Очередная весёлая вирусная серия.
Jun. 27th, 2017 03:15 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatelКомпьютерные сети энергокомпании «Киевэнерго» пострадали от хакерской атаки. Также пострадали сети «Укртелекома», «Ощадбанка», «Новой пошты». Страдают и сети более мелких компаний — чтобы обезопаситься, владельцы отключают интернет и связанные с ним сервисы. Компьютеры компании оказались заражены вирусом, подобным WannaCry (подробнее об атаке этого вируса мы писали в мае). Об этом сообщает «Интерфакс» со ссылкой на заявление компании. «Мы подверглись хакерской атаке. Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности», — заявили в компании.
По данным издания, от атаки пострадали также некоторые государственные банки и компании. НБУ выпустил заявление о том, что банковская система подверглась атаке.
https://ain.ua/2017/06/27/kievenergo-i-ukrainskie-banki-podverglis-xakerskoj-atake
Мои аплодисменты авторам вирусной атаки. Молодцы !
Картина очень хорошо показывает отношение корпораций к ИТ-безопасности в частности и ИТ-работе в целом.
Продолжайте нанимать идиотов и рукожопов. А также сертифицированных идиотов и рукожопов. Они вам напишут сто объяснительных, что виноваты "сраная винда", "ужжасный Мелкософт" , "злобныя хакеры", "шпионы и диверсанты".
Что нужно закупить ещё 2 антивируса.
Но не ИТ-отдел, который надо просто выгнать полностью по причине профнепригодности и нанять профи.
Да, это дорого. Да, профи - часто весьма неприятные люди. Манахеро подписало такой сладкий контракт на поставки софта, а им не нравится. Да какое им дело, их дело обслуживать и молчать ! Ну, ешьте, на здоровье. Вам только что молча подали очередное блюдо.
По данным издания, от атаки пострадали также некоторые государственные банки и компании. НБУ выпустил заявление о том, что банковская система подверглась атаке.
https://ain.ua/2017/06/27/kievenergo-i-ukrainskie-banki-podverglis-xakerskoj-atake
Мои аплодисменты авторам вирусной атаки. Молодцы !
Картина очень хорошо показывает отношение корпораций к ИТ-безопасности в частности и ИТ-работе в целом.
Продолжайте нанимать идиотов и рукожопов. А также сертифицированных идиотов и рукожопов. Они вам напишут сто объяснительных, что виноваты "сраная винда", "ужжасный Мелкософт" , "злобныя хакеры", "шпионы и диверсанты".
Что нужно закупить ещё 2 антивируса.
Но не ИТ-отдел, который надо просто выгнать полностью по причине профнепригодности и нанять профи.
Да, это дорого. Да, профи - часто весьма неприятные люди. Манахеро подписало такой сладкий контракт на поставки софта, а им не нравится. Да какое им дело, их дело обслуживать и молчать ! Ну, ешьте, на здоровье. Вам только что молча подали очередное блюдо.
no subject
Date: 2017-06-27 12:39 pm (UTC)Как узнать, где хороший специалист - где плохой? Можно нанять "специалиста" за большие бабки - и он все равно будет плохим.
no subject
Date: 2017-06-27 01:31 pm (UTC)Если цель - "подешевле и шоп кое-как работало" - no problem, профи будет делать как заказали.
А если цель надёжность и безопасность, то отбираются те, кто в этом понимает.
Увы, сформулировать "в 2 строки" процесс такого отбора (равно как и дальнейшей работы) невозможно.
no subject
Date: 2017-06-27 01:59 pm (UTC)Можно лишь отсеять некоторое кол-во заведомо плохих - и тем самым повысить шансы на удачу, и понизить шансы нанятия полных идиотов. Но 100% удачу это не гарантирует.
Существует целая куча историй в стиле "фирма тратила много_денег на кибербезопасность наняв мировых специалистов" - а потом аудит безопасности сторонней организацией выявил, что все это было напрасным. И это не про совок.
Да вот буквально месяц назад читал историю о том, как ответственно фирма подошла к кибер безопасности. Наняли другую фирму, и все DNS-запросы просматривались вручную специалистами по кибербезопасности, каждую неделю. А через год кто-то случайно заметил, что это был не список за всю прошлую неделю, а список за 1 какой-то час. :)
no subject
Date: 2017-06-27 02:01 pm (UTC)Вас обманули, это были специалисты по имитации бурной деятельности. Надо быть клиническим дураком, чтобы заказывать такую услугу.
no subject
Date: 2017-06-27 02:12 pm (UTC)Я без понятия.
Одно лишь можно сказать точно - стопроцентной защиты нет.
no subject
Date: 2017-06-27 02:15 pm (UTC)вот с этого надо было начинать.
не обижайтесь, но , судя по Вашему описанию случая, там всех интересовали исключительно суммы в контракте.
no subject
Date: 2017-06-27 05:05 pm (UTC)Только вы акцент не туда ставите.
Я о том, что таких случаев дофига, в том числе в нормальных компаниях, в том числе западных.
Нормального способа борьбы с такими явлениями еще не придумали. Есть общие рекомендации, но 100% гарантии они не дают.
no subject
Date: 2017-06-27 05:07 pm (UTC)Контракты, распилинги, "свои люди".
no subject
Date: 2017-06-27 05:29 pm (UTC)И что ?
