АНБ ДИКО РЖЕТ: в РЖД вся IT-инфраструктура сделана через ЖОПУ, тк какой-то русский ноунейм хакнул ей за раз
Аноним13/01/21 Срд 20:57:04№91280351
6
1
Защищённость IT-инфраструктуры компании «Российские железные дороги» (РЖД) оставляет желать лучшего и не выдерживает никакой критики. К такому выводу пришёл энтузиаст в сфере информационной безопасности (ИБ), опубликовавший результаты своего исследования на площадке Habr.com.
Для оценки защищённости ресурсов крупнейшего в стране перевозчика, автор публикации использовал публичный прокси-сервер и сканер сетевой безопасности Nmap. Проведённый анализ IT-инфраструктуры РЖД подтвердил опасения эксперта и позволил получить беспрепятственный доступ к внутренним сетям и устройствам транспортной компании.
«Гипотеза подтверждена: за прокси могут быть целые незащищённые сети. Только на тот момент я недооценивал масштаб "незащищённости", который я случайно нашёл», — делится своими впечатлениями ИБ-энтузиаст. По словам исследователя, ему удалось получить доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании «Российские железные дороги», вплоть до рабочих терминалов и серверов, систем управления табло на перронах и информирования пассажиров, а также сетевых устройств и технического оборудования РЖД. По мнению автора публикации, масштаб имеющихся проблем выходит за границы разумного и делает уязвимой инфраструктуру перевозчика даже для хакера средней руки.
В свою очередь, в пресс-службе «Российских железных дорог» опровергли опасения пользователя Habr и заверили в защищённости IT-инфраструктуры компании. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — прокомментировали инцидент в компании информационному агентству ТАСС.
«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — заключили в пресс-службе перевозчика.
Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру (ЛОЛД, а она у Рашки то осталась в принципе после правления Пыни??). Список объектов критической информационной инфраструктуры (КИИ) государства включает информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других. IT-инфраструктура РЖД также относится к разряду КИИ, а поэтому у автора упомянутого исследования, побывавшего в «шкуре хакера», есть все шансы нажить проблем на свою голову и попасть под прицел правоохранительных органов.
>>9128035 (OP) >Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру (ЛОЛД, а она у Рашки то осталась в принципе после правления Пыни??).
>>9128097 Может просто Лёха Пыня позвонить и сказать, что он заместитель самого главного и тогда поменяют маршруты. А потом ядерные ракеты пустят по Воронежу в Сумской области.
>>9128075 >национальную информационную инфраструктуру да ты обосрася - тупой Пыня (гребаный Кремль и всё остальное правительство рф) никакого отношения к частным компаниям НЕ имеют. Собственно всякие яндексы и майсру появились лишь в рашке благодаря тому, что это недогосударство не сувало свой нос в IT-сферу, спасибо Российским пиратам за 90е-2000е
>>9128035 (OP) >могут быть >По словам исследователя >По мнению автора Ну и да, если че - мировая практика. Вон, в швятой русские хакеры разве только совсем никчемную сельскую библиотеку не взломали. А всякие министерства, выборы, госдепы только в путь щёлкают.
>>9128153 >гэбнявые сервисы гэбнявыми они (большинство из них) стали тащемта последние лет 5, после 2014 - когда Пыню и его шоблу на санкционную бутылку начали сажать активно, а бабло в бюджете стало уменьшаться в геометрической прогресси
>>9128153 >частные компании! >гэбнявые годы образования посмотри - абсолютное большинство в 90е родилось, когда саму гэбню постоянно реформировали и при этом она занималась действительно куда более важными делами для страны, чем стирать трусы Навалу
>>9128035 (OP) РЖД похуй, у них нет никакой репутации, а вот их аудитору придется что-то изобретать. Наверняка это кто-то из Big4 и у них два стула, сказать, что они хуево аудируют, сказать, что аудит был прекрасный, но РЖД болт ложило на рекомендации.
