из болота… Вряд ли. Отключить обеззараживание и добавить в воду ботулотоксина какого-нибудь? Это совсем не человек с улицы.
                  Налить очень много хлора? Заметят сразу.
                  Выпустить весь хлор в воздух? Не думаю, что тесть такая кнопка.
                  Но в солонку нагадить сможет без особого труда, конечно же.

                  • juray
                    /#22538612

                    Выпустить весь хлор в воздух?

                    Так вроде сильно мало где еще осталось хлорирование газообразным хлором (если вообще осталось), соли — гипохлориты гораздо безопаснее и удобнее.

            • KivApple
              /#22536016

              Ну то, что есть на станции, даёт слишком явные признаки, что с водой что-то не то. Подавляющее большинство людей её либо не выпьют совсем, либо выпьют недостаточные количества для серьёзного вреда здоровью. В новости нет никакой информации о пострадавших.

              Ситуация неприятная, но не смертельно опасная. Для реальной угрозы нужно подмешать то, что не меняет в значительной степени вкус и запах воды (есть ли такое на станции?). Плюс чтобы это сделать из злого умысла нужен физический или виртуальный доступ на станцию. В новости нет ни слова о взломе, а на Хабре не было ни одной публикации о столько больших отверстиях в очистных сооружениях РФ. То есть человек с улицы идёт мимо.

              • u440
                /#22537432

                А если человек идёт не мимо, а на водохранилище? До станции водозабора?

                • unsignedchar
                  /#22537488

                  До станции водозабора


                  Гомеопатия тогда.

                • Gryphon88
                  /#22537502

                  Вы предлагаете грузовик азида в воду всыпать, или что?

                  • u440
                    /#22537648

                    Я ничего не предлагаю, я рассматриваю такую возможность и степень её вероятного использования разного рода индивидуумами и организованными группами таковых.

                    • Gryphon88
                      /#22537696

                      Если вкратце, то притравить водохранилище так, чтобы умерло много людей, может не любой, а так, чтобы не нашли, почти невозможно, уж очень своеобразная химия и в больших количествах нужна.

                • Areso
                  /#22537518

                  Вы себе представляете, как это работает?
                  Давайте поясню, упрощенно.
                  Генерально, у нас есть два популярных варианта:
                  1) качаем воду со скважин — это наиболее предпочтительный вариант, даже если рядом течёт река или есть водоём. Земля выступает фильтром.
                  2) забираем воду с водоёма. Вода забирается не с поверхности, а на определенной глубине несколькими системами. Закинуть туда что-то вероятно, но обычно это место находится под наблюдением. Без акваланга и прочих шпионских штук, тупо загрязнив водоём, мы получим хорошо если, не знаю, лишь небольшую долю от загрязнения в системе. Считайте функцией кубически обратно пропорциональной от расстояния до заборной системы.

                  Дальше предстоит пройти систему фильтрации. С одной стороны — это довольно эффективная штука, с другой — она эффективна не для всего.

                  Имхо, сложно, и надо иметь представление о том, что будет отфильтровано, а что — нет.

                  • u440
                    /#22537660

                    Москва не питается со скважин. Она питается с водохранилища. Т.е. п.2
                    И вот тут конечно вопрос в степени технической (и химической) подготовки злоумышленника.

                    • Areso
                      /#22537690

                      Я говорил про общие случаи, понятно, что от города к городу могут быть различия. Где-то одно, где-то другое, где-то оба варианта для разных районов (к примеру, в Минске, который я сегодня здесь уже упоминал). К примеру, где я работал, у нас использовались только скважины.

                    • Daimos
                      /#22538416

                      Минск например питается с кучи скважин по городу, плюс два района с водохранилища.

    • victor_2004
      /#22535852

      Понимаете ли… если у злоумышленников есть возможность тормознуть перевозки на РЖД… это залет на уровне нац безопасности. Ибо по рельсам в том числе и войска перебрасывают.


      Если вдруг кто-то перейдет границу, а у нас не будет возможности оперативно перебросить резервы — то уже будет пофигу кого искать и карать.


      А если у этого кого-то такая возможность будет… то это в принципе полный провал.

      • speshuric
        /#22536880 / +1

        Тормознуть — это одноразовый акт. А вот мониторить перемещения военной техники, нефтепродуктов, стратегически значимых продуктов — это интереснее.

        • u440
          /#22537494

          Это можно делать с обычным смартфоном без доступа в сеть РЖД. Достаточно группы в VK :)

    • Viceroyalty
      /#22536802

      Дешевле, пока не погибнут пассажиры

      • A114n
        /#22537324

        Даже если погибнут пассажиры — всё равно дешевле. Жизнь в РФ стоит смешные копейки. Зять Путина ковёр на свадьбу купил дороже, чем выплачивают компенсации за гибель россиянина.
        Собственно, поэтому никто ничего и не будет исправлять.

        • Viceroyalty
          /#22538102

          Жизнь в РФ стоит смешные копейки
          смотря чья

    • lazer1064
      /#22537632

      Успехов вам в карании живущих в США или в Канаде, например.

  15. maggg
    /#22534578 / +2

    Это всё по-настоящему пугает.

  16. Matisumi
    /#22534598 / +5

    Это просто жесть. Государственные компании с IT — это как обезьяна с гранатой. Им сказали — надо, выдали гранату (цифровизацию), а что с ней делать они понятия не имеют. И тот факт, что граната еще не взорвалась — просто счастливая случайность.

    • blind_oracle
      /#22535344 / +1

      Либо просто кто надо уже давно там заложил "фугасы", подключил их к CnC и ждёт команды...

  17. nakamura
    /#22534610 / +1

    Детектив прям! Занимательное чтиво.
    Товарищ майор наверно негодуйе.

  18. Harwest
    /#22534634 / +4

    После этого Чарина должны просто уволить.
    Но не в этой стране.

    • around84
      /#22534668 / +1

      Премию дадут. За быстрое и профессиональное реагирование на проблему ИБ.

    • vanxant
      /#22534848

      Да тут подлогом попахивает как минимум. Вообще можно было бы бомбануть прокуратуру

      • questor
        /#22535268 / +1

        Которая ответит отпиской "по произведённой проверке факты не подтвердились" и потом всю новость объявят фейком?

        • vanxant
          /#22535680

          А скриншоты разных кастомных систем автор в пеинте нарисовал?
          PS. Вы хоть представляете, сколько может стоить замять такое дело совсем без последствий?

          • loderunner84
            /#22536152 / -1

            И сколько же стоит замять это дело?) Если и виновные и прокуроры в одной ОПГ?) Какой канал может выпустить подобное расследование? Дождь?) Который смотрят 2,5 человека. Кому Вы что будете доказывать? 80 процентам обыдлевшего населения? Которые уже отчетливо начали понимать, что лучше рот лишний раз не раскрывать и в ненужном месте в ненужное время не оказываться. Которые предпочтут молча платить возрастающие налоги, чем иметь неиллюзорный шанс ощутить на собственной шкуре произвол блюстителей порядка. Вот Вам материал. Все в Ваших руках. Действуйте))

            • vanxant
              /#22536196

              Да нет там никакой ОПГ, там совершенно разные ведомства, у которых ближайший общий начальник — премьер. В сложившейся ситуации сразу нескольким силовым ведомствам светят очень жирные палки и звёзды на погоны, а против них какой-то замдиректора госкомпании.

              • playnet
                /#22538638

                «замдиректора» со своими связями и крышей. И возможностью перевести стрелки ниже.

          • vikarti
            /#22537202

            Ну могут сказать что это такой ханипот большой для ловли хакеров и реально никакие команды отдать нельзя (а видеоролики — закольцованы). А сведения о доступе — отсылаются куда следуют.
            Правда обратное достаточно просто доказываться (камеры конкретных вокзалов ж идентифицированы — пройтись под ними).

      • lazer1064
        /#22538250

        прокуратура не бомбанется, она в танке. А вот бомбануть пынинскую задницу очередным расследованием от «фигуранта» — это да, сработает еще как.

  19. DimaBron
    /#22534642 / +2

    С каждым прочитанным абзацем у меня челюсть отваливалась все ниже и ниже.
    Потом я подумал — ну и что, навредить то все равно наверняка не получится. А нет, получится. Моя челюсть упала снова и уже не поднималась.
    Автору детектива, конечно, благодарность. Надеюсь, скоро будет позитивное продолжение.

    • around84
      /#22534652 / +1

      не хотелось бы, чтобы господин Чаркин (или его подчинённые) сделал автора крайним. А эти могут…

  20. around84
    /#22534648 / +1

    Работал в компании, у которой растут ноги из красно-серого гиганта.
    Сейчас срочно соберут совещание и будут думать, кого назначить виноватым. По результатам долгого и нудного совещания найдут кого-нибудь из ИВЦ, лишат премии, возможно уволят…
    И спокойно разойдутся пить чай с лимончиком.

    • koshi-dono
      /#22535460 / +1

      От того, что это кажется таким привычным и естественным, меня тошнит.

    • Alendorff
      /#22536618

      спокойно разойдутся пить чай с лимончиком

      Из вот таких стаканов, надеюсь

  21. istepan
    /#22534662 / +5

    Переживаю за автора.
    LMonoceros обзаведитесь телефонами правозащитников и адвокатов, предупредите близких и друзей, дайте им так же эти телефоны.

