Статья на хабре про безопасность в РЖД
https://habr.com/ru/post/536750

Как по мне, так это просто треш какой то.
Как думаете, прислушаются и всё оперативно починят или отмахнуться, а автору прилетит уголовка по 272 УК РФ?

(14) так нужно обновлять прошивки то

(14)+ т.е. находим любой публичный прокси на микротике и пытаемся ломануть по известным уязвимостям (что автор не делал а просто стучался во внутреннюю сетку)

с большой вероятностью если прокси подняли давно и прошивка не обновлена то упс - дырявость микротика известная - разблокируем доступ во внутреннюю сетку и вперед

(15) так кинетик автоматом обновляет если не отключить

там скорее всего и к инету доступ есть далеко не у всех устройств

ну и авто обновление в корпоративных устройствах это не всегда хорошо. скорее никогда

(19) с автообновлением есть уязвимость что подсунут ломаную прошивку

(20)+ но вероятность этого низкая

обычно автообновление отрубают "чтобы не ломалось" ленивые админы

Самое интересное в статье что начальник делает карьеру. Видимо очеь хорошо работает.
вот только интересно чем

(0) Если-бы автор не был чудилой на букву М - за пару недель до публикации сообщил-бы в РЖД.

(23) и думаешь все бы поправили?

(23) автор сделал выбор, судя по комментам.
видимо жажда хайпа пересилила. хотя он и пишет другое в причинах.

(23) Так предыдущего сообщившего юннатом назвали. Да и ничего бы там не сделали за пару недель.

(26) за пару недель общения можно было бы оценить адекватность с той стороны и готовность исправлять ситуацию.
ну а дальше направлять инфу в контролирующие органы и обнародовать.

(26) Гром не грянет - мужик не перекрестится. Надо чтобы завалили РЖД, только тогда начнут чесаться. Но сам он этого делать не хочет по понятным причинам. Но ведь может и найтись желающий, например, в Вашингтоне. Правда те, скорее всего сотрудников ФСБ так пасут, удаленно подключаясь к камерам, так что вряд ли.

(0) РЖД кучу сторонних организаций в свою сеть пускает. Дочки, дочки дочек, сервисные организации, ЧОПы... Возможно кто-то из них прорукозадил

(27) За пару недель в такой махине как РЖД в лучшем случае обращение зарегистрируют. И то не факт.

(10) есть

(31) Если бы были - он дальше следуюшего экрана маршрутизатора не ушел бы.

(30) у меня есть опыт общения с махинами. при желании в приемную генерала можно дозвониться за 20 минут. и добиться решения вопроса компетентными людьми. но это при желании.

(23) Он открыл то, что, возможно, было известно многим, и втихую использовалось. Так что не чудак, а молодец.

(32) рэжэдэ оно большое. Могло быть и не везде

(0) Наверху плевать на реальную безопасность, если можно зад прикрыть другим способом (отмахнуться и завести дело на того, кто эту дыру обнаружил).

(24) думаю он сделал-бы со своей стороны всё что мог парвильно.

Вполне ожидаемо. Серьезный подход к безопасности - это высокооплачиваемые специалисты и мероприятия заложенные в бюджет. А это продавить ой как непросто. Поэтому пока гром не грянет - мужик не перекрестится.

Так что парень большое дело сделал. Если получится раздуть большой скандал - то можно и денюжку под это дело продавить. Но для этого придется признать наличие проблем. А для карьеры чиновника - это жирный минус. Поэтому все до конца и упираются. Но если сверху мордой по столу поелозят - то толк может и будет. Хотя скорее всего ограничатся минимальными мерами закрывающими самые зияющие дыры. Внешний периметр укрепят и пароли поменяют. Да и все.

(23) так обычно публикуют то, что не получило вразумительного ответа.

(23) Как бы да... Тут автор неправ. Возможно, он пытается сохранить анонимность (и тут я его прекраасно понимаю). А анонимно ты вообще ничего не донесешь, если нет официальных открытых каналов для подобного. Ну и он по сути просто провел свое расследование по следам предыдущего обращения, в результате которого автора обозвали и на хрен послали. Что мол ничего с тех пор не поменялось.
ЗЫ. Не удивлюсь, если в прошлый раз это он же и был :)

Но особенно порадовала стандартная реакция: "Ты вообще нафига туда полез? Кто тебя просил? Злоумышленник штоле?"

