Есть у меня давний камрад и коллега, ныне работающий в структуре, близкой к РЖД и неплохо знающий тамошнюю кухню, о котором я упоминал в комментах в теме https://vott.ru/entry/583463 . Его, как и думаю не одного, немедленно привлекли к анализу информации, приведенной в статье, дабы получить стороннюю оценку. Уже здесь можно заметить, что к вопросу отнеслись крайне серьезно. Далее приведу комментарии камрада (К) и свои вопросы (Я), попутно делая выводы.
Я> не ваша контора отожгла?
[censored]
К> неа
там пиздешь по сути и жесткий, как раз для непосвященных в кухню
К> Краткий анализ стати на хабре[censored] привел к следующим выводам и неточностям в самой статье
1. Скриншоты сделаны с разных устройств, часть скриншотов имеет водяной знак об активации windows часть скриншотов его не имеет
2. Скриншоты с камер наблюдения на путях можно найти в интернете в огромном количестве
3. Скриншоты с систем управления телефонией, блоками бесперебойного питания, серверами, микротиком можно так же найти в интернете в свободном доступе, ни на одном скриншоте не указано что именно эти системы принадлежат ржд
4. Скриншот управления стрелками можно найти в интернете по запросу среди картинок "тренажер дсп днц", получим какие угодно страшные картинки, но это всего лишь тренажеры для обучения, при чем их много и у каждого есть свой форум, на котором таких скринов так же не меряно
5. Скриншот управления табло на перроне можно так же найти в интернете среди картинок
6. Описательная часть статьи по проникновенную в сеть ржд не выдерживает критики со стороны сетевого администрирования, судя по скриншотам от микротиков и описанием как он попал в сеть ржд так невозможно сделать, на скриншоте одни сети и адреса, а в описании совсем другие, так же с ип адресами на скриншотах, это различные подсети и различные ресурсы
7. Не возможно за 20-30 минут как пишет автор найти сразу же открытый для доступа микроток и что бы он чудом оказался в сети ржд, иначе автор очень везучий человек и ему так просто повезло, на это надо время и много
8. чувак сам из новосиба (судя по его профилю на хабре), один скрин как раз оттуда (где резолв имени и указывает на шлюз в инет ржд в новосибе, но его и так можно найти просто сканом портов по подсети ржд известной всем), а на части скринов москва, сети разделены и это точно и просто так не попасть из одной в другую
кстати, я могу на своем DNS прописать какую угодно обратную зону, установить его локально - и вуаля, в трейсе адрес отрезолвится во что-то типа podval.lubyanka.kremlin.gov
К> скорее всего автор просто достал какие то древние картинки, и использовал их в виде "докозательств"
К> тут есть несколько мнений
1. ему заплатили что бы постнул против кого то в ржд, он сам все придумал и взял скрины с инета
2. ему заплатили и даже передали несколько скринов (которые и могут быть из внутрней сети ржд, но скрины из другого региона, о чем писал раньше) для поста, остальное с инета взято
3. он решил просто хайпануть и у него это получилось
4. он реально хакнул некий участок сети ржд, но в статье только часть скринов правда, а остальное с инета
Вотт тут среди меня есть мнение, что статья - чистая заказуха со стороны интеграторов, которые хотят влезть в чужую кормушку и попилить денег. Кризис, денег мало... За деньги можно даже купить скрины внутренних систем у не слишком добросовестных работников РЖД. Действовуют при этом чисто в стиле говноинтеграторов, коих даже имею неудовольствие знать лично - придти, обосрать то что есть перед руководством, давя на эмоции и не касаясь фактов. И отжать чужую тему.
Я> а там конкретно кто-нибудь инфобезопасностью занимается централизованно, или хаос и сами себе как в муниципалке?
К> Там не так немного
К> Ржд разбита на части. Вокзалы это одна контора. Вагоны другая. Сама дорога третья. Стрелки четвёртая. И так далее. Вот в каждой и есть безопасники
По взаимодействию систем между собой и прочее
На скринах разные системы. В этом то и прикол
Я> общие какие то регламенты есть хоть? или бардак?
К> Есть конечно же
Дальше начинается самое интересное - статью правили после публикации!
