• Взломать «Сапсан». Поезда проверят на уязвимость, найденную программистом с «Хабра»

    Пользователь «Хабра» рассказал, что за 20 минут сумел взломать Wi-Fi «Сапсана» и получить доступ к информации о пассажирах. РЖД утверждает, что не хранит на серверах поездов значимой информации. Насколько сложно обезопасить данные пассажиров?
    Взломать «Сапсан». Поезда проверят на уязвимость, найденную программистом с «Хабра»

    По словам пользователя «Хабра», для подключения к Wi-Fi в поезде система требует ввести номер вагона и места, указанные в билете, и последние четыре цифры паспорта. «Значит, „Сапсан“ у себя локально хранит данные о всех пассажирах, кто на каком месте. А что, если проверить, насколько трудно к ней получить доступ. Мне понадобился только NMAP (инструмент для сканирования IP-сетей, — прим. ред.) и пара публичных эксплоитов (программа для поиска уязвимостей в ПО — прим. ред.). Данные для авторизации в системах я описывать не буду, дабы не обидеть РЖД (на всех „Сапсанах“ данные для авторизации одинаковые)», — пишет пользователь под ником keklick1337.

    Программист утверждает, что смог получить доступ к данным пассажиров текущего и предыдущих рейсов «Сапсана». При этом он отмечает, что все пароли внутри системы были одинаковыми, сервер, на котором хранится вся информация, один, а оперативной памяти на нем мало — поэтому и не работал Wi-Fi.

    При этом весь процесс взлома якобы занял у программиста всего 20 минут, и то, как он написал, из-за того, что «сервер лагает».

    В пресс-службе ОАО «РЖД» сообщили «360», что проведут технологическое расследование. При этом отметили, что на сервере информационно-развлекательной системы поездов «Сапсан» не хранят персональные данные пассажиров. «Мультимедийный портал предоставляет информационный и развлекательный контент: новости ОАО „РЖД“, фильмы, книги, музыку и другую информацию. Для авторизации в системе пользователь должен ввести только последние четыре символа документа, на который куплен билет, а также вагон и номер места. Эти данные не относятся к персональным в соответствии с действующим законодательством РФ и хранятся на сервере ИРС не более одного дня», — отметили в пресс-службе.

    Более того, по информации РЖД, сервер, о взломе которого сообщалось, не связан с внутренней сетью ОАО «РЖД» или другими внутренними сервисами управления, а разработан «исключительно для развлекательной и информационной тематики и не хранит никаких конфиденциальных данных клиентов».

    Взломать — не строить

    Консультант по информационной безопасности компании «Cisco Systems» Алексей Лукацкий сказал «360», что осуществить взлом беспроводной сети подобного рода достаточно легко. «Сначала используется один инструментарий, который сканирует сеть и ищет уязвимости в ней и в программном обеспечении, которое используется. Затем используется другой инструментарий, чтобы атаковать систему через слабые места и получить привилегии — получить доступ к персональным данным, перехватить управление той или иной системой и осуществить какие-то иные задачи, которые могут стоять перед злоумышленниками», — объяснил он.

    Программист добавил, что такие взломы являются наказуемыми. По словам Лукацкого, в системе, к которой получил доступ неизвестный пользователь «Хабра», мог быть доступ не только к данным РЖД и информации о пассажирах, но и сведения о платежных картах, которыми пользуются в поездах.

    Однако сам пассажир, по словам Лукацкого, в данной ситуации не может обезопасить свои данные. Единственный выход — отказаться от поездок на «Сапсане», но такой исход событий маловероятен.

    Устранить подобную проблему в системе защиты пользовательских данных не так сложно. «Но дело в том, что это не разовое мероприятие, а непрерывный процесс. Потому что уязвимости идентифицируются регулярно, и устранение уязвимостей и включение соответствующих механизмов безопасности тоже должно производиться на постоянной основе», — сказал Лукацкий.

    Программист также отметил, что в условиях поезда, как подвижного объекта, обеспечить такую регулярную обновляемость защиты сложнее, хотя все равно возможно.