Рассылка в социальной сети twitter, произошедшая на днях, дала начало новому скандалу, связанному с высокими технологиями.
Несколько анонимов, представившиеся как "Исследовательская группа Che Burashka", опубликовала в сети Интернет описание взлома системы продажи билетов на московские и подмосковные электрички, разработанной компанией Микротех.
Эксплуатирующаяся железнодорожниками инфраструктура включает в себя билетные кассы, турникеты для пропуска пассажиров на платформы и мобильные устройства для контролёров. По заявлению хакеров, ими найден способ печатать билеты для прохода на электричку без участия железнодорожников. Предназначенная для этого программа еще не опубликована, но будет распространяться в сети Интернет, если Микротех не исправит уязвимое место в своей системе.
По состоянию на момент публикации мы не видели на сайте компании Микротех, заявляющей о себе как о "лидере на рынке поставщиков комплексных ИТ решений для транспорта" никакого опровержения распространённой хакерами информации.
Последняя новость на сайте Микротех датируется ноябрём прошлого года и рассказывает как раз об успешном испытании одного из устройств и мобильного приложения, о взломе которых заявили хакеры.
Как бы то ни было, в ближайшее время руководству железной дороги и ЦППК предстоит определиться с тем, что вообще делать со всей этой истории.
Не будет ли это поводом провести ревизию устаревшей инфраструктуры и вывести её из эксплуатации, заменив на какие-то более современные и безопасные технические решения?
Сами хакеры ссылаются в своём обращении на прецедент - 24 августа прошлого года Останкинский районный суд приговорил группу разработчиков вредоносного софта для мошенничества в составе неких Дениса Казьмина, Юрия Путина и Павла Андрюшина.
Им инкриминировались именно взлом всё той же системы распространения железнодорожных билетов и, даже, торговля поддельными билетами.
Эта история доказывает, что проблема безопасности инфраструктуры действительно существует. Хакеры "группы Che Burashka" не показали точного описания алгоритма взлома, но представили достаточно убедительное, по словам ряда специалистов по информационной безопасности описание технологии. И, под угрозой публикации подробностей… потребовали не денег, не признания, а, всего лишь – устранить возможность взлома.
Пойдёт ли им навстречу разработчик Микротех или откажется признать уже, кажется, очевидное? То, что используемый набор технических решений является проблемным и требует срочной модернизации – уже несомненно.
Мы не сомневаемся, что к этой истории должны оказаться внимательными и сами железнодорожники. В конце концов, кому как не им быть заинтересованным в том, чтобы никто не имел возможности взламывать их систему и торговать поддельными билетами? Не выйдет ли так, что дальнейшая работа с системой от Микротех, без тщательного анализа её проблем и недоработок приведёт к намного более серьёзным последствиям? Если её смогла взломать группа московских студентов «в исследовательских целях», то где гарантия, что кто-то не захочет вывести её из строя, устроив в столице транспортный коллапс? Кроме повседневных событий в ближайшие месяцы Москве предстоит принять ЧМ-2018 по футболу. Весьма неуместным было бы появление каких-то серьёзных проблем на железнодорожной инфраструктуре именно в этот момент.
Вопрос о том, являются ли действия хакеров "Che Burashka" законными – отдельный и требует оценки специалистов. В любом случае этот скандал ставит серьёзные вопросы о том, насколько безопасна имеющаяся пассажирская инфраструктура и насколько ответственно ИТ компании, которые её создают, подходят к своей работе.