К> Открой эту статью в новой вкладке и сравни. Она изменилась
ушло короче часть скринов и описания
[censored]
вот не изменненая статья
Это когда ему похоже в комментариях стали указывать на явный бред - пришлось почистить
К> UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости
К> Ты же понимаешь что если и есть дыры такого масштаба то они не закрываются в течении нескольких часов, и даже дней, тут работы много и на несколько недель
Я> котолампово)
Я> а главное теперь не подвтердить наличие уязвимостей)))
И за пиздеж не подтянуть, уязвимостей нет - потому что их закрыли!!!
В общем, уважаемый вотт - информация приведена, делайте выводы самостоятельно.
> Если показать, откуда были взяты картинки, то остальное можно не разоблачать.
> >Скриншоты... можно найти в интернете в огромном количестве
Я многоуважаемому sand2net'у уже предлагал самый простой и надёжный вариант: проверить описанный в статье способ проникновения в сеть РЖД. То есть, из RIPE WHOIS взять все подсети, зарегистрированные на РЖД, по ним пройти сканером 8080/tcp, и если среди них найдётся хоть один адрес с открытым портом 8080/tcp и на нём обнаружится общедоступный HTTP-прокси — статья заслуживает дальнейшего рассмотрения. Если же нет, то статья — ложь, пиздежь и провокация. В ответ гражданин sand2net впал в буйство, повысил меня в звании до майора и понёс какую-то околесицу про номерных родителей. А теперь он вернулся крыть одни размытые и скользкие сведения другими, не менее скользкими и размытыми.
> Я многоуважаемому sand2net'у уже предлагал самый простой и надёжный вариант: проверить описанный в статье способ проникновения в сеть РЖД
"связались со мной специалисты РЖД и совместно закрыли уязвимости" - пара-пара-пам, фьють! все!!!
> То есть, из RIPE WHOIS взять все подсети, зарегистрированные на РЖ
РЖД работает на подсетях ТТК, в т.ч. в регионах на блоках с ШПД. там много чего обнаружится.
> В ответ гражданин sand2net впал в буйство
Где?
> повысил меня в звании до майора
Это был ироничный намек на то, что заниматься явно нехорошими делами не имею никакого желания. Как минимум ТТК может заблочить мне интернет, если сработает какой-нибудь обнаруживатель атак. Второй раз даже КС влепил, чтоб наверняка.
> понёс какую-то околесицу про номерных родителей
Если ты не понял - это было сказано тебе в ответ на неоднократное хамство. О том, кому ты можешь давать советы.
> А теперь он вернулся крыть одни размытые и скользкие сведения другими, не менее скользкими и размытыми.
Я предлагаю контингенту не вестись на манимуляции эмоциями, а анализировать информацию с разных сторон.
> > Я многоуважаемому sand2net'у уже предлагал самый простой и надёжный вариант: проверить описанный в статье способ проникновения в сеть РЖД
> "связались со мной специалисты РЖД и совместно закрыли уязвимости" - пара-пара-пам, фьють! все!!!
Ну и отлично, цель достигнута. Малолетние анонимусы из интернетов больше не смогут хулиганить, пуская в электричках бегущей строкой свежие анекдоты с анекдот.сру!
> РЖД работает на подсетях ТТК, в т.ч. в регионах на блоках с ШПД. там много чего обнаружится.
Если сеть арендована организацией, в ней ничего левого быть не должно. А вот если всякая левая фигня в ней найдётся, тем хуже для РЖД и спасибо зоркому автору статьи, и не имеет значения, откуда он понадёргал этих своих скриншотов.
> Это был ироничный намек на то, что заниматься явно нехорошими делами не имею никакого желания.
Сканирование не является ни уголовно наказуемым, ни нехорошим деянием.
> Как минимум ТТК может заблочить мне интернет, если сработает какой-нибудь обнаруживатель атак. Второй раз даже КС влепил, чтоб наверняка.
[Смотрит с крайним удивлением] Где я призывал тебя сканировать что-то с твоего домашнего адреса?
> Если ты не понял - это было сказано тебе в ответ на неоднократное хамство. О том, кому ты можешь давать советы.
