Он снова стучит ножками. И теперь ворует деньги у моих родителей и детей
https://navalny.com/p/6305/ Сижу вчера спокойно в офисе. Никого не трогаю. Смотрю материалы очередного расследования. Тут пишет жена: у меня все счета и карточки заблокированы, денег нет. Везде стоит «минус 75 миллионов рублей». Ты случайно никому не задолжал 75 миллионов?
Через минуту пишет мать: нам с отцом приходят смски из банка. Все счета заблокированы. Обидно, послезавтра пенсию должны перечислить. Теперь пропадет. Через пять минут пишет Захар: кто-то забрал со счёта 30 тыщ, которые я скопил. Пришло сообщение из банка. У Захара специальная детская карточка и мы ему даём по 5 тысяч в месяц, он копит на ноутбук.
Ещё через час пишет Даша: а чего у вас там происходит? Я пошла в кафе завтракать, а денег-то у меня нет. Всё арестовано. Потом я лезу сам в интернет-банк и вижу, что и у меня все карточки заблокированы. «Постановление следователя в рамках уголовного дела такого-то». Сумма «минус 75 миллионов» безошибочно указывает на «дело ФБК». Потом заходит директор ФБК Жданов и говорит: вот гады, жене заблокировали карточку. Потом снова заходит директор ФБК Жданов и говорит: вот сволочи, родителям забликоровали все счета и карты, отняли все деньги. И ещё через три минуты приходит начальник юротдела ФБК Слава Гимади и смеется: на тебя ещё и олигарх Дерипаска в суд подал. За что, не знаем, но записали его почему-то как «Дерипаско».
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин. То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора: Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами. И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
Кстати, заходите в Телеграм чат «RouterOS Security» t.me/router_os
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств… Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Ещё камеры
Даже офисы внутри
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
3. IPMI серверов:
Asus
Dell (их подавляющее большинство)
Supermicro
Из серверов виртуализации встречаются ESXi, Proxmox и oVirt
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
4. Преобразователи ethernet во 'что угодно' (Moxa UniPing etc)
5. Системы управления ИБП
6. Внутренние сервисы
Что-то похожее на мониторинг состояния систем обеспечения здания.
Система управления кондиционированием и вентиляцией
Различные системы управления табло на перронах :-)
Эта самая красивая
Некий терминал, но внутри модифицированный дебиан.
Таких нашёл около 20
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет. Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Например, вот это вокзал Уфы
Антропово Костромской области
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
Вероятно, что это один из офисов РЖД, который прилинкован к основой сети через l2tp. Я попадаю в сеть где межсетевые экраны отсутствуют как класс. Запускаю интенсивное сканирование хостов — у меня соединение не рвётся. Значит о системах обнаружения вторжения (IDS/IPS) РЖД тоже ничего не слышал. Микротик может замечательно интегрироваться, например Обнаружил кучу устройств без защиты. Это говорит, что службы сетевой безопасности в РЖД так же нет.Много устройств с дефолтными паролями. То есть политики паролей тоже нет.С Микротиков внутри сети я легко поднял туннели. То есть исходящий трафик не контролируется. Я вижу все интерфейсы управления в одной сети с клиентскими сервисами. Админы РЖД ничего не знают о Management VLAN «Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено. Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Стоимость уязвимости
«Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД». Предлагаю применить Вашу систему оценки в теории на примере системы видеонаблюдения РЖД.
Чтобы вывести камеры из строя так, чтобы их могли восстановить только специалисты вендора, достаточно залить прошивку с заблокированным сетевым интерфейсом.
Рандомно выбранная из списка установленных модель стоит ~13к рублей.
А закупки по 44-ФЗ отличаются, как непредсказуемой конечной стоимостью, так и временем проведения самой процедуры и получения продукта. Я потратил 8 часов для сбора информации для этой статьи. Найдено ~10к камер. Производителей камер, которые установлены, немного — максимум штук 10.
Гипотетическому злоумышленнику потребуется:
Модифицировать прошивки, заблокировав сетевой порт на 10 прошивках. Думаю, что на это у специалиста уйдёт три рабочих дня;Написать сканер, который будет анализировать устройство и заливать соответствующую прошивку. Заложим ещё 2 дня;Запустить этот сканер-прошивальщик, чтобы не смогли найти источник и заблокировать — часа два. Таким образом за неделю работы специалиста по взлому РЖД потеряет минимум 130 миллионов рублей. Отсюда стоимость одного часа работы злоумышленника будет равна ~2,5 млн. рублей.
