ИТ-сеть «Российских железных дорог» (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.
LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД – к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.
В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для «творчества».
Камеры РЖД может просматривать любой желающий
По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.
Возможные последствия
LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка – в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.
Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет – часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. «А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды», – добавил он.
Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. «Очень много признаков, что в этой сети кто-то “живет”», – написал он.
Комментарий РЖД
Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после «возможного» проникновения в сеть одного ее из подразделений компании не было. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», – рассказали CNews в компании.
В РЖД утверждают, что персональным данным ее клиентов ничего не угрожает
«РЖД непрерывно совершенствует собственную ИТ-инфраструктуру – одну из самых масштабных в России – тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», – отметили представители РЖД.
Громкий взлом через Wi-Fi «Сапсана»
В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда «Сапсан», о чем написал 15 ноября 2019 г.
Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. «Все настроено ужасно, одинаковые пароли везде – признак хорошего админа, и хранение данных в текстовых документах тоже гуд. … Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут», – написал @keklick1337.
«Сапсан» оказался не только быстрым, но и «дырявым» поездом
Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. «Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти», – подытожил @keklick1337.
В конце ноября 2019 г., по информации РИА «Новости», специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.
«Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за “фана”. Юный натуралист», – добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.
Эльяс Касми