Один парень рассказал, как взломал Wi-Fi в «Сапсане» и получил доступ к данным пассажиров

И что?

Аутсорс предполагает договор.
В договоре есть ФИО человека, принимавшего такую работу у подрядчика.
Его наказать за халатность при приемке.
Руководство безопасников наказать за то что допускают такую дырявую "безопасность", среди рядовых исполнителей сами пусть подарки раздадут.
То что кто то принял таким образом настроенные системы, не освобождает безопасников от конроля.

Какие проблемы то?
Наказать всех причастных бездельников.
Вот и деньги соберутся на поощрение неравнодушному человеку.

Что же касается собственно технических проблем, то нужно влупить санкции согласно договора за некачественно выполненную работу, и заставить доделывать.
Претензионную работу никто не отменял.

Ответ был дан выше)

.. или наоборот, разрешат возить двух толстых котов - лишь бы вафай не ломал больше

Неа, обычно это root/passwd. Но выше правильно спросили, по дефолту там root контейнер закрыт, его отдельно надо запускать.

вы американских боевиков насмотрелись, где в конце торжествует справедливость

а тут РОССИЯ и суровая реальность

кому претензионную работу?! фирме суб суб субодрядчика?)))

которая испаряется чуть ли не быстрее, чем денег освоит

а ржд естно не причем - иначе смысл пиления пропадает

Это сообщение отредактировал MECHLAB - 18.11.2019 - 12:39

Каким же бля долбоящером нужно быть что бы все ранить под рутом.

Он как раз и есть злоумышленник, а тут им пытаются всё испортить

Размещено через приложение ЯПлакалъ

Круто, комуто нужен вайвай в поезде, а мне бы тупо поспать...

Ага, я так соседский вай-фай "взламывал" и доступ к их роутеру

Недавно описывали систему управления ЖД. Шлагбаумы, стрелки, всем командует поезд и не нужно руками в реле лезть.

Размещено через приложение ЯПлакалъ

Вы на ЖД работали? Я работал в свое время. Пример. На балансе РЖД нет ни одного грузового вагона. Все вагонные депо выведены из баланса ЖД. Депо принимает вагон на ремонт, покраска вагона осуществляется людьми которые физически находятся в том-же самом депо, но оформлены на другое юрлицо. Которому отдается субподряд на покраску вагонов. Пример понятен. Если понятен, то Вы поймете, то все что Вы написали к действительности не имеет никакого отношения))) Концов не найдете.

"root/password" например. У меня на роутере хуавейском такой был по умолчанию.

назовика мне хоть один дефолтный пароль от root ?
их по умолчанию не назначают
и выборка с цифрами знаками и заглавными буквами не меньше 9 символов
то есть qwerty тут не прокатит

респект коллега )

Размещено через приложение ЯПлакалъ

Лучше сотрите свое сообщение, а то железнодорожники со смеху помрут))) Поезд без команды диспетчера тронутся то не может, не то что стрелками управлять)))

Так РЖД это ж, почти, госконтора. И в руководстве там сидят... соответствующие кадры. Попробуй им вталдычь, что нужно купить (на их языке) "какую-то непонятную программу, которая никак ни с чем не связана и не нужна, но купить нужно".
Зуб даю что почти у всех отечественных чиновников и рыл близких к руководству госкорпораций на личных компах стоит ломанный офис и акробат. И не потому что денег нет, а потому что "ну его с этими подписками голову ломать, я лучше ITшнику на работе дам, он всё на халяву настроит".

можно применить статью - хакеры ломанули сервер и ему п.да))

Вот поэтому меня можно назвать параноиком, но если я работаю в публичных сетях интернета, я всегда подымаю шифрованный туннель до своей домашней сети. Всегда. Чего и вам настоятельно советую. Даже если вы пришли в кафешку просто зайти на ЯПик - подымайте туннельку. Такая привычка очень полезна в современном мире.

По факту нужно было написать заявление в прокуратуру о нарушении ФЗ 152 со стороны РЖД с приложением всех доказательств, в виде скриншотов номеров паспортов и т.д.
РЖД это гнилая контора, не будут они платить за уязвимости, скорее обвинят в взломе. А на счет безопасности wifi - то там скорее всего подрядчиков наняли, те сделали работу а их кинули, потому никто не заморачивался с безопасностью.

А они в свою очередь напишут заяву на "хакера". Состав преступления налицо.

