Инженер-программист решил проверить систему безопасности сети РЖД. В своей публикации он подробно описал, как всего за несколько часов работы получил доступ к изображениям с камер наблюдения, а также внутренним сервисам компании. После выхода статьи в «Российских железных дорогах» начали собственное внутреннее расследование, а все обнаруженные пользователем уязвимости системы были оперативно закрыты. Как узнало «МБХ медиа», сейчас представители госкомпании продолжают сотрудничать с обнаружившим уязвимость специалистом.
«Основные дыры закрыли»
13 января на сайте «Хабр» вышел материал пользователя Алексея Сопова, в котором он подробно рассказал о том, как случайно получил доступ ко внутренней сети РЖД. Свое расследование, которое, по словам молодого человека, заняло у него восемь часов, он сопроводил множеством скриншотов, чтобы наглядно продемонстрировать низкий уровень безопасности систем госкомпании.
По мотивам публикации в РЖД начали собственное внутреннее расследование. Как подчеркнули в пресс-службе компании, утечки персональных данных клиентов холдинга после возможного проникновения в сеть не произошло.
«Основные дыры закрыли. Во всяком случае, те, о которых я узнал — точно. Все еще находится в процессе», — рассказал «МБХ медиа» Алексей Сопов. После выхода статьи с ним связались представители компании, и совместными усилиями обнаруженные уязвимости были устранены.
По словам Сопова, изначально он хотел проверить, как много человек не закрывают доступ в сеть через свой роутер.
«В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию», — пишет автор «Хабра».
Сопов нашел в интернете открытый прокси-сервер и решил проверить, кто является владельцем незащищенного роутера. С помощью VPN он обнаружил более 20 тысяч камер — огромная часть устройств была с заводскими паролями — их никто не потрудился изменить с момента покупки. А в некоторых случаях пароль отсутствовал в принципе.
Получив доступ к камерам наружного и внутреннего наблюдения, Сопов пришел к выводу, что владельцем сети является РЖД. Это стало очевидно по трансляциям с этих камер: они фиксировали происходящее на перронах различных вокзалов и станций по всей стране.
«Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ. Сеть просто в решето», — резюмирует автор статьи.
Кроме непосредственного доступа к камерам в офисах компании и на платформах железнодорожных станций и вокзалов по всей России, Сопов получил доступ к IP-телефонам, системе управления кондиционерами и вентиляцией, системам управления табло на перронах и «чему-то, похожему на мониторинг состояния систем обеспечения здания».
Сопов считает, что причиной такой низкой защищенности внутренней сети РЖД могла стать некомпетентность сотрудников, отвечающих за безопасность, или нежелание руководства компании признавать проблемы и ошибки.
Также в своей публикации специалист рассказал, что камеры видеонаблюдения легко могут быть выведены из строя — для этого достаточно заблокировать сетевой интерфейс. Для квалифицированного злоумышленника эта задача не составит труда и займет около трех дней. При этом, по подсчетам автора статьи, гипотетический хакер сможет таким образом нанести ущерб РЖД в размере 130 миллионов рублей.
Признание проблемы — еще не решение
Информационная безопасность по-прежнему не является приоритетом для многих государственных компаний в России, считает юрист «Роскомсвободы» Саркис Дарбинян.
«Я думаю, что государственные чиновники любят говорить про защиту прав человека, но такие расследования показывают, как в госорганах и компаниях относятся к вопросам информационной безопасности, рассказал он «МБХ медиа», — в России за несколько десятилетий не сложилось нормальных институтов защиты приватности. Госкомпании, такие как РЖД, имеют статус “блатных”. Роскомнадзор их не проверяет, прокуратура тоже. Под проверки попадают только коммерческие организации, а этого, конечно, недостаточно, потому что основной массив данных хранится в государственных информационных системах. Фактически это означает, что злоумышленники, которые владеют модулями распознавания лиц, могут бесплатно, просто подключившись к камерам госкомпании наблюдать и следить за кем угодно», — рассказал Дарбинян.
По словам юриста, второй причиной такой халатности является отсутствие внятной судебной практики по подобным вопросам в стране.
«Даже если кто-то докажет утечку информации в связи с недостаточной защищенностью информационной системы, максимум на что он может рассчитывать в таком случае — копеечная компенсация в размере 5-10 тысяч рублей. Это приводит к тому, что информационные системы защищаются плохо, — говорит Саркис Дарбинян. — Хакеры попадают под риски неадекватной реакции, часто даже в таких случаях на них самих заводят уголовные дела. Начало расследования в РЖД означает признание проблемы, собственных ошибок. Для руководства компании это значит, что некоторые люди сидят не на своих должностях и занимаются не тем. Если органы следствия не возьмутся за расследование подобного инцидента, вряд ли что изменится в ближайшем будущем».