    • LMonoceros
      /#22535332 / +1

      В личку кидай. У меня нет адвокатов

      • hMartin
        /#22535706 / +1

        Лучше сразу договориться с кем-нибудь из Агоры(известная международная правозащитная организация, живет донатами)
        Насколько помню, специалист по интернетам — Дамир Гайнутдинов, чатик Агоры в телеге легко гуглится.
        У меня не было проблем с законом, но был вопрос по о перс.данных, он достаточно быстро ответил в личке.

      • istepan
        /#22535744 / +1

        До недавнего времени знал только Агору, но их сайт почему-то сейчас закрыт на тех. работы.

        Напишет Плюшеву в телегу: t.me/PlushevRepBot
        Это известный журналист которые освещает события из ИТ. У него наверняка есть контакты нужных людей. К тому же он поможет осветить в СМИ ситуацию.

      • McKinseyBA
        /#22538578

        Судя по UPD, проблем не возникнет. Хотя бы отблагодарили (молчу про bounty) или запугали?

        • akryukov
          /#22539822

          Вы считаете, что свидетельство "статья была отредактирована" достаточно для такого вывода?

          • McKinseyBA
            /#22540918

            Мне интересно КАК все закончилось о чем и спросил автора. Карьера Чаркина показывает его не самым большим дураком и полюбовный исход выглядит ожидаемым, впрочем дождемся ответа автора.

  22. starfair
    /#22534738

    Не удивлен, к сожалению. В бытность работы в одной из региональных госструктур, столкнулся и вынужден был работать долгое время с сисадмином, который когда то давно самостоятельно выучил что то в UNIX ещё древних времен, и был приглашен в формировавшийся отдел автоматизации. А потом по накатанной оставался на своей должности, прикрывая свои вопиющие косяки тем, что если его выгонят, всё рухнет (а могло, так как бардак был такой степени, что и правда разобраться в нем почти нереально, а поднят параллельно нормальную среду и переводить под неё, не давали бюджет). Так вот к чему это я, был случай, когда после модернизации аппаратной части сети (на её слабость данный админ всегда упирал), остались без пароля интелектуальный свичи от Cisco (хотя делал вроде бы сертифицированный интегратор), и один сверх меры умный маменькин сынок, прийдя на работу к мамочке, легким движением мышки, просто разорвал в клочья работу нескольких отделов, банально запретив работу оптического порта, по которому шла связь между этажами. Ну и что? Думаете кто то пострадал? Ага! Как бы не так! Всегда найдётся крайний злоумышлиник или растяпа (в данном случае — интегратор оказался виноват, хотя сеть принимал этот горе админ), на которого свернут. А начальник только получит премию за очередное решение трудной ситуации, которую он, по сути и создал.
    Так что статья страшная по сути если задуматься, но меня не удивляет ни разу. Схемы понятны. И эти госзакупки, в таких вопросах это огромное зло. И никакой экономии в итоге не приносит. И это касается не только безопасности, но и вообще очень многих сфер.

    • grub-itler
      /#22534770

      Так всеж ради бабла. Вот эти ваши сервисы для людей, удовольствие от выполненной работы, расширение горизонтов — все не нужно, т.к. на деньги по факту не влияет. И не будет влиять ни при каких условиях.

    • vanxant
      /#22534858 / +1

      Понимаете, то, что на вокзале условного Пердюйска может работать профнепригодный админ это одно. А вот то что у них корпоративная сеть на 10 часовых поясов без вланов, мсэ и прочего — это уже «в консерватории» виноваты.

      • starfair
        /#22538032

        Согласен. Хотя, у нас и не Пердюйск и выплаты через нас проходили свыше 65% от бюджета региона. И все социальнозначимые, и любая задержка в работе — это полный абзац, как говорится. Но повезло, что вовремя сделали децентрализацию именно по финансовым потокам, и такие проблемы отчасти не возникали, так как очень большой кусок задач стал решаться уже на местах. И если где что и зависало, то в масштабах районов и решить там на местах всё таки проще, ибо объёмы решаемых вопросов всё же куда меньше. А иначе, могли все эти косяки оказаться куда печальнее.

    • JPEGEC
      /#22535372

      с сисадмином, который когда то давно самостоятельно выучил что то в UNIX ещё древних времен

      Эвон как. У нас везде админы, оказывается, повально обученные на спецкурсах UNIX, а вам не свезло.
      Может и программисты там не все образование имеют в части Visual Studio?

      • starfair
        /#22537998

        Ну, в этом вопросе немного проще. Специализированный софт писался на стороне по началу. Да и писан он был сперва на Cliper а потом поддержку осуществляли местные программисты переписав все под FoxPro. Но вообще, с реальными зарплатами которые платят в госсекторе разработчикам, там сильные квалифицированные кадры не придут даже. То же самое наверное относится и к админам. Хотя, я в свою бытность умудрился пройти полный курс системного инженера под Window Server 2003 (правда без сдачи экзаменов в Microsoft на MSСE), но к этому товарищу даже и близко лезть не стал, ибо уж очень он специфический был. А в другом подразделении всё более менее по уму тогда сделал и админил, хотя там и была сеть из отбросов, которые показались устаревшими этому горе админу нашему.
        Ну да не суть! В РЖД то поди и зарплаты совсем другие, и по идее элиту среди спецов могут себе позволить переманить, а подиж — такая ситуация! :(

        • DMGarikk
          /#22538374

          В РЖД то поди и зарплаты совсем другие, и по идее элиту среди спецов могут себе позволить переманить

          чёто у меня прям нервный смех начался ;)))

          РЖД это фактически госконтора с соответствующим отношением и зарплатами.
          мне помнится предлагали должность начальника ИТ отдела одного депо, и заниматься внедрением SAP которое тогда только началось… и зарплата была… космические 55тысяч рублей!!.. я отказался… должность через полгода закрыли из-за превышения ФОТ… вместе с отделом (сократив тех двух несчастных которых успели набрать)

        • 9660
          /#22540428

          Понимаете, суть в том что «знание unix» это совсем не рокетсайнс.
          И откровенно говоря, большинство именно самостоятельно его «выучивают». Как и программисты Visual Studio. Поэтому претензия в данном моменте звучит несколько странно.
          Человеческий фактор «я царек этого мирка» да, обычное дело, особенно в госструктурах.

          • starfair
            /#22541108 / +1

            Ну, ситуация не в том, что человек сам выучился на UNIX, хотя в 80-х, в СССР это был ещё тот квест и достижение! Я про то, что человек остался на том же уровне и просто банально не хотел повышать свою квалификацию, хотя находился на очень опасном с точки зрения безопасности функционирования месте. И кстати, самого UNIX подобного в качестве серверов или рабочих станций тогда у нас и не было. Он пришел сразу на Nowel NetWare 2.1 Затем, с огромным трудом его фактически заставили перейти на Microsoft NT ну и там по нарастающей. Но, при этом ни одних курсов или чего то подобного. И на деле рулили какие то его помошники, при том, что так же не шибко то обученные. Я же не про конкретного человека написал, а про то, что кто то успел сесть на хорошее место, или его поставили, а квалификацию свою повышать мягко говоря не спешит. А если он не квалифицирован даже в элементарных понятиях по современным вопросам сетевой инфраструктуры, как он может компетентно понимать, что делают другие, пусть и нанятые специалисты? Тут как минимум надо на одном языке разговаривать, а не так как мне приходилось разжевывать что такое домены с точки зрения Microsoft AD, маршрутиризация, и сетевая безопасность в настройках Cisco. При том, что я вообще по профилю своей работы занимался техсапортом по рабочим станциям, но просто больше некому было хоть как то разбираться в том, что за херь творится в нашей сети, и мой начальник, очень ответственный человек, поручил в это вникать. И думаю, в РЖД ситуация примерно такого же сценария. Поставили нужного человека с примерным образованием. Тот набрал чьих то племянников, сыночков и т.д от нужных людей, и несколько реальных спецов, которые сидят на низовых должностях, и просто устали в конце концов биться за безопасность, с учетом того что они получают меньше всех. В итоге интегратор и делал как хотел, а проверять тупо некому, ибо компетентным уже не надо, а ответственные за это — просто не знают как проверить работу. Конечно, наверное есть и аудит, но хороший аудит и стоит хорошо, и на нём скорее всего сэкономили конкретно

  23. grub-itler
    /#22534750

    Куда смотрит совет директоров?… Кто-нибудь позвоните Путину!

    • hollycon
      /#22536118 / +1

      Узнает из новостей или доложат. Распорядится разобраться. Те, кому надо будет разбираться, пойдут сразу к генеральному, он должен быть в курсе ибо это его хозяйство. У генерального есть зам по информационным. Генерал сам не станет вникать, отправит к нему. Внезапно Чаркин снова на коне.
      Профит.

  24. drap_hap
    /#22534762

    Скорее всего, как обычно: Эксплуатации платят мало и туда идут не самые квалифицированные сотрудники, а интеграторы с заказчиком пилят откаты и на работы по внедрению нанимают студентов.
    По сути, пентест уже выполнен за бесплатно. Но вангую, что кардинально ничего не поменяется, максимум настроят микроты.

  25. MartiniStar
    /#22534772

    А в аэропорту такое может быть?
    На атомных электростанциях?


    Даже по предоставленной инфе. в статье, выглядит серьёзно.
    Про что автор не написал, думать страшно.
    В этом вопросе ламер, но если бекдор есть в управления стрелками…
    Можно столкнуть два пассажирских на перегонах.

