1-й в Украине сертификационный курс по UX от UXQB — крупнейшего в мире комьюнити UX специалистов
×Закрыть

Володимир Стиран, ІБ-спеціаліст — про пандемію Petya та шляхи уникнення повторних атак

Володимир Стиран займається кібербезпекою з 2005 року, є одним із засновників компанії Berezha Security. Спеціалізується на Penetration Testing, аудиті безпеки та ІБ-консалтингу, має сертифікати OSCP, CISSP, CISA.

В інтерв’ю для DOU Володимир розповів про нещодавній інцидент з поширенням вірусу Petya.С (саме ця назва вірусу є коректною. Petya.A — це торішній криптолокер, і спочатку АВ помилково детектили С як А, тому що є схожість — прим. ред.), способи протидії таким атакам та готовності української спільноти адекватно реагувати на загрози інформаційної безпеки.

— Володимире, як відбулось зараження і поширення Petya.C?

Було первинне зараження, потім вторинне просування мережею — класична атака компрометації ланцюжка поставок. Крім цього, могли бути випадки фішингу (особисто я підтвердження не маю), а також щонайменше одна атака відбувалася через зараження веб-сайту (т. з. Water-holing).

Ефектне поширення сталося через те, що на уражених машинах сесія користувача відбувалась з правами локального адміністратора — це дає змогу хакеру швидко пересуватись далі мережею. Скоріше за все, це відбулось шляхом запуску від імені адміністратора (через WMI та PsExec). Це тривіальна задача, яка збоку виглядає як цілком «легітимна» активність. В цей момент зупинити поширення в «неідеально» побудованій інфраструктурі вже майже неможливо.

Наразі дуже багато людей погоджуються з думкою, що це не кримінальна активність. Це не криптолокер, який вимагає гроші, адже його фінансова складова була поламана ще з перших годин його роботи. У комбінації із зразковою організацією первинного зараження та подальшого просування мережею, невдала організація логістики коштів виглядає, як на мене, вкрай нереалістично. Агенти загроз такого рівня могли припуститися цієї помилки навмисно, щоб мімікрувати під дії незграбного WannaCry та під маскою імітатора сховати справжню місію: атаку відмови в обслуговуванні в масштабах держави.

— Як можна протидіяти таким атакам?

По-перше, заборонити інтерактивний доступ в систему з правами адміністратора. Клієнтський код не повинен виконуватися з адміністраторськими привілеями — це був найкращий подарунок хакерам. По-друге, зробити повну сегментацію мережі залежно від бізнес-потреб робочих груп з фільтрацією вихідного трафіку навіть в локальній мережі — це дозволить вчасно зупинити та локалізувати поширення. По-третє, винести всі системи загального вжитку в хмари. І надалі — безперервно моніторити поведінку процесів на всіх системах. Додатково можна почати використовувати ЕЦП та шифрування в листуванні, і не лише в межах організації.

Звичайно, розробити стратегію створення резервних копій, робити своєчасні оновлення, застосовувати складні та довгі паролі, додати другий фактор автентифікації. Разом з цим — протидіяти кіберзагрозам з використанням соціальної інженерії. Вектор первинного поширення через електронну пошту — класичний. Грам обережності знижує ризик зараження в десятки разів.

За перші 2 доби з повідомленням про блокування комп’ютерів до кіберполіції звернулись більше 1500 фізичних та юридичних осіб. Загальна кількість заражених ПК в Україні перевищує 12 тисяч

Ті, хто приділяли достатню увагу безпеці, хоча б слідували безкоштовним стандартам та настановам, — або не постраждали взагалі, або постраждали локалізовано та змогли швидко зупинити інфекцію та відновити роботу.

Щодо власної безпеки, ми з колегами склали пам’ятку «Як не стати кібержертвою».

— Чи доцільно державним та комерційним установам переходити з Windows на Linux?

В даному випадку механіка поширення вірусу була розроблена під Windows як під найбільш масову платформу, але це нічого не означає. Можна створити інші інструменти під інші операційні системи, адже Linux та UNIX теж мають свої вразливі місця. Перехід на Linux ускладнить задачу зловмисникам, проте захищає від інфікування не платформа, а додержання настанов з інформаційної безпеки.

— Який урок ІБ-спільнота винесла з інциденту?

Ті люди, хто розуміється на ІБ, але раніше думали, що такого не станеться, тепер побачили, що є, до чого готуватись. Вони отримали нові дані, нові аргументи для того, щоб піти до свого гендиректора і наполягти на змінах в інфраструктурі.

А ті, хто з ІБ не знайомі, будуть і далі кожного разу лягати та в найкращому випадку відновлюватись з резервних копій.

— Чи багато в Україні спеціалістів, які професійно розуміються на інформаційній безпеці?

