Новости Software

Дырявая как решето: энтузиаст продемонстрировал ужасающий масштаб уязвимостей IT-инфраструктуры РЖД

Защищённость IT-инфраструктуры компании «Российские железные дороги» (РЖД) оставляет желать лучшего и не выдерживает никакой критики. К такому выводу пришёл энтузиаст в сфере информационной безопасности (ИБ), опубликовавший результаты своего исследования на площадке Habr.com.

Источник изображения: РЖД

Источник изображения: РЖД

Для оценки защищённости ресурсов крупнейшего в стране перевозчика, автор публикации использовал публичный прокси-сервер и сканер сетевой безопасности Nmap. Проведённый анализ IT-инфраструктуры РЖД подтвердил опасения эксперта и позволил получить беспрепятственный доступ к внутренним сетям и устройствам транспортной компании.

«Гипотеза подтверждена: за прокси могут быть целые незащищённые сети. Только на тот момент я недооценивал масштаб "незащищённости", который я случайно нашёл», — делится своими впечатлениями ИБ-энтузиаст. По словам исследователя, ему удалось получить доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании «Российские железные дороги», вплоть до рабочих терминалов и серверов, систем управления табло на перронах и информирования пассажиров, а также сетевых устройств и технического оборудования РЖД. По мнению автора публикации, масштаб имеющихся проблем выходит за границы разумного и делает уязвимой инфраструктуру перевозчика даже для хакера средней руки.

Источник изображения: Habr.com

Источник изображения: Habr.com

В свою очередь, в пресс-службе «Российских железных дорог» опровергли опасения пользователя Habr и заверили в защищённости IT-инфраструктуры компании. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет»,прокомментировали инцидент в компании информационному агентству ТАСС.

Источник изображения: Habr.com

Источник изображения: Habr.com

«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — заключили в пресс-службе перевозчика.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов критической информационной инфраструктуры (КИИ) государства включает информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других. IT-инфраструктура РЖД также относится к разряду КИИ, а поэтому у автора упомянутого исследования, побывавшего в «шкуре хакера», есть все шансы нажить проблем на свою голову и попасть под прицел правоохранительных органов.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Поисковик DuckDuckGo установил новый рекорд — 100 млн запросов за день 3 ч.
Новая статья: Scott Pilgrim vs. The World: The Game — Complete Edition — долгожданное возвращение. Рецензия 3 ч.
systemd 248 упростит использование аппаратных ключей шифрования 6 ч.
Университет Джонса Хопкинса поделился результатами исследования информационной безопасности современных смартфонов 10 ч.
Важный прецедент: Facebook заплатит $340 каждому из 1,6 млн пользователей Иллинойса 10 ч.
Apple заблокировала установку iOS-приложений на новых Mac с чипом M1 через сторонние сервисы 11 ч.
Sony удалила даты выхода игр для PS5 из трейлера к выставке CES 2021 11 ч.
Microsoft представила список эксклюзивов Xbox на 2021-й, но это не всё, что запланировано на год 12 ч.
Apple проиграла апелляцию патентному троллю VirnetX, выплаты могут превысить миллиард долларов 13 ч.
Новая статья: Gamesblender № 501: GeForce RTX 3060, Cyberpunk 2077, Hogwarts Legacy, Hitman 3 13 ч.
Google объявила о завершении поглощения Fitbit, но антимонопольные органы США и Австралии несогласны 3 ч.
Компания Rocket Lab отменила первый в этом году запуск ракеты перед самым стартом 5 ч.
Слухи: Qualcomm разрабатывает конкурента чипу Apple M1, который будет использоваться в компьютерах на Windows 6 ч.
Ученые «программируют» живые бактерии для хранения данных 7 ч.
Sony выпустила Android 11 для Xperia 1 и Xperia 5. Россия стала одним из первых регионов, в которых вышло обновление 7 ч.
Глава мобильного подразделения Samsung заявил, что в будущем ещё больше мобильных устройств получат поддержку S Pen 7 ч.
Великобритания хочет создать дальний космический флот на атомных двигателях Rolls-Royce 8 ч.
Анонс смартфона Honor V40 5G с двойной фронтальной камерой перенесли на 22 января 10 ч.
В социальной сети Weibo появился тизер нового поколения геймерского смартфона ASUS ROG Phone 12 ч.
FCC выдала сертификат для нового бюджетного смартфона Samsung с аккумулятором 7000 мА·ч 12 ч.