    • istepan
      /#22534902

      Такие проблемы больше свойственны для госпредприятий и монополий.

      У АЭС обособленные физически сети, как я понимаю. Судя по видео urbanturizm (как он кстати? Совсем не слышно), туда даже цифровой носитель в любом виде не пронести.
      Аэропорты не относятся к монополиям и госпредприятиям, представлены в виде отдельных компаний, со своим ИТ штатом.

      Вроде у РЖД когда-то был свой изолированный интранет. В начале 2000-х общался с сотрудником.

      • MartiniStar
        /#22534998

        Спасибо за пояснение.

        Как мне казалось, ОАО «РЖД» Железнодорожный комплекс, который имеет особое стратегическое значение.
        А тут такой бардак.

        • playerro
          /#22537220

          Имеет. Бардак. После истории с трусами это вообще не удивительно

      • ProFfeSsoRr
        /#22535076

        Судя по видео urbanturizm (как он кстати? Совсем не слышно)
        сидит он. Письма к нему передают — он ответы пишет, вот и вся коммуникация. На ютубе выкладывали инфу.

      • AndreyDmitriev
        /#22535078

        Ну иногда для сервисных целей и на «изолированных» предприятиях делают внешний вход для обслуживания — мне довелось с таким работать. Двадцать лет назад выглядело это так — в цеху стоял сейф, в котором была телефонная розетка, isdn модем и висел неподключенный кабель. Для сервисного сеанса надо было договориться на определённое время с главным инженером и начальником смены. В назначенный час сейф открывался и кабель подключался к розетке. Я звонил модемом на определённый номер и логинился. При этом у меня три пароля было — для модема, сети и конкретной системы. Всё, что я делал, логгировалось. На всё время обновления у телефонной розетки и обновляемой системы дежурили два сотрудника. После обновления телефонный кабель отключался, и всё это обратно запиралось на ключ. Интернет добавил некоторое количество головной боли, поскольку решили подключение оставить постоянным, но для доступа раздали сервисным инженерам сторонных организаций этакие чипы-таблетки и считыватели.

      • acDev
        /#22535188

        МШ (urbanturizm) уже давно в СИЗО сидит. Чекисты хотят на много лет за решётку упрятать. ТГ канал с инфой: t.me/msh_urbanturizm

      • Yuriy_krd
        /#22535230 / +2

        Андрея МШ же «приняли» органы за госизмену. В сентябре были суды. А так да, его ролики были просто бомбой.

    • AndreyDmitriev
      /#22534960

      Такое может быть где угодно, где руки растут из известного места, и где думают этим же местом, а не головой. Сейчас промышленность компьютеризирована и автоматизирована, и в некоторых случаях необходимо иметь доступ извне, и ничего особо страшного в этом нет, если делать грамотно, благо технологии позволяют.
      Для жизненно важных цепей есть аппаратные средства защиты. Гораздо сложнее защититься от инсайда (нашумевший stuxnet был таким), но и тут можно продумать сценарии и векторы возможных атак. А здесь всё просто «на блюдечке» лежит, судя по скриншотам.

    • Shaman_RSHU
      /#22535200 / +1

      Одна дочка Росатом из Петербурга, которая занимается проектированием уже несколько лет ищут архитектора по ИБ. Но вся проблема в том, что за предлагаемую з/п туда никто не идёт. Но никто ничего конечно делать там не будет, т.к. как и в РЖД, некоторые должности передаются по наследству, а всё что ниже никого не интересует.

      • AndreyDmitriev
        /#22535896 / +1

        В немецких компаниях выделенный инженер по ИБ в штате не всегда — иногда просто нанимают стороннюю компанию. РЖД могла ведь просто нанять компанию, скажем, того же Касперского для ревизии и реструктуризации инфраструктуры — он давно хочет в промышленность, и вот — вполне конкретная задача. Думаю, без распилов средств не обошлось бы, куда ж без этого, но зияющие дыры закрыли бы — там работают более-менее вменяемые разработчики.

        • Shaman_RSHU
          /#22536560

          У нас менталитет другой, чем в германии. Не все наши интеграторы ИБ «одинаково полезны» :) Обычно это формальный подход к заказчику — не на шаг влево/вправо от ТЗ. Не думаю, что РЖД способно разработать вменяемое ТЗ для этих работ.
          Но согласен — даже в такой ситуации зияющие дыры закрыли бы.

    • pae174
      /#22537678

      > На атомных электростанциях?

      Чарин этот, кстати, когда-то был главным по ИТ в Росатоме :-)

  26. AllexIn
    /#22534788

    Ох… Ждём нашествие школьников на РЖД сервисы…
    Интересно, успеют что-то предпринять, прежде чем всё начнет падать?

    • knxx
      /#22534978

      Не успеют, предположу что уже к обеду любопытные руки пролезут внутрь и начнут мародёрство

      Возможно даже уже давно кто-то внутри сети и потихоньку продает оттуда информацию

      • Securityhigh
        /#22535284 / +1

        Что там продавать? База даже в открытый доступ утекла, все эти снимки с камер — нищета. Разве что на атаку пойти могут и свалить РЖД.

        • knxx
          /#22535350

          Базы, доступы, ржд же не маленькая структура — всегда найдется что-то интересное.

        • Zibx
          /#22537254

          РЖД занимается не только перевозкой пассажиров. Это ещё и перевозка ресурсов, переброс армии и поезд с ядерными боеголовками которые катаются по транспортной сети и маскируются под обычные. Не удивлюсь если последние нельзя заметить напрямую на общей схеме, но можно обнаружить их призраков, например, переключающиеся семафоры, стрелки, шлагбаумы, депо в которые нельзя заехать хоть место и есть.

          • u440
            /#22537524

            поезд с ядерными боеголовками которые катаются по транспортной сети и маскируются под обычные


            Последний «Баргузин» снят с боевого дежурства в 1998, если память не изменяет. Теперь всё что ездит с боеголовками делает это на резиновых колёсах :))

    • ule90
      /#22535042

      конечно успеют: «жестко наказать натуралистов-злоумышленников, что б другим неповадно было! Что б видели открытую калитку с надписью ржд и боялись даже посмотреть в эту сторону, не то что б заходить и топтать газоны!»

  27. YuriM1983
    /#22534810 / +1

    Я хотел написать какую-нибудь шутку, но это ведь капец. Причём за государственные (т.е. в т.ч. мои) деньги.

    • Andrey_Epifantsev
      /#22535070

      Причём за государственные (т.е. в т.ч. мои) деньги.

      Вроде как РЖД деньги зарабатывает, а не катает всех бесплатно за счёт налогоплательщиков.

      • Areso
        /#22535208 / +2

        РЖД, конечно, зарабатывает.
        Но государство им денег в долг даёт, причем много и довольно регулярно.
        Каждый раз придумывают всё новые схемы.
        Одна из последних — «вечные» облигации.

        • ascheck
          /#22537566

          Вам понравится: в какой-то кризисный год РЖД взяло в долг у государства, деньги не пригодились, оно их вернуло, а проценты, накапавшие на счёт, оставило себе. Точных цифр не помню, но нагуглится, думаю, без проблем.

          • SandroSmith
            /#22538276 / +1

            Ну, всё правильно. Корова — государственная, а всё что она даёт — молоко или телят, это уже наше.

      • wigneddoom
        /#22536406 / +1

        Да вроде как не бесплатно, но в убыток катает всех за счёт налогоплательщиков.

  28. vorphalack
    /#22534822

    с учетом того, что пишут про кухню самого движения поездов и состояния путей и ПС — не знаешь с чего первого начинать хвататься за голову.

  29. lamerok
    /#22534934

    Тут однозначно проблема в культуре безопасности, которую должно высшее руководство насаживать сверху. Если все так запущено, значит все делается — лишь бы быстрее — поднял VPN, поработал, забыл — уволился, VPN так и висит.
    Конечно автоматизированные средства проверки помогут, но все равно основная проблема — это человек, и тут нужно высшему руководству насаживать такое поведение, которое бы не позволило приводить к тому, что мы видим. А так конечно УЖОС, напоминает мне времена, когда мы были админами на кафедре и юзали сервер кафедры еще 5 лет после окончания универа, пока его не поменяли физически, потому что всем было пофиг, что там вообще стоит и поднято.

  30. geleos27
    /#22534970

    Я конечн прошу прощения, но каким чудом все это еще не легло от какогонибудь шифровальщика?

    • Harwest
      /#22535072

      Зачем шифровальщики если можно завалить сразу пачку серваков — там IPMI интерфейсы торчат в локалку.

      • geleos27
        /#22535420 / +1

        Я не очень искушен в средствах выведения IT систем из строя)


        Суть вопроса — каким чудом инфраструктуру не зацепило массово распространяющейся вирусней / атаками коих в последнее время вагон.

        • outlingo
          /#22536010 / +2

          Деквалификация. Тех кто мог сделать код что в любую щель пролезет давно понанимали большие компании, а нынешний молодняк в большинстве своем… Не слишком хорошо знаком с основами, скажем так. 90% даже про syn/ack не слышали, а уж воспользоваться каким-нибудь HTTP CONNECT через прокси для сканирования удаленной сети для них как магия.

