РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи на Хабре +111


AliExpress RU&CIS



По информации «ТАСС», пресс-служба РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи об этом на Хабре.

«РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сообщили в РЖД.
«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — заключили в пресс-службе РЖД.
Пресс-служба РЖД не пояснила, означает ли, что автор публикации (LMonoceros) попадает под ее последнее высказывание об уголовном правонарушении, например, по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

Утром 13 января 2021 года на Хабре была опубликована статья «Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…», в которой автор рассказал про успешное проникновение внутрь локальной сети РЖД и то, как он получил доступ к системе наружного наблюдения и внутренним сервисам компании.

Обновление публикации: автор статьи пояснил, что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости. На ресурсе Роскомсвобода автору пообещали помочь в случае необходимости и предоставить правовую защиту.

В ноябре прошлого года база клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» тогда пояснили, что это была попытка взлома.

15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а также обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта




Комментарии (192):

  1. Sudno
    /#22536846 / +12

    image

  2. Dimaaasik
    /#22536878 / +2

    Ничего удивительного(

  3. tmpnick
    /#22536918 / +2

    Надо было писать статью с анонимного аккаунта. Теперь непонятно стоит-ли автору ждать гостей.

    • Yuriy_krd
      /#22536936 / +2

      С очень высокой долей вероятности — вполне себе понятно.

      • tmpnick
        /#22537004

        вполне себе понятно

        Ну вообще говоря, компании выгоднее замять это дело и не раздувать скандал из-за которого репутационный ущерб будет ещё больше. Но это при условии, что у руководства РЖД есть хоть капля адекватности.

        • wxmaper
          /#22537028 / +1

          А что им до какой-то там репутации? Будто бы у них имеются конкуренты...

          • tmpnick
            /#22537086

            Конкурентов конечно у них нет. А вот IT-специалисты уже могут не захотеть работать в такой компании. Мне, например, недавно поступало предложение от дочерней компании сбербанка на вакансию 200к, но я отказался по причине плохой репутации сбера.

            • DesolatoR
              /#22537116 / +1

              0,0001% от айти-специалистов, может, и откажутся, но в целом такие кто откажется, скорее всего, и так не пошли бы работать в РЖД, а кто пошел бы — и так пойдет, потому что кушать хочется.

              • filserg3ev
                /#22537878 / -1

                +++ какие там 10-20к зелени нормальному айтосу, как в гниющей пендосии) на те 60к рублей оклад и премия, может быть)

                • EvilBeaver
                  /#22539334

                  Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж

                  • PsyHaSTe
                    /#22539378

                    Если 20к баксов в месяц то много кто в калифорнии получает

                  • DoubleW
                    /#22539396

                    Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж


                    Держи дружище если в гугле забанили примеры от 500к базовой (без бонусов премий и стоков, а с ними так и 1-2М набежит) ЗП($523K — $569K) и ниже

                    https://www.glassdoor.com/Salary/Apple-Cyber-Security-Salaries-E1138_D_KO6,20.htm

                    https://www.glassdoor.com/Salary/Bob-Evans-Restaurants-Cyber-Security-Salaries-E1190_D_KO22,36.htm

                    https://www.glassdoor.com/Salary/Bank-Leumi-USA-Cyber-Security-Salaries-E13212_D_KO15,29.htm

                    https://www.glassdoor.com/Salary/EY-Cyber-Security-Consultant-Salaries-E2784_D_KO3,28.htm

                    https://www.glassdoor.com/Salary/New-York-Life-Cyber-Security-Salaries-E2915_D_KO14,28.htm


                    или ты думаешь там за гроши работают как в РФ?
                    Тащим та РФ по уровню ЗП сейчас стоит на одном уровне с Пакистаном и ниже Индии, они это уже давно более скиллованная сила потому что они хотя бы еще английский знают в отличие от основной массы местных.

                    Нормальный сеньор там 350-400к годовых может иметь, толковый инфосек точно не меньше

                    А вообще крайне угарно, что у среднего айтишника в РФ такое рабское мышление, что он даже не может поверить(и не пытается проверить) в возможность получать 20к долларов в мес просто в качестве ЗП.

                    Скоро экономика «дорастет» до такого уровня что и в ЗП 2к не будут верить. Думаю что вся белая «частная»(которую не подмяло государство) экономика РФ раз в 4-5 меньше чем только один какой нибудь Амазон или ФБ.

                    • izmatron
                      /#22540188 / -1

                      Кто это там в пендосии 20к зелени-то получает? Вы бы не завирались, прям так-то уж


                      или ты думаешь там за гроши работают как в РФ?
                      Тащим та РФ по уровню ЗП сейчас стоит на одном уровне с Пакистаном и ниже Индии, они это уже давно более скиллованная сила потому что они хотя бы еще английский знают в отличие от основной массы местных.

                      Нормальный сеньор там 350-400к годовых может иметь, толковый инфосек точно не меньше

                      А вообще крайне угарно, что у среднего айтишника в РФ такое рабское мышление, что он даже не может поверить(и не пытается проверить) в возможность получать 20к долларов в мес просто в качестве ЗП.

                      Скоро экономика «дорастет» до такого уровня что и в ЗП 2к не будут верить. Думаю что вся белая «частная»(которую не подмяло государство) экономика РФ раз в 4-5 меньше чем только один какой нибудь Амазон или ФБ.


                      1) Всегда было забавно наблюдать как в зарплатных спорах сумму зарплаты среднего-звезд-с-неба-нехватающего-специалиста тут сравнивают с суммой зарплаты зрелого-серьёзного-специалиста там.

                      2) Забывают даже о такой элементарной вещи, как налоги. У нас принято указывать зарплату после налогов. Там — зарплату до налогов. Тем более не говоря, об совсем другой структуре затрат там (скажем в Калифорнии вы только за аренду жилья будете отваливать всю сумму зарплаты сеньора из какого нибудь Екатеринбурга).

                      3) Представления о низких зарплатах в РФ для квалифицированных ИТ-шников взяты откуда-то или из начала века. Или высококвалифицированными считают уже миддлов.

                      4) У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов. Что эквивалентно 1 100 000 до налогов, что в пересчете по курсу $15 000 в месяц. Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?

                      • staticmain
                        /#22540328 / +1

                        Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?

                        Адекватное лечение можно позволить? Продукты не из говна? Гарантии что завтра не приедет черный воронок за комментарий в интернете?

                        • Oxyd
                          /#22540408

                          Этот специалист шибко секретный. Целых 15к зелени получает, а мы про него только узнали.

                          • MacroSss
                            /#22540942

                            Ну я в Перми пару С++ программистов знаю которые как раз в районе 15к зелени получают.

                            В плане индусов, сейчас работаю в компании где у индусов зарплата всего 6-10$ в час, при том что у меня 30$ час.

                            Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час… И буквально год назад на хабре была публикация сколько получают в среднем в таких компаниях как Google и Microsoft, так там средняя была меньше 5к баксов.

                            • PsyHaSTe
                              /#22542286

                              Ну я в Перми пару С++ программистов знаю которые как раз в районе 15к зелени получают.

                              Работая в РФ по ТК?


                              Ну и на чистоту, 15к это даже в США редкость. Зайти на их фриланс биржи и основная масса заказов в пределах 10-30$ в час…

                              В среднем по стране может редкость, а для калифорнии — не очень.

                              • MacroSss
                                /#22542352

                                Да, оба в нефтяной отрасли и работают в области автоматизации скважин.

                                • PsyHaSTe
                                  /#22542382

                                  А в чем их обязанности заключаются? Сидят на удаленке дома и плюсцы починяют или в их обязанностях что-нибудь про сидение в глуши на скважине с ноутом? Просто реально интересно. У меня не так давно появилось сильное желание выходить на такие деньги, и по моим прикидкам кроме как в фаанг в штаты это нереально нигде получить. А тут прям под боком оказывается что-то подобное есть

                                  • MacroSss
                                    /#22542692

                                    Удаленка у них на сколько знаю запрещена из за высокого уровня секретности, так как в это области сейчас многие как Российские, так и зарубежные компании работают. В глушь не ездят, но периодически выезды на тестовые стенды бывают где реально в вагончике по несколько дней живут и тестируют работу.

                                    А так организация занимается разработкой оборудования для автоматизации и у них даже своя написанная ОСь есть.

                                    Но беда в том что на такую работу тяжело самостоятельно выйти, как правило на тебя выходят либо еще в универе или какай нить смежная компания тебя порекомендует.

