Россия. 2021. Итоги.

LtRum> РЖД - не IT компания, а учитывая, что ее ресурсы в разы (если не порядки) меньше, чем у крупных IT компаний, которые отметились не раз еще большими дырами, то ваше задача вашего высказывания - банальный наброс.
Ты просто не в теме, соответственно не представляешь

Ни про РЖД, ни про их ресурсы, ни про то, что означает написанное в статье.

Вот спокойный_тип - понимает, что это.

Касательно поднятия ситуации на уровень топика, это типичный пример деклараций с ох...ми бюджетами (аудиты проводят, доклады, кто то премии получает), заканчивающимися профанациями и попилом.

И самое "веселое", что это - не первое публичное выявление.
По Сапсану народ чуть больше года назад "веселился", РЖД отреагировала ожидаемо (как большинство государевых систем и местных защитников государевых) "вы всё врёте / ничего страшного".
Впрочем если прочитать статью - там всё есть.

Vоеnniсh> Ты просто не в теме, соответственно не представляешь

Для того, чтоб такое писать надо быть самому в теме Ты специалист-сетевик?

Vоеnniсh> Ни про РЖД, ни про их ресурсы, ни про то, что означает написанное в статье.

Можно подумать ты представляешь, что такое РЖД и что там реально является критичным.
Тебе уже совершенно верно написали, что у такой конторы, как РЖД, могут быть десяток-другой различных и никак не связанных между собой даже физически СПД. Причем ими даже разные подразделения заниматься будут. От сторонних местных аутсорсеров до "шнуровиков".

U235> Для того, чтоб такое писать надо быть самому в теме Ты специалист-сетевик?
Уран, если бы ты не только строчил, но и читал, то знал бы чем я занимаюсь и что соответствующие инженеры у меня в подчинении. Но ты не читаешь. Слишком торопишься флудить и счётчик наращивать.

U235> Можно подумать ты представляешь, что такое РЖД и что там реально является критичным.
Свободный внешний массовый доступ - это про*б 100%.

U235> Тебе уже совершенно верно написали, что у такой конторы, как РЖД, могут быть десяток-другой различных и никак не связанных между собой даже физически СПД.
Да да.

сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.

 

Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.

 

Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp.
Я попадаю в сеть где межсетевые экраны отсутствуют как класс.
Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Suricata
Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.
Много устройств с дефолтными паролями. То есть политики паролей тоже нет.
С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется.
Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN

 

От того, что злоумышленник может вырубить 20%, а не 100% - степень про**ба принципиально отличается.

>Причем ими даже разные подразделения заниматься будут. От сторонних местных аутсорсеров до "шнуровиков".
Да похрен кто этим занимается. При таком факапе и CIO и CISO вместе с комитетом по аудиту должны пойти единой колонной по известному маршруту.

Если что, бюджет 2016
Стоимость системы мониторинга

Vоеnniсh> Уран, если бы ты не только строчил, но и читал

Если б ты не только строчил, но и читал, то понял бы разницу между своей богадельней и огромными организациями, типа РЖД

Vоеnniсh> Свободный внешний массовый доступ - это про*б 100%.

И что? В таких крупных конторах это неизбежно. Главное чтобы в критических сетях такого не было.

Vоеnniсh> От того, что злоумышленник может вырубить 20%, а не 100% - степень про**ба принципиально отличается.

Не 20%, а даже и на 1% не напакостишь никак. Нет в этих сетях ничего серьезного. Это как залезть в сетку территориального отделения сбера, причем только ту, где одни видеокамеры собраны, и орать что ты взломал банк.

Vоеnniсh> Да похрен кто этим занимается

Нет, не похрен. Ни РЖД, ни их аудиторы могут вообще никакого отношения к этим сетям не иметь. На них даже корпоративная политика безопасности может не распространяться.

Vоеnniсh> Стоимость системы мониторинга

А какое отношение эта система имеет к тому, что описано в статье?

U235> Если б ты не только строчил, но и читал, то понял бы разницу между своей богадельней и огромными организациями, типа РЖД
Я и понимаю.

U235> И что? В таких крупных конторах это неизбежно.
Садись, два.

U235> Нет, не похрен. Ни РЖД, ни их аудиторы могут вообще никакого отношения к этим сетям не иметь. На них даже корпоративная политика безопасности может не распространяться.
Не вставай. Два окончательно.