Разница между грамотно спроектированной, построенной и администрируемой сетью и кое-как сбацанной, "ну мы тут этта, лицухи купили, панимаишшь" - огромная. И по безопасности от атак, и по устойчивости к сбоям.
no subject
Date: 2017-06-27 09:28 pm (UTC)no subject
Date: 2017-06-27 06:54 pm (UTC)Хотя я бы выслушал мнение нашего хакерского альянса по сему сабжу... Подождём...
no subject
Date: 2017-06-27 07:25 pm (UTC)Что уже установлено :
В атаке использовано несколько уязвимостей и , скажем так, векторов нападения, все достаточно простые.
- Закрытая несколько мес. назад дыра в сетевых шарах windows - в грамотно построенной сети даже если бы это была бы zero-day attack, она ничего особенного бы не повредила, потому что не должно быть всё и вся [по сети] открыто на всех компах. Но в большинстве сетей именно так, поэтому стоит получить контроль хотя бы над 1 компом - и далее можно заражать все остальные.
- по слухам, zero-day hole там же, точных данных пока нет, но см. примечание.
- рассылка зараженных файлов по почте. Настроить почтовые фильтры, которые существуют уже 20 лет, и фильтровать всё исполняемое ? Я настраивал 15 лет тому, например.
Хотя, ну зачем такие сложности, проще ж потом всё валить "на диверсантов".
- рассылка зараженных файлов через обновления софта, в частности горе-софта m.e.doc.
судя по всему, были заражены сервера обновлений.
Опять же, а какого лешего в крупных и средних компаниях нет контроля над тем, что вообще прилетает на машины ? Я ещё понимаю с мелкими, с 5-20 работниками, но в крупных должен быть контроль.
В подавляющем большинстве сетей - машины с windows, но широкие возможности local/group policies по ограничению прав, по ограничению возможностей запуска исполняемых файлов во всяких там AppData / tmp .... не используются.
зачем такие сложности, будут всё валить "на диверсантов".
В случае машин с linux можно с помощью SELinux сделать очень мощную и гибкую защиту от множества серьёзных zero-day attack (более серьёзных, чем сегодняшние),
но... в Украине это почти никому не интересно.
Потому что требует работы квалифицированных спецов.
У нас купят в офис мебель из Италии на сотню штук евро, а "эти ваши ИТ штучки оставьте при себе".
no subject
Date: 2017-06-27 07:28 pm (UTC)Но, опять таки, как говорил принц Флоризель, "дождемся вечерних газет"...
no subject
Date: 2017-06-27 07:31 pm (UTC)no subject
Date: 2017-06-27 07:35 pm (UTC)Как бы там ни было, кое-кому веселый День Конституции обеспечен...
no subject
Date: 2017-06-27 09:47 pm (UTC)Как то раз я на семерке настроил AppLocker с белым списком разрешенных программ. Из софта стоял там оффис, хром и FF, нод32.
Месяцев 6 работало - потом жалуются - ворд не запускается, пишет битая либа.
Начинаю разбираться -- dll, на которую он ругается имеет размер ~20метров и вся целиком заполнена нулями (0x00).
Первая мысль - это умирает SSD.
Этой длл у меня в запасе не было. Пробовал качать с инэта - ругалось на нее же. Переставил офис. Пока недели 2 - полет нормальный.
Хз, шо это было.
Где-то была статья о том, что гугл проанализировал сбои и пришел к выводу, что то ли 10% то ли 20% сбоев в датацентре были вызваны комическими лучами. Я между строк читаю - гугл сам толком не знает от чего эти сбои: "наверное вспышки на солнце..." :)
Возможно, у меня такой же случай.
no subject
Date: 2017-06-27 10:39 pm (UTC)сложно сказать, что там было.
"что то ли 10% то ли 20% сбоев в датацентре были вызваны комическими лучами."
Излучение из космоса _может_ вызывать редкие сбои в памяти, установлено это очень давно и вовсе не гуглом, а IBM (а может и не ими, но старая работа IBM попадалась)
Поэтому везде , где важна надёжность, используется память с коррекцией ошибок.
no subject
Date: 2017-06-28 10:07 am (UTC)Да, у меня вчера был не вирус, но после загрузки джавы комп не включался никак. Грузилась винда но ничего не просходило. Я и решила, что попала под общую раздачу.
Оказалось что если вытащить из блока все провода, даже принтер, клаву и мышь, то он включится! Так что я не специально наврала, а придумала по ситуации.
Мне интересно есть данные об украинских компаниях ИТ службы которых успешно отразили атаку, или вовремя сориентировались
no subject
Date: 2017-06-28 12:29 pm (UTC)"если с такими вирусами никто не сталкивался ранее?"
Это кто такое сказал ?
вирусы - они каждый раз новые (чаще - модификации уже известных, но всё равно), это как раз нормально.
Недавно пришло мне письмо, там архивчик с вирусом, распознавание по virustotal 3/54, те. из 54 мировых антивирусов на тот момент его распознавали 3, причем все 3 - малоизвестные.
И это не редкость. Смотреть детально внутренности было лень.
" есть данные об украинских компаниях ИТ службы которых успешно отразили атаку, или вовремя сориентировались"
Пока что рано подводить итоги, да и не все ж откровенно говорят всю правду.
------------------------------------------------------------------------------------------