Уязвимость систем безопасности РЖД носит критический масштаб

При этом IT-специалист, обнаруживший «дыры» в информационных системах госкомпании, готов передать ей все свои наработки, чтобы обезопасить эту часть инфраструктуры; «РосКомСвобода», в свою очередь, готова оказать ему юридическую поддержку в случае давления со стороны властей.  

Специалист по информационной безопасности Алексей (ник LMonoceros) обнаружил уязвимость в сети РЖД, позволяющую получить доступ к камерам компании и электронным табло. Об этом он рассказал на портале «Хабр». По его словам, примерно год назад на портале уже была опубликована статья о дырах в системах скоростного поезда «Сапсан», когда другой IT-специалист, подключившись к местному WiFi, получил доступ к серверам с критической информацией. Однако вместо того, чтобы выразить благодарность за обнаруженную уязвимость, директор по информационным технологиям ОАО «РЖД» Евгений Чаркин назвал автора «злоумышленником» и «Юным натуралистом». В середине декабря прошлого года Чаркин пошёл на повышение и стал заместителем генерального директора госкомпании. Никаких мер по устранению проблем компания, как вы понимаете, не предприняла.

Алексей, в свою очередь, решил проверить — как много пользователей не закрывают доступ в сеть через свой роутер. По словам IT-специалиста, с помощью утилиты nmap он запустил поиск по диапазону адресов по порту 8080 и обнаружил незащищённый роутер, через который можно попасть во внутреннюю сеть РЖД. Своё исследование он сопроводил множеством скриншотов, чтобы продемонстрировать — насколько пугающе низкий уровень безопасности систем в данной госкомпании.

LMonoceros утверждает, что часть сетевого оборудования компании либо не защищена паролями, либо на нём стоят простые пароли по умолчанию. Получить доступ можно к большинству камер наружного видеонаблюдения и установленным в офисах — всего, «по скромным ощущениям» автора, около 10 тысяч устройств.

Кроме того, пользователь смог получить доступ к IP-телефонам, FreePBX серверам, системам управления табло на перронах, системе управления кондиционерами и вентиляцией, а также «чему-то похожему» на мониторинг состояния систем обеспечения здания. Он предполагает, что камеры можно легко вывести из строя, достаточно заблокировать сетевой интерфейс. На это, по подсчётам автора статьи, у гипотетического злоумышленника уйдёт три дня. Примерный ущерб РЖД — 130 млн рублей при учёте средней стоимости одной камеры в 13 тысяч рублей.

При этом быстро заменить камеры у РЖД не получится, утверждает автор. «В резерве столько нет. Купить новые из-за обязанности объявления торгов также не получится», — заявляет он. По его словам, после такой атаки РЖД может остаться без системы видеонаблюдения на месяц.

Также автор отметил, что он не единственный, кто обнаружил эту уязвимость. Например, в настройках роутеров РЖД он нашел линки, которые встречал на других роутерах — не относящихся к оборудованию компании.

В комментарии «Открытым медиа» он заявил, что процедуру может повторить «любой квалифицированный» человек.

Telegram-канал Inside считает, что у Алексея могут быть проблемы с властями, поскольку системы управления движением РЖД относятся к важным объектам критической информационной инфраструктуры (КИИ). Также канал указывает, что хотя системы безопасности госкомпании работают с 2013 года, с проблемами информационной безопасности с того момента специалисты РЖД не занимались. «Они просто не успели, хотя работают с сентября 2013 года, зато пилят НИОКР «Разработка специального методического обеспечения, а также инструментальных и программных средств для проверки на киберзащищенность МПСУ ОАО «РЖД»», — иронизирует Inside.

.

Мы связались с Алексеем и выяснили главную цель его исследования, а также узнали — понимает ли он степень раздраженного внимания от своего исследования со стороны властей и особенно — РЖД, на что он ответил следующее:

«Я хотел сообщить об уязвимости в РЖД, но так и не нашёл контакты, кому можно эту информацию предоставить.

Далее я прочитал статью о Сапсане и понял, что топам РЖД пофиг на багрепорты, они пренебрежительно относятся к сетевой безопасности в целом. В частности, господин Чаркин.

Поэтому решил опубликовать статью с некритичной информацией. Вот я и надеюсь, что РЖД меня услышали, и теперь закроют такие дыры.

…А последствия? Да я в ужасе!»

.

— Если к вам обратятся представители РЖД, вы будете готовы предоставить им всю информацию об обнаруженных дырах, чтоб те смогли решить проблему со своей безопасностью?

— Да. В этом и была цель. Иначе я бы всё вывалил анонимно. Кстати, они до сих пор не связались, — ответил Алексей.