          • Viceroyalty
            /#22536916

            Да и просто лень, каждое телодвижение для улучшение вирусни — это де делать надо, а кому не лень много делать — тот работает

        • CherryPah
          /#22536294

          Потому что нестандартно. Абсолютно не сложно для таргетированной атаки (что и показал автор), но не стандартно для бота.
          *Глянул логи с ФВ*
          Ботам сканерам ищущих цель для шифрования не интересен микротовский winbox и постройка обратных туннелей. Они там самбу ищут или 3389 с admin/admin или еще какую-нить легковоспроизводимую ботом в автоматическом режиме дырку. Человек к этому процессу вообще не подключается, благо обозначенных RDP с admin/admin в интернете еще хватает на хлеб с маслом

  31. compilator
    /#22534988

    И после этого остаются люди, которые не верят, что горе-ФСБ-шники смогли так обделаться

    • QDeathNick
      /#22539242 / +1

      Да, аналогия напрашивается, и я тут ещё столкнулся с «дырой в безопасности» не совсем в госструктуре, но тоже наглядно видно, что верхушки расслаблены и не видят необходимости заботиться о ИБ.
      Раз уж начал, расскажу без деталей, сегодня глава канцелярии Романовых по глупости спалил свою переписку, чудно было почитать про «заговоры» императорского двора, не думал, что люди в 21 веке таким бредом всерьёз занимаются.

  32. syrslava
    /#22534992

    Как-то тема «как я нашёл первый прокси» осталась неясной. Автор подразумевает, что это произошло случайно при обширном поиске в интернете по неспецифичным критериям, или я что-то не понял?

    • ascheck
      /#22535098

      Автор не искал вход именно в РЖД, он сканил интернет на открытые прокси и среди найденных оказался сабж.

      • vikarti
        /#22537342

        Интересно, сюжет WarGames (там же в самом начале — товарищь просто искал скриптом перебирал номера и искал где модемы, и нашел) сейчас в России ТОЖЕ реализуем? (с поправкой на технологии) или хоть тут сделали нормально?

  33. kurilovigor
    /#22535046

    Этим вопросом следует заниматься не Чаркину, а ФСБ (в перерывах между стирками)

  34. ascheck
    /#22535056

    Учитывая статус РЖД, дыры в его безопасности вполне могут стать входной точкой для проникновения в сети других организаций и структур.

    • talbot
      /#22536212

      Учитывая что у РЖД полно интеграций со СМЭВ, реализация подобного сценария—вопрос времени.

      • mayorovp
        /#22537210

        Ну, это уже от админов СМЭВ зависит. Насколько бы тесная интеграция не требовалась — она всё равно ограничена протоколами, по которым работает сама СМЭВ, а их список довольно ограничен — так что не думаю что специально для РЖД кто-то вертел там спецдырки в защите.


        Другое дело, есть ли там вообще защита в СМЭВ или всё так же плохо...

        • ascheck
          /#22537586

          Можно только гадать. Но мне кажется вполне реалистичным такой сценарий:
          криворукиржд: вы запарили! у нас ничего не работает, откройте доступ с наших IP, дайте рута и всё!
          инженеры СМЭВ: ну ок…

          • u440
            /#22537682 / +1

            Сценарий в отношении СМЭВ не реалистичен. Вероятность 0%.

            Я работал со СМЭВ.

  35. SeregaSA73
    /#22535092

    дел.

    • Securityhigh
      /#22535250

      Мне кажется зря он вообще на Хабр это написал.

  36. GarretThief
    /#22535108

    Всё понятно, очередной злоумышленник и натуралист, а "уязвимостей, которые бы влияли на утечку каких-то критических данных, нет". И вообще, мультимедийный портал "Камеры РЖД" функционирует как положено и не нуждается в доработке.

    • Viceroyalty
      /#22536942

      «Все должны быть честными и вести себя хорошо, тогда и не будет взломов»

      • Viceroyalty
        /#22538426

        Забыл тег сарказм — наловил минусов

  37. ivanovdev
    /#22535116

    Зря вы эту идею с камерами им подсказали

    • Alext12
      /#22535184

      КМК это самое безобидное из того что можно сделать.

  38. Securityhigh
    /#22535242 / -1

    Напугало меня твое отношение к своей безопасности, один узел VPN/Proxy. Я бы для такого использовал хотя бы связку Tor и Proxy или просто Tor. Пусть пострадает скорость и потрачу не 20 минут, а 25, но меня потом не отправят по УК 272, тебя спокойно могут.

    • blind_oracle
      /#22535438 / +1

      Я думаю автор не дурак и себя как надо защитил. Не домой же он внп строил...

  39. MacIn
    /#22535264 / +2

    Здесь нужно не РЖД пинать, а писать в прокуратуру и ФСБ, так как это вопрос транспортной безопасности. Они быстрее, причем физически, допинают до сведения.

    Автор, вы написали «куда следует»? Я бы сейчас подал обращение на Лубянку со ссылкой на вашу статью.

    KorP

    А на прямую, в РЖД или компетентные органы перед публикацией вы обращались? Как это принято в мире…

    Хотите, расскажу, как я недавно пытался сообщить о физической неисправности инфраструктуры на ЖД?
    Не хотите? Ну ладно, слушайте.
    На одном из пешеходных переходов между станциями, по несколько километров до каждой, от влаги заглючила сигнализация — часть светофоров горит красным, а часть зеленым. Не критично, но, гипотетически, к трагедии привести может.
    Есть, думаете, номер, по которому можно сообщить? Хрен там плавал. Звони на общую горячую линию, стой в очереди с теми, кто узнает про стоимость билетов.
    Пробиваешься до оператора — «ок, мы перенаправляем вас в службу приема обращений граждан, срок рассмотрения — до месяца», там туси вместе с теми, кто жалуется на грубого проводника.
    Принимают твое сообщение — чин по чину, дают номер регистрационный, но предупреждают, что пока они спустят обращение по инстанциям из Москвы, до месяца может занять.
    И спрашивают "а вы не можете дойти до соседней станции и там сообщить устно — это быстрее будет".

    • Sequoza
      /#22535384 / +1

      Они быстрее, причем физически, допинают до сведения.

      Вот только кого? Жители Воронежа снова напряглись.

    • Gryphon88
      /#22536408 / +2

      Здесь нужно не РЖД пинать, а писать в прокуратуру и ФСБ, так как это вопрос транспортной безопасности.
      Так-то так, но поскольку на приёмке должна быть подпись и из конторы, КИИ всё-таки, могут и они обидеться, из солидарности, благо, повод есть. Так что спортлото Хабр ещё не самый плохой вариант.

    • fruit_cake
      /#22539762 / +2

      У нас с многоквартирного дома упал какой-то сетевой кабель и лежал на проезжей части. Мы неделю звонили во все возможные инстанции и никто не знал чей это кабель. Машины по нему ездили и всем было всё равно. Я взял ножницы по металлу и перерезал его, на следующий день приехала бригада и вернула его на место (у кого-то что-то перестало работать и он соответственно об этом сообщил).

  40. welovelain
    /#22535272 / -8

    Автор, если вы не связались с РЖД предварительно, то вы и поставили эту систему под большую угрозу уже сейчас.
    И правильно будет, если огребете проблем.
    Это как коды запуска ракет найти и вывалить их в сеть с утверждением "смотрите, я помогаю стране — видели какая безалаберность". =/ Вроде давно понятен алгоритм действий всех этичных хакеров — до упора стараться сначала связаться с уязвленной компанией. Не говорите, что этого не знали.

    • artemerschow
      /#22535412 / +2

      Обращаться есть смысл только когда компания адекватная и есть вероятность, что тебя услышат, а не отмахнутся как раньше и ничего не исправят. Или не подадут в суд и ничего не исправят. А такие примеры есть. Не говорите, что этого не знали.

      • AvioD
        /#22535570

        А судьи кто, адекватная компания или нет, и заслужила ли она возможность закрыть уязвимости до того, как они были опубликованы? Субъективное мнение? А у меня вот, может быть, оно другое — для меня все какие-то неадекватные, все не нравятся. Мы уж либо говорим о некой этике подобных взломов — и всегда придерживаемся ее. Либо творим что хотим.

        Автор проделал нужный и полезный труд, вне сомнений. Как и вне сомнений то, что этим бардаком в РЖД должен срочно кто-то заняться. Но позиция автора по этому вопросу «Безопасность граждан превыше моей свободы», этот геройский настрой — выглядит, по меньшей мере, очень странно.
        Слить в публичное пространство данные о уязвимостях системы, даже не предприняв попыток сообщить что-либо РЖД — означает подвергнуть прямой опасности своих сограждан. Где гарантии, что вот прямо сейчас, какой-нибудь умник не сломает что-то критичное в одной из систем РЖД, что может привести к аварии, с человеческими жертвами? Или что прямо сейчас кто-то не загружает данные о проданных билетах за последние лет 10?

        Желание проучить РЖД и пропушить их на активные действия, за халатность и отписки с юными натуралистами мне понятно. Мне не очень понятно — почему это делается ценой таких потенциальных жертв для людей, которые вообще ни в чем не виноваты.

        • syrslava
          /#22535606

          Я обычно, перед тем как на хабре что-то комментировать, стараюсь хотя бы по диагонали просмотреть все комментарии, чтобы увидеть, поднималась ли где эта тема. И многим скромно рекомендую делать так же.

          • AvioD
            /#22535656 / +1

            Мой ответ предназначался конкретному сообщению именно в этой ветке. Давайте не засорять комментарии обсуждением того, где и как нужно писать.