>>9128035 (OP) >НИЧАВО ЕТОТ ВАШ ХАКИР НИ ВЗЛОМАЛ И НИ НАРЫЛ, У НАС САМАЯ МОГУЧАЯ СИСТЕМА ЗАЩИТЫ!! >РЯЯЯ, НЕПРАВОМЕРНЫЙ ДОСТУП К ФЕДЕРАЛЬНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ РЖД!!! ПАСАДИТЬ!!!
>>9128354 Куда он мог прогресснуть, если всё как было так и осталось. Гнилые советские вагоны обосааные никуда не делись. Перемогать тут кауой-то показухой из одного состава будет только ципсошный мудила. Но мне то ты зачем врешь.
>>9128075 Badoo зарегано в Британии Abbyy контрольный пакет акций у скандинавского венчурного фонда Mint Capital Parallels зарегана и базируется в США Acronis зарегана в Швейцарии JetBrains зарегана в Чехии
Вот нахера этим пидорасам обязательно нужно рассказать всем вокруг про найденные уязвимости? Может кто-то юзал эти лазейки, а теперь из-за такого пидораса прикроют лавочку. Всё из-за ебучих лайкосиков на говносайте? Кому он лучше сделал, лол? Ржд как было похуй на репутацию, так и будет. Бичи нищеёбы как ездили в поездах, так и будут.
>>9128526 >Бичи нищеёбы как ездили в поездах, так и будут Скорее бичи долбоебы, не знаю почему, но все направления что я трекал на самолете дешевле чем в ржд, либо стоят столько же
>>9128035 (OP) >а поэтому у автора упомянутого исследования, побывавшего в «шкуре хакера», есть все шансы нажить проблем на свою голову и попасть под прицел правоохранительных органов. А ВОТ В ШВЯТОЙ ТАКИХ ТАЛАНТЛИВЫХ РЕБЯТ НАБИРАЮТ К СЕБЕ В СПЕЦЫ САМИ КОНТОРЫ. ЛОГИЧНО. НЕ ТО ЧТО В РАШКЕ.
>>9128134 С IT нормально всё. Система информирования на аутсорсе, и к ней отношение на похуй, как и к общему видеонаблюдению не в в 172-й сетке. Попросту говоря - всем на них посрать, они ни на что не влияют. Часто они вообще не работают.
>>9128610 >всем на них посрать, они ни на что не влияют. Часто они вообще не работают. Кто - они? Ты чурка штоле, у тебя русский не нативный? ты не в курсе, что надо семантически обозначить предмет, а уж потом использовать местоимения как указатели?
>>9128140 В Китае вот вмешиваются в бизнес и там тоже появились свои аналоги, я зашел на китайский аналог твича к одному стримеру и там было 300к зрителей. Твитч от такого обосрется и упадет.
>>9128946 Да рекламу себе сделал просто. Хуле у них безопаска на интеграторе наверное, а там посадили студента для вида и все. Копейки платят, он посидел до вечера домой пошел. Ему похуй до всего.
>>9128594 Сегодня в российский, а завтра в испанский. Если на интеллектуалку все права у юрлица, а юрлицо за границей, то оно может вывезти людей из страны. Как it конторы своих проггеров из минска. Работали в минске? Да. Работают сейчас? Единицы.
>>9128035 (OP) Тащемта ничего удивительно. Процентов 30-50 госухи можно взломать с их гостевой вафли и это очень грустно. Случается так по древней русской традиции называемой "попилы", к которой подключается другая русская традиция "занимать должности" (это когда твой начальник отдела долбоеб племянник какого-нибудь зама по направлению). Данный кейс - очередная глыба в огород путинской ЦИФРОВИЗАЦИИ, мы тогда вообще все охуеем тут.
>>9128035 (OP) > «Российские железные дороги» Даже какером быть не нужно, чтобы пролезть в эту парашу. Просто подходишь к какому-нибудь совковому уполномоченному деду aka начальнику и просто просишь учёточку поюзать под каким-нибудь особо жизненно важным предлогом. С вероятностью 99,9% совковый дед даст без задней мысли, а потом даже и не вспомнит кому и когда сообщал конфиденциальные данные и на каком вообще основании. Да ему и не будет ничего за это. Там настолько всем всё похуй, что голова не в курсе чем жопа занимается.