                                    • PsyHaSTe
                                      /#22542774

                                      Ну невыездные режимные объекта может и платят столько, да. Спасибо, учту что такое тоже есть. В универе на меня помню действительно выходили, но я подумал что своими мозгами смогу получить такие деньги и без ограичений на выезды и т.п. Пока не супер получается, но надеюсь на лучшее

                                  • Jammarra
                                    /#22542702 / +1

                                    Я бы тоже хотел узнать. А то как человек закончивший ГИС и работавший в нефтянке в российских компаниях видел только ЗП по 15-30к причем не долларов. Причем с задержками по пол года, год.


                                    А ещё видел кидалаво вахтавиков на деньги. Да и в целом много чего за пол года увидел. После чего сказал. "не ребята вы тут как то сами" И больше и дня не работал по специальности =)

                            • ehots
                              /#22546208

                              Уважаемый, выйдите и зайдите по новой, 10-30 это самый низ рынка и очень в редких случаях американского. Фриланс и найм сравнивать как-то не совсем правильно.
                              Если ссылку на статью подкинете, может кто-нибудь поверит…

                      • PsyHaSTe
                        /#22542280

                        У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов.

                        Если этот человек работает по ТК РФ то я в такие цифры просто не верю. Если на удалене, причем исключительно на штаты (в Европе с такими зарплатми нужно быть супер-спецом, рокстаром), тогда конечно да, но это вроде никак не подтверждает вашу точку зрения.

                        • chemistmail
                          /#22543476

                          Зря не верите, ничего экстраординарного тут нет.
                          Если вам скажут, что человек не захотел работать в гугле и в фэйсбуке просто по причине просадки в доходе, такое наверно тоже по вашему не реально?

                          • PsyHaSTe
                            /#22543650

                            По-моему нереально. У меня есть два источника:


                            1. знакомые (т.н. "нетворкинг")
                            2. hh.ru/rabota.yandex.ru/мойкруг/...

                            И вот ни один из них ничего и близко в русском сегменте не предлагает. Топовые зарплаты в сбербанках и втб, и они заканчиваются на планке в районе 400к на руки.

                            • sumanai
                              /#22543780

                              такие вакансии в hh.ru не выкладывают. Там скорее всего по узкому кругу знакомых ищут.

                              • PsyHaSTe
                                /#22544836

                                Понимаете, я знаю, что топовые вакансии ищут по узкому кругу лиц. Но в то что они будут в 2 раза привышать лучшие предложения по рынку (и в 3 раза лучше всего что есть в открытых источниках) поверить уже куда труднее. Мне даже было бы интересно опрос сделать, слышали ли люди о таких зарплатах? Полагаю, что 99% ответит "нет".


                                Так что возможно это вакансии неуловимого Джо, они вроде бы и есть, но устроиться на неё нельзя. Не думаю, что на всю страну найдется хотя бы сотня программистов с таким окладом, а до недавнего времени я вообще считал что их ноль.

                                • sumanai
                                  /#22545086

                                  Не думаю, что на всю страну найдется хотя бы сотня программистов с таким окладом

                                  Тоже так думаю, так что реально подобные вакансии рассматривать не стал бы. 200к потолок на лёгкое трудоустройство, 300к на сложное и 400к для особо удачливых.

                        • /#22545038

                          Это в год.

                      • vedenin1980
                        /#22542770 / +3

                        как раз 700 000 рублей после налогов… позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии

                        А тут уже другая крайность — сравнение единичных случаев в «сибирском региональном центре» с средней зарплатой ITшников по всему США. Ну вот статья , где инженер фейсбука говорит о доходе в 2M$/год или 160k$ в месяц. Да таких инженеров в Калифорнии вероятно всего несколько сотен, но с большой вероятностью в глубинке РФ инженеров получающих 10k$ после налогов еще меньше и попасть в их число не проще.

                        Вот и сравнивайте, что лучше 10k$/месяц чистыми в сибирском центре или 100k$/месяц чистыми в Калифорнии.

                        • chemistmail
                          /#22543942

                          Вот что то мне в 100k$ чистыми в месяц очень слабо верится, мы же про инженеров говорим. Смотрю вакансии в гугле накопал, таких цифр не вижу.
                          А кто там что пишет, про 2М в год, ну как в анекдоте про доктора и старика…

                          • vedenin1980
                            /#22544028

                            мы же про инженеров говорим

                            Вы статью читали?
                            Во-первых, это SOFTWARE ENGINEER,
                            во-вторых, он учитывал акции, а вы смотрите чисто зарплаты,
                            в-третьих, он вероятно работал в Кремнивой долине,
                            в-четвертых, он работал в фейсбуке,
                            в-пятых, он дошел до одного из самых высоких уровней, на которые может попасть инженер, с порога такое никому не дают,

                            • chemistmail
                              /#22544068 / -1

                              Я же сказал, мне в это слабо верится. Если бы это была справка из налоговой, тогда бы поверил. А верить в то, что какой-то анонимный программист из фэйсбука получает 100к в месяц… Ну дело веры наверно.

                              • vedenin1980
                                /#22544126 / +3

                                Так же как то что кто-то в сибирской глубинке зарабатывает 15k$/месяц.

                                Речь вообще-то именно про то, что нужно сравнивать доходы одинаковые групп (по квалификации/количеству людей/опыту и т.п.), а не 0.1% самых богатых в одном регионе с средним уровнем в другом.
                                А единичные экстремумы мало имеет смысла сравнивать.

                                • chemistmail
                                  /#22544426

                                  Ну ок. 200к рублей в месяц чистыми в Новосибирске, вакансии можно посмотреть на hh, то есть это не редкость.
                                  Вакансии в штатах 160к $ грязными в год, ну будем считать что чистыми останется 100к.

                                  И там и там людям нужно жилье, смотрим 2 комнатную квартиру, квадратов от 60.
                                  По Новосибирску это 3 — 6 кк рублей (высший сегмент и хлам не смотрим)
                                  Итого получаем квартиру за 15 — 30 месячных зп.

                                  Смотрим аналог в штатах, смотрим крупный город
                                  из того что я увидел аналогичного цены начинаются от 300к $
                                  Итого получаем туже квартиру минимально за 36 месяцев.

                                  Конечно если зарабатывать 10к зеленых и тратить их в России, это сильно отличается от 200к рублей. Но в общем то цены и тд по странам сильно различаются. При этом 10к $ в месяц в России вполне реальные деньги для инженера.

                                  • vedenin1980
                                    /#22544540 / +2

                                    Вы неправильно считаете. Нужно смотреть не покупку, а аренду. Потом отнимать все остальные траты на равный уровень жизни (путишествия, еду, машину) и смотреть сколько останется с учетом покупательной способности. Это даст более реальное понимание соотношения уровня жизни.

                                    Почему не смотреть ипотеку? Потому что ипотека это сбережения, вы выплатив ипотеку в США можете перебраться на старости лет в Новосибирск, купив шикарную квартиру за 7 kk рублей и иметь 200k$ сверху. А вот в обратную сторону — не сможете.

                                    Плюс нужно не забывать какая пенсия у вас будет в США и какая в России.

                                    При этом 10к $ в месяц в России вполне реальные деньги для инженера.

                                    В России или Москве? Покажите массовые вакансии где обычному разработчику предлагали 730k рублей.

                                    • vedenin1980
                                      /#22544616

                                      Кстати, стоимость жилья это всегда функция от средней зарплаты (во-первых, средняя квартира стоит столько сколько средняя семья сможет заплатить, во-вторых, если строители зарабатывают в стране в 10 раз больше, то и квартира тоже построить без учёта материалов будет раз в 10 дороже). Поэтому деление зарплату на стоимость квартиры просто покажет насколько ваша зарплата больше/меньше средней по региону, а не ваш уровень жизни.

                                  • PsyHaSTe
                                    /#22544846

                                    А ещё дом за 300к$ в штатах обычно выгодно отличается от квартиры в многоэтажке в Новосибирске. Определенная наценка конечно имеется, но и качество выше на порядок, даже по сравнению с "высшим сегментом".


                                    Это во-первых. А во-вторых в штатах действительно не принято покупать жилье.


                                    При этом 10к $ в месяц в России вполне реальные деньги для инженера.

                                    Просто покажите вакансии в открытых источниках. Ну просто потому что вакансии на 200k$ в штатах я показать могу на обычном сайте, а не говорить что это тайными знаниями от АНБ передается.

                                  • DoubleW
                                    /#22546150

                                    При этом 10к $ в месяц в России вполне реальные деньги для инженера.


                                    У автора этих строк в небольшом сибирском региональном центре как раз 700 000 рублей после налогов. Что эквивалентно 1 100 000 до налогов, что в пересчете по курсу $15 000 в месяц. Нужно ли объяснять, что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?