Где ты увидел в моих словах хамство? Хамство — это твой неуклюжий заход с родителями.
> > А теперь он вернулся крыть одни размытые и скользкие сведения другими, не менее скользкими и размытыми.
> Я предлагаю контингенту не вестись на манимуляции эмоциями, а анализировать информацию с разных сторон.
В статье была ровна одна проверяемая информация — в ней был описан способ проникновения в сеть РЖД. Именно его я и предложил подвергнуть анализу, проверив научным методом. В твоём же ответе на статью на хабре нет вообще никакой проверяемой снаружи информации, только намёки и многозначительное шевеление бровями. Что в ней можно анализировать? Ничего.
Кстати в группе, что пиарилась в статье - меня уже обозвали сотрудником РЖД, кремлеботом и еще много чем. И эти люди искренне верят в непогрешимость 1000+ залайкавших статью на хабре)
Ну то есть масса эникеев убеждена, что сети такого масштаба так и делаются - говнолокалка на микротыках.
> Ну и отлично, цель достигнута. Малолетние анонимусы из интернетов больше не смогут хулиганить, пуская в электричках бегущей строкой свежие анекдоты с анекдот.сру!
Именно от них и защищаются такие сети, ага.
> Сканирование не является ни уголовно наказуемым, ни нехорошим деянием.
Шаурма от Сталина тоже - а поди ж ты. Привлекать к себе внимание подобным, когда СБ РЖД, К-шники и фейсы бегают с намыленной жопой - увольте.
> Где я призывал тебя сканировать что-то с твоего домашнего адреса?
Ну то есть ты мне предлагаешь потратить время на организацию всего комплекса мероприятий, требуемых для полноценного взлома - анонимизация и прочие прелести? Мне тупо жаль времени и сил, я лучше проанализирую саму статью, благо она построена по типичному принципу срыва покровов и пытается возбудить эмоции. Плюс посоветуюсь со специалистами, благо таковые есть. Еще я сам некоторым образом сетевой инженер, и мягко говоря неточностей там - выше крыши.
> Где ты увидел в моих словах хамство?
>> Тогда тебя не должен волновать вопрос о том, кому верить.
>> А я тебе ещё раз повторяю, что если ты не собираешься этого делать, нехуй мять глазами чужие сиськи мнения, сравнивая их размер и форму.
Общение в таком духе категорически не поддерживаю.
> То есть, из RIPE WHOIS взять все подсети, зарегистрированные на РЖД
это не так просто, на самом деле. регионы себе интернет самостоятельно покупают. и не все берут PI-адреса, кому-то достаточно пула выделенного оператором. устанешь искать
С камер - передачи, статьи. Хотя лично мое мнение - с видеонаблюдением мог лохануться локальный подрядчик. Однако дальше камер автор никуда уйти не мог, сеть не так устроена.
> 3. Скриншоты с систем управления телефонией, блоками бесперебойного питания, серверами, микротиком можно так же найти в интернете в свободном доступе, ни на одном скриншоте не указано что именно эти системы принадлежат ржд
> 4. Скриншот управления стрелками можно найти в интернете по запросу среди картинок "тренажер дсп днц", получим какие угодно страшные картинки, но это всего лишь тренажеры для обучения, при чем их много и у каждого есть свой форум, на котором таких скринов так же не меряно
скриншот из винбокса делается элементарно
[censored]
собственно что пытаюсь донести - без указания конкретных адресов и локейшенов систем, статья ни о чем.
> Вотт тут среди меня есть мнение, что статья - чистая заказуха со стороны интеграторов, которые хотят влезть в чужую кормушку и попилить денег. Кризис, денег мало...
Зачем тогда это было делать не анонимно? можно много проблем заиметь.
он уже пишет на эту тему:
"Да всё пипец
Уголовка будет из принципа. Больших людей обидел
Но и на работу уже зовут"
Сейчас, сейчас
Я> не ваша контора отожгла?