.

«Многие думают, что в больших корпорациях с чувствительной инфраструктурой всегда всё хорошо с точки зрения безопасности, — комментирует исследование Алексея технический директор «РосКомСвободы» Станислав Шакиров. — Хотя мы раз за разом убеждаемся, что везде делается много откровенных глупостей, а большая бюрократия большой корпорации является стимулом для совершения таких глупостей. Потому что, с одной стороны, там не всегда работают квалифицированные кадры. С другой стороны, в этой корпоративной кадровой лестнице знания — далеко не самое главное».

Поэтому нет ничего удивительного в происходящем, считает Станислав, добавив:

«Судя по рассказанному автором, не только он нашёл эти уязвимости. Они, видимо, использовались кем-то ещё «втихаря», а он наоборот — способствует тому, чтобы наши данные стали более защищёнными. Правда, при этом надо понимать — человек может оказаться под угрозой, поскольку госсектор и крупные корпорации далеко не всегда адекватно реагируют на такую помощь, считая это «взломом». Потому что кое-кого за это по голове не погладят. Виновники будут стараться всеми способами перевести ответственность с себя на того, кто нашёл их недоработки. Хотя понятно, что в данном случае это совсем некорректно».

.

Гендиректор АНО «ПравоРоботов», кандидат юридических наук Никита Куликов считает, что это банальная кража персональных данных, и обнаруженная «дыра» в системе РЖД — возможность заблокировать работу одной из важнейших транспортных структур страны. «Без правильной поддержки и знаний повальная цифровизация может обернуться потерей денег, информации и стать совершенно бессмысленной, что и показывает этот пример. Это также вопрос разрозненности сотрудников в рамках одних и тех же отделов и вопрос отсутствия или неисполнения протоколов и инструкций по проведению такого рода работ: много объектов, много сотрудников и подрядчиков — каждый делает только свою часть и не отвечает за результат в целом», — считает Куликов.

.

РЖД, тем временем, заявило об отсутствии утечки данных клиентов после возможного проникновения в сеть. В компании подчеркнули, что проводят расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга.

«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — говорят в пресс-службе госкомпании.

.

Расследование пользователя «Хабра» в отношении внутренней сети РЖД наглядно демонстрирует, как государственные компании и само государство на деле относятся к вопросам защиты информации, считает глава юридической практики «РосКомСвободы» Саркис Дарбинян:

«Глупо надеяться на то, что в рамках созданной модели кто-то вообще сможет защитить ваши данные, когда выясняется, что вся, такая дорогая, информационная система — полное решето. Получается, что каждый, кто владеет модулями детектирования и распознавания лиц, может абсолютно бесплатно, используя созданную инфраструктуру РЖД с десятками тысяч камер, следить за кем угодно. Да и не только следить, а манипулировать защищённой информацией как угодно. Конечно, все мы ожидаем, что после подобного рода вещей будет начато расследование, при котором людям, отвечающим за безопасность системы в РЖД, придется разъяснять на допросах — как вообще так получилось. Но мы, к сожалению, скорее всего этого не дождёмся. При этом вполне можем дождаться возбуждения уголовного дела в отношении автора расследования».

.

«Дело в том, что вся информационная инфраструктура РЖД относится к объектам КИИ (критической информационной инфраструктуры). Согласно ст. 274.1 УК РФ, неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ, влечет к лишению свободы до 6 лет. Но для обвинения необходимо, чтобы такой доступ повлек причинение вреда КИИ РФ», — продолжает Саркис Дарбинян.

«Как видно из расследования, «grey hat»-автор не использовал никаких специальных программ для взлома, ничего не менял и не модифицировал, поэтому состава преступления тут не возникает, — считает он. — Однако остается еще ст. 272 УК РФ за неправомерный доступ к информации. Статья относится к преступлениям небольшой тяжести, но риск получить штраф в пару сотен тысяч рублей и тюрьмы до двух лет все же имеется, если орган расследования сможет доказать, что имело место уничтожение, блокирование, модификация либо копирование информации из системы. Мы уже связались с автором расследования и готовы оказывать ему необходимую и юридическую помощь, если реакция будет неадекватная и его начнут преследовать. Лишь подобные расследования и волонтеры, самостоятельно изучающие уязвимости в благородных целях, позволяют менять систему, от которой так сильно зависят сегодня права каждого из нас».

UPD 14.01.2020: Алексей сообщил, что с ним «связались представители РЖД и совместно закрыли уязвимости». При этом, как заметил TJ, несколькими часами ранее в пресс-службе перевозчика говорили, что никаких утечек и угрозы безопасности нет.