Почему удалось взломать? Наверное, потому что злоумышленник

в 14:49, , рубрики: poodle, sslv3, информационная безопасность, никогда такого не было и вот опять, ржд

Почему государственные сервера частенько плохо поддерживаются, используют устаревшее ПО и не безопасны?

Есть много объяснений этого грустного феномена, однако не будем об этом.

Я переписываю эту статью во второй раз, т.к. не так давно часть проблем была исправлена, а докапываться до оставшихся мне показалось бессмысленным. Но увы, в результате изменений ситуация вернулась практически к тому, что было изначально.

Есть такая замечательная компания РЖД. Не так давно на Хабре поднималась тема с безопасностью в сапсанах, с довольно предсказуемым концом.

Было бы наивно считать, что это единственная проблема с инфраструктурой РЖД.

Однако, мы же с вами не злоумышленники да, товарищ майор, мы не такие. Ладно Сапсан, кто же мог подумать, что злобный злоумышленник купит билет и начнёт взламывать изнутри. Поэтому, мы исключительно из академического интереса, посмотрим насколько хорошо дела у сайта РЖД. Важность и популярность его на просторах бывшего СССР и не только, трудно переоценить. Тут могла бы быть душещипательная история, как эта проблема была обнаружена, при покупке билета для любимого кота, но я надеюсь, что в этот раз можно обойтись без лживых слезливых историй и сразу окунуться в суровую реальность.

Так что не будем растекаться мысью по древу.

Есть такой замечательный и бесплатный сервис
Попробуем с его помощью проверить, что же у нас с сайтом rzd.ru, где миллионы человек оставляют свою персональную информацию. Наверное, уж тут то очевидных недоработок быть не должно.Естественно надо понимать, что данный сервис лишь проводит тестирование сайта, ни в коем случае нельзя считать эти данные истиной в последней инстанции и каким-то хоть сколько-нибудь серьёзным аудитом.Ситуация на данный момент.

Ситуация на момент написания статьи

image

Если кому интересно, так выглядел результат до того, как ржд начал изменять настройки:

image

Как вы можете увидеть результат неудовлетворителен.

Стоит ли доверять этому сайту свои персональные данные?

Мы можем увидеть, что используется SSL V3, признанный устаревшим в 2015 году
CVE-2014-3566, она же poodle, уязвимость 2014 (!!!) года
Зато поддерживается тёплый, ламповый IE6.Я думаю вебмастеры и верстальщики старой закалки хорошо помнят, как легко и забавно обеспечивалась его поддержка.
Ну и само собой, все поддерживаемые шифры или уязвимы, или слабоваты.

И вишенкой на торте — единственный криптографический протокол, не признанный устаревшим на сегодня, поддерживаемый rzd.ru это TLS 1.0. Изюминкой данной ситуации является то, что как ранее уже писали на Хабре, в 2020 году большинство популярных браузеров планируют отказаться от его поддержки.

Ссылка.

А значит, если когда в 2020 РЖД ничего не сделает, у множества пользователей вместо сайта откроется что-то похожее на вот это

image

На самом деле, это скорее хорошо, возможно массовые проблемы с оформлением билетов у пользователей вынудят хоть немного заняться сайтом. А уж кого обвинить в такой подлой диверсии против ржд, я думаю найдут. А злоумышленники, а что с ними делать, да и зачем.

Почему удалось взломать? Наверное, потому что злоумышленник. (С) Директор компании РЖД по информационным технологиям Евгений Чаркин.

Автор: Sayaka

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js