[censored]
К> неа
там пиздешь по сути и жесткий, как раз для непосвященных в кухню
К> Краткий анализ стати на хабре[censored] привел к следующим выводам и неточностям в самой статье
1. Скриншоты сделаны с разных устройств, часть скриншотов имеет водяной знак об активации windows часть скриншотов его не имеет
2. Скриншоты с камер наблюдения на путях можно найти в интернете в огромном количестве
3. Скриншоты с систем управления телефонией, блоками бесперебойного питания, серверами, микротиком можно так же найти в интернете в свободном доступе, ни на одном скриншоте не указано что именно эти системы принадлежат ржд
4. Скриншот управления стрелками можно найти в интернете по запросу среди картинок "тренажер дсп днц", получим какие угодно страшные картинки, но это всего лишь тренажеры для обучения, при чем их много и у каждого есть свой форум, на котором таких скринов так же не меряно
5. Скриншот управления табло на перроне можно так же найти в интернете среди картинок
6. Описательная часть статьи по проникновенную в сеть ржд не выдерживает критики со стороны сетевого администрирования, судя по скриншотам от микротиков и описанием как он попал в сеть ржд так невозможно сделать, на скриншоте одни сети и адреса, а в описании совсем другие, так же с ип адресами на скриншотах, это различные подсети и различные ресурсы
7. Не возможно за 20-30 минут как пишет автор найти сразу же открытый для доступа микроток и что бы он чудом оказался в сети ржд, иначе автор очень везучий человек и ему так просто повезло, на это надо время и много
8. чувак сам из новосиба (судя по его профилю на хабре), один скрин как раз оттуда (где резолв имени и указывает на шлюз в инет ржд в новосибе, но его и так можно найти просто сканом портов по подсети ржд известной всем), а на части скринов москва, сети разделены и это точно и просто так не попасть из одной в другую
кстати, я могу на своем DNS прописать какую угодно обратную зону, установить его локально - и вуаля, в трейсе адрес отрезолвится во что-то типа podval.lubyanka.kremlin.gov
К> скорее всего автор просто достал какие то древние картинки, и использовал их в виде "докозательств"
К> тут есть несколько мнений
1. ему заплатили что бы постнул против кого то в ржд, он сам все придумал и взял скрины с инета
2. ему заплатили и даже передали несколько скринов (которые и могут быть из внутрней сети ржд, но скрины из другого региона, о чем писал раньше) для поста, остальное с инета взято
3. он решил просто хайпануть и у него это получилось
4. он реально хакнул некий участок сети ржд, но в статье только часть скринов правда, а остальное с инета
Вотт тут среди меня есть мнение, что статья - чистая заказуха со стороны интеграторов, которые хотят влезть в чужую кормушку и попилить денег. Кризис, денег мало... За деньги можно даже купить скрины внутренних систем у не слишком добросовестных работников РЖД. Действовуют при этом чисто в стиле говноинтеграторов, коих даже имею неудовольствие знать лично - придти, обосрать то что есть перед руководством, давя на эмоции и не касаясь фактов. И отжать чужую тему.
Я> а там конкретно кто-нибудь инфобезопасностью занимается централизованно, или хаос и сами себе как в муниципалке?
К> Там не так немного
К> Ржд разбита на части. Вокзалы это одна контора. Вагоны другая. Сама дорога третья. Стрелки четвёртая. И так далее. Вот в каждой и есть безопасники
По взаимодействию систем между собой и прочее
На скринах разные системы. В этом то и прикол
Я> общие какие то регламенты есть хоть? или бардак?
К> Есть конечно же
Дальше начинается самое интересное - статью правили после публикации!
К> Открой эту статью в новой вкладке и сравни. Она изменилась
ушло короче часть скринов и описания
[censored]
вот не изменненая статья
Это когда ему похоже в комментариях стали указывать на явный бред - пришлось почистить
К> UPD: связались со мной специалисты РЖД и совместно закрыли уязвимости
К> Ты же понимаешь что если и есть дыры такого масштаба то они не закрываются в течении нескольких часов, и даже дней, тут работы много и на несколько недель
Я> котолампово)
Я> а главное теперь не подвтердить наличие уязвимостей)))
И за пиздеж не подтянуть, уязвимостей нет - потому что их закрыли!!!
В общем, уважаемый вотт - информация приведена, делайте выводы самостоятельно.