Полный IP-здец. Новое воплощение системы «Безопасный город» приглашает хакеров позабавиться
Оригинал взят у secnewsru в Полный IP-здец. Новое воплощение системы «Безопасный город» приглашает хакеров позабавиться
С 1 апреля 2012 года в Москве должна была вступить в силу новая схема организации видеонаблюдения. На дворе ноябрь, то есть схема формально давно уже вступила в действие. Простите, ещё раз: схема чего? Организации видеонаблюдения? Назвать это счастье «организацией» язык не поворачивается: мешает знание целого ряда подробностей. Нам удалось выяснить, как возникла эта система, как она функционирует в реальной жизни и насколько легко её, бедняжку, обрушить - при наличии злого умысла или просто желания побаловаться. От публикации всех известных нам фактов и соображений редакция решила воздержаться: простите за пафос, но мы не можем ставить под удар безопасность мегаполиса Москва. Мы коренным образом заинтересованы в том, чтобы уровень безопасности жизни в столице был на должной высоте. Как минимум, соответствовал бы уже понесённым бюджетным затратам. Мы здесь живём и работаем, наивно полагая, что за наши налоги можем претендовать на хоть какую-то защищённость.
Собеседник не нервничает, но всё же несколько напряжён. Скорее всего, это застарелое раздражение. Назвать настоящее имя, компанию и должность не можем: это условие, при котором он согласился на публикацию данных. Давайте назовём собеседника, скажем, Антоном. Антон последовательно излагает структуру системы безопасности городского масштаба, мы пробуем рисовать на листе А4 схемы. Для начала пытаемся представить себе предыдущую версию «Безопасного города» на примере отдельно взятого округа - ЦАО. В районах ЦАО существовали инфраструктуры, называемые РОСПД - районные опорные сети передачи данных. Это оптоволоконная кабельная обвязка с соответствующим «фаршем» в виде коммутаторов и другого оборудования.
Сети РОСПД в районах развёртывались в середине «нулевых». По задумке архитекторов, районные сети не должны были иметь связи между собой, а также, естественно, и выхода во внешний мир. Это не позволяло потенциальному злоумышленнику, получив доступ к оборудованию одной районной сети, натворить дел в масштабах всей Москвы.
Итак, волокно лежит, шкафы с оборудованием стоят и даже заперты на ключ. Однако лишь посвящённым известно, что, к примеру, в Центральном административном округе сеть оказалась бесхозной: заказчик её по каким-то причинам не принял и на баланс не взял. Работы по строительству районных сетей выполнял целый список подрядчиков, а в качестве координатора выступила организация А. Что произошло между А и департаментом информационных технологий мэрии, мы выяснять не стали: в принципе, это не касается сути вопроса. Однако с 2009 года районные сети оказались брошенными на произвол судьбы. Организации, которые занимались видеонаблюдением, выполняли процедуры обслуживания РОСПД в своих интересах. Антон образно сравнивает: это вроде как автомобилист засыпает ямку на дороге, по которой ездит каждый день. Воспользовавшись паузой, показываем схему: так? Ответ: ну, как-то так. Только есть дополнение: оборудование РОСПД физически размещается (а заодно и кушает электричество) в объединённых диспетчерских - вместе с дежурными слесарями и электриками.
Все прелести советского периода: бабулька-дежурная, ключ под расписку в журнале и никакой ответственности ни с чьей стороны. В синем рабочем комбинезоне и с ящиком инструментов в руках можно спокойно протопать мимо вахтёрши, подобрать ключ, открыть дверцу и что-нибудь испортить. Или, наоборот, улучшить: подключить WiFi-рутер и получить дистанционный доступ к сетевому оборудованию. Чтобы каждый раз к бабке не ходить.
Прежняя модель отношений с подрядчиками в СОБГ - системе обеспечения безопасности города - сводилась к доставке видеопотоков на так называемый «верхний уровень», где видео (предположительно) просматривалось, анализировалось, а затем принимались соответствующие решения по реагированию. При этом вся аппаратная часть системы находилась в собственности города, за исключением «ни к кому не пришитых» сетей РОСПД. Таким образом, в каждом округе имелись свои подрядчики, на совести и бюджете которых было обслуживание сетей и обеспечение «картинки». Вопросы логической безопасности сетей решались также подрядчиками, и заказчик был вправе потребовать принятия мер защиты от несанкционированного доступа.
...