Спеціалістів достатньо, проблемою є відсутність попиту на їхні послуги. На жаль, в Україні не так багато компаній, які готові заплатити належну ціну за цю експертизу.

Наразі готовим до адекватної реакції на інфекцію не був майже ніхто, окрім деяких екзотичних випадків, на кшталт ПриватБанку, у якого вся продуктивна інфраструктура на Linux.

— Як індустрія розробки ПЗ може вплинути на розгортання ІБ?

Дуже в небагатьох компаніях програмісти та менеджери задумуються про ІБ. Треба навчатись, вивчати рекомендації та настанови, проходити курси, читати книжки. Можна розпочати з «Security Engineering» Росса Андерсона — це фундаментальна книжка про те, як будувати системи, які важко зламати. Також варто прочитати про те, як ламаються веб-додатки у «The Web Application Hacker’s Handbook». Є маса цікавих матеріалів та курсів, наприклад «Software Security» на Coursera від університету штату Меріленд. Всі, хто розробляють веб-додатки, мобільні додатки, веб-сервіси, можуть приєднуватися до OWASP — це глобальна організація, яка допомагає це робити безпечно. Можете перевірити, чи в вашому місті є її відділення, або створіть його самі.

Якщо дбати про безпеку на рівні розробки, не залишати «дірки», то і подальшим користувачам буде менше потенційних загроз. Ця конкретна пандемія могла й не відбутися, якби виконувалися настанови з ІБ.

Перший платіж на гаманець розробника Petya.C — проте, жоден з тих, хто відправив гроші, не отримав очікуваний ключ дешифрування

— Компанії краще мати окремий відділ з ІБ або ж навчати адміністраторів чи розробників?

Інформаційна безпека — це не антивірус і не фаєрвол. Це агрегатний стан: ви або в змозі триматися купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба займатись ІБ. Спеціаліст з ІБ — це окрема професія, це не сисадмін чи програміст.

Так, досвідчені спеціалісти з ІБ коштують дорого. Можна взяти молодого і виростити, але вийде дорожче. Дешевше буде знайти досвідчених, які будуть допомагати розвиватись молодим.

— Що ще можете порадити щодо гарантування безпеки?

Варто розуміти, що ІБ — це відповідальність вищої виконавчої влади в корпорації. Можна делегувати функцію, але не можна делегувати відповідальність. Кіберполіція не прилетить і не врятує вас від хакерів. Сертифікат — це не доказ безпеки, це лише папірець. Безпека — це плюс один бізнес-процес та плюс один параметр кожного бізнес-процесу.

На ІБ треба виділяти бюджет. Не те, що лишилося від бюджету на розробку, а окремий бюджет, який ІБ-спеціалісти в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того, що вони обґрунтують, а весь.

Також слід пам’ятати, що ІБ-спеціалісти повинні займатись безпекою, а не лише писати RFP на тендери, щоб найняти інших виконавців. Звичайно, варто бути готовим до інциденту до того, як він настане. Досвідчені ІБ-спеціалісти здатні це забезпечити.

Окрім України, постраждали й інші країни Європи (source)

— Що ви думаєте про законопроект про кібербезпеку? Яке він має значення, чому він завис?

Я вважаю, що будь-яка законодавча ініціатива чи державне регулювання — в цьому випадку не дуже важливо. Воно має вимагати додержання стандартів та настанов і карати за бездіяльність. А щодо гарантування безпеки ПЗ — в нас і так є все необхідне для цього у відкритому доступі, і не треба чекати законів.

— Чи слід очікувати далі повторних атак подібного типу?

Так, я вважаю, що тепер такі загрози виникатимуть регулярно. Ми тепер дорослі, і нас вже б’ють в повну силу. На заході регулярно відбуваються атаки з експлуатацією довіри до третьої сторони, або так звані атаки на ланцюг поставок (Supply Chain Attack). Так були зламані Google та RSA, за мірками цієї галузі — вічність тому. У нас, та ще й в таких масштабах, цього поки що не бувало. Був деякий цільовий фішинг (Spear Phishing), який з натяжкою можна назвати APT (Advanced Persistent Threat).

Але рух ураженою мережею шляхом використання «легітимних» інструментів інфраструктури — це не VBA-форматовані пейлоуди в макросах та не експлуатація відомих вразливостей. Це вже інший рівень, і якби ми встояли, я б сприйняв це як комплімент. Але, на жаль, ми в нокдауні. А отже, треба встати, зціпити зуби та йти відновлюватися перед наступним раундом, який вже незабаром.

Дуже хочеться, щоб з цієї ситуації ми вийшли не на тендери з закупівлі антивірусів та фаєрволів, а на нормальні освітні програми для звичайних айтішників, які вже кілька діб не спали, відновлюючи хто з чого критичні для організацій дані. А мали б ввести кілька команд в консолі хмарного контролера та просто створити нові системи замість уражених, а уражені відправити на аналіз в лабораторію.