        • artemerschow
          /#22535672

          Да понятно, что тут нет и не может быть четкого алгоритма когда так поступать, а когда эдак. Да, субъективное мнение, опыт предыдущих обращений, история общения компании с внешним миром, характер причин уязвимости. Я почти на 100% уверен, что если бы причина возникновения такой проблемы выглядела бы хоть немного как ошибка, случайность, а не общий наплевательский подход, то автор предварительно бы попытался связаться. Или если бы в истории с сапсаном ответ был бы иным.

          Ну и да, даже мой максимально скромный опыт подсказывает, что порой, увы, пока не пнёшь, не полетит.

          • AvioD
            /#22535790

            А в чем проблема отправить содержание этой статьи в РЖД, хотя бы за сутки-двое до публикации? Вот в ФСБ советуют еще писать. Они точно не поставили бы автора в очередь с теми, кто прибытие поездов по телефону уточняет.

            Ну РЖД, предположим, пнули. А пассажиров за какие грехи пинаем?

            • artemerschow
              /#22535810 / +1

              А ещё автора статьи тут романтиком называют)

            • KivApple
              /#22535824 / +3

              Ну рандомные действия школьников (которые за несколько часов побоялись что-то делать, раз до сих пор нет новостей о крахе РЖД, и скорее всего не будет), возможно, лучше, чем спланированная атака террористов или зарубежных спецслужб в нужное время (и им эта статья никак не помогает, так как они уже знали, если хотели, дырка совсем большая, а автор не выложил совсем уж пошаговый туториал).

              • AvioD
                /#22535938 / -1

                Наверняка лучше. А вы уверены, что из зарубежных спецслужб прямо сейчас никто с огромным интересом не копается в сети, жутко довольный такой свалившейся с небес халяве?

                На мой взгляд, если уж лезть в это, с целью «сделать мир лучше и безопаснее», то нужно делать это максимально последовательно и качественно. Подход «Я вот нашел, вам рассказал, а дальше мои полномочия все», мне в крайней степени не нравится.
                Что-то нехорошее сейчас случится и будем с горечью все поговорки вспоминать на эту тему, в стиле «Хотел как лучше, а получилось, как всегда» и «Благими намерениями дорога в ад выстлана»

                • Viceroyalty
                  /#22536970

                  Вот уж кто-кто а ведущие спецслужбы найдут как куда-нибудь влезть без помощи автора

                  • u440
                    /#22537628

                    Вы преувеличиваете степень профессионализма спецслужб. Как наших, так и их.

                    • Viceroyalty
                      /#22538124

                      Израильские обошлись без блогеров ломая иранские центрифуги, и наши, вроде, давно не ведущие

  41. G1lgamesh
    /#22535304 / +3

    Я очень надеюсь, что автор пребывает не в РФ. И уже знает, куда подаваться за политическим убежищем, на случай, если статья получит огласку. Не удивлюсь, если с такими дырками можно будет накопать расписание перевозок, в том числе для вежливых людей.

    • drap_hap
      /#22535388

      Честно говоря, сомневаюсь, что он не за VPN сидел.

      • Loggus66
        /#22536606

        Автор имеет акк на Хабре и пиарит ТГ канал. Что-нибудь по связке «IP из логов Хабра + телефон и круг контактов на ТГ» да найдётся.

  42. alias1923
    /#22535364 / +1

    Хорошо хоть в нефтегазовой компании все хроршо с ИБ… А нет, показалось.

  43. amarao
    /#22535398 / +1

    Вступаете в недобровольные сексуальные отношения с РЖД? Вступайте! Главное, не раскачивайте в процессе!

  44. Sn0wsec
    /#22535418 / +1

    «Все настолько плохо, что даже хорошо»©… что способом борьбы с подобным уровнем некомпетентности, автор выбрал огласку и привлечение общественности с помощью статьи… Но существует вероятность, что проблему это не решит, а только усугубит последствия, а вся ответственность за последующие действия «мамкиных кибер-злодеев» ляжет на плечи автора. Тонкая грань между grey/white даже не всегда до конца понятна специалистам, что уже говорить о прокурорах и судьях. Безусловно определяющим фактором будут намерения, автор хочет чтобы «мир стал более безопасным», но способы достижения этой цели, по моему мнению выбраны не «самые оптимальные», плюс повествование из статьи можно прямо копипастить в чистосердечное признание, с точки зрения прокурора. Последствия для РЖД описанные в статье — как угрозы «национальной безопасности», а вся ответственность за действия других после публикации статьи и даже действия тех нашел эти дыры до статьи, к сожалению на авторе.
    Поэтому хотелось бы уточнить, почему выбран подобный способ, почему не воспользоваться общепринятой методикой responsible disclosure, как стандартом индустрии и наиболее надежным способом — сделать «мир более безопасным» и избежать проблем для себя любимого?

  45. botyaslonim
    /#22535514 / +1

    В РЖД, судя по многочисленным свидетельствам, жуткий блат и кумовство. Поэтому наверх часто всплывает самое некомпетентное. Вы им про технологии, а они спросят: сколько у тебя денег и кто твой папа? Ну вот и всё…

  46. sicambr
    /#22535536

    Разработчики БЖРК считают их ракетный комплекс невидимым на сети РЖД.
    Но виновным назначат натуралиста.

    • pae174
      /#22537864

      БЖРК действительно невидим на сети РЖД. Просто потому что его не существует уже лет 20 примерно.

      • DMGarikk
        /#22538390

        ну если смех откинуть, то реально многие считают что БЖРК был очень хорошо замаскирован под реф.поезд, хотя даже самый последний стрелочник знает что эти вагоны — военные. это надо совсем быть далеким от ЖД чтобы не понимать этого

        а учитывая что вагоны БЖРК ремонтировались в пассажирских депо (у нас народ развлекался раскладывая механизм открывания крыши и упоров… это, на секундочку, было в 80е годы… я не застал но мне много про них рассказывали), и никто не заставлял персонал подписывать бумаги о неразглашении… то… я незнаю какая там была такая особо секретная военная тайна

        • mk2
          /#22538502

          Ну, военная тайна это скорее "а где этот поезд катается прямо сейчас". И чтобы когда он на боевом дежурстве, его не могли уничтожить до пуска ракет. Сейчас конечно с таким отношением туда на ремонте могли бы пихнуть gps приёмник и получить полный маршрут.

          • DMGarikk
            /#22538572

            а мне вот интересно, ведь даже 'неизвестно где катается' — это срывает график основных перевозок и о нем знают все диспетчеры как минимум… поскольку им приходится всех задерживать когда он едет.

            • Evgen52
              /#22539586 / +1

              Я не в теме, но предположу, может диспетчеры и не знают? Для них он, может, выглядит как обычный поезд в системе. Надо им развести два состава, для чего детали о том, что внутри у них?

              • DMGarikk
                /#22542034

                ну у них же есть график движения поездов чутьли не на несколько дней вперед. чёт я сомневаюсь что эта штука имеет отдельную нитку в графике и вообще будет заранее записываться туда.

                • F0iL
                  /#22542182 / +1

                  А что мешает эту штуку провести в системе как обычный товарняк, которые, я так полагаю, передвигаются без регулярного расписания?

                  • DMGarikk
                    /#22542448 / +1

                    которые, я так полагаю, передвигаются без регулярного расписания?

                    вы ошибаетесь, ВСЕ поезда по ЖД передвигаются по расписанию
                    некоторые бывает ставят вне графика, НО они всёравно получают свою нитку графика и некое подобие 'расписания'

                    дело тут не в регулярности, а в том что расписание движения поездо расписано на несколько дней, а может недель вперед (тут уже я за давностью лет подробностей не помню)

                    • F0iL
                      /#22543300

                      Ну даже если расписание движения расписано на несколько дней или даже недель вперед — то что мешает, опять же, в это расписание «вне графика» добавить секретный военный поезд под видом обычного товарного, перевозящего например уголь или автотехнику?
                      В любом случае, решения о перебазировании этой серьезной пепяки наврядли принимаются спонтанно типа «а поехали завтра», наверняка это тоже планируется заранее.

      • sicambr
        /#22539512

        Речь не о старом, о "Баргузине".

  47. Googly1
    /#22535556

    Очень недеюсь, что автор достаточно запутал следы своей регистрации: удалил email, писал из Tor и тд.
    Спасибо за подробную статью!
    Буду благодарен за новые, в стиле вредных советов ИБ.

  48. bougakov
    /#22535578 / +2

    Автор для иллюстрации серьёзности проблемы использует не те картинки. Дайте я помогу.

    Вот на Евгения Игоревича смотрит генерал Пол Накасоне, командующий United States Cyber Command. Интересующимся этой личностью предлагаю погуглить «Иран + Nitro Zeus».

    image

    Согласно принятому американским конгрессом H.R.5515 — National Defense Authorization Act for Fiscal Year 2019 его ведомство активно поощряется делать закладки («implants») в гражданских сетях («grid» — электросети, транспорт) вероятных противников с целью «deter, safeguard or defend against attacks or malicious cyberactivities against the United States.»

    Статья в New York Times утверждает, что американцы перестали полагаться на уговоры и увещевания, и теперь целенаправленно в рамках гос. программы ставят закладки в ключевые элементы российской инфраструктуры. С 2020 года, согласно National Security Presidential Memoranda 13 генералу за такими действиями не надо бегать на утверждение к президенту.

    Цитата:

    The critical question — impossible to know without access to the classified details of the operation — is how deep into the Russian grid the United States has bored. Only then will it be clear whether it would be possible to plunge Russia into darkness or cripple its military — a question that may not be answerable until the code is activated.