(42) А действительно, зачем?

(43) Проверка безопасности - стандартный интерес специалистов по безопасности.

(44) Он специалист по безопасности РЖД?

(42) + Поэтому при обращении по официальным каналам ты мало того что никакой благодарности не получишь - оправдываться задолбаешься. Еще и на учет поставят как "хацкера". Просто тупого. Ибо сам пришел.

(45) Во-во. Об этом я и говорю.

(43) Если он смог, значит и другие реально хакеры, может даже из западных спецслужб, вполне себе смогли. Он раскрыл эту вопиющую халатность.

(48) Я украду у тебя из кармана кошелёк и скажу "раз я смог, значит и пятая колонна сможет! Я просто показал тебе дыру в твоём кармане, я не вор!"

(49) Он указал на торчащий из кармана кошелек, а не украл его.

(49) Он ничего не украл, если что.

(45) Естественно он не имеет отношение к РДЖ. Это чисто профессиональный интерес. Тебе же как одинэснику интересно как у других сделано?

(50) (51) Он не написал, что что-то украл. А если просто не сказал?

(53) Точно, аппарат же есть :))

(53) Слушай. Ты прям готовый чиновник. Баллотироваться не думал? Примут как родного.

(53) Вот именно из-за таких измышлений, которые как выясняется даже среди ай-тишников ходят, никто деанонимизироваться и не хочет. Потому что наверху встретят знакомым тезисом из подворотни: "Те чо, больше всех надо что ли?"

(56)Это все хорошо пока не расскажут на весь свет где ты, например деньги хранишь или подобное, хотя рассвизяйдство у жд есть

(56) Да просто прен-цен-дентов море.
Два из них на слуху, один в британии сидит, его пока не сдали, второй в Мордор перебрался...

(58) Каких именно прецедентов? Когда у грабителя банка хватило ума после ограбления прийти и рассказывать про недостатки системы безопасности банка? Ну, озвучь. Интересно же узнать о таких сферических героях.

(59) Я озвучил. Если тебе описание ничего не говорит, то и фамилии не скажут

(60) Ок. Мне это и не сильно интересно. Допустим, что в жизни всякое бывает. И проверяться должны все варианты. Но исходное отношение должно быть однозначно не как виновному во всех грехах. А как бы наоборот. ИМХО.

(57) Не удивлюсь, если там данные карт в plain text лежат.

https://habr.com/ru/news/t/537172/
"РЖД прокомментировала ситуацию с проникновением во внутреннюю сеть компании после публикации статьи на Хабре"

(63) Яж говорю, сядет товарисч...

(63) почитал их пренебрежительно-отмазочный комментарий насчет Сапсана, ничего хорошего от этих случаных людей жать не приходится.
Вангую, и тут наорут "вам че делать нечего? А у нас все в порядке".

(64) Ну, как минимум официально подтвердили что "ничего не украдено". А интересно, смогут ли посадить при отсутствии состава преступления и нанесенного ущерба?

(66) В России? Конечно...

а что им еще ответить , если так подумать ..
года два назад мариот утратил данные 5 млн клиентов .. вместе с паспортами и кредитками ..
они впрочем были готовы были оплатить расходы на замену документов .. некая сумма для цивилизованных стран .. плохо правда понимаю что подразумевалось ..
стащили кстати в нашем сегменте

(67) В России все делается по закону. Другое дело, что закон "как дышло". Ну вот и интересно, куда в этом случае "дышло" можно повернуть.

(66) официально набрехали, потому что ничего не понимают и не знают.
Автор указывал, что в этой сети живут все, кому не лень, балуются камерами, изучают ресурсы. До чего там можно добраться одному б-гу известно.

(70) Ну, я в том смысле, что для автора статьи это хорошо. А представь, если бы они обвинили автора в порче чего-то там? Сразу хана.