Двигаемся дальше.
Быстро заменить камеры на работающие РЖД не сможет. В резерве столько нет. Купить новые из-за обязанности объявления торгов так же не получится. Таким образом вся железная дорога будет без видеонаблюдения не меньше месяца.
А вот это уже опасность террористической угрозы. Чтобы её хоть как-то снизить потребуется на 10 тысячах объектов существенно усилить охрану. То есть даже на маленькую ж.д. станцию потребуется дополнительно 6 человек охраны…
Кажется счёт уже уходит за миллиарды…
Что нужно изменить, чтобы снизить вероятность возможных последствий? Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят. Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.
Связаться со мной можно через телеграм t.me/monoceros Обсудить данную статью приглашаю в профильный чат по Микротикам в Телеграм «RouterOS Security»: t.me/router_os
В России запустили аналог «Википедии». Он перестал работать в день запуска
Проект называется «Руниверсалис» и, по словам депутата Госдумы Антона Горелкина, «работает на wiki-движке, но не зависит от политики, насаждаемой фондом „Викимедиа“».
«Руниверсалис», как рассказал Горелкин, развивают бывшие редакторы российской «Википедии». Депутат подчеркнул, что проект «декларирует уважительное отношение к требованиям законодательства РФ и нашим традиционным ценностям».
Вскоре после сообщения Горелкина сайт «Руниверсалиса» перестал открываться и выдает ошибку 403.
В России фонд «Викимедиа», управляющий «Википедией»штрафовали за отказ удалить информацию из статей о событиях в Украине
Развернуть
Отличный комментарий!
Спецом "нырнул" в DTF чтобы цепануть немного этого пиздеца в пока еще рабочем состоянии Вот это вот встречает на главной
Если кто-то знает сериал "Ходячие мертвецы", то это очень похоже было. Часто старался ходить бомбить склады с едой. Это законное мародерство было. Т.е. менты разрешали это делать, так как в городе тупо ничего нет. До 9 марта у меня из благ цивилизации была канализация, но потом после авиабомбы вылетели все стекла и двери и вода в унитазе замерзла, март выдался холодным. В общем с 9 марта я жил в подвале, хотя все жители дома жили в подвале. Иногда ходил бомбить склады с едой. Это когда снаряд попадал в магазин и выносил окна или двери, значит магазин открылся и его можно грабить. Так же и со складами. Едой и водой делился с жильцами. Была одна женщина, которая была морально подавлена, ничего толком бомбить не получалось. Она приехала в Мариуполь 22 февраля и должна была уехать в Одессу к дочери, но не успела, кто же знал. В общем она была в подвале со мной в одной комнате, мы сдружились, я ей помогал, она еду готовила. Кстати, еда на костре - романтика, главное возле подвала, чтобы за пару секунд спрятаться от обстрела или бомбы. Я в принципе многим помогал, потому что еды натягал довольно много, а морозы рано или поздно должны были закончиться и еда бы начала пропадать. Позже я узнал, что у этой женщины есть машины, и ее гараж чудом уцелел. В общем после некоторых приключений со вскрытием гараж и подзарядкой севшего аккумулятора, нам удалось его завести. Человеку, который помог, я в итоге дал ключи от своей квартиры в Донецке, они с семьей в Донецк решили уехать. Потом мы на этой машине выехали, еще трех человек прихватили с собой, семью. В общем вещей минимум, только чтобы выехать. С Мариуполя до Бердянска ехали около 10 часов, 90 км. Куча блокпостов рашистов, на большинстве нужно было показывать тело на предмет отсутствия татуировок, и синяков от броника. В общем рашистов там дофига было. Потом переночевали в Бердянске и на следующий день поехали по зеленому коридору в Запорожье. Кое-какие приключения были, но до Запорожья доехали почти без проблем.
Потом, когда уже были в Бердянске, я узнал как много людей ищут родных, даже не вывезти, а просто найти. Как-то меня грызет до сих пор, я-то мог бы поискать людей, хотя это опасно. С 9го марта после 15:00 начался ад в Марике, его начали бомбить самолеты. Наш дом чудом уцелел и мы соответственно в подвале. Потому что после попадания бомбы в дом, дом складывался и погребал людей в подвале. А если бомба падала рядом с домом, до дом загорался и сгорал практически полностью. В наш дом попало всего три мины, одна чуть меня не убила, но я выбрал правильный путь и разменулся с осколками.
