Обращения и вопросы россиян продолжают поступать в колл-центры сотнями, и за каждым из них стоит проблема, которая требует решения.
Каждая секунда-звонок. На том конце провода чья-то судьба. Не важно: пожилой человек и молодой, здоров или болен — внимание всем. Общество, здравоохранение, политика и экономика, международная обстановка. Но самая популярная сфера вопросов — социальная.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин. То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора: Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами. И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств… Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено. Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД». Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два. Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий? Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
В предыдущих частях были вопросы про медицину. Пожалуй стоит про это рассказать.
Для начала немного предыстории:
Почти 40 лет назад финны внезапно решили снизить смертность от ССЗ (сердечно-сосудистых заболеваний). Если в 60х годах смертность от ССЗ в РФ и Фи была примерно одинаковой, то в РФ она и по сей день составляет около 50% от всех смертей, в то время как в Фи она снизилась в 7 раз. Главной причиной успеха является еда, а именно влияние холестирина, который бедные люди потребляют в огромных количествах. Для проведения эксперимента под названием "Северная Карелия" (подробнее можно почитать по ССЫЛКЕ в пдф), для чего был выбран один самый нищий и проблемный регион, собственно Северная Карелия, с населением около 180к человек. Проект длился с 67го по 97й год т.к. за изначально задуманные 5 лет детально оценить влияние плохого питания на продолжительность жизни не удалось. По оценкам ученных, преимущественно бедные финны употребляли сало, масло, молоко, мясо и большое количество соли. Начав постепенно менять рацион людей, уже в 80х появились первые заметные положительные результаты - снижение потребления холестерина, снижение холестерина в крови и снижения давления на 4мм.рт.ст., начиная с 90х люди стали есть больше овощей, меньше масла, больше обезжиренных продуктов, меньше соли и сахара. Одно только изменение питания позволило увеличить продолжительность жизни на 12 лет и значительно сократить смертность от ССЗ.
После переезда в Фи, я был удивлен полным отсутствием жирного мяса на прилавках, самое жирное что можно купить - это свиной карбонад, на котором практически нет жира.
Пример того, как выглядит обычное мясо в магазине:
Я не знаю как они издеваются над животными после смерти, но в говядине нет ничего кроме мяса, ни жира, ни жил. В России я ни разу не видел такого мяса.
Огромный выбор обезжиренной молочки, растительных спредов (качественный спред стоит в 1.5 раза дороже чем сливочное масло). По старой привычке я, всё же, ищу самые жирные продукты с лактозой и глютеном. Ну не могу я есть еду без жира, лактозы и глютена... У дочери в России была аллергия на говядину, поэтому после переезда я перепробовал всю травяную еду, в итоге даже дочь не смогла долго это есть, а аллергия прошла примерно через год после переезда.
Вторым фактором снижения смертности является чистый воздух. Кому интересно, можете загуглить "PM2.5 death rate", это про смертность вызванную содержанием мелкой пыли менее 2.5мкм в воздухе. Несколько тысяч человек умирают ежегодно из-за плохого качества воздуха.
Как вы можете видеть, в РФ не самые лучшие, но и не самые худшие показатели. Примерно 74 человека на 1000 умирает от грязного воздуха в РФ. 7.4 чел в Финляндии. Показатели запыленности постоянно контролируются, дороги чистятся огромными пылесосами, летом пыльные места обрабатываются калийной солью. Она связывает пыль.
Когда я приехал в Финляндию, то не мог понять что же не так. Климат похожий на Питер, постоянный ветер. Потом я понял - на ветру мне не пескоструит лицо, нет никакой пыли вообще. Чистая зеленая трава вдоль трасс. Я даже пробовал потереть асфальт на трассе рукой чтобы собрать пыль и рука оказалась такой же чистой. Вообще чистота прям поражает. Например в школах и садиках (по крайней мере в нашем регионе) дети не ходят в обуви. Ты приходишь в школу, снимаешь обувь в тамбуре и ходишь в носках по всей школе. То же самое в поликлинике. Когда я впервые пришел в поликлинику и увидел что прямо по полу ползает грудной ребенок, а все ходят в носках в коридоре, то вспомнил Российские больницы и поликлиники... совершенно точно я бы не стал ходить без бахилл.
Третий фактор - чистая вода. В Финляндии вы можете пить воду из под крана без дополнительной очистки. В домах используются медные трубы вместо стали и пластика, для дезинфекции не применяется хлорка. Фосфорная медь обладает бактерицидным эффектом, практически не корродирует. Вода не имеет ни вкуса, ни запаха и я ни разу не видел известковой накипи на тэнах, хотя из-за меди остается черный налёт в чайнике, но не в виде отложений. В среднем, в РФ, еще 2 человека на 100к населения умирает из-за плохого качества воды, где-то больше, где-то меньше, в среднем 2.