Нам потрібні прості та дієві вимоги держави та регуляторів до підприємств критичної інфраструктури, які б унеможливили спекуляції навколо того, хто ж винен в інциденті, дозволяючи всім і кожному ставити під сумнів точку зору та докази всіх. Потрібна масштабна кампанія з навчання нації тим речам, які могли б та мали б зробити досягнення мети інциденту якомога важчою.

LinkedIn

79 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Не нравится мне этот закон. Что-то мне подсказывает, что разработчики законопроекта имеют отношение к создателям вируса. По-моему, вся эта кибератака сделана, чтоб быстрее продвинуть закон, который уже несколько лет ждёт своего часа. Они смогут обвинить любой неугодный бизнес в пророссийскости и остановить/забрать его этим законом. Не нравится новостной ресурс? Обвинил в пророссийскости и забрал? Нравится бизнес Васи Пупкина? Привёл проверку кибербезопасности. Забрал бизнес.
К компаниям, которых он коснётся, относятся компании которые (далее цитата из закона Проект Закону (доопрацьований) 14.04.2016)

1) здійснюють діяльність та надають послуги у галузях енергетики, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторі,
2) здійснюють діяльність та надають послуги, пов’язані із функціонуванням систем життєзабезпечення населення, зокрема систем водопостачання, виробництва і постачання продуктів харчування, охорони здоров’я;

То есть, вместо того, чтоб создавать более комфортные условия для ведения бизнеса, они ставят очередные палки в колёса! Хотят чтоб все уехали?

Дуже хочеться, щоб з цієї ситуації ми вийшли не на тендери з закупівлі антивірусів та фаєрволів, а на нормальні освітні програми для звичайних айтішників

Организуют группы, которые будут обучать кибербезопасности всех подряд. Потратят еще денег, которые могли пойти ... куда угодно.

Нам потрібні прості та дієві вимоги держави та регуляторів до підприємств критичної інфраструктури, які б унеможливили спекуляції

Конечно. Предвижу правила, которым невозможно соответствовать, как предпосылка к этим самым спекуляциям.

Последний абзац с призывом к действию, настораживает. Обычно, призывы публикуют в конце рекламных статей из серии «Девушка должна ...бла-бла-бла... купи крем!» и рядом рекламный блок производителя косметики.

Грустно.

lb.ua/...​stanovila_povtornuyu.html

Вот последние новости от Авакова.
Конечно смешно читать бред, типа —

«Злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения — ООО „Интеллект-Сервис“. Получив доступ к исходным кодам, они в одно из обновлений встроили программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15 мая 2017 года», — отметил Аваков.

Но ясно, что с этим M.E.Doc не все так гладко.

Почему бред?

Вот коллега пишет по результатам анализа разных версий (да-да, у умных людей бэкапы с историей)

=== cut ===
история ZvitPublishedObjects.dll, нод антивирус детектит трояна как
MSIL/TeleDoor.A

20170414 — чисто
20170415 — модификация библиотеки, вирус детектится
20170518 — чисто
20170622 — модификация библиотеки, вирус детектится

Я пропустил модификации файла, которые не приводили к изменению поведения антивируса — то есть были модификации как затрояненой библиотеки, так и чистой.
=== end cut ===

то есть кто-то достаточно хитро вмешивался в сборку, но не каждый раз (может, они только календарно плановые версии троянили).

кто-то достаточно хитро вмешивался в сборку

все проще
M.E.Doc поочередно раздавали с двух серверов
один сервер под Linux
второй, с более древними версиями всего, под FreeBSD
очевидно ломанули только второй, поэтому раздача зловреда шла только когда DNS-запись указывала именно на этот FreeBSD-й сервер

Нет, не проще.
m.geektimes.ru/post/290779
доказывают доступ к исходникам(!)

Враховуючи, що сам медок був зламаний через дірявий застарілий лінукс wvusoldier.wordpress.com/...​-easy-anyone-could-do-it
то ситуація більш ніж комічна.

Не линукс, а фрю, хотя в данном случае один хрен. Там стояла 7-я версия (расширенная поддержка закончилась в 2013), а главное — дырявый ftpd («прошник», proftpd — я не знаю, какой слоупок его сейчас использует и какого хрена вообще в наше время использовать FTP, кроме особых случаев).
И ничего комичного не вижу. У меня было до полусотни юниксов под опёкой, и ни одного сломанного — потому что ставил обновления не позже чем через месяц после их выхода :) А пару раз машину забирали от меня и переставали обновлять — полугода хватало, чтобы дырявили.

Перехід на Linux ускладнить задачу зловмисникам, проте захищає від інфікування не платформа, а додержання настанов з інформаційної безпеки.

