Пользователь «Хабра» получил доступ к камерам наблюдения, табло и сервисам РЖД. Компания заявила об отсутствии утечек

Йопта, если у руководства РЖД есть ум, они должны нанять этого парня за мегабольшиесуперденьги, чтобы он им устранил эти пробелы

Размещено через приложение ЯПлакалъ

Ну допустим не от 40-вых, а скорее 60-х :)) И да, увы, там уже все ими кишит. Долдонов, не отличающих системы и даже просто типы реле(уж я про схемы не говорю), уже так много, что мне тупо страшно. почти 40 лет на ж.д. и вот теперь так. Это тенденция.

Это сообщение отредактировал Yakudza - 13.01.2021 - 18:56

Только на ж.д. тонкость одна есть, на такие должности абы кого не берут. На ж.д. такая клановость что просто пипец, даже у вояк и всяких газпромов не так. Детей, зятьев и прочих родственников двигать надо, а этому пацану всю жизнь работать , грубо говоря, на поле, потому что специалист. Начальников много, а специалистов не найти.

В системе РЖД адекватным работать не возможно, там все руководство ебонутое, главное орать и кого нибудь уволить, по хуй кого, главное уволить, а в проблему вникать ни кто не будет

Размещено через приложение ЯПлакалъ

Представитель РЖД:
-на камеру: вы всё врёти!
-отворачиваясь от камеры к своим помощникам: он, что правда это всё сделал?
-поворачиваясь к Роскомнадзору: надо срочно заблокировать этот самый Хабр!

Размещено через приложение ЯПлакалъ

Весь бюджет на шубохранилища ушел, вот и результат.

Размещено через приложение ЯПлакалъ

Одни придумывают защиту , другие пытаются ее взломать. Меряться письками будут всегда.

Ты что, не понимаешь, что парень наглядно показал, что защиты там нет от слова совсем?

РЖД этот как Почта России.
админов паходу вообще нет.

наша компания попала в почтовый черный список у РЖД (по доменному имени). не знаем по какой причине.
я начал долбить секретарям и начальникам областной РЖД. писульки отправлял.
писал даже каким-то техническим специалистам по логистике.
ну мало ли, вдруг перенаправят запрос куда надо.

им просто похуй.

Это сообщение отредактировал Палесандр - 13.01.2021 - 19:33

По закупкам они себе Хуавей и Циско брали. Помню сервак хотели взять, только для его покупки разрешение ФСБ надо брать ибо шифрование какое то сложное. Но я не спец в этих делах, но Хуавей им только в путь грузили на сотни тысяч бакинских.

Я так к Микротику подключился с паролем по умолчанию, который распределял Интернет по нашему дачному поселку. Не стал играть в Бога, но лавры суперхакера до сих пор тешат мое сознание

если ©

Эталонный йобанный стыд.
Хотя, вообще странно. Я работал с Газпром нефтью, Сбербанком и Росстроем. Там, без благословения СБ/ИБ, пукнуть нельзя. На ключевых этапах внедрения ИБшники- самые дотошные согласующие. От них подпись получить- проще море ложкой вычерпать. А тут такой пиздец

Размещено через приложение ЯПлакалъ

Кроссавчеги. Т.е. если нет в данных ФИО это не важно и утечки персданных нет, а то, что можно прочекать все их камеры и использовать их для слежения за передвижением определённых лиц - это херня. Ну например отслеживать передвижение патрулей полиции для проникновения в охраняемую зону. Или стереть записи с камер наблюдения после совершения правонарушения. Или, в зависимости от того, что на серверах, изменить данные, например, в аккаунте пользователя, дав ему неограниченное право бесплатного проезда по карте "Тройка". Ну это в порядке бреда, но ИМХО последнее будет самое чувствительное для РЖД, остальное-то им похуй.

Просто, походу дела, распиздяйство исполнителей и отсутствие проверок делает своё дело. Ну воткнул ты камеру, настроил регистратор на неё, но у тебя таких камер стодвадцать на одном объекте. Я верю, что можно забыть что-то где-то поменять, если делается это вручную для каждой камеры отдельно, но вроде бы сейчас уже можно автоматизировать этот процесс с помощью автопоиска камер по сети и сливу им уже настроенной конфиги. Вот только проблема в том, что обслуживать эти все камеры и рекордеры нужно кому-то, а этого "кого-то" нет. Те же пароли на веб-морду камер надо периодически менять. Кто это будет делать? Некому. Просто потому, что об этом никто не задумывается. Зачем? Если всё и так работает. Но стоит этому паролю "слиться".... И наступает пиздец. Экономия на спецах выливается в такой вот беспредел.

Как платят, так и работают...

А что не так?
Потом тебе говорят, что нельзя так делать. Нужна двух факторная авторизация и менять пароль раз в 2 месяца. А ты такой модный манагер спотыкаясь бежа к директору стучать на айтишника, что он пидо**с делает все сложно а надо вот просто как мне удобно.
Ну как-то так часто бывает. И вся безопасность ломается вот такими людьми.

Охуенный кот

с хабра


DarkByte
сегодня в 12:10

+95
На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.

Теперь любая ж/д авария, связанная с отказом оборудования, будет вызвана "хакерскими атаками". И докажи, что ты только камеры смотрел

Кота не трожьте!!!!!!!!

Кто то подзабыл чем Навальный оперировал утверждая что к его отравлению имеют отношение действующие сотрудники спецслужб. Приводил персональные данные,номера посадочных мест ,маршруты. Кстати болен 50 ℅ информации спецслужбы получают из открытых источников. В Америке или ещё где тоже бы отмахнулись от подобного сообщения?

Размещено через приложение ЯПлакалъ

Показательно набутылят теперь

Размещено через приложение ЯПлакалъ

Типа вывести из строя 10к. камер залив прошивку, вывести из строя сетевое оборудование поменяв конфиги маршрутизаторов, с IPMI интерфейсы серверов можно поиграться, что на ещё не ясно. Дальше там по списку scada пусть до стрелок управления поездов и не удастся добраться, но думаю навредить можно. Все это имущество РЖД стоит колосальных денег исходя из объемов. Замена, наладка потребует огромных средств и времени. А атсурсерами я так чувствую там ничего не управляется, кто то через аутсорс в РЖД деньги пиздит, сливая их в подставные компании, ставя при этом под удар безопасность, оборудование и т.д.

Размещено через приложение ЯПлакалъ

Вот интересно, если бы он письмо параллельно в фсб написал, типа переживаю за безопасность граждан, написал в ржд - реакции нет, прошу принять меры. Или это себе дороже так делать?

Размещено через приложение ЯПлакалъ