                                    Ору с этих счетоводов, которые поймав удачу за яйца хвост и уютно пристроив свою пятую точку, найдя единичную вакансию и получая в 3-5 раз выше среднего по рынку всей страны, пруф:

                                    https://career.habr.com/salaries?_ga=2

                                    (
                                    ~ 40% получает меньше чем средняя не айти ЗП в Москве,
                                    ~ 70% получает меньше 2k — это меньше чем коронавирусное пособие в США,
                                    ~ 10% имеет больше 3к,
                                    и лишь один процент имеет больше 4500)

                                    почему то думают, что в проклятой забугорщине все получают среднюю ЗП, и конечно же там нет таких счастливчиков как они (они же уникальны как снежинки, и только в РФ есть такой шанс жить урвать вакансию в 5 раз выше среднего), кто тоже получает в 3-5 раз выше среднего.

                                    Хотя вполне возможно они понимают свой уровень квалификации и реалистично оценивают что на конкурентном рынке, они бы получали эту самую среднюю американскую ЗП (вероятно нашли эти свои вакансии по «блату» на месте и «осваивают» бюджеты, или может тупо удаленка на среднюю конторку в США?).

                                    Разочарую вас ребятки, имею достоверную инфу что даже в Британии, хороший МЛщик глава соответствующего отдела/департамента может получать ~800к GBP годовых базовой ЗП, а еще есть и бонусы и акции которые в РФ вообще не любят давать, чтобы не баловать холопов. Сам лично видел вакансию на просто мобайл тим-лида небольшой тимы(3-5 девов) на 250к в Германии.

                                    Да это редкие вакансии(и вероятно подавляющее большинство из них закрывают «по своим» рекомендациям), так же как и наличие вакансий на 10к на внутреннем рынке РФ.

                                    А вот вакансии на 400-500к суммарно годовой до налогов далеко не единичные — сотни тысяч работников в индустрии имеют такие, более того учитывая размер индустрии в США и Европе, я очень сильно подозреваю что людей имеющих такую ЗП на западе больше чем итого программистов в РФ суммарно(ну если не считать таковыми 1с и студентиков кто в бюджетных конторах эникеит).

                                    что на эти деньги в сибирском региональном центре можно позволить себе куда как больше, чем в Нью-Йорке, а уж тем более в Калифорнии?


                                    Расскажите пожалуйста что вы можете себе позволить? Может быть безвизовый въезд в большинство стран мира?
                                    Или свежий самсунг/айфон с пакетом за 50 долларов в месяц?
                                    Или вы можете позволить себе запатентовать изящное техническое решение и ваш патент будет признаваться во всем мире?
                                    Может быть вы можете себе позволить зайти в апстор в вашем сибирском региональном центре и в день релиза взять новый интересный девайс?
                                    Или может у вас быстрая и беспошлинная доставка с Китая до двери?
                                    Может быть у вас вашем региональном центре есть представительства или возможность удаленной работы на практически 95% топовых компаний мира?
                                    Или может у вас есть возможность купить нарезное оружие и на выходных задорно настрелять пару тысяч патронов из всех ваших легальных стволов?
                                    Может вы можете себе тарелку старлинка поставить на дачке в горах?

                                    Или вы просто говорите про обьем еды который вы можете купить на эти деньги, ну и дешевые местные услуги типа постричься да сменить колесо на авто?
                                    Которые как раз таки дешевые за счет местной повальной нищеты.

                                    А жилье дешевое потому что городок вымирает, и никто не видит там ни будущего, ни перспектив?
                                    image

                                    • chemistmail
                                      /#22547724 / -1

                                      Ну удача тут вообще ни причем, это просто труд, причем многолетний.
                                      На вопросы выше, 300к $ это именно аналогичная квартира, дома сильно дороже идут.
                                      На тему не принято быть владельцем жилья, а принято арендовать, не смешите. Если бы у всех тех у кого «не принято» была возможность купить, они бы купили.
                                      На тему безвизового выезда, без визы нет, но в чем проблема ее получить.
                                      Свежий айфон/самсунг за 50$ в аренду? На столе лежит айфон, специально посмотрел модель iPhone XS max, как умрет или начнет глючить пойду в магазин и куплю свежую версию, арендовать предметы обихода (или брать их в аренду) лично для себя считаю просто глупостью.
                                      Патентами не занимаюсь, но при необходимости это не проблема.
                                      Про апстор и день релиза )) Я даже не знаю когда у них день релиза )) Хоть по большому счету и маковод, посчитал, дома 7 девайсов от apple, вот только покупаются или обновляются они по необходимости ))
                                      Доставкой с Китая ни разу не пользовался, ну наверно службам доставки есть над чем работать…
                                      В настоящий момент удаленно можно работать на любую контору в мире, если есть язык, если ваша компетенция им интересна и если этот работодатель не сегрегирует работников по национальному признаку (вариант работы на иностранных военных тут не рассматривается)
                                      Хотя еще есть вопрос часовых поясов, эт да, с австралийцами у меня лично не заладилось работать, они просыпаются, я спать ложусь, в итоге решили не мучать друг друга. Но тут ничего не поделаешь, физика.
                                      С оружием да, ситуация разная, но вариант поехать в тир и отстрелять ящик патронов есть и тут.
                                      В домике в горах поставить Старлинк? Они вроде над нами пока спутники не гоняют, так что нет, не могу.
                                      Просто спутниковый инет поставить можно. Но вот домика в горах нет, хотя идея не плоха, надо подумать над этим.

                                      Объем еды и дешевые местные услуги, еду каждый день кушать надо, и услуги не всегда дешевые.
                                      И на тему Воркуты, вы думаете в штатах таких мест нет?
                                      Не обольщайтесь, там также есть города призраки, вообще там достаточно сильная сегрегация по доходу есть, я б сказал ужасающая.

                                      Ну и не понятно, ну если там так хорошо, чего ждать то, человек хозяин своей судьбы. По мне так и здесь не плохо.

              • PsyHaSTe
                /#22538470

                Я бы сказал что как раз 0,0001% от айти-специалистов это те кто согласится там работать. Только вот если умножить это на 1,9 млн программистов в стране окажется что и этого достаточно чтобы не тужить.

                • Neikist
                  /#22538512

                  Эээ, а откуда 1.9 млн если не секрет?

                  • PsyHaSTe
                    /#22538626

                    Я из первой ссылки гугла взял


                    По данным 2016 года, в России насчитывалось 1,9 млн IT-специалистов. Это примерно 2,4% от всего занятого населения страны. Для сравнения: в США, Германии, Великобритании этот показатель держится на уровне 4,2%.

                    Можно разве что прикопаться кто "не все айти специалисты это программисты", но на самом деле это и не важно, ведь как раз разнопрофильные специалисты ржд и нужны, а не одни програмеры

                    • Neikist
                      /#22539638

                      Ну в это число включают еще и дизайнеров, менеджеров, РП, аналитиков и прочих, не только технарей. Технарей скорее меньшинство. И то процентов 80 скорее всего эникеи.

            • Sterhel
              /#22537332 / +6

              А вот IT-специалисты уже могут не захотеть работать в такой компании.

              Дык судя по происходящему, IT-специалистов там и нет.

              • filserg3ev
                /#22537884 / -1

                Это сынок бухгалтера на пригретом месте, точно)

            • Marsikus
              /#22538508

              У чиновников часто падает планка если кто-то посмел усомниться в их святости, тем более если публично. А вы говорите о вещах рациональных, вроде репутации, рисков и так далее.

              • BobbieZi
                /#22539732 / +1

                Тут понятие «репутация» следует понимать несколько иначе…
                — это репутация в узких кругах кооператива Озеро…
                вот ЭТА репутация их больше всего беспокоит. И тогда все встает на свои места и становится рациональными: и риски, и последствия… Слова абсолютно те же, но обретают новый смысл.

            • eStellar
              /#22541346 / +1

              Тут как говориться, Вам шашечки или ездить?
              У компании может быть и плохая репутация, но именно Вы можете что-то изменить и заработать себе отличную репутацию таким образом.
              Я ушёл из компании с хорошими отзывами т.к. реально там полный треш под капотом, а сейчас работаю в компании, отзывы у которой такие что вообще не понятно что я там делаю. Но тем не менее именно тут я набрал отличный опыт, спокойное окружение и многое другое.

        • istepan
          /#22537126

          Да, вот только это госмонополия, а не обычная компания. Им до фени на репутацию.

