Как бороться с майнерами криптовалют в корпоративной сети

    Проблема использования корпоративных ИТ-ресурсов для майнинга криптовалют проявляется все чаще (недавно их упоминала Транснефть). А на днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту. Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт для обычных пассажиров; из Внуково-2 летает Президент России и члены Правительства, что делает эту воздушную гавань критически важным объектом для национальной безопасности. И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ. Но вернемся к майнингу. В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети? Учитывая растущее число таких вопросов, мы и решили написать эту заметку.

    Начнем с того, что майнинг — это не типичная угроза информационной безопасности. Программное обеспечение для майнинга криптовалют напрямую не наносит ущерба вашим информационным активам. Кражи или модификации данных нет (обычно). Перехвата управления технологическими или производственными процессами тоже. Нарушения доступности? Вероятно тоже. Но есть тормозящий компьютер, нагрузка на электросеть (а за электричество платит компания), затраты на Интернет-трафик (может быть актуальной проблемой при лимитированном трафике) и садящаяся в ноль батарейка у ноутбука, что можно попробовать транслировать в финансовый ущерб для компании (хотя это и не просто). Самое неприятное, что кто-то за ваш счет может наживаться и получать баснословные барыши (достаточно посмотреть на курс криптовалют, чтобы нервно кусать локти и жалеть, что совесть не позволяет самому майнить на корпоративных ресурсах). Но… бывает и так, что майнинг сопровождает вредоносное программное обеспечение, что делает его уже более серьезной проблемой для специалистов по информационной безопасности. В любом случае, одна из задача ИБ (да и ИТ тоже) — знать, что происходит в ее хозяйстве и иметь инструментарий для контроля любой активности, легальной или не очень. Поэтому вопрос обнаружения и, зачастую, блокирования майнеров, становится все более актуальным.

    Если почитать множество заметок в Интернет о том, как обнаружить майнера у себя на компьютере, то обычно все рекомендации сводятся к одной основной — обращать внимание на тормознутость своего ПК, что определяется по ощущениям или с помощью визуального анализа планировщика задач (Task manager в Windows или Activity monitor в MacOS), который отображает загрузку процессора для разных приложений и процессов. Однако эта рекомендация больше подходит для домашних пользователей, чем для корпоративных, не имеющих возможности отслеживать нагрузку процессора сотен и тысяч компьютеров. Поэтому попробуем взглянуть на проблему майнинга немного с иной стороны, а точнее с точки зрения так называемой цепочки kill chain, отображающей набор шагов, которые осуществляет нарушитель (свой пользователь, устанавливающий майнера к себе на ПК, тоже является таковым) в процессе запуска майнингового ПО у себя на узле. Если это свой пользователь, то обычно последовательность будет такой:

    • посещение сайтов для майнинга
    • скачивание ПО для майнинга
    • инсталляция ПО для майнинга
    • запуск ПО для майнинга
    • майнинг
    • взаимодействие с пулами майнеров для обмена информацией о полученных блоках и хешах
    • получение вознаграждения.

    Несанкционированная установка майнера на компьютер ничего не подозревающего пользователя выглядит немного иначе на первых и последних стадиях kill chain:

    • поиск жертвы
    • подготовка плацдарма (внедрение майнингового скрипта на сайт, создание майнингового ПО, внедрение майнингового ПО в какое-либо свободное или условно бесплатное или пиратское ПО, внедрение майнинговой функциональности в вредоносное ПО)
    • “заражение” пользователя майнинговым ПО (через скрипт на сайте, путем скачивания его из Интернет, получением в виде вложения в почту или на флешке)
    • запуск майнера
    • майнинг
    • взаимодействие с пулами майнеров или с командным центром для передачи получаемой в результате вычислений информации.

    Помимо обычной загрузки майнера или включения майнинговой функциональности, например, в торрент-клиента, возможны и различные многоходовые схемы. Например, на компьютер пользователя сначала попадает невредоносное ПО (и поэтому оно может не детектироваться ни антивирусом, ни средствами защиты), которое подгружает специальный установщик (downloader), который и скачивает из Интернет майнера и скрытно инсталлирует его на компьютере ничего не подозревающего пользователя. Обратите внимание, что вместо скачиваемого файла это может быть и скрипт на посещаемом вами сайте (очень популярным является скрипт Coin Hive).

    Статистика доступа к coin-hive.com, полученная с помощью Cisco Umbrella Investigate

    Менее популярным, но также возможным способом является попадание майнера на компьютер через вложение в e-mail или ссылку в письме, а также через рекламный баннер или фальшивую кнопку на сайте, нажатие на которые приводит к загрузке майнера на компьютер. Хочется опять обратить ваше внимание, что сам по себе майнер не имеет вредоносных функций. Более того, пользователь мог сам, легально его себе установить. Именно по этой причине, в традиционных антивирусах этот тип ПО не блокируется по умолчанию, а всего лишь может обнаруживаться (если у антивируса есть соответствующий набор сигнатур).

    Пример фальшивой кнопки, инициирущей запуск майнера

    Еще одним важным моментом является то, что майнер не работает в одиночку. Он обычно является частью целой ботсети (пула майнеров), с командным центром которой он взаимодействует — получая команды или отправляя результаты своей работы. Поэтому майнер можно обнаружить не только по его активности на узле, но и в процессе сетевого взаимодействия — после отправки хешей или получении новых команд или данных для вычислений.