Дальше не читал ибо бред, Linux как минимум заставляет выполнять одну из названых «Настанов», про вынос в «хмары» долго ржал

винести всі системи загального вжитку в хмари

дальше не читал

Хмара ж може бути приватною/державною.

одна из теорий возникновения жизни на Земле — транспермия,
согласно ей жизнь была занесена извне, правда это совершенно не отвечает на вопрос — как же все таки возникла жизнь
точно так с же переносом в облака/туман и посыпанием зерна квадратом/треугольником

Все вірно.
От тільки із «найняти готового» — дешевше — це я б сильно поспорив.
Виростити спеціаліста означає виростити команду. Тоді як найнятий спеціаліст в більшості своїй так і залишить сферу ІБ в компанії — чорним ящиком

спорьте. сколько лет растет молодой спец? сколько шишек набивает?

Как быстро свалит в другую компанию \ свободное плавание?

Я не казав, що вирощувати спеців це погано або неправильно. Просто це дорожче.

Я мав змогу наймати досвід та тренувати талант. Залежно від вашої бізнес-моделі (раптом ви послуги з ІБ продаєте), РОІ буде різним, але найм падавана завжди дорожче. В основному через час, який більш досвідченому спецу треба витрачати на керування, моніторинг тощо. Якщо маєте змогу створити команду — на довгій дистанції наймати падаванів стає вигідно, але пам’ятайте про 15-25% «ліда», які будуть витрачатися на кожного «джуна».

В даному випадку механіка поширення вірусу була розроблена під Windows як під найбільш масову платформу, але це нічого не означає.

Интересная мысль, но вот почему нет упоминания что Windows в отличии от Linux является проприетарным и вы платите еще и за лицензию. Потом вам необходимо еще купить антивирус и так же платить за его лицензию. При этом никаких гарантий/возмещения ущерба вы не получаете от этих компаний.

Как алтьтернативу, вам конечно же начнут рассказывать, что надо патчи от майкрософт ставить самые последние, потому что с ними вы сразу в безопасности оказываетесь и бла-бла-бла. Но эта безопасность мнимая, т.к. проприетарное по таким и останется, через небольшой промежуток времени опять будет дыра, но вы уже засыпаете и готовы платить за обновления новые лицензии ПО которое дырявое.

Более того, другая проприетарная платформа Mac OS вроде как не пострадала.

Перехід на Linux ускладнить задачу зловмисникам,

Переход на линукс усложнит задачу в отмывании денег. На свободное (именно свободное, а не бесплатное, как многие ошибочно думают) ПО никто переходить не будет, слишком большая потеря потенциально отмытых денег.

techtalk.gfi.com/...​7231-427345297.1499147231
ИБ — это не только про ОСи, это существенно больше.
Если бы на 90% машин был бы Linux — выбрали бы уязвимость в ней и картина была бы такой де, а то и похуже
в данном конкретном случае — банальное изолирование сетей сильно помогло бы, но кто у нас его делает ...

Да, правильно, продолжайте платить компании которая никакой ответственности не несет и поставляет вам проприетарное ПО, вместо того что бы вкладывать деньги (это я не про вас, а государство, хотя нет, все таки вас и себя добавлю) в развитие школ и университетов, которые в последствии выпустят качественных специалистов, которые не то что справятся, а не доспустили бы такой проблемы, как это произшло во многих предприятиях и в том числе в европе. А так же продолжать платить антивирусным компаниям, вместо того что бы нанимать качественных или повышать квалификацию текущих системных администраторов системы линукс, и как следствие вностить улучшения в эту систему. Да при таком финансировании как майкрософт, уже давно можно было бы ОС вылизать, только кому это надо?

банальное изолирование сетей

как в северной корее

повышать квалификацию текущих системных администраторов системы линукс

Ну вот не надо, а ...
1 — Linux
2 — Информационная безопасность это не про операционные системы(вернее не только про них)
3 — Информационная безопасность это не про системных администраторов(вернее не только про них)
4 — Плох тот системный администратор который повышает свою квалификацию только применительно к одной ОС
5 — ИБ — это большой кусок деятельности и он относится к регулированию операционной деятельности и планированию инфраструктуры

как в северной корее

Воу, палегче
Чтобы «повышать квалификацию системных администраторов линкус» им нужно начинать рассказывать о сегментации локальных сетей да и вообще об устройстве сетей
Я тоже когда-то давно думал — на кой вы все пользуетесь MS если есть Linux, но как-то со временем пришел к выводу, что MS сам по себе не так уж и плох и во многих местах даже хорош, а еще в некоторых так и сильно лучше других
Вы вот скажите что будет с Linux если вы на нем запустите rootkit от суперпользователя?

Если бы на 90% машин был бы Linux — выбрали бы уязвимость в ней и картина была бы такой де, а то и похуже

Вопрос действительно не в конкретной куче кода, а в том, как её можно использовать.

