+7 (812) 418-34-95 Санкт-Петербург       +7 (495) 984-54-41 Москва
15.01.2021 14:55:42
ЖД Транспорт / Комментарии
РЖД-Партнер

Взлом систем РЖД: есть ли жизнь за прокси?

«В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер?» – таким вопросом задался хакер «в серой шляпе» (к вопросу о том, что это означает: мы еще вернемся) Алексей. По крайней мере так он называет себя в профиле на сайте Habr, где были размещены подробности взлома корпоративной сети ОАО «РЖД». Ответ нашелся быстро – о своей защите не позаботилась крупнейшая транспортная монополия страны. И это притом, что чуть более года назад холдинг уже отчитался о технологическом расследовании, проведенном после того, как программист заявил на той же платформе, что смог взломать Wi-Fi в скоростном поезде «Сапсан» и получить доступ к паспортным данным пассажиров, пока ехал из Петербурга в Москву.
Решето безопасности

Эксперты по информационной безопасности утверждают, что исследователь, который обнаружил уязвимости, не делал каких-то сложных действий для входа в систему РЖД, он просто сканировал порты и хотел посмотреть, что за ними. И таким образом нашел незапароленный роутер. Какой-то администратор, устанавливая оборудование, не поставил новый пароль взамен того, что присваивается при продаже по умолчанию (admin или 12345). «Само наличие таких незащищенных устройств – «детская» ошибка, которую допускают из халатности. Поэтому, конечно, человеческий фактор в этой истории – первопричина проблем», – рассказывает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.

Впрочем, по его словам, обращает на себя внимание то, что за обнаруженным незапароленным роутером оказались другие незащищенные или необновленные устройства. А сама сеть, выстроенная как единая общая система, не была никак сегментирована (хакер в описании процесса взлома как раз делает акцент на отсутствии межсетевых экранов). «Грубо говоря, попадая через одно незащищенное устройство, злоумышленник получает доступ ко всей сети, а не к ее части. И это говорит о халатности не одного конкретного администратора сети, а о системной проблеме», – пояснил А. Дрозд.

Другими словами, как отмечает основатель сервиса разведки утечек данных DLBI Ашот Оганесян, именно этот кейс демонстрирует две основные проблемы инфраструктуры ОАО «РЖД»: отсутствие систем обнаружения вторжения и внутрисетевых брандмауэров (firеwall), пресекающих доступ из одного сегмента сети в другой, а также большое число оборудования и сервисов с дефолтными паролями или вовсе без оных. Все это является признаками отсутствующей политики информационной безопасности или контроля за ее соблюдением.

Соответственно, возникает вопрос: как изначально организована IТ-инфраструктура, какие были закуплены и установлены защитные системы, как они сконфигурированы? Есть вопросы и к их эксплуатации и контролю за персоналом – как видно из одного из скриншотов, опубликованных на сайте Habr, система даже предупреждает администратора, что пароль нужно сменить, но сотрудник предупреждение явно проигнорировал, подчеркнул А. Дрозд.

«Эта ситуация нам снова говорит, что самая большая уязвимость сидит перед компьютером, а не в файлах. Основная проблема безопасности в данной ситуации – это отсутствие какой-либо безопасности», – добавляет Bug Hunter Сергей Пархоменко.

От взлома до террора – один шаг

Настало время вернуться к вопросу о «серой шляпе». Так называют хакеров или экспертов компьютерной безопасности, которые могут иногда нарушать законы или типовые этические нормы, не имея при этом злого умысла. В случае с сетью РЖД также, по словам взломщика, полученные данные не были использованы для получения какой-либо выгоды. Но даже в этом случае, как предупреждает А. Дрозд, такие несанкционированные эксперименты могут повлечь уголовное преследование. Легальность описанного процесса и возможная реакция холдинга – это отдельный вопрос, которого мы также коснемся в рамках дальнейшего освещения событий вокруг этого инцидента.