(71) Обвинят ;-)

еще не вечер же

ща просто пошел разгон

Уже на РБК:
https://www.rbc.ru/society/13/01/2021/5ffed7ab9a7947d4a26d44fd?from=from_main_4

Если буча поднимется и ситуация станет сильно резонансной, то точно не посадят.
Тем более что сам автор утверждает что делает из благих намерений во благо Родине.
А вот если резонанса не последует, то могут и "выпороть".

Жаль, конечно, что вот так вот всё. С одной стороны. С другой - автор своей публикацией может сильно усугубить "интерес" вредителей к сети РЖД, что может иметь плохие последствия.

В корне виновато руководство, а посадят - мужика, который не вовремя засветился и стал тыкать пальцем.
Инициатива, как говорится, наказуема.

(0) вижу позитив - РЖД вместо понтовых цисок закупила народные микротики, после шумихи научатся их настраивать

сдается мне, что автор публикации неслучайно влез в сетку РЖД, видимо был знаком с ситуацией изнутри )

(76) "сдается мне, что автор публикации неслучайно влез в сетку РЖД, видимо был знаком с ситуацией изнутри"

Сдается мне, ты не читал статью автора на хабре, иначе не было бы таких предположений.

(64) Или пополнит группировку русских хакеров.

(77)Далеко не факт

(75) Все кто хотел там уже побывали. А так - такая ситуация везде в большей или меньшей степени. Информационная безопасность - это дорого и неудобно.

(80) Дорого и неудобно - это у всех. А вот реакция в стиле "вы всё врете" со стороны критично важного по инфраструктуре предприятия, пойманного за руку - это преступление.

(81) Ну иди в ржд и доказывай ;-)

(66) Не "посадить", а привлечь к уголовной ответственности" или "осудить".
Пора бы уже прочно закрепить в памяти, что в колониях и тюрьмах не "сидят", а "отбывают наказание".

И по некоторым составам преступлений ущерб совсем не нужен, достаточно формального нарушения правил или норм.

(83) Вспоминается анекдот про Холмса, Ватсона и воздушный шар.

(6) дело тут не в админах. Все гораздо сложнее.
Имхо. В каждой сложной компании должен быть такой документ «Политика информационной безопасности». В своей компании я такой доки разработал. На основе стандартов известных стран - лидеров в части информационной безопасности. Получился доки, страниц наверное 300-400. Там были перечислены все возможные угрозы информационной структуры предприятия и меры санации этих проблем. Далее требовалось принятие этого доки на уровне предприятия и реализация мероприятий, в том числе и контрольных и назначение ответственных.  Там конечно были функции и службы безопасности. Вот эта служба и все это дело и возглавила. От этого доки осталось пяток страниц. Ответственность СБ исчезла. Все успокоились. Мне дуть против ветра не было ну ни какой нужды. Одолеть бывших сотров известной организации было бы глупостью. Каков был результат? А ни какого. Только один раз пришёл коллега, что иногда исполнял админские работы на одном из сегментов сети. Типа, что делать? С некоторых раб мест разработчиков ПО(важное в работе РЛС) идут пакеты, скажу так, во вне. Идти в СБ, себе дороже. Руби ему инет. Скажем что что-то сломалось. Но потом, краем уха услышал, что используются модемы, кто-то with роутер поставил. В общем бардак.
Кто работает в службах СБ? В основном отставники. У которых одна задача, побольше ответственност переложить на других и особо не перетрудиться. Поэтому основное решение подобных (0) проблем-это реформирование СБ организаций, на что надежд мало.

+(85) кстати. Когда сайт предприятия сделал, стало интересно, откуда идёт активность. Начал делать отчеты по ip, по странам. Понёс в СБ. Типа, вот, смотрите, анализируйте. Те похлопали по плечу, типа- молодца!   И на этом все закончилось.

(80) если сравнить с зарплатой руководства корпораций, то копейки. А те, кто заморачивается информационной безопасностью, должны играть по взрослому.

(0)Лишнее доказательство тому, как все обстоит с ИБ в подобных гос.компаниях..