    Как же предлагает бороться с майнинговым ПО компания Сиско? Мы, следуя нашей классической стратегии “ДО — ВО ВРЕМЯ — ПОСЛЕ”, учитывающей жизненный цикл атаки или иной контролируемой активности, предлагаем разбить все мероприятия по контролю и защите на три части:

    • ДО — предотвращения взаимодействия с сайтами для майнинга или попадания майнеров в сеть по различным каналам
    • ВО ВРЕМЯ — обнаружение инсталляции и работы майнингового ПО
    • ПОСЛЕ — проведение ретроспективного анализа поведения файлов, попадающих внутрь корпоративной или ведомственной сети.

    На первом этапе, помимо стандартных рекомендаций по защите оконечных устройств от вредоносного ПО, мы советуем настроить сетевое оборудование, межсетевые экраны или средства контроля доступа в Интернет на блокирование доступа к адресам сайтов по майнингу. Например, к coin-hive.com или minergate.com. Это можно сделать с помощью Cisco ISR, Cisco Firepower, Cisco Web Security Appliance, Cisco Umbrella, Cisco ASA и т.п. Я не дам готового списка таких доменов, так как сегодня пулов для майнинга существует уже свыше тысячи и учитывая возрастающую сложность вычислительных задач их будет становиться все больше и больше. Поэтому я бы рекомендовал регулярно отслеживать рейтинги пулов для майнинга, которые свободно можно найти в Интернете. Назову только несколько имен:

    • suprnova[.]cc,
    • nanopool[.]org,
    • zpool[.]ca,
    • coinmime[.]pl,
    • eth.pp[.]ua,
    • zcash.flypool[.]org,
    • dwarfpool[.]org,
    • p2pool[.]org,
    • bitclubnetwork[.]com,
    • miningrigrentals[.]com,
    • minergate[.]com,
    • nicecash[.]com,
    • hashing24[.]com,
    • hashcoin[.]io,
    • hashflare[.]io,
    • eobot[.]com,
    • antpool[.]com,
    • pool.btcchina[.]com,
    • bw[.]com,
    • mining.bitcoin[.]cz,
    • eligius[.]st,
    • ghash[.]io,
    • bitminter[.]com,
    • bitfury[.]org,
    • kncminer[.]com,
    • 21[.]co,
    • slushpool[.]com и т.п.

    Отслеживать списки пулов можно на сайте btc[.]com и blockchain[.]info. Кстати, контроль доступа работников к последним двум доменам (можно реализовать через Firepower, Umbrella или Web Security Appliance с привязкой к учетным записям пользователей) позволит понять, кто из ваших пользователей интересуется тематикой майнинга и готов по своей воле попробовать свои силы в работе с криптовалютами, а это важная информация для усиления будущего контроля.

    Блокирование доступа к описанным выше доменам позволить не только предотвратить загрузку ПО для майнинга (этап “ДО”), но и блокировать взаимодействие с пулами в случае, когда соответствующее ПО все-таки как-то попало на компьютер пользователя (через вложение в e-mail, через флешку, с помощью вредоносного ПО или функциональности в условно бесплатном ПО, в которой майнинг является незаметной “нагрузкой” или “ценой” за бесплатность) и пытается взаимодействовать с ними (этап “ВО ВРЕМЯ”).

    К сожалению, надо признать, что исключить полное блокирование доступа к пулам для майнинга мы не можем — они появляются постоянно и отслеживать их бывает непросто (не забываем, что это не вредоносные ресурсы, контроль которых является первоочередной задачей для подразделения Cisco Talos). Кроме того, пользователь или вредоносное ПО могут использовать туннелирование (например, SSH) или иные методы коммуникаций (например, Tor) с соответствующими пулами. Поэтому мы должны уметь отслеживать работу майнеров в реальном времени (этап “ВО ВРЕМЯ”). Это можно сделать как с помощью вышеупомянутого отслеживания взаимодействия с соответствующими доменами, так и с помощью слежения за портами, которые использует ПО для майнинга для взаимодействия с пулами и командными центрами. К таким портам можно отнести:

    • 3333 (bitcoin)
    • 3336 (litecoin)
    • 8333 (bitcoin)
    • 8545 (Ethereum),
    • 9333 (litecoin)
    • 9999 (Dashcoin),
    • 10034 (ypool.net)
    • 22556 (Dogecoin),
    • 30301 (Ethereum),
    • 30303 (Ethereum),
    • 45550 (bytecoin),
    • 45560 (monero),
    • 45620 (DigitalNote),
    • 45570 (QuazarCoin),
    • 45610 (Fantomcoin),
    • 45640 (MonetaVerde),
    • 45690 (Aeoncoin),
    • 45720 (Dashcoin),
    • 45750 (Infinium-8).

    Обратите внимание, что это полный и не финальный список. Во-первых, часто майнеры используют стандартные порты 8080 и 8081 и поэтому мониторинга только портов недостаточно — нужно применять технологии анализа сетевого трафика (Cisco Stealthwatch), технологии инспекции HTTP (в рамках Cisco Firepower, Cisco Cognitive Threat Analytics, Cisco AVC) или DNS (в рамках Cisco Umbrella). Во-вторых, эти порты могут быть изменены в программном обеспечении для майнинга. В-третьих, взаимодействие по этим портам может означать не только наличие майнеров у вас в сети. Например, тот же троянец Zotob использовал коммуникации на порту 3333, который, как мы видим выше, используется и майнерами биткойнов. Срабатывание Cisco Firepower, Cisco ASA, Cisco Stealthwatch, Cisco ISR на порты из данного списка скорее является некоторым сигналом, который нужно сопоставлять с другими индикаторами, например, со списком доменов, с которыми идет взаимодействие из внутренней сети предприятия.