HT> Новости капиталистического изобилия:
Набросы коммуниздиков становятся всё напряженее, совы вздрогнули, повеяло опасность, вертикально взлетели, собрались в стайки, и покинули угрожающий район....совы знали, там где появляется коммунизд, могут сделать анусно больно...

downpour> Так что про*бы есть у всех.

Абсолютно. Обсуждали эту статью с друзьями, они в РЖД начинали, сейчас уже в частных конторах. Да, профукали. Бывает. Но в Боинге, например, такие прос@ры случались, что РЖД и близко не валялось.

Проблема РЖД - слишком большая контора. И если, например, в Москве, или там в Красноярске админы грамотные есть, то где его возьмешь на какой-нить станции Дно в Псковской области? Правильно - неоткуда. Теоретически такие системы должны мониториться из центра, но там вечный завал и ахтунг, просто руки не доходят.

А вообще проблема комплексная. Манагерья наплодили, а с инженерами как-то кисло. Тем более в статье идет речь об инженерах высокой квалификации.

downpour> Я вам больше скажу, я, в своё время, работал с РЖД. С корпоративными системами там айтишники вполне себе, и с защитой там нормально всё, и с обслуживанием и пр.
Правильно формулировать "с отдельными корпоративными системами, которые downpour краем глаза видел"

downpour> В статье же, получен доступ к технологической сети, которой занимается хер пойми кто на местах (сын лучшей подруги)
Доступ получен к некой территориально-распределённой сети, точно шире чем "один офис" и даже один регион.
20 000 устройств, тысячи коммутаторов, перечисляются Новосибирск, Кемерово, Уфа, Костромская область - федеральный уровень.

Т.е. если речь про "сын подруги", это это "сын подруги топ-менеджера ОАО РЖД". Со всеми вытекающими.

downpour> Если б автор смог (а хрен бы он смог) получить доступ к системе, например экспресс-3, то да, это был бы эпических масштабов просёр.
1. Автор не является злоумышленником, осуществляющим целевую атаку-проникновение. Прошёлся по самым вершкам и озвучил. Насколько сильно потенциально можно было углубиться - вопрос открытый.

2. Даже то, до каких систем его могли завести "3. IPMI серверов" или "4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)" (без использования их как точек дальнейшего проникновения) мы не знаем.

3. Даже если (что очень маловероятно) факап затрагивает только
- системы видеонаблюдения
- серверы хранения видео и информации
- системы вспомогательного отображения информации
без доступа к системам непосредственного управления ЖД
то даже в этом случае без проблем можно нарисовать десятки сценариев криминально/террористической активности

Vоеnniсh> 3. Даже если (что очень маловероятно) факап затрагивает только
Vоеnniсh> - системы видеонаблюдения
Vоеnniсh> - серверы хранения видео и информации
Vоеnniсh> - системы вспомогательного отображения информации
Vоеnniсh> без доступа к системам непосредственного управления ЖД
Vоеnniсh> то даже в этом случае без проблем можно нарисовать десятки сценариев криминально/террористической активности

Их можно нарисовать и без всякого взлома. Ну разве что порнуху на экранах-табло вокзала без взлома показать наверно не получится Самое интересное, что есть - это камеры видеонаблюдения, которые можно использовать для планирования криминальной активности, но вместо них можно просто наблюдателей отправить, или собственные Wifi-камеры расставить. Интересные для злоумышленников объекты РЖД и так особо ничем не защищены от наблюдения, там и походить то вполне можно.

U235> Их можно нарисовать и без всякого взлома.

>Ну разве что порнуху на экранах-табло вокзала без взлома показать наверно не получится Самое интересное, что есть
Я не буду демонстрировать разницу в широте нашей фантазии.
Или сопоставлять ресурсы на "очное наблюдение vs через видео"
Или перечислять легконаходимые объекты ограниченного доступа.

Bredonosec>>> Увы, это обычное явление..
drsvyat>> Согласен. Именно потому и так ценен героизм, что на него решаются немногие.
Прохожий1990> Это он в т.ч. "майдаунов"© "похвалил " чтоли ?

Не думаю, Бредоносец их сильно не жалует.