(0) Вот эти отставники и как раз ничего не рубят в ИТ. Это просто бывшие менты которые максимум пробивают у себя в базах что ты судим или не привлекался ли и все. )))
Потом еще требует если ты удаленно работаешь то напиши служебку и укажи номер и имя компьютера (инвентарный) на который будешь выходить удаленно....

(85) Представь себе уголовный кодекс. Толстая книжка, написанная умными людьми. И что с него толку, если не дополнить его полицией, прокуратурой, судом, тюрьмами? Так и здесь. Политика информационной безопасности толщиной с "Трех мушкетеров" вполне может быть написана, и будет пылиться в шкафу, потому что её никто не раскрывал ни разу с того момента, как её издали. Самое сложное это её исполнение, которое дорого и в принципе никому не нужно, по факту. А нужен, на самом деле, тот самый документик из 5 листов, на котором прописано, что могут делать пользователи и что могут делать админы, и как правильно оформлять свои действия.

(89) был у нас, в достаточно большом холдинге среди отставников, достаточно молодой безопасник по имени Вася. Курировал он как раз таки информационную безопасность, так как из всего СБ он хоть что то в ней понимал. Писал настолько глупые правила и ещё более глупыми инструкциями, что имя "Вася" в среде команды ИТ спецов стало синонимом к слову "дурак". Понятно, что на его бумаги все забивали и по факту всем рулил начальник ИТ, с которым повезло в том плане, что он как раз заканчивал ВУЗ по специальности "Информационная безопасность" и хорошо разбирался в теме.

Голосовать будем? Захватим Капитолий, не захватим Капитолий, будем смотреть это шоу захват через пиратские вэбкамеры РЖД...

Посмотрел в ВУЗе спрос/цену на обучение по Информационной безопасности.

Достаточно лояльные цены.
Намного дешевле обучения програмированию.
Соизмеримо с обучением Администрированию сетей.
Всем и в ВУЗах и простым людям понятно - на сисадминстве и компьютерной безопасности бабок не срубишь.
Сейчас все в программисты идут.
Кто туда не прошел и денег нет - в сисадмины и компьютерную безопасность.

и правда - кому она нужна. геммор от нее тока.
Главное - базы данных. А они бэкапятся по дням.

В продолжение информационной/компьютерной безопасности.
Из 6 контор, где я работал, тока в одной все было жестко.
Но это так затрахивало людей - до невозможности.
Типа смена паролей с жесткими правилами раз в месяц, сложный доступ на ВПН, ну куча прочей х-рени.
Из за этого были постоянные проблемы подключения из дома, входа на терминальные сервера, доступы к сайтам для администрирования.

Самое интересное - что эта хрень никому не была нужна.
Контора торговала продуктами питания. И ее данные нафиг никому были не нужны.
И даже падение сайта на неделю (как показала практика) не повлияла на продажи. Ибо 80% клиентов были постоянные оптовики.
Но директор помешан был на безопасности.

Кстати, загнулась несколько лет как...Но по другой причине.

(94) во всём нужен баланс. Известная формула: ужесточение правил в два раза - уменьшает удобство пользования в четыре.

(85) Именно. Пока поезда не встанут на пару недель - никто не почешется.

(87) Если считать и потерю производительности сотрудников и постоянные переобучения всего персонала - далеко не копейки.

(96) Даже если встанут - объяснят проделками злобных хакеров, и скажут, что РЖД прилагает героические усилия по противостоянию им.
Я это вижу на примере маркировки лекарств. Нагнули весь рынок, а в сбоях виноватыми объявили производителей, оптовиков, аптеки, интеграторов. Но сам ЦРПТ - весь в белом, всем помогает, няшка! И всё.

(95) вы хоть раз видели, как доктор пишет в рецепте? Можно там хоть что-нибудь разобрать? А ведь правила чистописания всем известны и всем даже оценки ставили, но тем не менее. Так и в любой другой сфере. И к неудобству это не имеет никакого отношения. Даже интернет регламентирован массой стандартов. Их убрать? Вот тогда удобство, в виде пустого экрана будет всем видно.