          • Eklykti
            /#22537492 / -2

            Вот есть Сапсан, который едет 4 часа и привозит прямо в центр города. И есть самолёт, для которого нужно добраться до аэропорта, а потом из аэропорта до города. Но под Сапсаном могут ВНЕЗАПНО перевести стрелку такие вот умельцы. И сразу монополия начинает куда-то уменьшаться, потому что есть альтернативные способы перемещения

            • MartiniStar
              /#22537688

              Вот ваша правда. Так и есть.
              Ведь реально не в шутку, могут стрелку перевести. Например тот кто обижен на россиян. Или тот же школьник случайно. И ответственности не будет.

              • CherryPah
                /#22537722

                Емнип то пассажироперевозки для ржд чуть ли не убыточный бизнес на дотациях. Точнее конкретно сапсан может и не убыточен, а все это направление — вполне.
                Грузоперевозки — вот их основной источник дохода, а это на авиарельсы перевезти невозможно.

                • Areso
                  /#22537860

                  Который тоже сжимается. В ряде случаев автоперевозки дешевле.

                • maledog
                  /#22537868

                  Так у них(у госкорпораций) все убыточно. Качать нефть — убыточно, качать газ — убыточно, перевозить пассажиров — убыточно… проводить научные исследования и разрабатывать ПО… все.

            • nikolayv81
              /#22538410

              Да блин сравнивать самолёт с поездом по вероятности завершить путешествие не в той точке планеты с детальным исходом… Да ещё и в ситуации когда самолёт отнимет больше времени...

            • tnt4brain
              /#22538648

              Не надо раздувать из мухи слона. «Перевести стрелку» не так просто, как может показаться. Зависимости СЦБ между стрелками и сигналами никто не отменял — они заданы «в железе» — например, с помощью реле I класса надёжности.

              • ilialin
                /#22539074

                Вы уверены в этом на 100% или на 99%?

                • tnt4brain
                  /#22539094

                  На вопрос в таком тоне могу ответить только вопросом такого же тона — «в чём именно уверен?»
                  Вообще я этому учился, а потом проверял и применял полученные знания на практике. Так что мне вовсе не нужно быть «уверенным», потому что знаю, как это проектируется и как выглядит «в корпусе», а не «в принципе».

                  • ilialin
                    /#22539144

                    Извините, если вас обидел мой тон.
                    Теоретически, да, перевести стрелку так, чтобы поезда столкнулись, нельзя, автоблокировка не даст. Но это теоретически, а как может быть практически, написано в связанной статье. На бумаге, в отчетах — все ок, на практике же может быть «ой».
                    В соседних комментариях уже писали, если специалист заявляет о полной надежности/не уязвимости, то это не специалист.
                    И еще по поводу стрелок — а перевести стрелки, заблокировав въезд/выезд со станции — так можно? Никто ни с кем не столкнется, но и ехать не сможет.

                    • tnt4brain
                      /#22539222 / +2

                      Извинения приняты. Раз вы их принесли — это, видимо, я неправильно вычитал эмоциональный окрас, так что прошу простить теперь уже со своей стороны.

                      По поводу автоблокировки. Изначально системы централизации создаются на принципах «защитного отказа», то есть возможность состояния «никто никуда не едет» — она штатная, и именно в это защитное состояние переходят системы во внештатных ситуациях. Да, плохо, да задержки, но принимается, что сохранность жизней и грузов важнее, чем потраченное время. Собственно, многое в регламентах поездной работы написано вокруг порядка действий во внештатных ситуациях — вплоть до отправления и приёма поездов по путевым запискам, то есть при полностью недействующих средствах СЦБ. Связь для этого, конечно, требуется, но сугубо в духе «физическая пара проводов». Но мы отклонились, конечно, от темы.

                      Управление стрелками и сигналами на станции может быть дистанционным, от поездного диспетчера за 700 км., но физические приборы, проверяющие допустимость тех или иных сочетаний стрелок/сигналов, по-прежнему находятся в релейных помещениях. То есть после них — что угодно, хоть старые кнопочные пульты, хоть компьютеры с мышками, хоть ПЛК и свитчи, но первичные зависимости, которые определяются согласно техническо-распорядительному акту станции при проектировании — по-прежнему 100% локальные, и для их «взлома» нужен физический доступ в режимные помещения. Ну и это ещё не считая того, что по рельсам от сигнальной точки на локомотивные устройства передаётся кодированная информация как минимум о допустимой скорости на данном участке и закрытом/открытом состоянии след. светофора.

                      Короче говоря, на самом деле в СЦБ целый мир безграничных чудес и крайне остроумных технических решений, о которых можно долго и увлекательно рассказывать, но в комментарий это, конечно, не влезет.

                      Что касается предмета статьи — интранета РЖД — я учился по другой специализации, и могу только предположить, что описанная история — всё же вопрос недосмотра. Думаю, полнее/точнее смогут прокомментировать их официалы, полностью знакомые с ситуацией.

                      • anshdo
                        /#22540204

                        "и для их «взлома» нужен физический доступ в режимные помещения."


                        А вот охрана этих режимных помещений уже может быть более уязвима для сетевого взлома, как мы видим в упомянутой статье на примере видеонаблюдения.

                        • tnt4brain
                          /#22540258

                          Эм… То есть все бойцы подразделений ж/д охраны подключены к сети, и у каждого есть сайт с кнопкой отключения? O_o

                          Ну и я «взлом» намеренно в кавычки взял — просто потому, что без знания схемотехники устройств СЦБ можно максимум вывести из строя пульт. Это вы просто на повреждение не выезжали ни разу, когда «оно само» сломалось, и как раз в указанном защитном состоянии сигнальная точка находится. Всё, красный сигнал, никто никуда не сможет поехать, пока не разберётесь, почему устройства работают нештатно.

                        • hhba
                          /#22541122

                          Господи, да какой сетевой взлом охраны? Я уже писал в комментах к исходной статье — входи и ломай что хочешь. Хотя это не везде так, но на Московской — повсеместно. Нет там ни замков итальянских, ни ВОХРы на вертолетах. То есть вопрос безопасности в целом там не решен, и его решить в принципе очень сложно и дорого.

        • NAI
          /#22537192

          Кто-то должен быть виноватым, кого-то надо наказать. В основном, вешают все на простых работяг, т.к. все остальные прикрыты бумажками. Т.к. здесь человек внешний, то не самим же признаваться в собственном раздолбайстве? На него всех собак и спустят, чтобы:
          1. другим не повадно было. Показать, что найти можно всех и каждого.
          2. шумиху не поднимали. А то этож работа, совещания, оправдываться перед кем-то.

        • playnet
          /#22538024

          Это же рф, тут репутация не значит вообще ничего, а уж (около) гос структур — совершенно точно. Увы. При этом начальство просто переведёт стрелки на рядовых сотрудников, которые могут даже вообще не иметь отношения к проблеме, если вдруг какая-то проверка и будет, вместо того чтобы принять уже найденную проблему и выдать премию тем кто её исправил.
          Проблема в подходах, по сравнению с тем же западом. Даже если есть уязвимости — это нужно по максимуму отрицать, правда обычно проблемы при этом стараются устранить. Но я пока просто не могу себе представить bug bounty в гос сфере. Как это, ещё и платить за то что показали ошибку? Скажите спасибо если через фсб не сделаем проблем вплоть до тюрьмы.
          (грустный сарказм)

          Впрочем, дыра у СДЭКа с базами сколько была открыта, 2 года? И закрыта ли сейчас?

          • /#22539296 / +1

            начальство просто переведёт стрелки
            =)

        • Moskus
          /#22539490 / +1

          В который раз читаю на Хабре в комментариях про «репутационный ущерб» монополисту, госкомпании, было даже как-то про репутационный ущерб органа местной исполнительной власти. Откуда вы все это берёте, из какой фантазии об абсолютной свободной конкуренции, которая просто по сути не относится к указанным категориям?

          Плюс, среди занимающих высокие посты очень распространена реакция «да как они посмели!» Это страшно выводит из себя многих самодовольных руководителей (не важно, госкомпаний, корпоративных, государственных), потому что они и по натуре авторитарны, а когда им много лет подряд все подчиненные кланяются, ситуация, когда «какой-то пацан» (независимо от возраста) им так или иначе смеет перечить, может таких и до сердечного приступа от гнева довести. Так что срать они хотели на репутацию, им главное — наказать за «хамство» (в буквальном библейском смысле этого слова — отсутствие безусловного уважения к старшим).

    • Drag13
      /#22536988

      Вполне понятно. Вопрос в том с чем ждать и чем закончится визит.

    • Tomok
      /#22537024

      Гораздо более непонятно, с чего кто-то решил, что автор наследил так, что искать к нему путь будет дешевле, чем поиск кого-то левого.
      У меня устойчивое подозрение, что за автора беспокоиться не нужно :)

      • DarksideCat
        /#22537122 / +1

        Автора будет сложно найти только если гуглом не пользоваться, сейчас люди очень сильно следят в интернете личными данными. Поиски заняли меньше минуты.