Полную версию статьи «Полный IP-здец. Новое воплощение системы «Безопасный город» ЦАО Москвы приглашает хакеров позабавиться», читайте в электронном журнале Security Focus или в ноябрьском выпуске газеты Security News.
С 1 апреля 2012 года в Москве должна была вступить в силу новая схема организации видеонаблюдения. На дворе ноябрь, то есть схема формально давно уже вступила в действие. Простите, ещё раз: схема чего? Организации видеонаблюдения? Назвать это счастье «организацией» язык не поворачивается: мешает знание целого ряда подробностей. Нам удалось выяснить, как возникла эта система, как она функционирует в реальной жизни и насколько легко её, бедняжку, обрушить - при наличии злого умысла или просто желания побаловаться. От публикации всех известных нам фактов и соображений редакция решила воздержаться: простите за пафос, но мы не можем ставить под удар безопасность мегаполиса Москва. Мы коренным образом заинтересованы в том, чтобы уровень безопасности жизни в столице был на должной высоте. Как минимум, соответствовал бы уже понесённым бюджетным затратам. Мы здесь живём и работаем, наивно полагая, что за наши налоги можем претендовать на хоть какую-то защищённость.
Собеседник не нервничает, но всё же несколько напряжён. Скорее всего, это застарелое раздражение. Назвать настоящее имя, компанию и должность не можем: это условие, при котором он согласился на публикацию данных. Давайте назовём собеседника, скажем, Антоном. Антон последовательно излагает структуру системы безопасности городского масштаба, мы пробуем рисовать на листе А4 схемы. Для начала пытаемся представить себе предыдущую версию «Безопасного города» на примере отдельно взятого округа - ЦАО. В районах ЦАО существовали инфраструктуры, называемые РОСПД - районные опорные сети передачи данных. Это оптоволоконная кабельная обвязка с соответствующим «фаршем» в виде коммутаторов и другого оборудования.
Сети РОСПД в районах развёртывались в середине «нулевых». По задумке архитекторов, районные сети не должны были иметь связи между собой, а также, естественно, и выхода во внешний мир. Это не позволяло потенциальному злоумышленнику, получив доступ к оборудованию одной районной сети, натворить дел в масштабах всей Москвы.
Итак, волокно лежит, шкафы с оборудованием стоят и даже заперты на ключ. Однако лишь посвящённым известно, что, к примеру, в Центральном административном округе сеть оказалась бесхозной: заказчик её по каким-то причинам не принял и на баланс не взял. Работы по строительству районных сетей выполнял целый список подрядчиков, а в качестве координатора выступила организация А. Что произошло между А и департаментом информационных технологий мэрии, мы выяснять не стали: в принципе, это не касается сути вопроса. Однако с 2009 года районные сети оказались брошенными на произвол судьбы. Организации, которые занимались видеонаблюдением, выполняли процедуры обслуживания РОСПД в своих интересах. Антон образно сравнивает: это вроде как автомобилист засыпает ямку на дороге, по которой ездит каждый день. Воспользовавшись паузой, показываем схему: так? Ответ: ну, как-то так. Только есть дополнение: оборудование РОСПД физически размещается (а заодно и кушает электричество) в объединённых диспетчерских - вместе с дежурными слесарями и электриками.
Все прелести советского периода: бабулька-дежурная, ключ под расписку в журнале и никакой ответственности ни с чьей стороны. В синем рабочем комбинезоне и с ящиком инструментов в руках можно спокойно протопать мимо вахтёрши, подобрать ключ, открыть дверцу и что-нибудь испортить. Или, наоборот, улучшить: подключить WiFi-рутер и получить дистанционный доступ к сетевому оборудованию. Чтобы каждый раз к бабке не ходить.
Прежняя модель отношений с подрядчиками в СОБГ - системе обеспечения безопасности города - сводилась к доставке видеопотоков на так называемый «верхний уровень», где видео (предположительно) просматривалось, анализировалось, а затем принимались соответствующие решения по реагированию. При этом вся аппаратная часть системы находилась в собственности города, за исключением «ни к кому не пришитых» сетей РОСПД. Таким образом, в каждом округе имелись свои подрядчики, на совести и бюджете которых было обслуживание сетей и обеспечение «картинки». Вопросы логической безопасности сетей решались также подрядчиками, и заказчик был вправе потребовать принятия мер защиты от несанкционированного доступа.
...
Полную версию статьи «Полный IP-здец. Новое воплощение системы «Безопасный город» ЦАО Москвы приглашает хакеров позабавиться», читайте в электронном журнале Security Focus или в ноябрьском выпуске газеты Security News.