Для Linux (любого) нет практически никаких финансовых затрат загнать любую подозрительную хрень (как медок) в отдельную виртуалку. Для Windows даже для виртуалки нужно платить, что откровенно удивляет. Поэтому ставили на те же машины и, кто скрепя зубы, а кто и с лёгким сердцем по незнанию, разрешали ему творить что угодно.

Второй вопрос — что непрозрачность системы сильно усложняет программирование под неё. Именно в области секьюрити сходные вещи делаются на Windows более громоздко, а там, где у неё больше возможностей, очень мало кто в состоянии написать их использование.

Или вот такая вот возможность — звучит очень хорошо, но требует процессора с виртуализацией весьма высокого уровня. i3 подойдёт, или нужно не менее i5? А на какой доле юзерских десктопов/лаптопов (самая рискующая группа) есть процессоры такого уровня? Выглядит как подход «на отцепись» плюс чей-то диссер. Покупайте, детки, i5 на каждую машу-операциониста, и, может, что-то и защитит (ой, кто говорил про защиту данных конкретного юзера? точно не мы).

Как-то чем дальше, тем больше получается, что юзерская система должна быть похожа на андроид. Вот там действительно можно добиться, что каждый в своей песочнице и не может из неё вылезти.

docs.microsoft.com/...​d-code-integrity-policies
А платить нужно за все :( Это ньюанс нашего мира

Если бы на 90% машин был бы Linux — выбрали бы уязвимость в ней и картина была бы такой де, а то и похуже

Чи можете ви проілюструвати свою заяву прикладом доволі великої мережі з Лінукс-машинами, в яку влетів вірус і раптово, лавиноподібно закриптував усю інформацію, без перешкод стрибаючи з компа на комп? Я полегшу вам пошук завдання: ця величезна мережа перед вами, і вона зветься Інтернет. То як?

thehackernews.com/...​b-hosting-ransomware.html
Ну це щоб багато часу не витрачати

Я полегшу вам пошук завдання: ця величезна мережа перед вами, і вона зветься Інтернет

Не тре, щоб не полегшувати завдання можете мені їх не ставити :)
А щоб менше бажаннь це робити було — спробуйте таки прочитати мої коментарі і виокремити звідти те що я намагаюсь донести, між іншим як і

Володимир Стиран

Інформаційна безпека це не тільки вибір операційної системи, це великий комплекс заходів, серед яких вибір ОС далеко не на першому місці по важливості
З слів хорошого товариша який спеціалізується на Ethical Hacking : якщо рівень уваги і заходів по Technical Security то Linux таки вразливіший
Я не сперечаюсь з приводу того що він безкоштовний і `дареному коню в зуби заглядати — зле` більше того я сам активний користувач.
Я просто наголошую на тому факті, що заміною Windows на Linux проблем інформаційної безпеки не вирішити, жодних і жодним чином

Я не сперечаюсь з приводу того що він безкоштовний і `дареному коню в зуби заглядати — зле` більше того я сам активний користувач.

Red Hat Enterprise Linux — свободный, но не бесплатный

А ссылка интересная, но некоторые компании платят не после, а наперед, что бы уязвимостей не было или уменьшить

thehackernews.com/...​b-hosting-ransomware.html
Ну це щоб багато часу не витрачати

Один випадок зі скомпрометованим хостингом, де 9 років ніхто не дивися за мережею? Це не вірус, а компрометація хостингу.

Не тре, щоб не полегшувати завдання можете мені їх не ставити :)

Зауважу, що перед тим, як необачно щось постити у відповідь, треба уважно прочитати питання. Ви цього не зробили, на даль, і не відповіли на моє питання, бо криптування, на яке ви посилаєтесь, не розповсюджується самотужки інтернетом і між комп’ютерами, як це роблять віруси за визначенням, щобільше для славнозвісної Windows.

Інформаційна безпека це не тільки вибір операційної системи, це великий комплекс заходів, серед яких вибір ОС далеко не на першому місці по важливості

Вибір заходів інформаційної безпека завжди базується на носієві(ях) інформації і засобі(ах) його розповсюдження, тому що описує, зокрема, засоби по контрольованому розповсюдженню тієї самої інформації. В сучасних умовах на 99 та більше відсотків інформації дотичні, пов’язані з комп’ютерами або походять з них. Розглядати вопроси інформаційної безпеки без огляду на посередника — людей, комп’ютери, мережу — щонайменше невігластво, якщо не амотарська, або злочинна недбалість. Операційна система, обрана для лопрацювання і збереження інформації, є найчастіше єдиним найменш контрольованим вузлом відмови в IT-системі. Не перше питання, кажете? Далеко не перше, вважаєте?