    Описанные автором дыры наводят на мысль, что их можно использовать для системного нарушения движения поездов. Если их нашёл автор, то подчинённые генерала — и подавно. Описанный автором риск порчи камер — это цветочки. Если после очередной шалости вроде взлома SolarWind американцы решат ответить ударом по РЖД — поезда по стране будут ходить по маршрутам, рассчитанным в тетрадке, а стрелки будут переключаться месяцы вручную, пока всё будет востанавливаться. По каскаду это приведёт к сбоям в отраслях, зависящих от ж.д. поставок — сначала мазута и нефти, потом остальных.

    • KivApple
      /#22535646

      поезда по стране будут ходить по маршрутам, рассчитанным в тетрадке, а стрелки будут переключаться месяцы вручную, пока всё будет востанавливаться. По каскаду это приведёт к сбоям в отраслях, зависящих от ж.д. поставок — сначала мазута и нефти, потом остальных

      + Несколько десятков сошедших с рельсов/столкнувшихся поездов в день Х, если захотят (кстати, это ещё повреждение и/или блокировка путей на часы/дни)

      А если поезда и время правильно выбрать… РЖД не только гражданских возит.

      • bougakov
        /#22535718 / +1

        Ну вот, наконец-то обсуждаем проблему в терминах, которые понятны ребятам из Ипатьевского переулка, дом 4.

    • Sequoza
      /#22535742

      Описанные автором дыры наводят на мысль

      Чем-чем а дырами это назвать точно нельзя.

      • blind_oracle
        /#22536644

        А как? Дырищи? Открытые двери? Провалы? :)

        • Areso
          /#22536718 / +1

          Немного не дотягивает до Триумфальной арки.

          • Oxyd
            /#22538120

            Скорее перетягивает. Это уже как двери ангара для Боинга.

        • Sequoza
          /#22537290

          Зря иронизируете. Моя ошибка, это дыра в безопасности, но это не то, о чем говорит комментатор выше.
          Зафакапились инеграторы, админы или отдел безопасности. Но комментатор винит «Пол Накасоне» вместе с United States Cyber Command, которые, видимо, выступали подрядчиками РЖД.
          Конкретно этот случай — мимо.

          • blind_oracle
            /#22537336 / +2

            Он про вину ничего не говорил, просто его комментарий гораздо более наглядно иллюстрирует последствия такого разгильдяйства. В нужный момент, вполне возможно, кто-то из ведомства этого товарища нажмёт кнопочку и РЖД ляжет.

            • Sequoza
              /#22537684 / -1

              Это вот так что-ли:
              2 абзац — представление генерала.
              3 абзац — внедрение закладок.
              4-5 абзац мастерство перевода в стиле RT:

              Статья в New York Times утверждает, что американцы перестали полагаться на уговоры и увещевания, и теперь целенаправленно в рамках гос. программы ставят закладки в ключевые элементы российской инфраструктуры

              Позвольте для вас выделить немного больше слов для выделения контекста, который чуть меняет смысл высказывания:
              The critical question — impossible to know without access to the classified details of the operation — is how deep into the Russian grid the United States has bored. Only then will it be clear whether it would be possible to plunge Russia into darkness or cripple its military — a question that may not be answerable until the code is activated.

              Далее в статье:
              So far, there is no evidence that the United States has actually turned off the power in any of the efforts to establish what American officials call a “persistent presence” inside Russian networks, just as the Russians have not turned off power in the United States. But the placement of malicious code inside both systems revives the question of whether a nation’s power grid — or other critical infrastructure that keeps homes, factories, and hospitals running — constitutes a legitimate target for online attack.

              С каких пор "...impossible to know without access to the classified details of the operation.." и "..there is no evidence.." переводится, что «NYT утверждает»? Потенциально возможно, но это такая же инфа, как и русские хакеры.
              5-ый абзац — немного про последствия взлома ржд, не забыв, конечно, упомянув зачем-то американцев, мстящих за SolarWind.
              Извините, но, как мне кажется, посыл явно не про важность дисциплины и ответственности на работе.

    • iDm1
      /#22535898

      Кстати акцентировать внимание на том, что такими дырами в безопасности могут воспользоваться иностранные спецслужбы идея хорошая. В текущей политической ситуации это может гораздо лучше побудить РЖД и других заняться безопасностью своих сетей, а не посадкой «натуралистов».

      • bougakov
        /#22535998 / +1

        Что значит «могут»? Нужно исходить из предпосылки, что «давно смогли».

        Для понимания — над планом «Nitro Zeus», который должен был был оставить Иран без энергосетей и прочей инфраструктуры в случае обострения кризиса, трудились тысячи людей. Думаете, они с 2016 года ничем новым не занимались?

        The plan, code-named Nitro Zeus, was devised to disable Iran’s air defenses, communications systems and crucial parts of its power grid, and was shelved, at least for the foreseeable future, after the nuclear deal struck between Iran and six other nations last summer was fulfilled.

        Nitro Zeus was part of an effort to assure President Obama that he had alternatives, short of a full-scale war, if Iran lashed out at the United States or its allies in the region. At its height, officials say, the planning for Nitro Zeus involved thousands of American military and intelligence personnel, spending tens of millions of dollars and placing electronic implants in Iranian computer networks to “prepare the battlefield,” in the parlance of the Pentagon.

    • namikiri
      /#22535990 / -3

      Немного не по теме, но после подобного как-то сомнений в необходимости Эльбрусов стало чуть поменьше. Вся статья — сплошь «вражеские» технологии. Нет, я не топлю за повальное импортозамещение, но, тем не менее, не хотелось бы страдать из-за политических распрей где-то там.

      • Anrikigai
        /#22536370 / +5

        Все эти «вражеские» технологии тупо были халатно сконфигурированы.
        Не о каких «закладках» в них речи не идет.

        Какая разница, не сподобился админ пароль установить на Mikrotik или на Эльбрус?
        И пропаганда «а вот угрохаем кучу денег, перейдем на отечественное, и станет безопасно» очень опасна.

        • wigneddoom
          /#22536478 / -4

          Разница есть, если где-то упоминается Mikrotik, значит сетевой инфраструктуры нет, от слова совсем.

          • Anrikigai
            /#22536768 / +3

            Вы считаете Микротики таким шлаком, что отечественное изедлие сразу будет значительно лучше?

            Боюсь, ему даже до уровня Микротика придется долго расти. Если, конечно, это не будет какой-нибудь Huawei с переклеенной этикеткой.

            P.S. Хотя я и вполне позитивно отношусь к Микротикам я тоже считаю, что сеть в такой крупной организации должна строиться на оборудовании более высокого класса.
            Но в данном случае выбор оборудования для построения сети отнюдь не главная проблема. И на Миктротиках можно было бы сделать значительно более безопасно. И на Cisco с дефолтными паролями и не настроенными ACL получить такое же решето…

            • wigneddoom
              /#22537410

              Нет, я не считаю Микротик прям шлаком, вполне себе хороший продукт для своих целей. Просто практика показывает, что люди пытаются Микротиками затыкать дыры. Но для этого нужны знания и умения.
              Банально у Циски есть программы обучения, сертификации и т. д. Поэтому я считаю, что ПТУ'шник с сертификатом Циски более умелый чем эникейщик с Микротиком.


              И на Cisco с дефолтными паролями и не настроенными ACL получить такое же решето…

              Опять, если человек надрессирован, на всяких курсах, экзаменах, то у него под коркой головного мозга отложатся знания, о том, что нужно менять пароли, конфигурировать ACL и т. д.


              P/S. Простите, что мне лень искать эту статью на Хабре. Но она была, где говорили о том, что сетевые инженеры ещё нужны. Они действительно нужны, но в противовес им всегда ставят девопсов, админов, и даже всяких эникейщиков. А потом получают такие факапы.

              • DikSoft
                /#22537804

                Банально у Циски есть программы обучения, сертификации и т. д.
                У Микротика тоже есть, кстати. И довольно качественная программа…
                Другое дело, что по цене он сильно доступнее и попадает в кривые руки часто, но явно это не вина оборудования и производителя.

                • wigneddoom
                  /#22538168

                  О, не знал. Это безусловно плюс. Надеюсь они включат в курс, что всегда надо менять дефолтные пароли.

                  • vladkorotnev
                    /#22540418

                    ИМХО, такие вещи не должны быть в курсах, а прямо на уровне ОС, как приглашение логина.


                    Т.е. воткнул роутер в розетку при первой распаковке — он DHCP поднял, но нифига не роутит, и по всем интерфейсам настройки выдаёт только запрос установить пароль, с проверкой по критериям стойкости, чтобы уж совсем на отвали не выставляли. И пока пароль не пропишешь, пользоваться оборудованием не можешь.

                    • F0iL
                      /#22541630

                      Т.е. воткнул роутер в розетку при первой распаковке — он DHCP поднял, но нифига не роутит, и по всем интерфейсам настройки выдаёт только запрос установить пароль, с проверкой по критериям стойкости, чтобы уж совсем на отвали не выставляли. И пока пароль не пропишешь, пользоваться оборудованием не можешь.

                      В некоторых местах такие правила установлены на уровне законов:
                      leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327
                      Лично в прошлом году релизил новые прошивки некоторых устройств, продаваемых в том числе в US, чтобы соответствовать.