При этом автор блога также утверждает, что с ним в течение дня связались специалисты холдинга и они «совместно закрыли уязвимости» (подтверждения этой информации от ОАО «РЖД» до сих пор нет – РЖД Партнер направил запрос в пресс-службу компании с просьбой уточнить детали).

Однако, как утверждает взломщик, в случае если бы доступ к сети получил злоумышленник, за неделю его работы РЖД могли бы потерять около 130 млн руб. К тому же прямой контроль над камерами наружного наблюдения в его руках привел бы к возникновению террористической угрозы.

Такую опасность не исключают и опрошенные нами эксперты. «В лучшем случае злоумышленники просто поднимут собственные прокси-сервера, чтобы притвориться устройством из сети РЖД и заниматься мошенничеством (что, скорее всего, уже было, судя по скриншотам из статьи и комментариям автора), а в худшем... Просто представьте, что пассажиры теперь не знают, где их поезда; машинисты не знают, на какую колею им становиться; диспетчеры не могут анализировать и контролировать абсолютно ничего; а служба безопасности слепнет без камер. Что можно сделать в такой период паники и неразберихи? Да все что угодно, вплоть до терроризма. И конечно, нельзя исключать катастрофы из-за столкновения поездов. А я напоминаю, что доступ был не просто к одному вокзалу, а к целому комплексу по всей стране», – предупреждает Сергей Пархоменко.

Впрочем, в этом вопросе мнения экспертов разделились. «Не думаю, что такие уязвимости грозят физической безопасности, поэтому не стал бы нагнетать, что есть угроза жизни и здоровью пассажиров», – сказал А. Дрозд. В этом случае на руку РЖД, как ни парадоксально, сыграло именно несовершенство цифровизации холдинга: множество процессов еще не перешли в цифру или имеют страховку в виде сотрудников, которые умеют, что называется, делать все руками. Однако эксперт предупреждает, что цифра быстро приучает к комфорту и такой кадровый резерв иссякает. Поэтому те процессы, которые были полностью оцифрованы, вполне могут быть парализованы. Примеры таких историй есть. Например, когда хакеры взломали IТ-систему в компании Garmin, встали даже производственные линии.

По сути, хакер может сделать с такой сетью все что угодно, начиная от тотального заражения вирусами-вымогателями, которое полностью парализует всю сеть РЖД, и заканчивая прямым уничтожением данных и вмешательством в работу систем управления движением, а также систем продажи билетов или бухгалтерии с целью хищения средств, добавляет А. Оганесян.

Школьник с журналом «Хакер»

Особенного внимания заслуживает тот факт, что с подобным взломом, как утверждают эксперты, мог бы справиться даже новичок в сфере IТ. «Для проникновения по схеме, описанной в этой публикации, достаточно быть школьником, читающим журнал «Хакер». Фактически это даже нельзя назвать взломом – это просто сканирование в поисках открытой инфраструктуры и ее дальнейшее использование», – считает А. Оганесян.

С ним согласен С. Пархоменко. По мнению эксперта, в описанном процессе роль играют не только знания, но и в первую очередь умение думать. «С учетом уровня защищенности найти вход в сеть было достаточно просто даже для скрипт-кидди (новичка, который умеет взламывать только готовыми программами или по гайдам). Разница лишь в том, что такой новичок вряд ли использовал бы весь доступный функционал сети. Но получить доступы к камерам, панелям статуса и расширить доступную сеть устройствами с заводскими данными авторизации не предоставит труда для человека, который умеет гуглить», – пояснил С. Пархоменко. Разница будет разве что в скорости проникновения. Специалист, автор статьи, потратил чуть больше 20 минут, новичку пришлось бы потерять больше времени, но он бы тоже успел не спеша повторить весь этот путь, ведь в сети нет каких-либо систем, контролирующих трафик и при подозрительной активности разрывающих соединение с хакером.