Vоеnniсh> Или сопоставлять ресурсы на "очное наблюдение vs через видео"

Хочешь видео - повесь на наблюдателя экшн-камеру. Или просто оставь у интересующего объекта wifi камеру и пиши сколько влезет с нее видео на ноутбук в припаркованной в пределах досягаемости машине. Все равно никто там в этом огромном железнодорожном хозяйстве эти камеры не найдет. А если и найдут, подумают что так и надо и это какая-то из служб дороги для себя поставила. Или квартиру с видом на станцию сними и пиши все из окна. Я жил возле железной дороги, и ходил в ведомственный детский садик для детей железнодорожников, который прямо у станции стоял. Так там 5-6 летние дети разговаривали как настоящие железнодорожники, причем со всеми крепкими выражениями , знали весь профессиональный жаргон, все команды, и что на станции происходит. Все благодаря такой вещи, как громкоговорящая трансляция, ну и станция сама - как на ладони, все видно, чего там происходит. Эдакое реалити шоу "Дом-2" по-железнодорожному, хоть круглые сутки наблюдай, прямо из окрестных домов и детского садика Причем со звуком, по громкоговорящей трансляции. Когда там тетку-диспетчера какой-нибудь тупящий машинист маневрового достанет, то какая-нибудь Бузова нервно курит в сторонке

Реальные секреты там совсем не на камерах, которые у вас в статье

U235> Реальные секреты там совсем не на камерах, которые у вас в статье
Убедил. Сдаюсь.

Автор статьи выявил десятки тысяч никому не нужных единиц оборудования и систем.
Несанкционированное использование и/или остановка этих систем ни на что не повлияет.
РЖД их развернуло просто так.
Вероятно, просто, что бы потратить бабло.

LtRum>> РЖД - не IT компания, а учитывая, что ее ресурсы в разы (если не порядки) меньше, чем у крупных IT компаний, которые отметились не раз еще большими дырами, то ваше задача вашего высказывания - банальный наброс.
Vоеnniсh> Ты просто не в теме, соответственно не представляешь
Vоеnniсh> Ни про РЖД, ни про их ресурсы, ни про то, что означает написанное в статье.
Ну твои гадания на кофейной гуще как обычно мимо.
Да и не нужно быть "в теме", чтобы понимать все проблемы.
Мой посыл не в том, что РЖД не накосячила, а в том, что тебе нужно на этом радостно попрыгать и потыкать пальчиком - "как здесь все плохо".

Vоеnniсh> Касательно поднятия ситуации на уровень топика, это типичный пример деклараций с ох...ми бюджетами (аудиты проводят, доклады, кто то премии получает), заканчивающимися профанациями и попилом.
Поскольку не работал с РЖД не могу этого сказать. Работал с некоторыми иностранными компаниями - твое выражение тоже отлично подходит.
А уж про Микрософт в данном отношении точно может сказать почти каждый.

Vоеnniсh> И самое "веселое", что это - не первое публичное выявление.
Я в курсе, и вот если бы ты как раз первое сообщение привел в пример, то было более адекватно, а так - ты именно, что набросил.

Vоеnniсh> По Сапсану народ чуть больше года назад "веселился", РЖД отреагировала ожидаемо (как большинство государевых систем и местных защитников государевых) "вы всё врёте / ничего страшного".
Vоеnniсh> Впрочем если прочитать статью - там всё есть.
Да в отличие от тебя-то я ее прочитал. А ты до UPD даже не добрался.

LtRum> Ну твои гадания на кофейной гуще как обычно мимо.
Конечно. Ограничимся простым

РЖД - не IT компания, а учитывая, что ее ресурсы в разы (если не порядки) меньше, чем у крупных IT компаний

 

Бюджет ИТ РЖД, если бы его направить в выделенную ИТ компанию, позволил бы этой компании входить в 20ку крупнейших в РФ.
Т.е. "РЖД-ИТ" не "в разы (если не порядки) меньше" а именно, что больше.
Такой вот простой факт о том, кто тут что понимает

LtRum> Мой посыл не в том, что РЖД не накосячила,
В этой теме обсуждаются "Россия. Итоги", итоги деятельности крупнейшей компании РФ - явно соответствуют. И то, что РЖД обоср***сь тоже.

В отличии от этой пурги
>а в том, что тебе нужно на этом радостно попрыгать и потыкать пальчиком - "как здесь все плохо".


LtRum> Поскольку не работал с РЖД не могу этого сказать. Работал с некоторыми иностранными компаниями - твое выражение тоже отлично подходит.
1. бывает, но стоит внимательно разобраться-сравнить. качество твоей оценки уже выяснили выше
2. эти "некоторые иностранные компании" влияют на жизнь граждан РФ на порядки меньше, чем крупные гос-корпорации/монополии РФ.

