Новости Software

Дырявая как решето: энтузиаст продемонстрировал ужасающий масштаб уязвимостей IT-инфраструктуры РЖД

Защищённость IT-инфраструктуры компании «Российские железные дороги» (РЖД) оставляет желать лучшего и не выдерживает никакой критики. К такому выводу пришёл энтузиаст в сфере информационной безопасности (ИБ), опубликовавший результаты своего исследования на площадке Habr.com.

 Источник изображения: РЖД

Источник изображения: РЖД

Для оценки защищённости ресурсов крупнейшего в стране перевозчика, автор публикации использовал публичный прокси-сервер и сканер сетевой безопасности Nmap. Проведённый анализ IT-инфраструктуры РЖД подтвердил опасения эксперта и позволил получить беспрепятственный доступ к внутренним сетям и устройствам транспортной компании.

«Гипотеза подтверждена: за прокси могут быть целые незащищённые сети. Только на тот момент я недооценивал масштаб "незащищённости", который я случайно нашёл», — делится своими впечатлениями ИБ-энтузиаст. По словам исследователя, ему удалось получить доступ к изображениям с камер наружного наблюдения и внутренним сервисам компании «Российские железные дороги», вплоть до рабочих терминалов и серверов, систем управления табло на перронах и информирования пассажиров, а также сетевых устройств и технического оборудования РЖД. По мнению автора публикации, масштаб имеющихся проблем выходит за границы разумного и делает уязвимой инфраструктуру перевозчика даже для хакера средней руки.

 Источник изображения: Habr.com

Источник изображения: Habr.com

В свою очередь, в пресс-службе «Российских железных дорог» опровергли опасения пользователя Habr и заверили в защищённости IT-инфраструктуры компании. «РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет»,прокомментировали инцидент в компании информационному агентству ТАСС.

 Источник изображения: Habr.com

Источник изображения: Habr.com

«РЖД непрерывно совершенствует собственную IT-инфраструктуру — одну из самых масштабных в России — тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной IT-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — заключили в пресс-службе перевозчика.

Напомним, что с 1 января 2018 года вступили в силу изменения в Уголовный кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру. Список объектов критической информационной инфраструктуры (КИИ) государства включает информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других. IT-инфраструктура РЖД также относится к разряду КИИ, а поэтому у автора упомянутого исследования, побывавшего в «шкуре хакера», есть все шансы нажить проблем на свою голову и попасть под прицел правоохранительных органов.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Минпромторг России представил предложения по импортозамещению в сфере критической инфраструктуры 9 ч.
МТС создает конкурента «Ростелеком-Солар» в сфере кибербезопасности 10 ч.
Выход тактической ролевой игры Metal Slug Tactics перенесли на будущий год 10 ч.
Начало раннего доступа сетевого симулятора выживания Nightingale откладывается — игру улучшают и переводят на Unreal Engine 5 11 ч.
«Одержимый» роглайт Cult of the Lamb добрался до прилавков и приглянулся критикам 12 ч.
Uptime Institute: сервисы в облаках можно сделать значительно устойчивее к сбоям, но в этом случае они обойдутся намного дороже 12 ч.
Студия-разработчик Elite Dangerous сменила гендиректора — впервые с момента основания почти 30 лет назад 12 ч.
Приключенческий роглайк-боевик Lovecraft’s Untold Stories 2 получил новую дату выхода — ждать осталось чуть больше месяца 13 ч.
Авторы средневековой стратегии Inkulinati подтвердили релиз в Game Pass и намекнули на скорые новости о дате выхода 14 ч.
Новая раздача Epic Games Store предложит стать владельцем передвижной закусочной в Cook, Serve, Delicious! 3?! 14 ч.
Параллельный импорт может не справиться с увеличением спроса на электронику в России 16 мин.
К 2025 году половина новых смартфонов Samsung премиум-уровня будут с гибкими дисплеями 19 мин.
К началу следующего года SK hynix определится с местом строительства предприятия в США 34 мин.
Сроки ожидания поставок полупроводниковых компонентов сокращаются уже третий месяц подряд 2 ч.
Даже в условиях санкций китайская SMIC смогла увеличить квартальную выручку на 41,6 % 3 ч.
SpaceX получила лицензию на запуск секретных военных спутников с помощью ракеты Falcon Heavy 4 ч.
Xiaomi представила TWS-наушники Buds 4 Pro: до 38 часов автономности и активное шумоподавление за $163 8 ч.
ASUS ROG представила игровой роутер Rapture GT-AX11000 Pro с поддержкой Wi-Fi 6 и UNII 4 8 ч.
Новая статья: Обзор часов Amazfit T-Rex 2: большой шаг вперёд 8 ч.
«Роскосмос» приступил к разработке проекта спутников связи «Экспресс-РВ» 11 ч.