    Декодеры протокола Litecoin в Firepower

    Помимо контроля портов, в решении Cisco Firepower присутствует возможность обнаружения протоколов, используемых майнерами, например, популярными Bitcoin и Litecoin. Достаточно создать правило для контроля взаимодействия по данным протоколам и вы будете всегда знать, кто в вашей сети занимается майнингом (осознанно или даже не зная, что его компютер участвует в пуле для майнинга), независимо от того, с каким узлами и по каким портам идет взаимодействие. Аналогичная функция присутствует и в Cisco ISR с функцией AVC (Application Visibility and Control), позволяющей распознавать и классифицировать больше тысячи приложений, включая и майнинговые.

    Декодеры протокола Bitcoin в Firepower

    Система обнаружения вторжений Cisco NGIPS тоже обладает рядом сигнатур для обнаружения работы как легальных майнеров, так и вредоносного кода, задействующего функции майнинга. Например, сигнатуры с номером SID 1-40840, 1-40841, 1-40842, которые позволяет отслеживать использование протокола Stratum для майнинга биткойнов. А сигнатуры с SID 1-31273 или 1-20057 позволяют, к примеру, ловить взаимодействие с командными серверами вредоносного ПО (CoinMiner или Win.Trojan.Vestecoin), занимающегося незаконным майнингом на зараженном компьютере. В конце концов никто не мешает написать самим сигнатуры для поиска ПО для майнинга. Например, она может выглядеть так:

    alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Possible Bitcoin/LiteCoin Mining"; flow:established; content:"|7B 22 70 61 72 61 6D 73 22 3A 20 5B 22|"; Depth:15; classtype:bad-unknown; reference:url,mining.bitcoin.cz/stratum-mining; sid:1000500; rev:1;)

    или

    alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN W32/BitCoinMiner.MultiThreat Subscribe/Authorize Stratum Protocol Message"; flow:established,to_server; content:"{|22|id|22|"; depth:10; content:"|22|method|22 3A| |22|mining."; within:100; content:"|22|params|22|"; within:50; pcre:"/\x22mining\x2E(subscribe|authorize)\x22/"; classtype:trojan-activity; reference:url,talosintelligence.com/; reference:url,www.btcguild.com/new_protocol.php; reference:url,mining.bitcoin.cz/stratum-mining; sid:1000501; rev:1;)

    Кстати, упомянутые выше примеры использования туннелирования или иных методов коммуникаций для майнеров сами по себе должны стать триггерами для специалиста по безопасности. “Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.

    Для обнаружения майнеров, работающих в виде скрипта, можно применить Cisco Cognitive Threat Analytics, Cisco Umbrella или Cisco Web Security Appliance, которые способны контролировать взаимодействие пользовательского компьютера с внешним миром. Cisco Umbrella это сделает даже если пользователь находится за пределами корпоративной/ведомственной сети и его не контролируют МСЭ, IPS и другие средства защиты периметра. В настройках Umbrella работа с упомянутыми выше доменами реализуется в категории Potentially Harmful Domains.

    Некоторые категории блокируемых узлов в Интернет с помощью Cisco Umbrella

    Кстати, когда я писал эту заметку, то обратил внимание, что есть злоумышленники, которые эксплуатируют интерес пользователей к «легкому» заработку. Например, с помощью Cisco Umbrella Investigate я обнаружил в сети домен, похожий на coin-hive, но являющийся явно вредоносным и попадание на который по ошибке может привести к заражению пользователя:

    Вредоносный домен, обнаруженный Cisco Umbrella Investigate

    Отследить работу майнера можно не только на сетевом уровне, но и на уровне узла, защищенного с помощью AMP for Endpoints, хотя это и не так просто. Это ПО, особенно если оно попало на компьютер нелегально и пытается остаться незамеченным, может маскироваться под различным легальные процессы — svchost.exe, chrome.exe или даже steam.exe (для игроманов). Но в том и заключается задача AMP4E, чтобы подсказать, какие процессы являются подозрительными, а какие нет.

    Визуализация активных процессов на узле с помощью Cisco AMP4E

    Кроме того, в его базе существуют индикатор W32.Cryptocurrencyminer, который позволяет отслеживать широкий спектр майнеров. В тех случаях, когда существуют подозрения относительно файла, возможно участвующего в майнинге, можно проверить его с помощью внешнего сервиса Virus Total, просто направив соответствующий хэш и оперативно получив вердикт о “статусе подозреваемого”. Кроме детектирования аномального поведения, AMP4E может быть настроен на обнаружение нового ПО, ранее не встречавшегося на компьютере пользователя. Это будет облегченный вариант “белого списка приложений” (application white listening, AWL) или “замкнутой программной среды”, механизма, позволяющего контролировать загружаемое и используемое на ПК программное обеспечение. AMP4E можно настроить на обнаружение и известного майнингового ПО, но это не самый эффективный способ, учитывая возможность легкой замены названий файлов.

