Владислав Войтенко  3 065 0

Энтузиаст успешно проник в сеть РЖД. В компании уверяют, что утечки не произошло

Серьёзные проблемы безопасности в системе видеонаблюдения РЖД могут обойтись в сотни миллионов рублей.

Энтузиаст успешно проник в сеть РЖД. В компании уверяют, что утечки не произошло
13 января на ресурсе Habr появилась большая публикация, в которой автор под ником LMonoceros рассказал об успешном проникновении в сеть Российских железных дорог.

По его словам, «дыра» может нанести компании ущерб на сотни миллионов рублей. В частности, речь идёт о получении доступа к изображениям с камер наружного наблюдения и внутренним сервисам компании.

В РЖД уже отреагировали на данную публикацию. Представители пресс-службы подчеркнули, что утечки персональных данных клиентов РЖД после проникновения в сеть одного из подразделений компании не произошло:

РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет.

Как рассказал автор, в сети существует большое количество бесплатных прокси-серверов, однако неясно, кто же способен открывать всем желающим выход в интернет через свой роутер. Он сошёлся на мнении, что это либо взломанные устройства, либо владелец забыл отключить данную функцию.

В результате автор задался идеей проверить гипотезу — «Есть ли жизнь за прокси»? Он запустил сканер сетей nmap по диапазону адресов с портом 8080. Воспользовавшись несколькими манипуляциями, в том числе с использованием прокси-сервера, он обнаружил роутер без пароля.

Ему стало интересно, кому же принадлежит система и оказалось, что её владельцем является РЖД. Расследование показало, что такими же незащищёнными, как данный роутер, у РЖД оказались десятки тысяч устройств.

Среди них были в том числе камеры наружнего и внутреннего наблюдений, IP-телефоны, а также FreePBX и IPMI сервера:

Камеры наружного наблюдения РЖД
Офисы РЖД
Внутренние сервисы РЖД
Внутренние сервисы РЖД
Сетевое оборудование РЖД
 IP-телефоны и FreePBX сервера
 IP-телефоны и FreePBX сервера

LMonoceros попытался предположить вероятный сценарий развития событий, когда кто-то захочет организоваться атаку на систему видеонаблюдения РЖД. После подсчётов оказалось, что вывести из строя злоумышленникам удастся оборудования на 130 млн рублей.

Гипотетическому злоумышленнику потребуется модифицировать прошивки, заблокировав сетевой порт на 10 прошивках; написать сканер, который будет анализировать устройство и заливать соответствующую прошивку; запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать.

В общей сложности процесс подготовки к атаке может занять всего 5 дней, при том запуск сканера-прошивальщика будет происходить всего пару часов. Всё это может привести и к дополнительным затратам в виде усиления охраны вокзалов на время замены камер. Автор уверен, что это могут быть сотни миллионов, а то и миллиарды рублей.