Немногим более года назад в сети появился пост жителя Хабаровска под ником keklick1337, названный «Самый беззащитный – это Сапсан». В нем рассказывалось о том, как легко и просто можно через сеть вай-фай поезда Сапсан попасть во внутреннюю систему РЖД.

На основании этого сообщения было проведено расследование. В комментариях сотрудник компании Евгений Чаркин заявил, что взлом удался потому что, скорее всего, данный человек – злоумышленник, так как он из «фана», «юный натуралист». В системе уязвимых мест нет, и утечка важной информации невозможна. Он подчеркнул, что сайт мультимедиа Сапсанов работает как следует и дорабатывать его нет необходимости.

Сотрудники всех уровней компании, в том числе глава ИТ-отдела, отнеслись к предостережению хабаровчанина с пренебрежением и вместо благодарности отнесли его к злоумышленникам. Не обратили они должного внимания и на слова мужчины об имеющейся ВПН, через которую при желании можно попасть в сеть РЖД.

Год спустя ничего не изменилось. Оказалось, что проникнуть в сеть компании можно и не из Сапсана. Правда ли это? Для ответа был проведен «следственный эксперимент».

Гипотеза

В сети имеется большое количество прокси-серверов, за которые не надо платить. Разумеется, ни один здравомыслящий человек не откроет кому попало дорогу через личный роутер. Путей на самом деле имеется два: через устройства, подвергнувшиеся взлому, или в случае, когда функцию защиты забыли отключить.

После ряда произведенных действий (запуска nmap по диапазону адресов порта 8080, поиска прокси, не имеющего авторизации, запуска сканера по адресам) оказалось, что за ним могут находиться сети без защиты. В данном случае это оказался MikroTik. Правда, степень незащищенности пока не известна. 

Поиски хозяина системы

Для поиска хозяина был увеличен уровень исходящего VPN. За найденными интерфейсами ничего обнаружено не было. Камеры, которые нашлись, нужной информации не несли. При сканировании VPN было найдено свыше 20000 устройств. Из них более 1000 оказались Микротиками. Многие устройства имели заводские пароли по умолчанию. 

Большая часть являлась камерами наружного наблюдения, произведенными разными фирмами (Beward, Panasonic, Axis и т.п.). Также было много IP-телефонов и FreePBX-серверов. Третьими по численности оказались IPMI-серверы, такие как Asus, Dell, Supermicro, ESXi, Proxmox и т. п.

Затем были обнаружены:

  • преобразователи Moxa UniPing;
  • модули, управляющие ИБП;
  • сетевое оборудование.

Роутеров очень много. Большинство имеют заполненные пароли и свежую прошивку. Но достаточно и имеющих старые прошивки и пустые пароли. Причем практически отсутствует фильтрация исходящих коннектов. Появляется чувство, что интегратор, строивший сеть, доступ оставил специально. 

Вывод: сеть РЖД представляет собой сплошное решето. И такое положение по всей России. Найдены камеры с вокзалов Омска, Уфы, Новосибирска и т. д.

Почему так получается?

Существует мнение, что уязвимые места в сетях крупных компаний возникают из-за неквалифицированных специалистов, которые либо ошибаются, либо делают это специально. Например, работник с разрешения службы безопасности поднимает свой домашний VPN до уровня рабочей сети. 

Эта версия не подтвердилась при рассмотрении обратного адреса, с которого произошло попадание на Микротик. Это проходной канал в сеть РЖД и обратно. 

Скорее всего все выглядит следующим образом^

  • Имеется некий офис компании, прикованный к главной сети посредством l2tp.
  • Происходит попадание в сеть без межсетевой защиты. 
  • Системы обнаружения отсутствуют.
  • Устройства не имеют защиты, что свидетельствует об отсутствии компьютерной СБ. 
  • Пароли ненадежны.
  • Нет контроля исходящего трафика. 
  • Все управление находится в одной сети с сервисами клиентов, значит, администраторы не используют Management VLAN.

Можно сделать выводы, что в РЖД собрана неквалифицированная команда. Отрицание проблемы, поставленной @keklick1337, явно служит каким-то целям. 

Аудит проводился сотрудником без должной компетентности. Также напрашивается мысль, что в компании известно о проблеме, но она почему-то не признается публично и не решается. 

Что делать, чтобы уменьшить тяжесть последствий

Необходимо:

  • Провести квалифицированный аудит системы с целью обнаружить уязвимые места.
  • Пригласить для работы опытных системных архитекторов, чтобы создать большую сеть. Они должны за минимальную стоимость сделать имеющуюся инфраструктуру безопасной, а затем создать новую, которая будет отвечать всем требованиям безопасности. 
  • Нанять компанию для реализации программы и передачи ее для эксплуатации системным администраторам РЖД.
  • После завершения сделать повторный аудит. 

Для мотивации местных специалистов и приглашенных аудиторов можно устроить между ними конкурс на количество найденных багов и установить лимит на количество серьезных опасностей. Кто обнаружит больше, тот и получит премию. При превышении лимита следует применять штрафные санкции.

Затем эту систему ввести в постоянную работу и поощрять тех, кто находит и устраняет баги.

Итог

Уязвимости в сети РЖД обнаружены не один раз. Имеются признаки, что в ней кто-то постоянно находится. 

Разумеется, все инфосистемы имеют уязвимые места, их можно взломать. Когда именно – зависит от того, насколько беспечен их создатель, интересно ли это для киберпреступников и сколько необходимо времени для вскрытия. Главное условие безопасности сети – предотвратить доступ к системам во время несанкционированного проникновения.