    Параметры командной строки Desktop Windows Manager, запускающего майнер

    Пул для майнеров dwarfpool

    Статистика по узлу с установленным майнером

    Последней линией обороны является этап “ПОСЛЕ”, который позволяет нам обнаружить то, что каким-то образом все-таки смогло попасть в нашу сеть и на наши компьютеры и начало свою деятельность. Помимо обнаружения уже работающих майнеров способами, описанными выше, мы можем использовать песочницу Cisco AMP Threat Grid, которая позволяет анализировать все файлы, попадающие внутрь сети (через почту, через Web, через флешки, через файлшары, через FTP и т.д.), и анализируя их поведения по 700 с лишним поведенческих индикаторов детектировать вредоносную или аномальную активность. Помимо специализированных индикаторов cryptominer-detected, cryptominer-network-detected и cryptominer-pool-contacted, в AMP Threat Grid присутствует возможность распознавать майнеры и по другим признакам:

    • взаимодействие с внешними Интернет-ресурсами

      Cisco AMP Threat Grid анализирует файл

      Один из поведенческих индикаторов, обнаруженных Cisco AMP Threat Grid

    • оставленные на узле артефакты

      Cisco AMP Threat Grid анализирует файл

      Артефакт, оставленный майнером в виде скрипта, обнаруженный Cisco AMP Threat Grid

      Артефакт, оставленный майнером, обнаруженный Cisco AMP Threat Grid
    • срабатывание известных сигнатур в антивирусах.

      Cisco AMP Threat Grid анализирует файл

      Один из поведенческих индикаторов, связанный с работой антивирусов, детектирующих майнер


    Все это классно, конечно, скажете вы. Но можно ли нажать одну магическую кнопку в ваших решениях и забыть об этой проблеме раз и навсегда? Увы. Повторю то, что я уже писал выше. Майнинговое ПО не является вредоносным — оно может быть вполне разрешено в той или иной компании и поэтому оно никогда не вносится по умолчанию в черные списки или базы сигнатур вредоносных программ. Более того, это активно развивающийся рынок, который приводит к тому, что постоянно появляются новые криптовалюты, новые протоколы и новые программы для майнинга, новые порты и новые адреса пулов. Нельзя составить такой список один раз и навсегда. Это постоянная работа по ручному или автоматизированному отслеживанию такой информации, которая затем заносится в индикаторы компрометации и распространяется по средствам защиты. У компании Cisco этой задачей занимается подразделение Cisco Talos, которое мониторит все происходящее в Интернет, классифицирует его и заносит в наши озера данных, на базе которых и создаются/обновляются сигнатуры атак, декодеры протоколы, репутационные базы, правила инспекции и иные индикаторы компрометации, которые на регулярной основе попадают в наши средства защиты, упомянутые в этом материалы — Cisco Firepower, Cisco Umbrella, Cisco Stealthwatch, Cisco Web Security Appliance, Cisco AMP for Endpoints, Cisco Cognitive Threat Analytics, Cisco AMP Threat Grid и другие.

    И, конечно, в заключении надо сказать, что никто не отменяет базовых рекомендаций по борьбе с майнерами (легальными и являющимися частью вредоносного или условно бесплатного ПО)- настройте браузер для блокирования скриптов на неизвестных сайтах, установите нужные плагины (например, NoScript для Firefox, minerBlock или No Coin для Chrome), включите блокировщик рекламы (например, AdBlock), контролируйте доступ в серверные и иные помещения, в которых можно незаметно установить устройства для майнинга, которые будут пользоваться вашим электропитанием.

    Cisco

    80,00

    Cisco – мировой лидер в области сетевых технологий

    Поделиться публикацией
    Комментарии 155
      +6
      читал, читал и единственный вопрос который возник
      ШТА?
      штат it во внуково не мог решить, проблему с сисадмином внуково? и этим занялись ФСБ
      Станиславский бы сказал на это «Да, какого х...., не верю „
      имхо булшит, пиар чистой воды, первый борт бла бла бла
      ФСБ-ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ, а не рак с горы,
      — У вас как-то ДО страдает, не смогли? не срослось, облажались? не беда
      есть ВО ВРЕМЯ тут тоже не смогли, ну как же так не беда у нас есть после
      так вот имхо после и во время уже поздно
      у вас политики GPO (ж вы ж виндовый админ решите.
      не статься а пиар и циски и фсб
      и те и другие пиариться на странных админах
      все это имхо и не претендует на правду(но я думаю и размышляю, а значит существую)
        –1
        Всякое бывает в жизни :-)
          +1
          Так мы о жизни и не говорим, мы говорим о быте.
          1.О быте в нашей стране, я не верю, что серьёзным дядькам из ФСБ, есть дело до одного из штата в it во Внуково.
          2. Я как сис.админ не верю в это, что нельзя на этапе ДО решить проблему на сети(виндовой сети), вы же тут описываете ситуацию, сферического коня в вакууме
          когда это не админ, а эникейщик(причем брат, сват и т.д. главного бухгалтера или директора)
          опять же не холивара ради, а высказывания своего мнения
            –1
            Решить проблему можно. Вопрос в другом — кто должен был думать об этом и решать? ИТ или ИБ? Решили так, как решили
              0
              У меня вообще есть сомнения в том, был ли мальчик…
                0
                ФСБ отвечают за всякие критические инфраструктуры, поэтому да, они могут проводить проверки соответствия
                  +1
                  Я мы разве тут, говорим что ФСБ не могут?
                  они все могут на территории Российской федерации,
                  вопрос в том, зачем им, этим заниматься?
                    +1
                    Звонит мне не известный, и представляется. Я такой то такой то, а не хотители прийти в фсб и пообщаться?
                    Пришел. Вызвали по одной простой причине — моя фирма была зарегистрирована в международной не коммерческой фирме занимающейся безопасностью граждан. Собственно говоря той фирмы — один я и был. Но тем не менее им стало интересно, зачем, почему и так далее.
                    А тут как выше описали — вполне себе критическая инфраструктура. Наличие местного ИТ не говорит о том что там не может быть проблем.
                      0
                      Но тем не менее им стало интересно, зачем, почему и так далее.