LtRum> А уж про Микрософт в данном отношении точно может сказать почти каждый.
Как там в соседней теме написали
"Просто ты, как и всякая кухарка взявшаяся за управление государством, считаешь что враги всё специально усложнили - "конгресс ... немцы какие то ... Взять всё и поделить!" © Unix
Это я про возможность оценки Микрософта со стороны "почти каждого"

LtRum> Я в курсе, и вот если бы ты как раз первое сообщение привел в пример, то было более адекватно, а так - ты именно, что набросил.
Если бы после первого РЖД навели порядок, а не отделались общими словами и попыткой натянуть уголовку на автора - я бы вообще ничего не писал.
А так как оно есть - однозначная квалификация управления ИТ РЖД / РЖД в целом / госкомпаний и выше

LtRum>> Ну твои гадания на кофейной гуще как обычно мимо.
Vоеnniсh> Конечно. Ограничимся простым
Vоеnniсh> Бюджет ИТ РЖД, если бы его направить в выделенную ИТ компанию, позволил бы этой компании входить в 20ку
крупнейших в РФ.
Во-1 я имел ввиду не только РФ.
Во-2 даже в приведенном списке разница в бюджетах первого и 20-го - более 10 раз.
В-3 Профиль деятельности "IT-РЖД", я думаю, существенно отличается от профиля деятельности отдельной IT компании.

Vоеnniсh> Т.е. "РЖД-ИТ" не "в разы (если не порядки) меньше" а именно, что больше.
Нет цифр - не доказано.

Vоеnniсh> Такой вот простой факт о том, кто тут что понимает
Такой простой факт, что ты просто натягиваешь сову на глобус.

LtRum>> Мой посыл не в том, что РЖД не накосячила,
Vоеnniсh> В этой теме обсуждаются "Россия. Итоги", итоги деятельности крупнейшей компании РФ - явно соответствуют. И то, что РЖД обоср***сь тоже.
И то, что они исправились - тоже. Но почему-то ты предпочел об этом умолчать.

Vоеnniсh> В отличии от этой пурги
>>а в том, что тебе нужно на этом радостно попрыгать и потыкать пальчиком - "как здесь все плохо".
Это не пурга, а оценка, ты так себя ведешь. Иначе твой тон и твои слова были бы другими.

LtRum>> Поскольку не работал с РЖД не могу этого сказать. Работал с некоторыми иностранными компаниями - твое выражение тоже отлично подходит.
Vоеnniсh> 1. бывает, но стоит внимательно разобраться-сравнить. качество твоей оценки уже выяснили выше
Качество моей оценки не выяснили, выяснили, что ты в очередной раз врешь.

Vоеnniсh> 2. эти "некоторые иностранные компании" влияют на жизнь граждан РФ на порядки меньше, чем крупные гос-корпорации/монополии РФ.
Не скажи. факапы были и у Гугла с Эплом, и фейсбука...

LtRum>> А уж про Микрософт в данном отношении точно может сказать почти каждый.
Vоеnniсh> Как там в соседней теме написали
Vоеnniсh> Это я про возможность оценки Микрософта со стороны "почти каждого"
Ну как бы Windows мы все пользуем, который вот ни разу ни пример ответственного подхода к IT разработке.

Vоеnniсh> Бюджет ИТ РЖД, если бы его направить в выделенную ИТ компанию, позволил бы этой компании входить в 20ку

Ну собственно оно и входит. Один из двух крупнейших магистральных интернет-провайдеров РФ, Транстелеком, - это и есть дочерняя РЖДшная контора, использующая РЖДшную оптоволоконную сеть.

LtRum> Во-1 я имел ввиду не только РФ.

LtRum> Во-2 даже в приведенном списке разница в бюджетах первого и 20-го - более 10 раз.
Это крупнешие. Там дистрибуция/реселлинг (РосТех и НКК не считаем с ними совсем всё .... сложно)

В любом случае "РЖД-ИТ" имеет огромные ресурсы, использование которых не должно позволять делать такие факапы.

LtRum> В-3 Профиль деятельности "IT-РЖД", я думаю, существенно отличается от профиля деятельности отдельной IT компании.
Спектр в РЖД - очень широкий.
Позволю себе предположить, что большинство интеграторов - НЕ имеют такого охвата.