Не всем повезло так, как мне. Моя бывшая девушка была в другом районе с мамой и братом, там к ним пришли рашисты и насильно эвакуировали в Таганрог. А там хреново. А вот моя бывшая жена на связь со 2го марта не выходила, х.з. что с ней. И так же с большим количеством наших сотрудников.
В прилагаемом файле на заднем плане пятиэтажке, в которой я жил. Чудом уцелела.
Да, еще момент. Кто не верит в те потери, что публикуют наши СМИ. В Мариуполь до 9го марта заходили танки трижды, ну вернее не только танки, а и другая бронетехника, при поддержке пехоты и все три попытки были неудачные. После одной из них 6 марта, осталось большое количество мертвых рашистов на дороге, недалеко от моего дома, они были и за дорогой. Потом трупы убрали сами же рашисты. Рядом с моим домом был танк с оторваной башней, у него боекомплект сдетонировал и сгоревший БТР. В общем там рашистов косили и технику палили. Позже, когда уже в нашем районе закрепились рашисты, один из них поведал, что пуйло дал им приказ закончить с Мариуполем 26 марта. Это было за неделю до 26 марта. Бои идут до сих пор. Практически весь город контролируется рашистами, наши обороняются на заводе Азовсталь и, возможно, на завод Ильича. И в Марике оказалось большое количество гандонов среди местного населения. Соответственно когда рашисты пришли, они вскрылись. Один из них мне говорил, что Харьков захвачен и Одесса тоже. Я тогда сник, связи нет, проверить сложно, а потом подумал как могли Одессу захватить за 4 дня, если Марик не могут взять две недели на тот момент. Потом, когда он валил из города, я его просил написать смс моей маме, что я живой. Этот гандон обещал, но, естественно, ничего не сделал. А некоторые готовы были и жопу рашистам целовать. В общем противно это все.
В Карелии мэра города сбила машина, когда та переходила заснеженную улицу в неположенном месте. Полиция завела на чиновницу административное дело за нарушение ПДД, ей грозит штраф до 500 рублей или предупреждение
В карельском городе Питкяранта водитель легкого автомобиля сбил 57-летнюю мэра Татьяну Юрченко. Чиновница переходила заснеженную дорогу в неположенном месте ("вне пешеходного перехода, но в зоне его видимости") в тёмное время суток.
Видео с камер наблюдения опубликовало сообщество «Нетипичная Питкяранта», информацию подтвердили в администрации города.
Юрченко от удара автомобиля получила перелом предплечья. С какой скоростью двигался водитель автомобиля Geely не сообщается (при ограничении скорости 40 км/ч).
ПЫСЫ: политоту в теги поставил ибо слова чиновник, мэр города находятся в разделе "Политота" в словаре Брокгауза-Коки Эфрона (издание 2018 года, дополненное)
Развернуть
Отличный комментарий!
Я тут загнался и: путь в 57 метров авто преодолело за 3 секунды, следовательно скорость была 19 м/с 57/3=19 19 м/с примерно 68 км/ч
У меня просто нереально подгорело из-за очередной идеи, посетившей умы владельцев некоторых крупных магазинов. Что они придумали. Глянув, как падают их продажи, посовещались меж собой - решили, что нечего людям покупать на всяких там Амазонах, Алибабах и е-Бэях всякие чехольчики, телефоньчики, одежду для потомства и прочие нештяки. Надо бы как-нибудь покупателя от буржуйских магазинов отучить и заставить все у нас покупать. Для творения совместного зла, предложили они таможенникам вскрывать посылочки, которые к людям идут почтой из интернет магазинов и если (внимание!) таможеннику покажется, что товар «поддельный» то конфисковывать такой товар, без уведомления и компенсации его стоимости гражданину. При этом разбираться с таможней, если товар был настоящий или с продавцом если они таки был поддельный - будет сам гражданин. Представил себе картину, заказал себе плашетик. Оплатил, ждешь его месяц. А вместо него, приходит порванная в клочья коробочка и записка от таможенника «Твой планшет был поддельный». Идея была естественно принята таможней на Ура! (ведь теперь можно будет тырить товар на законных основаниях) и скоро будет воплощаться в жизнь. Вот те магазины, кто хочет поиметь тебя с помощью государственных органов. В их интересах меры принимаются. Лично я, у них, больше не покупаю.
Пруфы в новостях, а также на сайте "Ассоциации компаний интернет-торговли" раздел "Участники"
Отличный комментарий!
Оплата: его не посадят.