Mengapa server publik sering tidak dirawat dengan baik, menggunakan perangkat lunak yang ketinggalan zaman, dan tidak aman?
Ada banyak penjelasan untuk fenomena menyedihkan ini, tetapi jangan dibicarakan.
Saya menulis ulang artikel ini untuk kedua kalinya sejak itu belum lama berselang, beberapa masalah telah diperbaiki, dan untuk menyelesaikan sisanya bagiku sia-sia. Namun sayang, sebagai akibat dari perubahan, situasi telah kembali praktis ke apa yang semula.
Ada perusahaan kereta api Rusia yang luar biasa. Belum lama berselang, sebuah
topik diangkat tentang HabrΓ© dengan keamanan di elang peregrine, dengan akhir yang agak
dapat diprediksi .
Akan naif untuk percaya bahwa ini adalah satu-satunya masalah dengan infrastruktur Kereta Api Rusia.
Namun, kami bukan pengganggu,
ya, Kamerad Mayor, kami tidak seperti itu . Oke, Sapsan, siapa sangka penyerang jahat akan membeli tiket dan mulai meretas dari dalam. Karena itu, kami semata-mata karena kepentingan akademis, mari kita lihat seberapa baik hal-hal di situs web Kereta Api Rusia. Pentingnya dan popularitasnya di hamparan luas bekas Uni Soviet dan tidak hanya sulit ditaksir terlalu tinggi. Mungkin ada kisah yang mengharukan tentang bagaimana masalah ini ditemukan ketika membeli tiket untuk kucing kesayangan, tapi saya harap kali ini Anda bisa melakukannya tanpa berbohong dengan cerita yang penuh air mata dan segera terjun ke kenyataan pahit.
Jadi kami tidak akan menyebarkan jubah di pohon.
Ada layanan yang luar biasa dan gratis
Mari kita coba menggunakannya untuk memeriksa apa yang kita miliki dengan situs rzd.ru, tempat jutaan orang meninggalkan informasi pribadi mereka. Mungkin, seharusnya tidak ada kelemahan yang jelas di sini. Adalah wajar untuk memahami bahwa layanan ini hanya menguji situs, dalam kasus apa pun data ini tidak dianggap benar dalam upaya terakhir dan setidaknya semacam audit serius.
Situasi saat ini .
Situasi pada saat penulisan
Jika ada yang tertarik, beginilah hasilnya terlihat sebelum Kereta Api Rusia mulai mengubah pengaturan:
Seperti yang Anda lihat hasilnya tidak memuaskan.
Haruskah Anda mempercayai situs ini dengan data pribadi Anda?
Kita dapat melihat bahwa SSL V3 digunakan, yang sudah usang pada tahun 2015.
CVE-2014-3566, alias pudel, kerentanan 2014 (!!!) tahun ini
Tapi tabung IE6 yang hangat didukung. Saya pikir webmaster dan perancang tata letak sekolah lama mengingat dengan baik betapa mudah dan menyenangkan dukungannya diberikan.
Yah, tentu saja, semua sandi yang didukung rentan atau lemah.
Dan ceri pada kue adalah satu-satunya protokol kriptografi yang tidak ditinggalkan hari ini, didukung oleh rzd.ru adalah TLS 1.0. Puncak dari situasi ini adalah bahwa, seperti yang sebelumnya
ditulis di HabrΓ©, pada tahun 2020, sebagian besar browser populer berencana untuk meninggalkan dukungannya.
TautanJadi, jika
ketika pada 2020 Russian Railways tidak melakukan apa-apa, banyak pengguna akan memiliki sesuatu yang mirip dengan ini daripada situs
Sebenarnya, ini agak bagus, mungkin masalah besar dengan penerbitan tiket dari pengguna akan memaksa setidaknya sedikit untuk melakukan situs. Dan saya pikir mereka akan menemukan seseorang untuk disalahkan karena pengalihan keji terhadap Kereta Api Rusia. Dan para penyerang, dan apa yang harus dilakukan dengan mereka, dan mengapa.
Mengapa bisa diretas? Mungkin karena penyerang. (C) Direktur IT Kereta Api Rusia, Evgeny Charkin.