Уязвимость сидит перед компьютером, а не в файлах

На прошлой неделе анонимный специалист по информационной безопасности опубликовал материал с подробным описанием уязвимости, позволяющей проникнуть в корпоративную сеть ОАО «РЖД». О том, какие особенности системы обеспечения защиты информации холдинга позволили совершить такое проникновение, рассказал баг-хантер Сергей Пархоменко.

– Сергей, какое впечатление в целом оставила у Вас эта новость?
– В моем опыте ошибки приходится искать в неочевидных местах, хотя и бывали подобные случаи, когда неправильная настройка доступов раскрывала все карты. И эта ситуация нам снова говорит, что самая большая уязвимость сидит перед компьютером, а не в файлах.

– Какие основные слабые точки можно выделить в системе обеспечения информационной безопасности ОАО «РЖД»?
– Основная проблема безопасности в данном случае – это отсутствие какой-либо безопасности. Достаточно было поставить хотя бы простую авторизацию, пускай admin:admin или login:pass, это уже не допустило бы такой ситуации.

Исследователь явно написал, что искал открытые прокси-серверы, то есть без защиты. Ну а дальше мы видим, что вся сеть соединена между собой, ограничений мало… Опять же, отсутствие паролей к админ-панелям, устаревшие прошивки на устройствах, отсутствие разграничения пользовательских и служебных компьютеров. В придачу нет анализа исходящего трафика, что позволяет закрепиться в сети любым удобным способом.

– К каким последствиям может привести подобный взлом, если бы его осуществлял недоброжелатель? Чем это может угрожать пассажирам или клиентам, осуществляющим грузовые перевозки?
– В лучшем случае злоумышленники просто поднимут собственные прокси-серверы, чтобы притвориться устройством из сети РЖД и заниматься мошенничеством (что, скорее всего, уже было, судя по скриншотам из статьи и комментариям автора), а в худшем… Просто представьте, что пассажиры теперь не знают, где их поезда, машинисты не знают, на какую колею им становиться, диспетчеры не могут анализировать и контролировать абсолютно ничего, а служба безопасности слепнет без камер. Что можно сделать в такой период паники и неразберихи? Да все что угодно, вплоть до терроризма.

И конечно, нельзя исключать катастрофы из-за столкновения поездов. И не дай бог, если это будут пассажирские поезда. А я напоминаю, что доступ был не просто к одному вокзалу, а к целому комплексу по всей стране.

– Насколько глубокими должны быть знания, чтобы проникнуть в обозначенные системы? Насколько это в принципе сложно для среднестатистического специалиста?
– На самом деле здесь роль играют не столько знания, сколько умение думать. Все действия автора сперва носили гипотетический характер («а что если?»). Уже исходя из своих навыков он смог пройти так глубоко. С учетом уровня защищенности найти вход в эту сеть было достаточно простой задачей даже для скрипт-кидди (новичка, который умеет взламывать только готовыми программами или по гайдам). Разница лишь в том, что такой новичок вряд ли использовал бы весь доступный функционал сети, но получить доступы к камерам, панелям статуса и расширить доступную сеть устройствами с заводскими данными авторизации или даже совсем без нее не представит труда для человека, который умеет гуглить. Разница будет разве что в скорости проникновения. Специалист, автор статьи, потратил на это чуть больше 20 минут. Новичку пришлось бы потратить больше времени, но он бы тоже успел не спеша повторить весь этот путь, ведь в сети нет каких-либо систем, контролирующих трафик и при подозрительной активности разрывающих соединение с хакером.

Оригинальная статья