            • playnet
              /#22538898 / +2

              Хотя я и вполне позитивно отношусь к Микротикам я тоже считаю, что сеть в такой крупной организации должна строиться на оборудовании более высокого класса.

              Речь не про ДЦ, а например вокзал вне столиц, с парой компов — настоящая циска не даст вообще ничего в такую же цену (то есть linksys с лейблом циски — всё-таки не циска), а просто подобный функционал будет стоить в 5-10 раз больше. И для чего? Для шильдика циско? Для «хейтим микроты»? И опять же, не циской единой, в своих нишах juniper не хуже например. Бонусом — циска это сша, а там не просто закладки обязательны, но даже просто за разглашение этих закладок циске светят проблемы.

              • Anrikigai
                /#22539056

                Я и не цисковод, и не спец по микротикам, вполне могу ошибаться.
                Но мне кажется, что у Микротика отсутствует централизованное управление. Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.

                А я апологет централизованного управления. Тем более при отсутсвии достаточно квалифицированных кадром «на местах» особенно важно, чтобы основные настройки прилетали из центра.

                Уж лучше сделать «стандартный набор правил» (для нескольких типов вокзалов) и разрешить чуть больше, чем необходимо в конкретной точке, нежели отдать полностью на откуп локальному персоналу, когда каждый настраивает, как бог на душу положит.

                Это стоит денег, тут абсолютно согласен. Хоть Cisco, хоть Huawei, по любому дороже.
                Кстати, у Huawei вроде есть централизованное управление, нана циске свет клином сошелся.

                • playnet
                  /#22539794 / +1

                  А что должно входить в «централизованного управления»? cli у микрота есть, цепляется к тому же ansible.Подгрузка конфигов по tftp? А если был сбой питания и всё включилось одновременно, или канал лежит при ребуте? Микроты — они ведь быстро грузятся, это не веб-смарт хп, которые у нас 5+ минут грузились. И получится что роутер готов раньше остальной инфраструктуры. А на одной из прошлых работ было плановое выключение, и после включения ничего не смогло загрузиться. Потому что «для удобства» был DHCP со статическими адресами в настройках, вот только 2 дхцп были… в виртуалках. А все хостноды вирт кластера — тоже были с dhcp, и в итоге кластер не взлетел, ноды не поднялись, сеть не ожила. Поднимали её руками потом.
                  Так что статические конфиги прямо в роутере это ок, а для руления — ssh и cli.
                  Вообще, есть конечно SDN (software-defined networks), но что-то мне подсказывает, что сейчас это будет бОльшим злом. Вот лет через 30-40…

                  • Anrikigai
                    /#22540930 / +1

                    В данном контексте (мы говорим о безопасности, а не к примеру, настройках BGP), я под централизованным управлением понимаю инструмент, в котором удобно управлять политиками на устройствах разных моделей по всей сети. На огромных в ЦОД, на средних в головном офисе, на мелких в удаленных подразделениях из пары компов (камер, СКУД).

                    Безусловно, можно через ansible рулить Микротиками. Но многих ли вы знаете, кто так делает, скажем, на фаерволе в ЦОД?

                    Если я могу дать обычному безопаснику или сетевику инструмент для управления правилами фаервола, в котором он визуально понятно задаст их хоть для центрального Интернет фаервола, хоть для ЦОД, хоть для мелочевки удаленной, он будет этим пользоваться, создавать правила «по запросу»,
                    Если же ему придется писать плейбуку (вероятно с параметрами, ибо объект «видеокамера» един, но имееет разные IP на каждой площадке)…

                    Меня терзают смутные сомнения, что даже специально выделенному погонщику с кнутом удастся добиться нормальных гранулированных политик, а не «разрешено все, кроме уж совсем явных гадостей».

                    Можно еще поговорить на тему аварийных ситуаций. Скажем, залил удаленно новые правила доступа и сам себя отрезал.
                    На Cisco, пока не сказал «записать», можно попросить кого-то просто перезагрузить устройство и вновь обрести контроль.
                    Можно ли так на Микротике, я не уверен.

                    Насколько безопасно новую прошивку заливать?
                    Сердце не екнет, запустить самописную плейбуку, обновляющую сотню удаленных микротиков?


                    Я не хочу разводить холивар на эту тему. Тем более советовать выкинуть Микротики и заменить на что-то другое. Ни в коем случае.

                    Но касательно «централизованного управления» я все-таки считаю так:
                    Можно управлять Микротиками через ansible? Да, можно.

                    Можно это назвать системой централизованного управления?
                    «Мы управляем нашими микротиками централизованно» сказать можно.
                    Но это будет все-таки то, о чем я писал в самом начале: «Все, что я мельком видел — админы самостоятельно писали какие-то скрипты для автоматизации некоторых небольших задач.»

                    • gecube
                      /#22544076

                      На Cisco, пока не сказал «записать», можно попросить кого-то просто перезагрузить устройство и вновь обрести контроль.
                      Можно ли так на Микротике, я не уверен.

                      можно… safe mode называется или вроде того

                    • Meklon
                      /#22544494

                      Можно в Safemode редактировать конфиг. Если связь оборвется и ты не сможешь подтвердить, то устройство откатит изменения.

        • namikiri
          /#22536666
          • Anrikigai
            /#22536776 / +1

            Да, к сожалению мысли, что «Эльбрусами» нужно заняться не для решения этой проблемы, а после приведения всей системы в порядок, я действительно не уловил.

      • bougakov
        /#22536456 / +2

        увлечение «Эльбрусами» — это симптом болезни, а не лекарство.

        В бизнесе есть разделение на «капитальные затраты» (CAPEX — железки) и «операционные» (OPEX — работы, услуги, зарплаты). Если деньги вваливаются в железки, а обслуживающие их люди получают низкие зарплаты — это симптом того, что с управлением что-то не то (либо некомпетентны, либо набивают карманы, либо и то и другое). Коррупционные схемы легче реализовывать на капитальных затратах — событие разовое, проще скрыть.

        Понятный пример — установка металлоискателей на вокзалах или закупка томографов без вложений в ставки и обучение врачей. Деньги освоены, ленточку перерезали, отчитались — но лучше не стало.

        • ascheck
          /#22548116

          Крайне странно Вы приплели сюда CAPEX и OPEX… В разных производствах их соотношение разное, никакого прямого указания на качество управления оно не даёт.
          Крупные разовые закупки на миллиард менее заметны, чем 100 контрактов с подставными фирмами на обслугу по 10-50к в месяц? Тоже спорно.
          Я не оправдываю наши структуры, но не согласен с озвученной логикой.

      • San_tit
        /#22536646

        а что исправит наличие вместо микротика с дефолтным паролем какого-нибудь РКСС/Русьтелетех или еще чего-то с таким же дефолтным паролем? «Вражеские» технологии носят критический характер тогда, когда у вас всё остальное защищено нормально, а так замена микротиков на отечественное железо эквивалентно решению вопроса о материале изоляции кабеля, когда у вас метр через метр на нем без изоляции вообще.

        • namikiri
          /#22536660

          Да, видимо, это не было так очевидно, как я себе представлял, но, оставляя комментарий про Эльбрус, я подразумевал, что всё остальное должно быть приведено в порядок. И не пытался выставить процессор собственной разработки как панацею ото всех бед, а, скорее, как решение одной из проблем безопасности.

          • San_tit
            /#22536774

            Да нет, это всё понятно, но эта самая минимальная проблема по сути, и решать ее надо будет тогда, когда всё (на самом деле, существенно более дешевое) уже сделано (я про уже существующие системы, при сборке новых есть смысл использовать доверенное оборудование сразу).

            Безусловно, стимулировать и помогать развивать производство оборудования надо еще «вчера», но оно вообще не панацея от халатности и недостаточного профессионализма кадров.

            • namikiri
              /#22537084

              Комментарий, просто, был к соответствующей заметке, а не ко всей статье в целом. Потому он и такой.

    • in_heb
      /#22536266 / +1

      закладки закладками, а оставлять дефолтный пароль на устройствах и обвинять в этом американцев это что-то из серии «Обама испражняется в подъездах»
      ну да конечно, сотрудники ЦРУ лично конфигурят микротики в РЖД

      • Areso
        /#22536402 / +3

        закладки закладками, а оставлять дефолтный пароль на устройствах и обвинять в этом американцев это что-то из серии «Обама испражняется в подъездах»
        ну да конечно, сотрудники ЦРУ лично конфигурят микротики в РЖД

        Миром правит не тайная ложа, а явная лажа©

  49. DimkoD
    /#22535582 / +1

    Не нужно иностранных, у нас достаточно отличных архитекторов и инженеров кто сделает сеть, но благодаря таким вот IT-директорам их к работе не допускают. Товарища нужно увольнять с профнепригодностью по специальности, но надежда что это случится очень маленькая.
    Хорошие сети у нас на частных предприятиях существуют, это не фантастика, там где люди действительно этого хотят — всё сделано красиво

  50. tangro
    /#22535600

    Автора, без сомнения, найдут и посадят. Ну или найдут и посадят кого-то другого, кто попадёт под руку. Конкретно этот один открытый шлюз закроют. Выпустят прес-релиз «была проведена проверка безопасности, критических проблем не обнаружено». Всё остальное останется, как и было.

  51. AcidVenom
    /#22535630

    БРАВО LMonoceros. Позор ржд.

  52. maksipes
    /#22535632 / +1

    Евгений Чаркин занимается самым обычным саботажем на своем рабочем месте, ИМХО.