                      Обычная разработка.

                      А тут как выше описали — вполне себе критическая инфраструктура.

                      Не особо, если честно. Там другая штука — это стратегический объект.
                      0

                      Элементарно — чтобы потом о проделанной работе отчитаться.

                        0
                        Не в этом случае. Это же не террорист, не экстремист. А на статистику никак не влияет — они и так каждый год отчитываются о десятках миллионов отраженных атак
                    0
                    Сферического админа в вакууме…
                  0
                  Мы между собой обсуждали эту новость. Как вариант — в ходе проверки нашли админа, который замутил некую ферму и списали проблемы на него. Все же в аэропортах админ не один и чтобы никто не замечал ферму — маловероятно. Была бы организация помалобюджетнее — поверил бы
                  +2
                  “А причем тут ФСБ?” Все очень просто.

                  Более того — всё элементарно! Ведь ловить майнящих сисадминов намного проще и безопаснее, чем террористов.
                    +2
                    Судя по их отчету (на днях) они и террористов неплохо ловят
                      +2
                      Статистика и отчёты — штука коварная…
                        0
                        Ну другого у нас нет :-)
                          +2
                          Почему-то сразу вспоминается: «премия сама себя не выпишет...»
                    +7
                    И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом
                    То есть, выходит, пара десятков масляных обогревателей может отключить аэропорт?
                    Больше похоже на повод, а не причину.
                      +5
                      Если дословно верить статье, то все гораздо хуже:
                      На днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту (аналогичная проблема была и в Транснефти).
                      , то есть питающая сеть просаживается от нагрузки, создаваемой штатным установленным оборудованием. Но это уже совсем похоже на бред.
                        –2
                        Попробуйте поставить майнера на ноут и сравнить скорость ухода батарейки в ноль с ним и без него. Вы удивитесь разнице затрат на энергопотребление
                          +1
                          А это вы к чему? У нас серверная рассчитана из расчёта максимального мощности потребления по всему оборудованию с запасом, так как будем расширяться. На деле, конечно, потребление меньше 50% от резерва. Если на рабочем месте он это попытался делать, то автомат просто бы вырубил его и всё.
                            0
                            Когда будете расширяться, резерва уже не останется и вырастет вероятность аварии по цепям питания. Впрочем, даже при таком раскладе вероятность отказа не нулевая.
                            И ни батарея ни дизель-генераторы не смогут обеспечить абсолютную надёжность.
                              0
                              Почему не останется резерва?
                                0
                                Например потому что кто-то тупанул и не рассчитал как следует? Не рассматриваете такой вариант?
                                  0
                                  Вероятность «косяка» есть всегда, задача перепроверить его перед увеличением оборудования в серверной. Если вскроется по новым данным — будет выработано решение о наращивании мощности, если всё в порядке — включаем штатно.

                                  ИБП в нашем случае — нужны для корректного завершения работы, на случай отключения электричества, или для того, чтобы пережить кратковременный сбой. Загрузку ИБП контролируем.
                                    0
                                    Да, это хорошо но порой бывает что батарея самого ИБП отказывает внезапно… у меня вон батарея полежала год просто на полке и всё — одна ячейка не работает. Периодическое тестирование батарей проблему не решает принципиально а лишь снижает вероятность аварии, а может и вовсе не снижает — вводит новые риски например выхода из строя инвертора в момент тестового переключения на батарею.
                                      0
                                      Всё бывает. Однако, не делаю из этого паранойю. В некритический момент всё можно проверить. Заодно и учения по устранению проблем.
                                        0
                                        Это не паранойя, просто вероятность. А план действий надо бы составить и на маловероятные ветви развития событий.
                                          0
                                          Можно всю жизнь обвешать автотестами, но сломается в другом месте. :)
                                  0
                                  До расширения — резерв был, а когда расширились — резерв исчерпан. Чтобы его расширить нужны дополнительные действия и т.п.
                              +3
                              Вы меня, конечно, извините, но я из Внуково летать больше не буду, если у них там вся инфраструктура на ноутбуках построена.
                                0
                                Ну я для примера :-)
                                  0
                                  немного оффтопа — вы удивитесь тому, какая штука бывает может отвечать за вашу жизнь)))
                                    0
                                    Проходя службу в армии. Работал на обслуживании АСУ. так вот не поверите там самое нормальное что есть это как раз таки ноутбуки(Getac).
                                    0
                                    Я не удивлюсь росту потребления, а вот в случае выхода ноутбука из строя из-за полной утилизации процессора действительно можно удивиться.
                                    –3
                                    Сеть не рассчитана на постоянное пиковое потребление. Точно так же, если у вас дома все разом включат электрические плитки и все потребители — может просто перегореть подводящий кабель.
                                      +4
                                      может просто перегореть подводящий кабель

                                      Это просто означает, что неверно подобрано сечение подводящего кабеля. Обратитесь к профессиональному электрику за консультацией, подбором кабеля и монтажом.
                                        –1
                                        Если считать сечение кабеля по максимуму допустимого потребления по всем квартирам дома, то кабель получится слишком дорогим а использоваться будет лишь на 10% от максимума.
                                        п.с. я не про отдельную квартиру, а про весь многоэтажный дом.
                                          0
                                          Считать надо исходя из номинала защитных устройств на подстанции. Под этот номинал подбирается и минимальное сечение кабеля. Это делается именно для того, чтобы даже при максимальной нагрузке кабель не перегревался, а уж тем более не перегорал.