Однако, как замечает вице-президент международной юридической фирмы Krivtsov&Partners Людмила Гонтарь, в части оценки взлома системы специалистом среднего уровня все же сложно говорить о реальных рисках. «Как известно, операции Red October, Stuxnet и другие более поздние выделялись вовлеченностью группы профессиональных хакеров. Эта информация не раз подтверждалась на практических кейсах, потому утверждать о возможностях можно исходя из аналитики крупных агентств, которые периодически анализируют атаки и сбор данных, а также их последующую продажу. Подобная междисциплинарная методика позволяет взглянуть на проблему более объективно и комплексно, а не только с позиции информационных атак и технических вопросов», – настаивает эксперт.

Однако злоумышленник может избрать и другую схему атаки, для успеха которой важнее не технические знания, а подготовка. «Он может узнать о конкретной проблеме атакуемого объекта. А такие знания можно получить просто – по дружбе у знакомого, который работал в компании, например. Тот может рассказать, что по таким-то адресам можно сделать то-то (сам, мол, делал перед увольнением). Такие «услуги» можно приобрести и за деньги на определенных форумах», – рассказывает А. Дрозд. А далее сбор команды, крупная атака и подрыв работы РЖД – дело техники.

Кто виноват и что делать?

Опрошенные нами эксперты склоняются к необходимости радикальных мер борьбы с брешами в информационной безопасности ОАО «РЖД».

Сам автор, опубликовавший данные об обнаруженной уязвимости, предлагает следующий комплекс мер (цитируется по публикации на сайте Habr).

1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые зияющие дыры.

2. Нанять крутых системных архитекторов с богатым опытом построения больших сетей. Перед ними поставить следующие задачи:

2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства;

2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности, и план поэтапной миграции.

3. Нанять подрядчика, который будет реализовывать данные проекты и передавать на эксплуатацию сетевикам РЖД.

4. После сдачи проектов провести аудит безопасности инфраструктуры.

5. По окончании своими силами объявить Bug Bounty (программа вознаграждения для нашедших уязвимости в системе).

«Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьезность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше – штрафы», – предлагает автор блога.

Так как в РЖД уже существует единая гигантская IТ-инфраструктура, перестраивать ее придется постепенно, соглашается с описанным процессом А. Дрозд. «Например, может быть выбрано несколько участков, где будут выстроены образцовые кластеры. И от них уже по принципу поглощения будут распространяться правильные стандарты безопасности», – добавляет он.

Генеральный директор Cross Technologies Евгений Чугунов предлагает использовать технологии Zero Trust. Они дают возможность при взаимодействии внутри инфраструктуры адаптивно, то есть согласно запрашиваемому ресурсу и уровню риска, настраивать соответствующий доступ. При этом изначально у каждого пользователя имеются необходимые права, а вся инфраструктура разделена на небольшие сегменты. К решениям, основанным на данных технологиях, можно применять, в свою очередь, технологии искусственного интеллекта и алгоритмы машинного обучения для построения поведенческих профилей не только пользователей сети, но и всех объектов инфраструктуры. Это также дает возможность использования алгоритмов прогнозирования, предиктивного построения профилей и векторов атак и позволяет реализовывать процессы динамической многоступенчатой фильтрации поступающего трафика.

Перестройка технической части, конечно, требует и нового отношения к администрированию. «Поскольку проблема явно носит системный характер, и только в этой публикации речь идет о десятках тысяч устройств, меры должны быть аналогичного масштаба, и начать стоит с замены топ-менеджеров, отвечающих за информационную безопасность в компании, на профессиональных специалистов. А уже те проведут такие совершенно банальные мероприятия, как ИБ-аудит инфраструктуры, пентесты и пр.», – комментирует А. Оганесян.