Теперь, когда вы знаете немного больше об общем состоянии здоровья населения, можно перейти непосредственно к медицине.
А медицина в Финляндии никакая. Ну т.е. если вы, вдруг, решите умереть, то вас с вероятностью 146% спасут, т.к. технически больницы и поликлиники хорошо оснащены, но вот дождаться плановой услуги маловероятно. При любом обращении в больницу вам предложат выпить ибупрофена (всеисцеляющей Бураны). Температура больше недели - попей Бураны, позвоночная грыжа - попей бураны, неведомая хня - попей бураны. Не верите мне - загуглите "Бурана финская форум" или можете почитать об этом у самих финнов ССЫЛК (я эту ссылку только что нашёл, но весь мой опыт говорит о том, что это на 146% правда). Если в РФ я делал МРТ в частной клинике за жалкие 2500р, то в Финляндии это стоит около 300 и не даст никакого толку, потому что, даже если позвоночная грыжа превышает 8мм, что в РФ без проблем оперируется (по крайней мере в СПб и Мск), вас может быть поставят в очередь на пару лет и то, если вы будете достаточно умело доказывать что вам действительно плохо. Все мои знакомые с проблемами в спине ездят лечиться в другие страны, да и вообще с любыми проблемами. Например 70-летний коллега имел проблемы с коленями, его так же пичкали Бураной, пока ему это не надоело и он просто не пришел и не упал к врачу на стол, сказав что всё, не может больше никуда ходить. Если посмотреть новости, то проблемы все те же, что и в РФ - пропускают рак, плохо диагностируют, несвоевременная помощь. Это не повсеместно, но это есть. И чем дальше от цивилизации, тем хуже положение. На севере люди могут жить в нескольких десятках километров друг от друга, где там находится врачебная помощь я даже не в курсе, но когда мы там арендовали жильё, то только до ближайшего магазина было 40км и находился он в Швеции, т.е ничего похожего на объекты инфраструктуры я и близко не видел.
Подвозил как-то женщину из Питера, она замужем за финном, работает в Питере на скорой, она тоже не в восторге от медицины. Её мужа уговорили на операцию на сердце, хотя прям серьезных показаний не было. Неделю кормили кроверазжижающими и забыли что после этого нельзя делать операции. Не сделали картирование сосудов. В итоге прокололи зондом артерию, клиническая смерть на столе, оживили и позвали её на подписание документа об отключении жизнеобеспечения. Когда она взяла карту с историей, то начала грозить им анальными карами (в Фи врачу за смерть пациента ничего не будет), его кое-как выходили пытаясь еще раз подписать отказ от жизнеобеспечения уже в другой больнице, теперь вместо просто больного сердца имеет инвалидность и проблемы с мозгом.
Зато у скорой помощи есть даже вертолеты. Периодически вижу их летающими и садящимися в частном секторе. Необходимые лекарства все можно получить без проблем, тот же инсулин можно получить в любую секунду бесплатно, а часть стоимости лекарств покроет государство, т.е. пенсионеры и тяжело больные не парятся где взять пару к евро на покупку.
В целом, если ты не умираешь, то подожди пока начнешь чтобы получить помощь)
Хорошее здоровье населения компенсирует плохую доступность медицины.
В России, на мой взгляд, есть всё что нужно для нормального функционирования медицины, но именно её "бесплатность" ломает работу всего процесса. В то время, как один вызывает скорую вместо такси, просто потому что ему лень идти в больницу, другой может умереть так её и не дождавшись. Я это испытывал на себе. Однажды у меня сильно поднялось давление (об этом не было известно), началсь одышка и боли в груди. По старой привычке решил просто посидеть, авось пройдет. Вызвал скорую когда стало реально тяжело дышать, скорая приехала через 3 часа в 5 утра, увезли меня с подозрением на инфаркт. Если бы и вправду был инфаркт, то сейчас я бы не писал уже... А в соседнем доме человек так и не дождался, скорая приехала через 5ч, когда было уже поздно. В Фи друг попал в ДТП, его и его кошку увезли на двух отдельных скорых (за обе он конечно заплатил), но сам факт того, что кота увезли на скорой даёт основания полагать, что в критической ситуации тебя действительно спасут.
Кстати, в Фи установлена уголовная ответственность за неоказание первой помощи. Что-то около 10% персонала должны быть обучены первой помощи и когда я проходил обучение, то был в шоке от того, что по финским правилам можно трогать человека с подозрением на перелом позвоночника, можно делать всё, что угодно, даже ломать ребра неумелым массажем сердца, главное чтобы человек выжил. Никакой ответственности за причиненные травмы спасающий не несет. Я был сильно удивлен скоплению авто и людей возле места ДТП, реально наверное 90% водителей останавливаются чтобы помочь. Остальные 10% наверное мигранты типа меня, которые еще не знают закон.
Отличный комментарий!
Оплата: его не посадят.