      • NAI
        /#22537128

        Да вот с точностью до наоборот.
        Там думают другими категориями. Сидите вы в уютном кабинете, пилите баблишко, секретарь(-ка) носит кофе, каеф! И тут хлоп, вызывают наверх, маты, ор.
        -Нас взломали! Пресс служба прохода не дает. Че у тебя там творится?
        -В смысле? Кто взломал? Чё украли?
        -А вот, нехороший человек, редиска — LMonoceros! с какого-то хабра. Там снимки с наших камер и систем.
        -Ну так это, СанСаныч, ща подниму всех, найдем мы этого хлопца. Че переживать, то? Найдем, посадим, объявим что негодяй пойман благодаря нашим охранным системам.
        -Ну давай быстрее, а то нафиг нам лишнее внимание.

        Ктож на таких должностях, особенно в РФ, признает свои ошибки?

        • TimsTims
          /#22538480

          Ктож на таких должностях, особенно в РФ, признает свои ошибки?

          Нет, не так. Тот, кто признает свои ошибки, надолго там не задерживается, его очень легко заменить тем, кто "никогда не ошибается". Поэтому таких там и нет )

          • Shaman_RSHU
            /#22542234 / +1

            В РЖД должность с определенного уровня передаются по наследству. Все кто «ниже планки» — обычно расходный материал.

        • glendanzig
          /#22540068

          Все можно обернуть в свою пользу. Типа, спецом оставили пару дырок, чтобы хакеров выявлять на нач. этапе. Но, дыры были не критичные (мы же в ПЖД не лохи), поэтому ничего не украдено, зато хацкера нашли.

    • CherryPah
      /#22537120 / +1

      Вполне понятно
      Автор первоначальной статьи про сапсан, несмотря на то что публиковал статью с анонимного аккаунта подтвердил
      habr.com/ru/post/536750/#comment_22536790

      Эх, друг, они заводили дело на меня. Хабр сразу слил инфо.
      Поздравляю, ты написал тут текста на 272 в чистом виде

  4. ivanovdev
    /#22536932 / +2

    Вложиться в IT или построить шубохранилище? Хмм… Давайте согласуем метраж, деньги, кажется, я нашел :)

    • iproger
      /#22539014

      Правильный ответ в том когда такого вопроса не стоит из-за уголовной наказуемости.

  5. rrust
    /#22536964

    Все хорошо прекрасная маркиза!
    Чего вы зря волнуетесь, угрозы безопасности движения пока нет!
    Вот когда всё ЖД реально парализует, вот тогда и пишите статьи.
    До сих пор все работало и будет работать, ведь никакое западное государство официально не планирует атаки на отечественную инфраструктуру.
    (сарказм)

  6. Rohan66
    /#22537016 / +2

    А обратили внимание, как лихо сменили акцент?

    утечки персональных данных клиентов холдинга не произошло

    А в остальном, прекрасная маркиза — всё хорошо, всё хорошо!

    • justhabrauser
      /#22537228

      И всё-таки остаются сомнения.
      Вот если бы в конце было написано "Мамой клянусь!" (ну или "Честное пионерское!" хотя бы) — вот тогда да, тогда бы была абсолютно полная уверенность.
      А так — нещитово.

  7. mvv
    /#22537044

    Мне кажется, что информацию о дырах в безопасности обычно публикуют после исправления дыр.
    И уж точно — после общения с организацией, где возникла угроза такая угроза безопасности.

    • sumanai
      /#22537070

      Ну вот организация публично ответила, что всё отлично.

      • Johnneek
        /#22537156

        Все отлично, вагоны в эти так называемые дыры в информбезопасности не пролазят, видео с камер и так никто не смотрит, и вообще это не дыры, а технологические вентилляционные отверстия

    • creker
      /#22537118 / -1

      Порядочные люди во всем мире так и делают. Делал ли это автор непонятно. Бегло не нашел ответа. Если попадет под суд, то никто кроме него самого в этом виноват не будет.

      • AotD
        /#22537308

        Судя по всему нет. Но даже за этичный хакинг согласно закону всё-равно должны привлечь и посадить =) Неправомерный доступ был? Был! Вот вам два стула, присаживайтесь…

        • creker
          /#22537328 / -1

          Мало того, что доступ. Человек порядочно погулял по чужой инфраструктуре, наделал скринов и выложил это все на хабре. Нормальные исследователи так не делают все таки. Даже с точки зрения этики белого хакинга тут одно сплошное нарушение.

          • AotD
            /#22537406

            Я прекрасно это понимаю. Но даже если бы он выполнил работу внешнего аудитора (хотя его не просили) и принёс всё это не на Хабр, а в СБ РЖД, — то только добрая воля СБ и не подача заявления в органы уберегла б автора от уголовки.
            Так что выбор был:
            — не делать ничего и ничего не получить
            — отнести всё в РЖД и молить о пощаде (всё ещё с не иллюзорным результатом посадки и без каких-то стимулов со стороны организации закрывать бреши в собственной безопасности)
            — предать огласке (с более гарантированным результатом присесть, но и гораздо бОльшим подрывом жёп и ускорением устранить проблемы со стороны организации)

            • creker
              /#22537526

              Можно было начать с малого. Показать, что есть возможность получить доступ к инфраструктуре. Не предоставлять доказательств, выкладывая фотки с камер, а просто намекнуть, что ты это все видел и знаешь, но подтверждать в силу опасности привлечения не станешь, но при бездействии выложишь все это. В этот момент привлекать не за что, состава преступления нет.

              Если после этого прошло время и тишина, то можно уже поднимать вопрос о разглашении ввиду бездействия. Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.

              • NAI
                /#22537614 / -1

                Уголовка грозит, но хотя бы ты чист перед сообществом таких же исследователей.

                Сомнительная какая-то перспектива. Лучше уж замораться в сообществе анонимусов и не иметь уголовки, чем иметь уголовку из-за 5 минут славы.

                • creker
                  /#22537886 / +1

                  В смысле не иметь? Конечная цель все равно или намекнуть, чтобы они сами исправили, или выложить и заставить тем самым исправить. Для меня проблема в этой истории, что человек похоже даже не пытался сделать все порядочно. Обратиться по официальным каналам. По не официальным, если молчат. Это тоже можно было все анонимно как-то делать. Подождать и только потом на огласку выводить. По крайней мере тогда человек чист хотя бы с этической точки зрения. В суде можно будет не стоять молча и слушать приговор, не имея возможности даже возразить — уголовка тут чистой воды с какой стороны не глянь. Если, как внизу пишут, бежать в другое государство, то у тебя тоже есть хотя бы какое-то основание требовать снисхождения, а не так, что ты убежал, просишь убежища, а, по факту, ты взломал критическую инфраструктуру страны и рассказал об этом всем. Такого выпрут из страны тут же.

              • Xobotun
                /#22537990

                перед сообществом таких же исследователей

                Автор причисляет себя к gray hat'ам, а вы, мне кажется, всё же имели в виду сообщество white hat'ов. С их точки зрения автор поступил неправильно, если я понимаю эту классификацию.

              • playnet
                /#22538064

                но при бездействии выложишь все это

                Шантаж.

              • Mapaxa864
                /#22538488

                что ты это все видел и знаешь, но подтверждать в силу опасности привлечения не станешь, но при бездействии выложишь все это. В этот момент привлекать не за что, состава преступления нет.

                Звучит как шантаж.

    • AlexGluck
      /#22537224

      Увы, но в РФ такая практика не работает. По многочисленным отзывам проблемы не исправляются, а специалисты подвергаются гонениям.

    • Rohan66
      /#22537288

      Попробуйте «пообщаться» с РЖД. В основном топике товарищ писал про опыт «общения» с РЖД по поводу неисправных светофоров.

    • Sterhel
      /#22537384

      Мне кажется, что информацию о дырах в безопасности обычно публикуют после исправления дыр.

      White hat публикуют такое или после исправления уязвимости, когда уже дыру закрыли и все ОК, или после того, как компании неоднократно давали понять, что у неё решето, в которое астероид пролетит.

      Плюс смотрите, вот автор об этом написал, откровенно рискуя. А представьте, что эта дыра уже кем-то найдена и активно эксплуатируется месяцами, просто потому, что ее нашли, но не стали об этом писать.

      • OnelaW
        /#22543376

        Что значит представьте?) Автор же черным по-русскому написал, выявил, что он не единственный кто получил доступ.