                                          Как нетрудно догадаться — сечение кабеля взято «с запасом», что иногда в индивидуальном строительстве трактуется как «лишние деньги на ветер — бери вон тот, у меня на даче такой уже 10 лет висит». И ничего, что «дача» сарай 2х2 метра, а целевой объект — дом в 100+ кв.м.
                                            +1
                                            Для жилых зданий расчетная мощность считается от наличия газовых или электрических плит, количества квартир, площади квартир, типа здания, довольно прилично разных коэффициентов. Сферический пример в вакууме("коэффициент спроса" примерный, только для понимания как это работает): если номинальная мощность каждой квартиры 5кВт, то для дома в 10 квартир получится 5*10*0.8=40кВт, а если дом из 100 квартир, получится 5*100*0.5= 250кВт. Под эти мощности уже проектируется сама подстанция, кабели и все остальное.
                                            И такое считается для всего, в том числе и для аэропортов, не только для жилых зданий.
                                            По поводу вопроса с кабелем, как вы и сказали, защитные устройства определяют минимально допустимое сечение кабеля, реальное сечение зачастую выше, так как нужно еще добиться адекватно-небольшого падения напряжения(=потерь) в линии(особенно длинной). То есть сильно потратиться на более мощный кабель может оказаться дешевле чем постоянно тратиться на потери в линии, а возможно еще и стабилизаторы напряжения для некоторого оборудования.
                                              0
                                              Дело не в номинале. а в выделенной мощности на ВЕСЬ дом, она всегда меньше суммы допустимых мощностей по всем квартирам! Раньше коэффициент был меньше, сейчас это стало реальной проблемой для старых домов — при ограничении в 40А@220В(~8кВт) на каждую квартиру в доме на 100 квартир общее ограничение мощности на ВЕСЬ дом 400кВт и когда все начинают включать кондиционеры на половину разрешенной для квартиры мощности в 4кВт закономерно отрубается защита на домовой ввод. Особенно это заметно когда все начинают 31-го декабря готовится к празднованию и включают электрические плиты… Часто от такой нагрузки, хоть она и не превышает допустимую для кабеля, кабель просто перегорает от физического износа — его в землю закопали 40 лет назад и не рассчитывали что он будет эксплуатироваться постоянно на предельном режиме.
                                              Если же рассчитывать проводку на реальные 800кВт то вам уже не понравится ценник на такие услуги, при том что реально кабель на полную использоваться будет лишь 1-2 раза в году.
                                              Если рассматривать ваш пример, то тут с точностью до наоборот — подвести к даче-сараю 3 фазы 380 Вольт с запасом, а вдруг одновременно будешь включать две электрические плиты на все 4 комфорки, пилораму, пылесос и микроволновку с чайником.
                                                0
                                                Много вы знаете случаев, когда выгорало? Я не знаю лично. То, что горе-электрики из союзных и не очень республик, умеют сделать такой монтаж, что можно загореться — знаю, а вот вводящие кабеля — ни разу не встречался.

                                                По поводу Внуково у меня точных данных нет, но там около 2 МВт, по-моему.

                                                Если рассматривать ваш пример, то тут с точностью до наоборот — подвести к даче-сараю 3 фазы 380 Вольт с запасом, а вдруг одновременно будешь включать две электрические плиты на все 4 комфорки, пилораму, пылесос и микроволновку с чайником.

                                                У меня 15 кВт в бытовке. Я могу их все использовать. Точка. Ничего не сгорело.
                                                  0
                                                  Пару случаев было у нас прямо в городе, периодически с других уголков страны жалуются что под новый год учащаются случаи отключения домов.

                                                  Я вот тоже в квартире могу использовать 15кВт. Но… если все разом начнут использовать каждый по разрешенным мощностям — будет плохо. В посёлках — это уровень разделительного трансформатора, он не рассчитан на то что все разом начнут потреблять по разрешённому максимуму — в таком режиме он проработает недолго. Но к счастью, в среднем такого не происходит, поэтому никогда и не ставят трансформаторы на максимальную мощность — это экономически нецелесообразно.
                                          +1
                                          Электрическая платка — киловатты. nVidia GeForce 1060GT — 150-180 Вт.
                                            0
                                            Думаете они туда оборудование внесли? :)
                                            0
                                            Очень некорректное сравнение — вероятность одновременного включения всех плиток низка, полная загрузка вычислительных ресурсов — норма (за исключением резервного оборудования).
                                          +3

                                          Отличное сравнение с масляными обогревателями — у фермы график потребления более ровный. Поэтому вообще непонятно, что там за "скачки напряжения" такие. Особенно в масштабах аэропорта.