(99) о чём Вы, уважаемый? При чём тут доктор? Кстати, наш педиатр пишет в карточках каллиграфическим почерком, не надо всех под одну гребёнку.
И при чём тут убрать стандарты? Во всём должна быть мера. Вы же не будете применять к мелкой конторе по, допустим, ремонту сотовых с оборотом 100 тыр в месяц критерии безопасности разработанные для охраны первых лиц государства.

(98)>> Даже если встанут - объяснят проделками злобных хакеров, и скажут, что РЖД прилагает героические усилия по противостоянию им.

Ну по хакеру(0) уже тюрьма плачет - тут все понятно. Срок свой получит.
Непонятно зачем ему это все надо ?
Публиковаться на хабре и проч...

Свое чувство достоинства потешить ?
ну нажил себе гемморой

(94) Ну это немного другая история.
Это скорее о том как можно легко перегнут палку с настройками безопасности и о криворуких админах, не умеющих обеспечить хотя бы относительное удобство пользования инфраструктурой в условиях жестких ограничений.
У нас, например, тоже с безопасностью есть заскоки и перегибы. И регулярные смены паролей, и закрытый доступ в интернет, и минимальные права у пользователей. Но всё это почему-то пока никого не затрахало до невозможности. Волне себе терпимо.

(85) >> были функции и службы безопасности. Вот эта служба и все это дело и возглавила.

Вот в этом и ошибка.
В словосочетании "информационная безопасность" почему-то очень часто делается перегиб ко второму - к "безопасности".
Однако в каждом конкретном случае надо исходить из реалий и оценивать - а может ли реально служба безопасности этим заниматься. Есть ли там люди с нужной квалификацией, есть ли у них соответствующие ресурсы, знания, умения и инструменты. И если нет, то передавать эти функции надо ИТ. Ведь в конце концов до 90% регламентов, описанных в твоей "Политике ИБ", всё равно выполняют так или иначе ИТ-шники. И так ли важно - будут эти ИТ-шники штатными сотрудниками СБ или ИТ? Да и далеко не каждая контора может себе позволить держать в штате СБ целого отдельного специалиста, профессионально разбирающегося в ИБ.

(101) Специалист сказал, что у вашей квартиры двери открыты, сделайте что-нибудь

(103) вам надо рядом с ними поработать или просто поконтактировать. Это для понимания предмета.

(104) Это не просто квартира. Он всем сказал, что дверь нараспашку к управлению железной дорогой в России.

(106) или "Король голый" ;-)

(104) вроде как, хоть что то починили:
Обновление публикации: автор статьи пояснил, что с ним связались специалисты РЖД. Они совместно с автором закрыли уязвимости. На ресурсе Роскомсвобода автору пообещали помочь в случае необходимости и предоставить правовую защиту.

(106) И? Надо просто закрыть замок.

(108) Ну, видать кому-то сверху волшебного пендаля дали...

(109) >> Надо просто закрыть замок.

Ага. В прошлый раз директор по ИТ РЖД сказал, что проблем никаких нет и за открытой настежь дверью ничего ценного нет. А те кто кричит об открытой двери - тот злоумышленник и юный натуралист.
Дверь демонстративно оставили открытой.

С тех пор директор по РЖД по ИТ получил повышение.

История повторилась. Теперь ещё и с картинками видеозаписей с камер слежения на вокзалах.
Невольно хочется спросить - Чаркин (директор РЖД по ИТ) реально настолько дебил? И как он умудрился до такой должности дорасти.

Нефиг тут делиться дырами в российской инфраструктуре, публикуемыми на либерастическом habr.com, где публикуются хакеры, кракеры и прочие мерзавцы.

(113) делиться дырами может и не надо (ибо нефиг способствовать врагам), но тогда должен быть работающий механизм где в каждую такую дырку (обнаруженную и сообщенную в соотв.инстанции) засовывается дыня, причем так, чтобы жпс кто допустил такую дырку разовалась бы нахрен. как-то так я себе представляю. и что делать если это не работает/такого механизма нет?