LtRum> Нет цифр - не доказано.
Цифры приведены. ИТ бюджет РЖД (без ТТК) ~20 млрд. руб/год

LtRum> И то, что они исправились - тоже. Но почему-то ты предпочел об этом умолчать.
Они не исправились, то, что автор написал "связались закрыли" это "заткнули уязвимость" (ещё вопрос на каком уровне заткнули).
"Исправились", это тот список, что он в тексте привёл.

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.

2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончанию пентестов своими силами объявить Bug Bounty

 

LtRum> Это не пурга, а оценка,
- кто "оценщик"?
- зачем меня оценивать?

LtRum> Качество моей оценки не выяснили, выяснили, что ты в очередной раз врешь.
Хоть одно место - докажи Встать в очередь не забудь.

LtRum> Ну как бы Windows мы все пользуем, который вот ни разу ни пример ответственного подхода к IT разработке.
Успешно используем уже многие десятки лет.

U235> Ну собственно оно и входит. Один из двух крупнейших магистральных интернет-провайдеров РФ, Транстелеком, - это и есть дочерняя РЖДшная контора, использующая РЖДшную оптоволоконную сеть.
Хорош фантазировать
ТТК (со своими собственными ~23 млрд. руб. оборота) никак не входит в бюджет "ИТ РЖД".
Это давно отдельная структура ЮЛ, связаных с РЖД владением.

Я даже не буду тыкать тебя носом в твои ошибки про "один из двух крупнейших" .
Ты просто - не в теме.

Vyacheslav.>> И вот еще кагановичи смидовичи пишут о том, что мерзкий русский народец не желает отказываться от своей веры.
В.Б.> Русская вера - Православная, а все русское было им омерзительно.

Православную веру называет русской только господствующий класс. Ни чего русского в православной вере нет. И предостаточно документов, не коммунистических, где говорилось о прохладном отношении народа к православию. И в походы с войсками ходили эти православные против русских не признающих это православие и почему-то они, противники православия господ сгорали в своих церквях вместе с детьми. А у них, между прочим самоубийство было тягчайшим грехом. А тут сами сжигали себя, да еще с детьми. В это можно поверить?
Об этих репрессиях русского народа не желаете вспомнить? Тогда русского и православие не придется отожествлять. Это только в парадных речах русский и православие одно и тоже.

Vоеnniсh> Хорош фантазировать
Vоеnniсh> ТТК (со своими собственными ~23 млрд. руб. оборота) никак не входит в бюджет "ИТ РЖД".

Сетевая инфраструктура, с которой зарабатывает деньги ТТК, на какой бюджет содержится?
Это первоначально была внутренняя оптоволоконная сеть передачи данных РЖД, проложенная вдоль их магистральных путей. Да и сейчас по ней внутренний служебный трафик РЖД бегает.

smalltownboy>> 1000 лет христианства не помогло воспитать нравственного человека.
В.Б.> Откуда вы знаете, каким было бы человечество без ДВУХ тысяч лет христианства?

А что тут знать. Прогрессивное человечество Европы впало во мрак мракобесия и стало возрождаться в эпоху возрождения. Т.е. вернулись к уровню, которое уже было в Римской империи.( 1.5 тысячи лет коту под хвост)
Об этом даже есть исторические видео от светочей демократии американцев. Это столь очевидно, что даже изощренный американский ум это не отрицает.
Если бы не христианство, то уже бы яблони на марсе давно цвели.

U235> Сетевая инфраструктура, с которой зарабатывает деньги ТТК, на какой бюджет содержится?
Не закапывайся ещё глубже.

ТТК обслуживает РЖД, в т.ч. является эксплуатантом (части) оборудования РЖД
т.е. часть доходов ТТК это затраты РЖД, вероятнее всего часть затрат ИТ (но не факт, смотря как проводят)
НО

• ТТК - далеко не единственная структура куда ИТ РЖД тратит бабки
• РЖД - далеко не единственная структура, на которой ТТК зарабатывает бабки

У кого конкретно стоит на балансе тот ли иной метр оптики, тот или иной коммутатор/маршрутизатор - вопрос непринципиальный. Что то РЖД, что то ТТК, что то "других клиентов ТТК".

Принципиально то, как можно профакапить, когда у тебя исторически
а) огромные бюджеты и квалифицированные сетевики
б) ты - крупнейшая компания, обеспечивающая критическую инфраструктуру и имеющая доступ к гос.тайне