  53. Sergey-S-Kovalev
    /#22535664 / +2

    Делай добро так что бы не узнали и не смогли найти.

  54. Zverienish
    /#22535666 / +4

    И наверное сертификаты ФСТЭК и ФСБ есть о соответствии требованиям.

    • Robur_le_Conquerant
      /#22539316 / +1

      вы знаете, как получаются эти сертификаты? Да, именно так. Вы правильно подумали.

      • vanxant
        /#22539594

        Ну раз вы «понимаете», то расскажите нам тут на хабре, как получают эти «сертификаты». И, заодно, что это за неведомые такие «сертификаты».

  55. Valya-roller
    /#22535668

    Что-то мне подсказывает что получение доступа к админским панелям управления камерами может дать не только картинку с пирона, но и картинку внутри сервера (Remote code execution). Я просто уверен что многие из этих камер не обновлялись годами и повысить привилегии до уровня «сервер админ» сможет любой школьник.

    • F0iL
      /#22535726

      Более того, там IPMI интерфейсы больших серверов торчат открытые, что дает возможность или получить доступ к консоли сервера, либо загрузить его с подсунутого ISO-образа и читать/модифицировать содержимое дисков, если они не шифрованы (а они скорее всего не шифрованы).

      • Valya-roller
        /#22535762

        а ну точно же. в таком случае нет слов, одни эмоции.

  56. sscoodd
    /#22535690 / +1

    Смотрю с уровня принадлежащего ржд завода: айти хозяйство постепенно ветшает, ибо все делается по остаточному принципу.
    Зарплаты у айти специалистов (да и у всех вообще, кроме топов) совсем небольшие, толковый спец на такое не согласится. В результате остаются не особо мотивированные и/или опытные, а задачи выполняются по принципу минимизации затрат сил. Что уж говорить о развитии — принцип работы чисто реактивный, не дёргайся, пока не просят.


    Бюрократия такова, что любые, даже критически важные закупки нужно проводить через казначейство. Недавно был свидетелем ситуации, когда в 6 рейде вышли из строя два диска и критическая система жила на грани краха пару месяцев, пока решался вопрос покупки.


    Купить что-то в ЗИП — нереально, не согласуют. Купить что-то для развития — только через тендер, где все равно все произойдет так, что новый сервер доедет изрядно похудев на комплектующие/характеристики.


    Автору респект, картина маслом: бесконечное "кроилово" приводит к тотальному упадку, что в сфере айти вылилось в дырявые сети и реальную угрозу остановки стратегической отрасли. Да и это же лишь фрагмент картины. Стоит закопаться поглубже, там вообще отверзнутся бездны особенностей национального хозяйствования…

    • playnet
      /#22538940

      Недавно был свидетелем ситуации, когда в 6 рейде вышли из строя два диска

      1) диск «горячего резерва» (hot spare). При покупке массива заявляется как обязательный, и что без него вообще никак. Чуть более заумно — и проканает. Ну или собирать сразу с ним из того что есть
      2) гарантия. У HP вплоть до того, что утром приезжает курьер «у вас диск сыпется, вот замена». Работал в гос конторе, там на гарантию не скупились.

      • sscoodd
        /#22539192

        1) Так точно.
        2) а вот тут наоброт.

  57. BigDrive
    /#22535722

    Я так понимаю перевести стрелки на путях и столкнуть пару поездов это уже не составляет труда?
    Это же живые люди, это уже серьезные аварии. Как выше люди писали надо обращаться с этим не в РЖД, а в ФСБ, тут дело жаренным пахнет.

    • Daimos
      /#22536948

      Ну не всё так просто, перевод стрелок контролируется и блокируется, чтобы маршруты не пересекались. Так же как и включение светофоров.
      Там надо серьезно в код влезть, чтобы вручную так просто переключить можно было. А местами и невозможно будет, где еще СЦБ не такое компьютеризированное полностью.

    • Zibx
      /#22537360

      Палить нахождение в системе управлением стрелками будет только дурак. Настоящий злоумышленник поменяет местами ядерную боеголовку с цистерной мазута, после чего прицепит эту боеголовку к поезду с порохом и всю связку встроит в поезд перевозящий бумалуп куда-нибудь в Воронеж.

      • Jabberwocky
        /#22538190

        Ядерная боеголовка ездит только с охраной живыми людьми и отдельным эшелоном. Железнодорожники знают только что литерный поезд (что везет — не знают, максимум знают что есть какая-то степень негабаритности) и маршрут ему прокладывают.

  58. tomoto
    /#22535736

    Превосходно. Но честно говоря я думал, что автор не живет в РФ. Если честно, выйди эта статья в 2020 я бы посчитал ее лучшей в теге телекомуникаций. Отличный подарок на новый год.

  59. iliabvf
    /#22535854 / +2

    А вот теперь главное, чтобы не взялись за вас, чиновники бывают очень обидчивые и глупые.

  60. vikvvv
    /#22535882 / +3

    Спасибо за статью! Надеюсь что здравый смысл победит, не в последнюю очередь благодаря таким людям как автор.

  61. madcatdev
    /#22535914 / +4

    Статья хорошая, проблема действительно есть.
    Не понравился только этот абзац:


    А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану.

    Все эти камеры, металлодетекторы с рентгенами, заборы и охрана — по большей части существуют для отмыва денег (по меньшей — для глобальной слежки за людьми и создания угнетающей атмосферы "как на зоне"), никакой реальной безопасности они не дают.


    Очень хорошо про это рассказано в этом видео .

    • artemerschow
      /#22536128

      Или в этом :)

      • wigneddoom
        /#22536516

        Или в этом

        • u440
          /#22537888 / +1

          Теракты предотвращаются на 99% агентурной работой. И где-то 1% — системами безопасности.
          Наверное везде, кроме КНР и КНДР.

          • wigneddoom
            /#22538262

            Очень смелое заявление о 99%. Согласен, оперативная работа и предотвращение преступлений — это то чем в первую очередь нужно заниматься. Но теракты есть, и лучше пусть как у нас в России массовые мероприятия ограждают бетонными блоками или мусоровозами, чем какой-то фнатик проедет на грузовике по толпе.

            • u440
              /#22538342

              Возможно. Как и то, что я скорее всего имел в виду теракты типа волгоградских.

              В ходе проведения Олимпиады в Сочи по окрестным горам/лесам сидело N групп ССО (ФСБ, ГРУ и прочие). Было перехвачено довольно много групп идущих на проведение терактов во время Олимпийских игр. Так что да — заслоны тоже работают.
              Но подозреваю, что гораздо больше террористов приземлили ещё на старте, по наводке от информаторов и агентов.

              • olekl
                /#22541770

                Да кому оно надо было там теракты устраивать? А спецслужбы там, емнип, занимались подменой анализов, а не ловлей неуловимых террористов…

                • u440
                  /#22542180

                  Как видно из сообщения выше — были персонажи, которым было интересно «там устроить теракт».

                  • olekl
                    /#22542206 / +1

                    Точнее, «фсб об этом отчиталась». В этом посте ржд тоже отчиталась, что у них все ок с безопасностью, а во всем натуралисты виноваты.

                    • u440
                      /#22542228

                      Ваше право — верить или не верить, это дело хозяйское.
                      У меня есть подтверждения вышеописанного от участника с нашей стороны (ССО). Ему я верю, соответственно вышеприведённые публикации для меня верифицированы.

                      На этом предлагаю спор закончить — переубеждать кого-либо на «хабре» дело бесполезное :)

  62. Bearpuh
    /#22535936 / +1

    Как то давно, когда была такая WiMAX сеть Starnet рядом с Yota, я нашел несколько уязвимостей в ней и в их устройствах: модемах, роутерах, впрочем как и в йотовских и написал подробное письмо в Starnet со всеми техническими деталями — никак не отреагировали. К слову сказать — не задавался целью, случайно мимоходом обнаружил. Писать статью на хабре даже мысли не было. Не знаю, может быть мне тоже стоило тогда хайпануть))).
    Автору могу только пожелать удачи, она ему пригодится.

  63. Max-812
    /#22535986 / +1

    Рисковый вы человек, автор. Они же не дыры будут затыкать, а вас искать и на вас собак вешать. По другому они не умеют. :(

  64. Bruce_Robertson
    /#22536076 / +3

    Автору — браво! Сохранил статью на всякий случай, если вдруг будут принуждать к удалению. Ведь Россия настолько сурова, что по Bug Bounty в ней могут и срок дать.

  65. maledog
    /#22536094 / +2

    Собственно это только кажется, что крупные корпоративные сети хорошо защищены. Никогда не преследовал цели взлома, но админское прошлое оставляет осадочек. Как правило оказывается что хорошо защищен в лучшем случае периметр, а когда попадаешь во внутреннюю сеть, как подрядчик, то выясняется что изнутри защита или отсутствует или слабая. Где-то забудут закрыть буфер обмена и монтирование каталога по RDP, где-то можно туннель во внешний мир или к своему компьютеру. Да и когда работал админом у нас тоже не очень было с защитой от утечки данных. Вроде ты все закрыл и зарегулировал и акт и приказы за подписью генерального есть. А приходит кто-то из топов и требует открыть ему доступ куда угодно, при этом не отключая от локалки, или разработчик требует прямой порт наружу для отладки на неопределенный срок, но когда дело доходит до того чтобы сообщить что срок закончился, то иногда оказывается что и разработчик месяц как уволился, но выясняешь ты это только сейчас, та