З слів хорошого товариша який спеціалізується на Ethical Hacking : якщо рівень уваги і заходів по Technical Security то Linux таки вразливіший

Цікаво було б почути вашого друга з прикладами, звичайно ж. З наведенням статистики, звичайно, де він доводить, що Лінукс вразливіший за (тут операційна система, яку ви, на жаль, не назвали).

Я просто наголошую на тому факті, що заміною Windows на Linux проблем інформаційної безпеки не вирішити, жодних і жодним чином

Факти мають бути або очевидними, або підкріпленими доказами. Проста заміна Windows на Linux одномоментно прибирає ВСІ вразливості операційної системи Windows — а їх трохи більше, ніж в Linux. Ви цього факту не бачите чи не хочете бачити?

Факти мають бути або очевидними, або підкріпленими доказами. Проста заміна Windows на Linux одномоментно прибирає ВСІ вразливості операційної системи Windows — а їх трохи більше, ніж в Linux. Ви цього факту не бачите чи не хочете бачити?

Не бачу
Факти ж мають бути очевидними або з доказами — чи ви вважаєте що

а їх трохи більше, ніж в Linux.

Очевидний факт — для мене не очевидний
На скільки більше?
Які вразливості?

Тобто левова частка вірусів, що існують та існували для Windows, у порівнянні з іншими системами, для вас не є фактом? Вибачте, але чи ви дійсно заробляєте на життя, працюючи з комп’ютерами?

Точно, і давно.
Ми ж не про кількість вірусів говорили в про вразливості, якщо я не помиляюсь.
Наперед відповідаю — так я впевнений що залежність першого від останнього зовсім не лінійка, бо ще занадто багато чого впливає на кількість вірусів

А щоб конкретизувати предмет:
Які ви бачите конкретні заходи для протидії таким речам як Petya?
І як вони залежать від ОС?

Які ви бачите конкретні заходи для протидії таким речам як Petya?

Якщо ви кажете за протидію видаленню даних — нічого нового не скажу. Це резервне копіювання, зроблене за правилами. За всіма правилами, тобто: клієнт-серверна архітектура, правило 3-2-1 і так далі. Але за останньою інформацією цей петро був двошаровим, тобто навалі криптора передувала перша фаза роботи бекдора, що крав дані. Не варто забувати такі фактори, як монополізм Медка, формат розповсюдження оновлень і операційна система, на якій Медок функціонує. І ви ж бачили, що фаза «зачищення» території після роботи бекдору знищила дані на набагато більшій кількості робочих місці, аніж фактично задіяних в... шпіонажі, мабуть? Якщо так це трактувати, не знайшов кращого терміну.

Звужено, щодо операційної системи: протидіяти треба не пєті, а тотальному аматорству в роботі, яка повинна виконуватись фахівцями.

а тотальному аматорству в роботі, яка повинна виконуватись фахівцями.

Яким чином це залежить від ОС? BTW — я те саме намагаюсь донести
Ви взагалі нічого не згадали про мережі. А це у конкретному випадку сильно важливо. Сегментація корпоративних мереж, вона мало залежить від ОС(ну принаймі від тих які на десктопі).
Ви нічого не згадали про політики правил безпеки і це теж дуже важливо у конкретному випадку

Якщо корпоративними мережами займатимуться відповідальні фахівці — то я не впевнений щодо переваг Linux. Ну от реально. Інструментарія для побудови таких мереж, керування ними і дотримання(встановлення) правил безпеки у ОС від MS точно не менше(помітили, я навіть не написав, що більше:) ніж в Linux

А Medoc — ну то окрема справа. У мене для них немає відповідних епітетів, які б можна було писати на публічному форумі

Яким чином це залежить від ОС?

Це резюме, до вибору операційної системи воно лише дотичне.

Ви взагалі нічого не згадали про мережі.

Звісно. Ми розмовляємо про конкретний випадок, вірус-бекдор з вайпером. Ви спитали про ситуацію з видаленням даних, я надаю вам працюючий рецепт рішення.

Ви нічого не згадали про політики правил безпеки і це теж дуже важливо у конкретному випадку

Авжеж.Особливо це важливл для операційної системи, яка зі старту має відкриті адмін шари, на відміну від тієї, про яку nmap може лише здогадатися, чи існує така в мережі.

Якщо корпоративними мережами займатимуться відповідальні фахівці — то я не впевнений щодо переваг Linux. Ну от реально.

Ну от ними й займалися фахівці. Реально. Ось вам і результат.

А Medoc — ну то окрема справа. У мене для них немає відповідних епітетів, які б можна було писати на публічному форумі

Я вважаю, що «злочинна недбалість» як раз підійде.

Linux.Encoder.1 (also known as ELF/Filecoder.A and Trojan.Linux.Ransom.A)
но обычно не диски криптуют, вымогая деньги
а плодят ботнет сети и деньги поднимают за DDoS или криптовалюту майнят
Linux.BackDoor.Gates
Linux.Lady
Linux.Rex
Linux.Sshcrack
и т. д.