        Смею предположить, что эти некоторые не первый день устроили там пастбище, и это был не единичный случай. Правильные люди там имели доступ или неправильные пока не знаем.

    • mithdradates
      /#22537424 / +4

      Когда в организации работают клоуны, которым на всё плевать, то резонанс — единственный выход. Вы же видите как они отреагировали на опубликованную статью — «все чисто, все хорошо», с чего Вы взяли что общение с ними по приватным каналам бы дало что-то? Его бы сразу послали. Я напомню, что это не какая-то там частная компания, в которой большинство ущерба придется на эту самую компанию и можно сказать «ну нет так нет, сам дурак» — это часть критической инфраструктуры, от неё зависят жизни тысяч людей и национальная безопасности (и да, тут угроза нац. безопасности куда более серьёзная, чем от невозможности посмотреть «Царьград» на Ютубчике). У меня почему-то есть стойкая уверенность, что там можно куда глубже, чем в камеры наблюдения залезть (а это уже очень плохо).

      • playnet
        /#22538128

        Чтобы не было наказания, должен быть договор на аудит. Но сами ржд на такое никогда не пойдут, только если им сверху придёт указание. А кто им такое может дать? Фсб — у них свои заботы, а президент — птица совсем высокого полёта…

        ЗЫ Очень надеюсь, что если удастся найти правильного человека из ФСБ, который захочет получить повышение на громком деле, то и автора не тронут, и настоящих виновных в РЖД понизят/уволят. Посадят — вряд ли, там и их связи поднимутся, и денег они явно заплатят при проверке кому надо. Но просто понижение + настоящий глубокий аудит и переделка — для рф это будет уже идеальным сценарием.

  8. ivan_safon
    /#22537106

    Так мы и поверили, конечно же

  9. iiwabor
    /#22537154 / +1

    Суда по всему, руководство РЖД не считает все, что накопал автор, ценной информацией. Вот если бы он черную бухгалтерию раскопал — сколько откатов, кому, какие счета в каких банках и т.п. — тут РЖД бы резко возбудилось, причем сразу вместе с прокуратурой, СК, ФСБ и прочими силовиками…

    • NAI
      /#22537264

      Автора повязали бы еще на стадии написания «черновика».

    • tyomitch
      /#22538046

      Так ведь находили счета виолончелиста: никто не возбудился, точно так же объявили, что всё в порядке и нет никаких проблем.

  10. Oxyd
    /#22537182

    О! Интересно, а прокси прикрыли? Или пока не нашли какие из? ;-)

  11. numitus2
    /#22537222

    Надеюсь автору хватит ума сбежать из России, потому что тут 100% будет уголовка

    • creker
      /#22537314

      А что его защитит от преследования за границей? Нарушение закона на лицо и за подобное можно сесть в любой цивилизованной стране.

      • numitus2
        /#22538352

        Ну есть шанс что могут и не выдать

  12. sim2q
    /#22537274

    и написал: «РЖД, поправьте все, через пару месяцев снова проверю».
    Для такого монстра 2мес — даже согласование не закончится, не то что поправить. Если только лично кто-то не займётся.

    • Gryphon88
      /#22537750

      Да там десятка с конфискацией…

  13. andyudol
    /#22537294

    Человек обнаружил уязвимость системы снабжения вооружённых сил страны, раструбил об этом на весь мир и надеется, что это доброе дело не останется безнаказанным?

    • BiW
      /#22537850

      Не хочу вас расстраивать, но чуйка мне подсказывает, что, в случае такой дырявой системы, в ней уже наверняка пасутся все, кому не лень — начиная от «мечтающего захватить расеющку НАТО»(тм) и заканчивая разведкой Таджикистана. Причем, скорее всего, не первый год. И, скорее всего, закрыть это решето возможно только в случае грандиозного скандала. Потому что в противном случае всем будет как всегда.

      • andyudol
        /#22537976 / -3

        Грандиозный скандал был бы, возможно, если бы он написал верховному главнокомандующему. А так — максимум истерика в бложиках, когда его посадят.

        • BiW
          /#22538254

          Т.е., вы считаете, что он должен был промолчать и не воспользоваться даже этим мизерным шансом? Ради сохранения того, что, очевидно, есть секрет Полишинеля?

        • Rohan66
          /#22539226

          А верховный хоть что-то читает из РЕАЛЬНОГО мира?

          • vanxant
            /#22539376 / +1

            По слухам, ему по утрам приносят пару свежих газет (одних и тех же 20 лет) и «распечатки интернетов» примерно в таком же объёме.

            • Rohan66
              /#22539494

              «Правду» и «Известия»?

              • nikolayv81
                /#22541800

                Известия вроде давно life выкупила… Не думаю...

            • andyudol
              /#22541084 / -4

              Я лично знаю только один случай, но зато не «по слухам», а вполне конкретный. Подруга моей мамы позвонила по его телефону, через некоторое время он ей перезвонил, она изложила, в чём проблема и через небольшое время вопрос был решён.

          • maledog
            /#22539706 / -1

            А кстати, автор же мог и не писать статью а просто попросить у Верховного еще 2 млрд. долларов на свой счет от имени главы РЖД.

            • PsyHaSTe
              /#22539722

              — А ничего что мы без тендера?
              — Да нормально, я согласовал

        • anatoly314
          /#22541844

          Если его посадят, то тем самым выстрелят себе в ногу. Следующий раз когда кто-то найдет что-то, в лучшем случае ничего не сделает, а в худшем сольет инфу на специализированных форумах или сам продавать начнет.

    • Rim13
      /#22538926

      А был хоть единый случай когда такие конторы почесались при попытке напрямую их проинформировать?
      Комментарий после публикации случая в сапсане всё явно показали.
      Из комментов оригинальной статьи, так же вылилось что попытка связи с РЖД не удалась. На телефон не отвечали, почтовые ящики завёрнуты.

  14. filserg3ev
    /#22537302

    Автор уверен в себе, раз постит, не переживайте так за него) а со статью так ору, первый раз вижу просто.

  15. amarao
    /#22537350 / +4

    Я хочу сказать, что безопасник, утверждающий, что в его сети нет критических уязвимостей, и программист, утверждающий, что в его коде нет багов, просто некомпетентны (coq — я не про вас, спасибо).


    Опытный специалист скажет, "последний аудит не нашёл критических уявимостей" или "нет известных нам уязвимостей".

  16. Almet
    /#22537374

    Прям как в концовочке в фильме Хакеры, с Джоли

  17. SergeyDeryabin
    /#22537380

    «РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения.


    Давайте, показывайте своих аудиторов и их заключения )

    • Sterhel
      /#22537400

      тестирует и аудирует новые решения.

      — Николай Степаныч, смотри, там новое решение в IT подвезли
      — А ну-ка, какое?
      — Как его… файрволл называют, нам надо?

  18. mvv
    /#22537382 / -6

    Сосед двери в своей квартире не закрывает на замок. Я подергал за ручку — открылась.
    У него там масса вещей, кторые можно унести или испортить. Вот, смотрите, я фото сделал в подтверждение моим словам.
    Ах да, я пробовал говорить об этом соседу — он злится, что я к нему лезу. Эх, Расея. Поэтому рассказываю всему свету.

    • artemerschow
      /#22537434 / +5

      А сменим квартиру соседа на школу/детсад, режимный объект (тюрьму ту же) или что-нибудь ещё, так акценты сразу меняются, да?

      • vanxant
        /#22537500 / +2

        вот не надо менять соседа на тюрьму

    • amarao
      /#22537476

      Конторка неподалёку от моего дома не закрывает на замок. Я подергал за ручку — открылась.
      У них там масса вещей, кторые можно унести или испортить. Вот, смотрите, кнопки управления атомным реактором, биолаборатория 4ой категории, хранилище с гранатомётами.


      Ах да, я пробовал говорить об этом начальнику конторы — он злится, что я к нему лезу. Эх, Расея. Поэтому рассказываю всему свету.

      • mvv
        /#22537558 / -1

        Так автор не пробовал же «говорить». Сразу растрезвонил по всему свету.

        • mithdradates
          /#22537588 / +2

          И, как оказалось, был прав, ибо даже после того как он «растрезвонил», в ответ пришла обычная отписка — «проводим расследование». Вангую через пару дней «РЖД проверил РЖД и все нормально». Это, впрочем, было ожидаемо после того, как и прошлый прокол с Сапсаном они не признали и вместо этого скатились к переходу на личности.

    • ghrb
      /#22537516 / +1

      Я так понимаю, если окажется, что в ваш водопровод с которого вы пьёте воду, кто угодно может наложить фекалий (а если судить по запаху и пятнам — уже это делает), то вы предпочли бы не знать про это?

