Warum werden öffentliche Server häufig schlecht gewartet, verwenden veraltete Software und sind nicht sicher?
Es gibt viele Erklärungen für dieses traurige Phänomen, aber reden wir nicht darüber.
Ich schreibe diesen Artikel seitdem zum zweiten Mal um Vor nicht allzu langer Zeit waren einige Probleme behoben, und es schien mir sinnlos, an den Rest zu kommen. Leider ist die Situation infolge der Veränderungen praktisch wieder so, wie sie ursprünglich war.
Es gibt so eine wunderbare Gesellschaft der Russischen Eisenbahnen. Vor nicht allzu langer Zeit
wurde auf Habré ein
Thema mit Sicherheit in Wanderfalken angesprochen, mit einem eher
vorhersehbaren Ende .
Es wäre naiv zu glauben, dass dies das einzige Problem mit der Infrastruktur der russischen Eisenbahnen ist.
Wir sind jedoch keine Eindringlinge,
ja, Genosse Major, wir sind nicht so . Okay, Sapsan, der hätte gedacht, dass ein böser Angreifer ein Ticket kaufen und von innen hacken würde. Daher sind wir ausschließlich aus akademischen Gründen interessiert. Lassen Sie uns sehen, wie gut die Dinge auf der Website der Russischen Eisenbahn sind. Ihre Bedeutung und Popularität in den Weiten der ehemaligen UdSSR ist nicht nur kaum zu überschätzen. Es hätte eine herzzerreißende Geschichte darüber geben können, wie dieses Problem beim Kauf eines Tickets für eine geliebte Katze entdeckt wurde, aber ich hoffe, dass Sie diesmal ohne lügnerische Geschichten auskommen und sofort in die raue Realität eintauchen können.
Wir werden also keinen Umhang auf einen Baum legen.
Es gibt so einen wunderbaren und kostenlosen
ServiceLassen Sie uns versuchen, damit zu überprüfen, was wir auf der Website rzd.ru haben, auf der Millionen von Menschen ihre persönlichen Daten hinterlassen. Wahrscheinlich sollte es keine offensichtlichen Mängel geben. Es versteht sich von selbst, dass dieser Dienst nur Tests der Website durchführt. In keinem Fall sollten diese Daten in letzter Instanz als wahr angesehen werden und zumindest eine ernsthafte Prüfung.
Die Situation im Moment .
Die Situation zum Zeitpunkt des Schreibens
Wenn jemand interessiert ist, sieht das Ergebnis so aus, bevor die Russischen Eisenbahnen die Einstellungen zu ändern begannen:
Wie Sie sehen, ist das Ergebnis unbefriedigend.
Sollten Sie dieser Site Ihre persönlichen Daten anvertrauen?
Wir können sehen, dass SSL V3 verwendet wird, das 2015 veraltet ist.
CVE-2014-3566, alias Pudel, Vulnerability 2014 (!!!) des Jahres
Aber der warme Röhren-IE6 wird unterstützt. Ich denke, Webmaster und Layouter der alten Schule erinnern sich noch gut daran, wie einfach und unterhaltsam die Unterstützung war.
Natürlich sind alle unterstützten Chiffren entweder anfällig oder schwach.
Und die Kirsche auf dem Kuchen ist das einzige kryptografische Protokoll, das heute nicht mehr unterstützt wird. Unterstützt wird TLS 1.0 von rzd.ru. Der Höhepunkt dieser Situation ist, dass, wie bereits in Habré
geschrieben , die meisten populären Browser im Jahr 2020 ihre Unterstützung einstellen wollen.
LinkWenn also die Russische Eisenbahn im Jahr 2020 nichts unternimmt, haben viele Nutzer etwas Ähnliches anstelle der Website
In der Tat ist dies ziemlich gut, vielleicht zwingen massive Probleme mit der Ausgabe von Tickets von Benutzern zumindest ein wenig dazu, die Website zu tun. Und ich denke, sie werden jemanden finden, der für eine so üble Ablenkung gegen die Russischen Eisenbahnen verantwortlich ist. Und die Angreifer, und was mit ihnen zu tun ist und warum.
Warum war es möglich zu hacken? Wahrscheinlich weil der Angreifer. (C) IT-Direktor der Russischen Eisenbahnen, Evgeny Charkin.