Программист, известный под ником Mysterious grey-hat hacker Alexey, опубликовал на портале Habr.com статью, в которой рассказал, что без особого труда получил доступ к сетям РЖД.
Хакер рассказал, что просканировал сети госкорпорации и получил доступ к десяткам тысяч устройств, включая камеры наружного наблюдения, систему управления кондиционированием и вентиляцией, системы управления табло на перронах и т. д.
Свою статью специалист иллюстрирует скриншотами с камер и объясняет, что доступ к сетям ему удалось получить, потому что многие роутеры в них имели заводские пароли, а кое-где паролей вовсе не было. «Сеть просто в решето», — охарактеризовал он состояние сети.
«Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД также нет», — пишет автор.
Он напоминает, что в прошлом году пользователь Habr под ником keklick1337 взломал сеть скоростного поезда «Сапсан» и получил данные всех пассажиров. По его словам, на это у него ушло всего 20 минут. После этого в РЖД обозвали его «злоумышленником», вместо того чтобы принять какие-то меры.
Mysterious grey-hat hacker Alexey выдвигает версии, почему ситуация с уязвимостью сети не изменилась: «У вас исходно плохая команда. Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить», — пишет он.
Хакер предположил также, что гипотетический специалист-злоумышленник может нанести ущерб компании примерно в 130 млн рублей. Для этого ему нужно будет получить доступ к камерам и установить на них прошивку с заблокированным сетевым интерфейсом.
«Двигаемся дальше. Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов также не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца. А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить, потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж. д. станцию потребуется дополнительно 6 человек охраны… Кажется, счет уже уходит за миллиарды…» — пишет автор материала.
В завершении статьи он советует руководству РЖД нанять сетевых аудиторов, системных архитекторов, доработать существующую инфраструктуру и т. д.
«РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет», — сказали РБК в пресс-службе компании.