Более того, обнаруженный троян Linux.Encoder.1 ориентирован на администраторов сайтов, на машине которых развернут собственный веб-сервер. — Давай до свидания

Я ж питав про епідемію чи епідемії, пов’язану з цим вірусом чи з вірусами. Можете навести приклад? Бо інакше це не вірус, якщо він не розповсюджується неконтрольовано.

на 99 % машинах в интернете и так линукс (если вы не не знали вдруг), и что-то как то все спокойно и никаких Петь

Ну, не 99, а 60-90 (смотря как меряют). Виндов сейчас тоже дофига (хотя у них, в отличие от локалок, обычно более-менее грамотные админы, которые хотя бы обновления ставят).
И типичный забытый линукс ломают максимум за год. Хотя простые меры типа ограничить ssh помогают уже от 9/10 подобных взломов.

даже у доу открыт 22 порт, админы тут криворукие видимо

у меня тоже 22 открыт только там не ssh :) да и если бы был ssh hosts.allow hosts.deny и файрволл для этого не нужен

Варианты могут быть разные, например
* sshd в режиме «только ключи»
* какой-нибудь honeypot
* проход в отдельную виртуалку, из которой можно перелезть только особыми мерами
Если бы они были криворукие, их давно бы взломали, так что не надо этих домыслов.

Really?
Вы в под интернетом что имеете ввиду?
)

95-99% компьютеров имеющих белый ип это *nix подобные системы которым на петю плевать с высокой горы, это имелось ввиду )

99%... ми не знали вдруг... ви впевнені ?
а що таке «машина в інтернеті» ? це якийсь термін такий ? :)

Интерне́т (англ. Internet, МФА: [ˈɪn.tə.net]) — всемирная система объединённых компьютерных сетей для хранения и передачи информации. Это такая штука где вы можете оставлять свои дибильные комментарии. Так вот даже Доу.юа на линуксе вот вам и машина в интернете :)

а машини на Windows не «в інтернеті» ? :)

ну может 1-2% извращенцев с Windows серверами :)

угу... тобто «машина в інтернеті» — це тільки сервери. Ок.
Беремо веб-сервери:
news.netcraft.com/...​16-web-server-survey.html
Знайдіть 1%

цена рабстанции на RedHat — $300. + support добавьте. получается, что не дешевле для бизнеса + гарантий/возмещения ущерба тоже нет.
добавьте число пользователей и их обучение. сколько времени начинающий линукс пользователь будет тупить перед компом. и кто из работодателей на это пойдет. кому нужен тупящий бухгалтер или менеджер по закупкам? или кто начнет искать бухгалтера со знанием линукса, при том, что все бухпроги — под винду?

Робоча станція не обов’язково має бути на красношапці. До речі, якщо ви не бачили установ, в яких всі робочі місця працюють виключно на Лінуксі, то це не означає, що таких місць немає і вони не працюють. Ви касирів в мережі Фора бачили, сподіваюсь? Працюють, так?

Если зайца долго бить палкой, он спички зажигать научится ©

То стосовно мого питання відповіді є в вас не з тваринного миру? Тим більше що касири там працюють з конкретною програмою, а не з Лінуксом — вони його бачать, тільки коли касу вмикають, лічені секунди. Кого тут треба бити, не відповісте?

коментар не про тваринний світ, якщо ви не зрозуміли.
ви можете пересадити користувачів на будь-яку ОС/програму, якщо вас не цікавить їх думка або вони взагалі її не мають.
навіть фахівців «верстки, дизайну та додрукарської підготовки»

или кто начнет искать бухгалтера со знанием линукса, при том, что все бухпроги — под винду

бухгалтеру как раз линукс знать и не надо или вы хотите сказать, что ваш бухгалтер свой виндовс администрирует и все сам установил? Тогда понятно почему столько заражений в Украине.

Обучние займет не больше времени, т.к. бухгалтерская программа != операционная система. Интернет браузер, например, везде одинаковый.

Неплохой повод для интерпрайз компаний заняться разработкой под линукс — бизнес идея и новый проекты!

Чому не Petya.D? Адже новий вірус трохи відрізняється від трьох торішніх версій.

По-моему организаторам атаки надо сказать спасибо. Я бы попросил их, если бы мог, атаковать почаще, желательно, каждые пару месяцев. Украину ж только батогом можно стимулировать.

Тогда будет выше мотивация переходить на более безопасные ОС, внедрять best practices (managed updates, работа под юзерским аккаунтом) да и просто уровень образованности населения и бизнеса поднимет.

Не треба дякувати злодіям, все ж таки. Навчитись чомусь потрібно, але аж ніяк не дякувати за збитки.