      • Jammarra
        /#22537946

        Почему если? Я вам гарантирую что так оно и есть)

    • mithdradates
      /#22537578 / +1

      Вы же понимаете, что это демагогия и Вы сравниваете совершенно разные вещи? В одном случае — частная собственность и, в целом, если он такой дурак, что ему важнее своя гордыня, чем безопасность и сохранность собственности, то ладно, это его выбор. Если к нему вломятся и что-то утащат, то пострадает только он сам. Здесь же речь идёт о критической инфраструктуре целой страны и гордыня / некомпетентность кучки людей может повлечь массовые жертвы, мощный экономический удар и поставить под угрозу национальную безопасность. Вы и правда не замечаете разницы?

      • mvv
        /#22537612

        Вот именно, он подвергает опасности «критическую инфраструктуру целой страны», не общаясь с заинтересованной стороной, выложил критически важную информацию. Было бы понятно, если бы он обратился и получил отказ в какой-то форме, так нет — просто «потому что могу, меня там раньше обижали».

        • mSnus
          /#22537790

          Это не он подвергает опасности, а те, кто оставил эти дырищи. И если бы он не привлёк к ним внимание, то дырами воспользовался бы рано или поздно кто-то не столь белый и пушистый.

          • mvv
            /#22537832

            Логика вора-домушкника какая-то. «Плохие замки провоцируют кражу».
            «Вечер в хату, братва, во-о-он в той квартире замок никакой, имейте в виду».

            • khulster
              /#22538204 / +1

              Логика вора-домушкника какая-то.

              В том то и дело не домушника. За этой незапертой дверью не только личные вещи владельца. Но ваши, мои и многих других людей, которые уверены, что все хорошо и под контролем.
              Вот скажите, тех кто фотографирует как недобросовестные работники Аэропортов швыряют и ломают чужой багаж тоже надо называть? Ведь они даже не пытаются с грузчиками, которые швыряют чемоданы поговорить, убедить, что они не правы? ;)

          • Metotron0
            /#22537974 / +2

            Он же там написал, что ими кто-то уже пользуется.

          • Xobotun
            /#22538020 / +3

            Автор в тексте мягко намекает, что этими дырищами уже пользуются. Сейчас о них просто стало известно чуть большему количеству людей.

            • mvv
              /#22538360

              Ну так гипотетические «те» не трубили об этом на весь свет. Чуть большее, ну да.

              • avost
                /#22539048

                А вам станет легче что аас на тот свет отправят "те", которые не трубили? Они же там не мороженки пассажирам раздавали.

        • Kvakosavrus
          /#22539080 / +1

          Почему? Пост на Хабре — именно общение с заинтересованной стороной, а именно обычными юзерам железных дорог. Читали каменты? Народ волнуется, что такой бардак.

    • Cost_Estimator
      /#22537876 / +1

      От того, что некие лица обнесут квартиру соседа, не пострадают другие жильцы этого огромного дома. А вот если лифт или какой другой транспорт вывести из строя, то будет хуже. В данном случае лифтер говорит, что с его хозяйством все ок.

    • anatoly314
      /#22541870 / +1

      У меня в своей жизни было несколько раз, что я проходил мимо мотоцикла с ключами, квартиры в которой ключи остались с наружной стороны. В первом случае я забирал ключи себе и оставлял записку куда звонить, чтобы забрать. Во втором случае я стучался/звонил в дверь, иногда поздно ночью, иногда будил людей. И всегда, я повторяюсь ВСЕГДА люди были мне благодарны. Ах да, маленькая мелочь, я не живу в России. В России мне наверное бы морду набили :)

      • tumaso
        /#22542466 / -2

        И наверное это было в мусульманский районах твоей славной европейской столицы?)

        • anatoly314
          /#22542604

          Это не зависит от района, а от людей. На вскидку, в мусульманской деревне я снял деньги с банкомата (чуть больше 100$) и забыл забрать. Через пару минут возвращаюсь, а там ищут чьи деньги и мне без вопросов отдали. В другой раз тоже не в еврейском магазине выпала +- такая же сумма из кармана, через минуту вернулся, а нету… и никто не отдал. Страшилки про мусульман это 1. пропаганда 2. отморозки которых все-таки меньшинство и которые благодаря извращенной системе новостей попадают на первые полосы газет. И кстати, отморозки есть в любом обществе, важно их процентное соотношение относительно всего общества.

          • tumaso
            /#22548086

            Только почему то в своем областном городе в России я спокойно могу ходить по всем районам города в любое время, включая ночное время и в районах компактного проживания местных мусульман (татар).
            А вот в Париже например остерегусь соваться даже днем например в 10 район, или например в 18, или 20. Что, виновата извращенная система новостей?

      • chemistmail
        /#22548442

        Неделю назад был в такой ситуации, соседи не закрыли дверь, постучал, сказал что дверь открыта, сказали спасибо, закрыли. Живу в России )) Чтож прям про Мордор то какие-то страшилки придумывать )) Люди везде люди, и уродов везде хватает.

  19. Victor_Grigoryev
    /#22537680

    а вывод-то в истории в том, что РФ и почти вся её айти-инфраструктура: дырявая и коррумпированная клоака, причём построенная на деньги её же жителей. буквально вчера смотрел фильм дурак, а сегодня статья чувака про дырки у ржд. и смех, и грех что ли


    у той же редакции на ютубе недавно был фильм про авторов из беллингкэт и инсайдер. краткий пересказ: в РФ можно слить любую инфу о любом человеке из любой базы, благо, новости о создании ещё одной на хабре идут каждую неделю. и всё это за ваши налоги. и это возможно только в РФ потому, что стране очень были нужны куча данных о гражданах с миллионом точек сливов и коррупции по дороге.


    хотя нет, вы знаете, всё ж таки смех. сами жители во всём и виноваты ведь, раз позволяют стране изо дня в день плевать в лицо гражданам) ладно пробивы по базам, фиг бы с ними, но факт того, что абсолютно любой хоть немного знающий ИБ спец не вставая с дивана вскрывает широченную сеть ржд — это фиаско. и усиливает его то, что подобная ерунда с ИБ наверняка творится повсеместно...


    а автору исходной статьи удачи! она ему будет кстати, ибо кому-то из жирных в галстуках придётся хорошенько присесть за хищения и халатность)

  20. filserg3ev
    /#22537708

    РЖД только и может, что прокомментировать) а спеца нанять жаба душит

  21. Igor_Shumilov
    /#22537710 / +1

    Надеюсь у РЖД хватит ума не обижаться и угрожать, а воспользоваться помощью автора и устранить проблему. Ведь если такими дырами воспользуются люди с нехорошими намерениями и устроят локальный армагедец, то ответственность будут нести и руководители РЖД, которые принимали работы по организации защиты их сетей. И «злыми американскими хакерами, работающими прямо из Белого дома» они не прикроются. Даже если это будет правда.

    • filserg3ev
      /#22537862

      Ты, кажется, забыл, где находишься)

      • Igor_Shumilov
        /#22537924 / +1

        Нет, не забыл. Поэтому нежелание руководства РЖД решать проблему с ИБ может очень легко столкнуться с желанием руководства специальных служб посадить на кол железнодорожников. Образцово показательно. Доложив наверх о том, как героически они борются за безопасность Родины в столь неспокойный час.
        Ведь сертификацией этой самой ИБ стратегического предприятия, вероятно, занимались их конторы. А значит и они сами под ударом.

        • sumanai
          /#22537956

          желанием руководства специальных служб посадить на кол железнодорожников

          А посадят хакера.

        • NAI
          /#22538062 / +3

          Образцово-показательно сажают всегда младший состав, т.к.
          во-первых, те кто сверху обложены бумажками и распоряжениями. Мол мы выпустили, а они не выполнили. То что физически все это выполнить невозможно, никого не волнует (это даже анализировать не будут).
          Во-вторых, топы имеют деньги чтобы отмазаться, а низы с ЗП XX к. (двузначное число подставьте произвольно) нет.
          В третих, топы чаще всего имеют выходы на тех же силовиков\СБ\дорогих адвокатов (читай заносят, чтобы их сильно не прессовали из-за всяких дел). Силовики ессно не захотят лишаться приличного дохода.

          В большинстве авиационных аварий виноваты пилоты, диспетчера и изредка техники (хотя на общем фоне яб последних исключил). Мне не известны случаи, чтобы после какой-нибудь аварии сажали менеджера, руководителя или любого другого «оптимизатора». Хотя именно эти люди чаще всего и орут в трубку «выпускайте самолет!» и давят на персонал.