                                            0
                                            «скачки» видимо имеется в виду по длине кабеля — где-то посередине появился мощный потребитель — в «хвосте» началась просадка напряжения.
                                              0
                                              Сбой центрального отопления в офисе — начали врубать масляные конвекторы в кабинетах. Вот вам и скачки. И это хоть и нештатная ситуация, но и критической / аварианой ее не назовешь. А один асик за несколько сотен тыр. потребляет как один масляный конвектор.
                                                +2
                                                Хм… Сбой отопления -> в кабинетах включают обогреватели -> Идут скачки питания -> У товарища майора в кабинете срабатывает сигнал, что в воздушной гавани столицы идут непонятные скачки напряжения -> в офис приезжает ФСБ, начинают выяснять, что, как и почему. И вот в этот-то самый момент под руку попадается админ Вася, который решил срубить легких денег на простаивающем оборудовании. Дело раскрыто, Ватсон!
                                                  0
                                                  Отлично! Вам новости писать надо и проводить расследования!
                                                    0
                                                    вот это правдоподобная уже версия. отдать в жертву сисадмина, чтобы прикрыть какую-то более серьезную проблему и виновного ))
                                                    0
                                                    Конвекторы в кабенетах — нагрузка более менее распределённая как по длине так и по фазам.
                                                    А вот инфраструктура дата-центра может быть не рассчитана на одновременную работу всех серверов с максимальной нагрузкой.
                                                      0
                                                      А вот инфраструктура дата-центра может быть не рассчитана на одновременную работу всех серверов с максимальной нагрузкой.

                                                      Вы серьёзно?
                                              +2

                                              А по моему кто-то тупо хочет "нагнуть" ИТ службы, желательно все :) И "майнящий админ" — великолепный повод...

                                                +1
                                                Нафига? Нагнуть гораздо проще за какой-нибудь тендер, чем за непонятную фигню, которую и под какую-либо статью УК трудно подвести
                                                  0
                                                  Инфоповод безопасный с трендом: майнинг — зло. Более того, что с вероятностью в 99% никто не будет проверять этот инфоповод, как в случае с тендерами (они открытые).
                                                    0

                                                    отвечаю — прекрасный повод для вербовки например, а статью УК найти легко, 138 вполне подойдет, и есть еще целый ряд ИТ статей в УК

                                                      0
                                                      Сотрудникам проще и понятнее будет завербовать вас «за какой-нибудь тендер, чем за непонятную фигню»)
                                                        0

                                                        Чтобы завербовать "за какой-нибудь тендер" соображать надо, а тут все просто — скачки напряжения(которые есть всегда) = админ майнит, так что рисуем 2 пути:


                                                        1. помогаем органам
                                                        2. спецназ ФСБ и прочие прелести
                                                      0
                                                      Нагнуть за тендер и прочую фигню — не инфоповод для хорошей шумихи и, как выше уже сказали, самовыписывающейся премии.
                                                      а нагнуть за фигню типа «а-аа, майнинг, а-а, просадки электричества, а-а, ущерб Родине» и прочие из-пальца-высасывательные-слова-которые-так-любят-в-этой-конторе.
                                                    +12

                                                    А так конечно анекдот-анекдотом — " подключил майнинговую ферму к электросети аэропорта и вызвал скачки напряжения" :) — я так понимаю следующим будет — " использовал на рабочем месте 3 электрических чайника и тепловентилятор что и явилось причиной обесточивания аэропорта :) "

                                                      0
                                                      Вы удивитесь, но именно так это и происходит. На 3 чайника на рабочем месте, где проводка на это не рассчитана, должно быть специальное разрешение. Достаточно обесточить одну линию с половиной диспетчеров или коммуникационным оборудованием, и в аэропорту в час-пик уже будет паника.
                                                        +1
                                                        В УВД и чайники есть, если что на кухне. Да и питается это всё отдельно + резервирование.
                                                        Ну и если аэропорт прекратил отвечать, во что я не верю вообще, то по правилам борт уходит на запасной.
                                                          0
                                                          Там несколько всё сложнее, его кто-то должен будет вывести из зоны воздушного пространства аэропорта чтобы уйти на другой, движение там достаточно плотное чтобы самостоятельно выбирать маршрут.
                                                            0
                                                            Думаю, что подобные случае разбирались, так как обесточивание аэропорта — внештатная, но прогнозируемая ситуация.
                                                            По факту могут пострадать только «посадка», «круг». Конкретно по Внукову — эти две службы сидят физически в разных местах, если меня не подводит память.
                                                              0

                                                              Внуково, Домодедово и Шереметьево должны прекрасно видеть друг-друга, расстояния между ними позволяют — так что никаких особых проблем у бортов не будет даже если один из аэропортов вообще с землей сравняют — уведут на другие только и всего

                                                                0
                                                                В хорошую погоду, да. а если даже лёгкий туман? Уже не очевидно получается.
                                                                А если сочетание туман, вечер, высокая загрузка по всем аэропортам, и тут вдруг один из них отключается. Может, на этот счет есть какие инструкции и у диспетчеров и у пилотов, но тот факт что вероятность фатальной ошибки в такие моменты многократно повышается.
                                                                  0

                                                                  Радиолокатору туман по барабану, если вы не в курсе — то современный самолет прекрасно садиться без участия человека ( даже лучше чем управляемый пилотом). Загрузку также разруливают, аэропорты Москвы простаивают по сравнению даже с Дубаи, не говоря уже о европейских или американских ...