Согласен с автором практически во всём.
Есть мнение, что это была спланированная хакерская атака на украинские структуры, которая готовилась не один месяц и бюджет у неё не маленький. От такого практически не возможно уберечься.
В составе вируса программа mimikatz для сбора хешей паролей, использование уязвимостей smb eternal blue и криптер. Основная цель нанести вред, криптер шифрует диск, если получает доступ, шифрует mbr и портит его.
Только через MeDoc распространение обеспечивает 99% успех. Инсталятор MeDoc не подписан, обновления выходят как попало, программа ставится на бухгалтерские компьютеры. Программу устанавливает администратор под учёткой администратора. Администратор разрешает установку софта, вирус запускает mimikatz, собирает хеш всех сессий и рассылает себя через легальные wmi и psexec с легальными административными правами.
В 99% случаев обычной локальной сети тут нет спасения.

Я думаю каждому пострадавшему бизнесу нужно подавать в суд на MeDoc, если они стали причиной их заражения и есть доказательная база. Пусть эта компания канет в лету за свой преступный непрофессионализм.

Спасение в подобных случаях в следовании параноидальным процессам безопасности либо в глобальном изменении инфраструктуры, переход на микросервисы и в облака. И то и другое стоит больших ресурсов и времени , это не всем по карману.

Тот же Майкрософт располагает всем функционалом, Office 365 + Dynamics 365 стоят денег, но предоставляют возможность быстрого перехода 90% офиса в облака. Windows Hello решает вопросы доступа в систему с двуэтапной аутентификацией и использования доступа без пароля. Windows 10 Device Guard решает проблемы запуска плохого кода в системах.

По поводу гос. регулирования, оно бесполезно. Критерии безопасности и так существуют в различных видах аудитах, аудиты безопасности проводятся, процессы существуют. Вопрос к конкретным лицам, на конкретных предприятиях по поводу их соблюдения.

Единственный позитивный момент это то, что, возможно, что-то поменяется и предприятия начнут лучше относиться к безопасности айти систем.

Есть мнение, что это была спланированная хакерская атака на украинские структуры, которая готовилась не один месяц и бюджет у неё не маленький. От такого практически не возможно уберечься.

Обновить винду — это же так сложно.

Если админ запускает обновление скомпрометированного софта под админской учёткой то никакое обновление ОС не поможет и eternal blue, там, вообще, как фича.
Анализ от Майкрософт:
blogs.technet.microsoft.com/...​a-adds-worm-capabilities

До атаки, это делать нужно лол. После wannacry было куча времени, собственно по инфографике прекрастно видно, кто сообразил, а кому одного урока мало

Еще раз: если запуск под админом, то обновление МС не помогает. Об этом уже только на DOU раз 50 писали. А МеДок запускал обновления под админом.

Решение — подписывать обновления сертификатом на air-gapped компьютере. Плюс https. Но и это не спасает от инсайдерской атаки. Можно запускать подобный софт в виртуалке, доступ на запись давать в строго определенную папку, но кто на это пойдет?

+/- есть
Petya — в данном случае это руткит, защита от руткита, по-идее, secure boot
как сберечь ваши пароли — ваша головная боль, меняйте.

Windows 10 Device Guard решает проблемы запуска плохого кода в системах.

Medoc, medoc — как много в этом слове. Он знаменит нервными потрясениями со дня своего выхода в свет. Зачем им надежность? Если они уже слепили кадры и зарплату, а штатный бекап заработал только год тому.

Однако за 20 лет смогли подсадить почти всю страну на свой софт.
Благо появились другие подобные сервисы на рынке EDOC (ECOM LLC), iFin, Liga, Taxer

дело не в подсадке а отсуствии выбора со стороны руководства.

EDOC (ECOM LLC)

Решили невзначай попиарить свой продукт? ))

Есть мнение, что это была спланированная хакерская атака на украинские структуры,

Есть мнение что интернет границ не имеет

Тогда 75% не имеющего границ находится в Украине :D

Старая поговока —
«скупой платит дважды» более чем актуальна.

Скупой платит за майкрософт

Я не платил, но две лицензии имею, притом действительно нормальные лицензии.
Атаке компы мои не подверглись, обновляю Windows 10 всегда, письма левые не открываю, неизвестные проги и патчи не запускаю.

Я не платил, но две лицензии имею

🤔 Тут два варианта, либо вы не учитываете, что заплатили при покупке ноутбука/ПК, а так оно скорее всего и есть, либо первое.

Репортер берет интервью у Евгения Касперского:
— Компьютерный вирус — это враг или друг?
— Это кормилец!

Одна лицензия была с ноутом, но ноут не покупался, а просто подарок, а вторая лицензия — это тоже подарочная. :)

Это не значт, что не заплатили. Майкрософт свои деньги получил.

Подписаться на комментарии