Л. Гонтарь отмечает, что, по всей видимости, в данном случае важно сконцентрировать внимание не только на информационной системе как таковой, но и на системе внутренних актов (саморегулирование организации). В данном случае, как подчеркнула Л. Гонтарь, правовые риск-факторы были минимизированы (например, утрата пассажиром билета, подмена данных). В соответствии с законодательством РФ имеется единая информационная система транспортной безопасности, которая состоит из автоматизированных централизованных баз персональных данных о пассажирах и персонале транспортных средств. Они в должной степени обеспечивают информационную гигиену персональных данных пассажиров, так как в нормативной базе подчеркивается, что системы имеют ограниченный доступ. В ОАО «РЖД» также сообщили, что утечки персональных данных клиентов холдинга не произошло, а угрозы безопасности движения нет.

Однако, по словам Л. Гонтарь, важно, чтобы данные системы и их функционирование были подкреплены внутренними актами (в зарубежной практике – chain document base), позволяющими предупредить правовые риски в части информационных атак (несовершенства системы и в целом ее отсутствия) и реальных атак на информационные системы.

«В современном мире каждый день появляются сотни уязвимостей, которые, в свою очередь, открывают новые векторы атак на инфраструктуры. При такой массовости и отсутствии возможности отслеживания и контроля поведенческой активности пользователей необходимы жесткие и четкие требования к защите», – предупредил Е. Чугунов. Для эффективного противодействия возникающим угрозам таким крупным и организационно распределенным компаниям, как ОАО «РЖД», необходимо соответствовать всем современным трендам на рынке информационной безопасности.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редактору.


Чтобы оставить свой отзыв, Вам необходимо авторизоваться


ГОРЯЧИЕ ТЕМЫ



Читайте также

  • Перевозки скоропортящихся грузов: проблемы есть. Есть ли решения?
    Как сегодня гарантировать безопасность перевозки скоропорта, обсуждали отраслевые эксперты и непосредственные участники перевозочного процесса в рамках делового семинара «Грузовая панорама. Перевозки скоропортящихся грузов в новых условиях», организованного журналом «РЖД-Партнер». Подробнее - в нашем специальном проекте.
  • Сибирь на передовой трансформации логистики
    Санкции развернули товарооборот на восток. Одним из крупнейших хабов, через который грузы распределяются в различных направлениях различными видами перевозок, стала Сибирь. О проблемах, вызовах, победах и планах в области транспорта, логистики и инфраструктуры – в нашем специальном проекте.
  • Нефтяной разворот
    Санкции изменили структуру перевозок нефтепродуктов. Российская логистика развернулась из Европы в Азию, на Ближний Восток и в Африку. Как это отразилось на экспорте нефтеналивных грузов и чего ждать дальше? Все не так просто, как может показаться на первый взгляд. Своими мнениями в рамках делового семинара «Грузовая панорама. Перевозки нефтепродуктов в условиях санкций» с нами поделились отраслевые эксперты и непосредственные участники процесса перевозок. Подробности - в нашем специальном проекте по ссылке.
  1. На российском транспортном рынке активно продвигается китайская продукция. Являются ли поставки из КНР вариантом для снижения дефицита контейнеров и запчастей к вагонам?

Выставка Конгресс Конференция Круглый стол Премия Саммит Семинар Форум Дискуссионный клуб
Индекс цитирования Рейтинг@Mail.ru

Copyright © 2002-2024 Учредитель ООО «Редакция журнала «РЖД-Партнер»

Информационное агентство «РЖД-Партнер.РУ»

Главный редактор Ретюнин А.С.

адрес электронной почты rzdp@rzd-partner.ru  телефон редакции +7 (812) 418-34-92; +7 (812) 418-34-90

Политика конфиденциальности

При цитировании информации гиперссылка на ИА РЖД-Партнер.ру обязательна.

Использование материалов ИА РЖД-Партнер.ру в коммерческих целях без письменного разрешения агентства не допускается.

Свидетельство о регистрации СМИ ИА № ФС77-22819 от 11 января 2006 г., выдано Федеральной службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

Любое использование материалов допускается только при наличии гиперссылки на ИА РЖД-Партнер.ру

Разработка сайта - iMedia Solutions