компания всегда может начать новый проект поддержки (а такой скорее всего уже есть и не один), целью которого будет устранение подобных уязвимостей.
в рамках данного проекта поддержки всегда можно пригласить для консультаций кого угодно. в данном случае - этого парнишку.
и в рамках консультационных услуг оплатить ему хорошую сумму за его исследование в сфере IT-безопасности их изделия.
я бы, в таком случае, вообще этого парнишку взял бы в качестве консультанта.

хотя о чем я, мы же в России живем.....

Это сообщение отредактировал Lankinbox - 18.11.2019 - 13:19

С лурка. Последний абзац, вот прям из жизни. Лично сталкивался. А самый ад, добавить полномочия какому-нибудь экономисту. Шесть человек согласующих, которые в АСУ нафиг никогда не смотрят, особенно начальники. Задолбаешься звонить и просить. Еще и ЭЦП запрос подписать надобно. А вы тут хакера, премии..

"Чтобы перечислить, демонстративно загибая пальцы, все системы, которые используются в РЖД, у вас не хватит пальцев на руках и ногах. Точное количество систем неизвестно никому. Только АСУ, непосредственно связанных с движением, более 60. А если учесть, что на каждой дороге есть ещё примерно столько же своих внутренних систем — представьте какой пиздец творится в ВЦ…

Система АСОУП
Основная система РЖД — АСОУП, разработанная ещё в 70-х годах прошлого столетия и давно устаревшая и морально и физически.
В РЖД уже практически не осталось людей, которые бы могли набрать это сообщение (ТГНЛ, ТелеГрамма Натурный Лист) вручную в терминале, так как теперь эти сообщения формируются в системе АСУ станции (А ведь когда-то всё вручную наколачивали!! На телетайпах!). Однако, менее сложные сообщения (прибытие-отправление поезда) работники способны и сейчас наколотить вручную. Это делается для того, чтобы прикрыть свою задницу ввести информацию в систему, когда по какой то причине не работает АСУ Станции. При этом АСОУП делает минимальное число проверок, благодаря чему в 2003 году скорость движения грузовых поездов на Приволжской дороге достигала ВНИМАНИЕ!!! 600Км/ч. Это, ВНЕЗАПНО, намного больше, чем развивает Сапсан. Тем не менее, эта злачная практика до сих пор имеет место, так как основная задача РЖД — это выполнение планов, норм, нормативов и т. д. (привет, призрак коммунизма).

Для АСОУП станция — это чёрная дыра, куда заезжает вагон и АСОУП даже не знает, где и на каком пути этот вагон находится («где-то на станции»), ибо 40 лет назад главное было — знать, хотя бы на какой станции вагон находится. Была как-то попытка сделать маневровые перемещения внутри станции в АСОУП, но она потерпела неудачу потому, что из АСОУП «пошёл дым», когда настроили передачу маневровых операций из АСУ Станции.

Отдельной статьи заслуживают «дипломированные специалисты» создающие и поддерживающие весь этот зоопарк АСУ. Нормальные программисты за такую ЗП работать на дорогу не идут в принципе, а те, что работают халтурят на стороне, в основном клепая богомерзкие сайтики (похапе, да) уровня «Сайт 9Б класса 7896 школы». Некоторые АСУ можно отправлять на govnokod.ru, прям целиком.

Разделение труда на ВЦ очень жесткое. Каждый сотрудник занимается буквально одним определённым делом, например если человек занимающийся AD уходит в отпуск или на больничный, то работа встаёт, так как это был единственный человек в отделе умеющий работать с AD. В силу такой тонкой специализации при решении каких-либо проблем вам придётся выполнить квест, заключающийся в обращении к другому специалисту, так как тот к кому вы обратились этим не занимается. Обычно через 3-8 перенаправлений вы попадаете туда, куда надо. При этом n-ый специалист, к которому вы обратитесь, может даже и не знать, что тот, кого вы ищите, сидит у него за спиной/слева/справа/etc. и отправит вас куда-нибудь не туда."

Это сообщение отредактировал Barrel0726 - 18.11.2019 - 13:33

Любая более-менее крупная контора, в т.ч. и государственная, имеет бюджет на информационную безопасность.
Кроме того, они должны регулярно проводить аудит информационных ресурсов.
Так что деньги есть. У них ума нет.

Подключаю этот ваш вифи только дома.

Размещено через приложение ЯПлакалъ

Но есть строка "техподдержка сервера", которая судя по всему пилится

Размещено через приложение ЯПлакалъ