  22. filserg3ev
    /#22537846

    Не удивлюсь, если айтишникам в ржд оклад поднимут, так сказать, на усиление защиты)

    • smsi
      /#22537986

      Скорее премии лишат.

      • vanxant
        /#22538484

        Но оклад-то повысят!

        • merhalak
          /#22539712

          Сомневаюсь, что он сильно больше 24500р.

  23. xxx52rus
    /#22537880

    если есть системы мониторинга инфраструктуры, можно подключится к информационным табло, посмотреть камеры, вдруг там где-то можно еще повертеть стрелкой на путях, это ведь уже совсем другая и реально опасная история… честно говоря даже страшновато стало про поездки на пездах думать, как бы не вышла новая статья про "беззащитность сапсана" от другого поезда например, или тупика....

    • playnet
      /#22538160 / +1

      Поездки на чём, простите? ))

      • xxx52rus
        /#22538238

        *поездах, простите, я правда без умысла)))

  24. vakhramov
    /#22538170

    Управление путями — это сегмент сети ОТ, автор же залез в безобидный сегмент.
    Помню, как друг трактором рванул спецсвязь, поезда остановились на одном направлении. Он скрутил провода дрожащими от тока руками, сразу все набежали — МВД ФСБ, а вечером за взятку в 80к рублей ремонтная бригада поставила туда муфту.
    Любопытен исход ситуации после перехода на оптику.

    • xxx52rus
      /#22538280

      дак, так же приедет бригада, за взятку малость побольше, и сварит оптику…

      • vakhramov
        /#22538462

        Он порвал в рабочее время, в 17-00, потом скрутил по-быстрому, бригада прибыла в 23-00 (плановому окончанию движения в том регионе), так фсбшникам и придётся прибор этот выдавать для сварки))

    • Neikist
      /#22538528

      Управление вполне возможно. Только вот работа РЖД держится и на другой инфраструктуре. Что если кто то например поиграется со скадой, или сервера форматнет все доступные?

    • hhba
      /#22541144

      Спецсвязь? Вы о чем? Полагаю, речь идет про физканалы ТЧ. Надо было просто убегать, да и все, поезда и так под приказ поехали бы. Шутка само собой.

      Касаемо оптики — ой вэй… Десять лет назад находились люди, которые тем же самым трактором ее выдирали, обнаруживали отсутствие меди, и тут же бросали все. У нас даже был походный сварочный прибор на этот случай (хотя это так-то проблема РЦС, а не СЦБ).

  25. mSnus
    /#22538252 / +1

    Было бы очень здорово, если бы кто-то объяснил РЖД — если тронуть этого "серого хакера", то следующий, кто вывернет их системы наизнанку, будет точно не серый/белый, а чёрный. От вымогателей до террористов.


    А дыр у них наверняка ещё много, много. Так что самое разумное — заплатить ему за консультацию и оставить в покое… не дёргая за силовые ниточки.

    • NAI
      /#22538560

      … или наказать виновного, потратить денег на очередной «аудит», от совершенно не аффилированной конторы, закупить у такой же не аффилированной конторы оборудования и не сделать ничего. А в следующий раз, когда искать будет некого, обвинить во всем русских сферических американских хакеров и протащить очередной закон о «суверенном Рунете». Попутно распилив потратив еще больше денег.

    • NLO
      /#22544172

      НЛО прилетело и опубликовало эту надпись здесь

  26. achekalin
    /#22538618

    что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости.

    «Совместно с органами закрыли автора», чтобы не маячил.


    А как по самому реалистичному сценарию, РЖД отчитается, что поймали за руку человека, который произвел вторжение в их сеть, пользуясь специально подобранными инструментами (nmap же), и проводятся мероприятия по выявлению и т.д. Странно, что там вообще Хабр читали.


    Я так понимаю, просто установить пароли — уже остроту снимет. А вот перепроектировать сеть, закрыв сегменты от других частей этой же сети… такое вряд ли, это и долго, и опасно (в силу уровня персонала, которому текущего состояния дел «хватало» для безопасности). Главное, чтобы смененные пароли потом не забыли, а то микротик в single mode не грузанешь.

    • DmitryLTL
      /#22538848 / +1

      Я так понимаю, просто установить пароли — уже остроту снимет
      Это немного снимет будующие проблемы. Основная работа это вычистить то что там уже наставили до этого. Как правильно писали, при такой защите, там уже пасутся все кому не лень.

      Надо исходить из предположения что всё уже заражено и переустанавливать заново, включая перезаписи фирмваре.

      На месте ржд, надо нанять правильную контору которая может это реализовать, без субчиков.

      И на том же хабре организовывать публичные обсуждения предложенных архитектур и решений.

  27. uzverkms
    /#22539068

    Какой позор! Профильное ИТ-издание C-News выводит хайпожорный заголовок:

    РЖД взломали по-крупному. Хакеры добрались до тысяч камер наблюдения, сетевых устройств и даже к табло на перронах

    safe.cnews.ru/news/top/2021-01-13_rzhd_vzlomali_pokrupnomu

    Хочется объяснить такой подход глупостью, а не злым умыслом. Но, как говорится, осадочек-то остался.

    • Mupok
      /#22539262

      ну автор этого поста же написал, что в сети уже кто-то лазит))) так что там и вправду завелись хакеры)

  28. ISVLabs
    /#22540020

    уже было, не?

    — шеф, тут пишут, что у нас дыра в безопасности!
    — ну и хорошо, что у нас хоть что-то в безопасности…

  29. Al_Azif
    /#22540078

    Я только вот этого не понял:
    «Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сообщили в РЖД.»

    Они-то откуда знают, если у них там по сетке разве что ленивый не ходил и системы мониторинга нет? Слили уже всё давно и продаётся небось где-нибудь. А потом будут недоумённо плечиками пожимать — откуда же, откуда, «в даркнете появилась база на 200 миллионов клиентов РЖД»? Действительно — откуда?

    • nikolayv81
      /#22541840

      Там может просто не быть персональных данных. Ну вот такой сегмент сети :)

      • maikus
        /#22547252

        В статье встречался сервер, связанный с системой электронных очередей. Там, наверное, полно всяческих персональных данных.

        • nikolayv81
          /#22547288

          Электронные очереди это не то что номерок для подхода к кассе?

  30. AceOfDimonds
    /#22540742

    А вам не кажется что это какой-то лохоразвод? Зарубежные компании тратят десятки-сотни тысяч долларов на аудит своих систем, а РЖД это всё получает БЕСПЛАТНО! Вы стоимость жд билетов смотрели? Самолётом уже летать дешевле. Может надо РЖД счета уже выставлять?

    • Neikist
      /#22541116

      Ну вот про билеты не надо. Если не какой нибудь сапсан брать, где цены и правда дороговаты, от Брянска до Москвы доезжаю за 4 часа за 600-800 рублей. При этом вполне комфортный двухэтажный скорый поезд с индивидуальной розеткой у каждого кресла (откидываются), достаточно просторный.

  31. Biga
    /#22541314 / +1

    Типичный ответ пресс-службы:
    1) Взлома не было, данные не пострадали, утечки не произошло.
    2) Хакеру предъявлены обвинения в незаконном проникновении в сеть, повреждении информации и краже персональных данных.
    3) Мы гордимся тем, что данные наших клиентов в абсолютной безопасности. А та база, которую можно скачать в интернете неполная и вообще устарела на целых полгода.

  32. MacroSss
    /#22541480

    Как по мне тут наверно человеческий фактор, не более и это у нас достаточно часто(пока гром не грянет, мужик не перекрестится), какой нить сис админ работающий условно за МРОТ открыл публичный доступ к сети какой нить операторше Свете за красивые глазки чтоб та могла Wi-fi пользоваться где нить в курилке и в вк свой любимый зайти… А так как сисадмин по его мнению мало получает за просиживания своих штанов, чисто из за лени снижает безопасность до уровня заходи кто хочет.

    У меня примерно такой случай был в 2014 году когда сис админ сделал публичный Wi-fi для оператора касс в сети где размещались терминалы оплаты и мелочевка для внутренних нужд в виде какого нить софта, где теже операторы без зазрения совести помещали блокнотиками с логинами и паролями для своих учетных записей.

  33. Dabbuger
    /#22543848 / -1

    А что вы думаете у них там такого нет?)) (сарказм)

  34. vergil01
    /#22544602

    Ахахаха, «ты чо, самый умный? ща мы и тебя в кандалы»

  35. Maccimo
    /#22545952

    Компания открыта…, при этом выступает против… и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением.

    У нас все двери настежь, заходи кто хочет. Только вы про это никому не рассказывайте, а не то а-та-та!