На самом деле, бдительность ИТ-службам РЖД необходимо было усилить еще в ноябре 2019 года, когда пользователь Хабра под ником keklick1337 написал пост о том, как легко получить доступ к внутренней сети РЖД через Wi-Fi «Сапсана». Все началось с идеи о том, что РЖД хранят данные своих пассажиров локально (паспортные данные и закрепленное за пассажиром место), так как эти данные запрашиваются при регистрации в сети.
keklick1337 через nmap «прогулялся» по сервисам и обнаружил, что у компании «один сервер на всё», систему везде защищают одинаковые пароли, а данные хранятся в текстовых файлах. То есть профессиональный айтишник при желании может за несколько минут получить доступ к получить к базе данных пассажиров текущего и прошлых рейсов – а для неспециалиста, видимо, просто понадобится чуть больше времени.
Тогда РЖД провели проверку и заявили, что уязвимостей, влияющих на утечку критически важных данных, в ИТ-системах компании нет. Об этом сообщил журналистам Евгений Чаркин, на тот момент директор компании по информационным технологиям, а нынче заместитель гендиректора ОАО «РЖД». Случившееся он прокомментировал как действия злоумышленников и «юных натуралистов», занимающихся этим «по фану». Комментарий очень логичный, но малоинформативный. По сути, РЖД просто повезло, что данные о пассажирах (будем надеяться) не попали во всеобщий доступ.
Вчера на Хабр появился пост пользователя с ником LMonoceros, администратора Linux, именующего себя серым хакером (grey-hat hacker), повествующий о том, как через год после прошлого инцидента он так же легко проник во внутреннюю сеть РЖД. Через nmap по диапазону адресов 8080 был выведен список прокси серверов, доступных без прохождения авторизации. LMonoceros получил доступ к наружным камерам видеонаблюдения с паролями по умолчанию.
Скрин из поста LMonoceros на Хабре
Пользователь получил доступ даже к тем камерам, которые находятся внутри офисов и помещений для персонала. В совокупности, по словам LMonoceros, доступных для просмотра камер оказалось около 10 тысяч. Так же – большое количество уязвимых IP-телефонов и FreePBX серверов, доступ к которым пользователь Хабр с легкостью получил. Уязвимым оказалось сетевое оборудование компании РЖД, внутренние сервисы и системы. Среди них можно выделить табло на перронах, систему кондиционирования и вентиляции помещения.
По мнению серого хакера, у РЖД нет систем обнаружения вторжения, что может говорить об отсутствии службы сетевой безопасности. Он предположил, что, судя по следам, во внутренних системах РЖД «живет» кто-то посторонний уже давно. В своем посте пользователь Хабр дает советы РЖД о том, что можно изменить, чтобы снизить вероятность возможных последствий: в первую очередь – провести профессиональный сетевой аудит и нанять хороших сетевых архитекторов.
Пользователи Хабра поделились своими версиями по поводу причин произошедшего. По мнению некоторых, крупные средства, выделяющиеся на аудит информационной безопасности, часто уходят по тендеру исполнителям, которые не обладают соответствующими компетенциями, но имеют полный пакет необходимой для победы документации – проект отдается на субподряд уже не за такие большие деньги. В другом комментарии одной из причин называется децентрализация отдельных подразделений РЖД, некоторые из которых неспособны обеспечить профессиональное обслуживание своих ИТ-систем.
В обновлении к посту LMonoceros рассказал, что с ним связались специалисты РЖД и совместно уязвимости были закрыты. Надолго ли?