                                                                    0
                                                                    Вот только без наземного оборудования, порой даже вручную сесть не всегда возможно. Для автоматической посадки необходима безукоризненная работа оборудования на полосе, а такое оборудование есть даже не на каждой полосе.
                                                                    Впрочем, ИМХО Москва себе это может позволить, хотя не уверен что безусловно. Но ещё остаются самолёты на которых нет оборудования для автоматической посадки, так что в любом случае могут быть варианты.
                                                                    Аэропорты может и простаивают, но вот диспетчеры — врятли. Именно они станут ограничивающим фактором в данном случае. Пока вызовут запасных диспетчеров на усиление, может час пройти. А их наверняка не сразу вызовут, сперва подумают что обойдутся своими силами… как обычно это происходит.
                                                                    И да, частоты диспетчеров в аэропортах разные, пилотам надо знать на какие переключаться — это тоже элемент риска. В случае подобного стресса, они могут забыть переключить или переключить не туда и долго выяснять почему радио молчит. Всё это конечно не приводи непосредственно к аварии но повышает вероятность такого события. Каждая мелочь… и когда эти мелочи выстраиваются в цепочку — происходит катастрофа.
                                                                    Даже если такой сценарий и рассматривался, всегда что-то может пойти не так.
                                                                      0

                                                                      Наземное оборудование есть в каждом аэропорту Москвы ( и не только Москвы), а насчет диспетчеров — они были лимитирующим фактором 15-20 лет назад, сейчас техника прекрасно справляется и наоборот катастрофы случаются когда диспетчер вмешивается в ее работу. От ошибки конечно никто не застрахован — но развести борты с одного аэропорта на 3 других, до которых минуты полета — никаких особых перегрузок не возникнет...

                                                                        0
                                                                        Имею чуть другую точку зрения. «Векторние» — когда диспетчер ведёт вручную борты — в СМУ (сложных метеоусловиях) или при каких-то проблемах в самом аэропорту — нормальное явление. Наблюдать за этим интересно со стороны, а им вот не до шуток совсем.
                                                                    0

                                                                    единственно где могут быть трудности — это "нелетная погода" — то есть резкие порывы ветра, но тогда обычно всех заворачивабт на другой аэропорт и без всяких форсмажоров

                                                                      0
                                                                      Заворачивают, если есть кому. В случае обесточивания аэропорта, он условно замолкает на какое-то время. Резервное питание, дизель-генератор лишь уменьшают вероятность такого события. Например, сценарий по фильму «Крепкий орешек 2».
                                                                        0

                                                                        вы еще "5 элемент" вспомните — фантастика — это не сюда...

                                                                          0
                                                                          Прекращайте параноить. Всё придумано за вас. Аэродром не замолкает ни на минуту, кроме его закрытия и то есть дисп «на всякий» на частоте. Если даже случится такая ситуация, а такое было в Америке точно, то КВС даст команду ухода на запасной.
                                                                            0
                                                                            Мне вот интересно… точно придумано? Или как обычно «АВОСЬ» нас всех спасёт… кто-то решит наверху что такая вероятность неблагоприятного исхода не стоит денег на защиту от неприятностей, и когда-то кто-то огребёт. Как с Чернобылем и Фукусимой. Не предусмотрели, понимаешь, что энергоблок может разрушиться. Верней, этот сценарий рассмативался но был отклонён как маловероятный и слишком дорогой для того чтобы защищаться от него. А знаешь какая вероятность МПА(максимальной проектной аварии) заложена в современные энергоблоки АЭС на этапе расчета проекта? Порядка 1E-7 за год! До чернобыля этот показатель был на уровне 1E-6. Но слава богам, МПА современных реакторных установок предусматривает полное разрушение реактора и внешняя оболочка не развалится, как в Чернобыле. При условии, конечно, что не произойдет ядерный взрыв а это достигается уже другими методами — нынешние ВВЭР очень непросто взорвать, поплавить можно, а взорвать — нет.
                                                                              0
                                                                              Самолёт без разрешения просто не сядет в этот аэропорт. Вот и всё. Не отвечает — уйдёт на запасной. Не забывайте, что 123,45 МГц тоже работает, где между собой пилоты обмениваются информацией, что дополнит картину и КВС примет решение ухода на запасной.
                                                              0
                                                              Вы забыли упомянуть форточку на подводной лодке. С мнением автора статьи согласен.
                                                                0
                                                                И таки они на подлодке есть — называются торпедными аппаратами.
                                                                0
                                                                В статье вроде упоминалось, что подключают не фермы, а рабочие станции в сети.
                                                                  0
                                                                  в связи со скачками напряжения, вызванными работой фермы для майнинга криптовалюты, сообщает Telegram
                                                                  Подробнее: https://www.securitylab.ru/news/490293.php
                                                                    0
                                                                    Интересно, это сколько надо оборудования для таких скачков? Желательно в пересчёте на рубли, чтобы понять всю бессмысленность новости… Зарплаты у админов там не такие уж и большие…
                                                                +10

                                                                Просто представил:
                                                                "Тихая кухня в отделе ИТ аэропорта, надпись — "одновременно чайник, микроволновку, кофемашину и тостер не включать", и тут пришел стажер, не прочитав надпись врубает сразу все. Через мгновение врывается спецназ ФСБ с криком "попались проклятые майнеры !!!" :-)

                                                                  0
                                                                  Ну, учитывая, что я хочу себе RX 580, которые люто обожают майнеры, в данном случае реально «проклятые». Сметают все, что где бы только не появилось. Ни на амазоне, ни на наших местных магазинах толком нету. Только появятся и сразу исчезают.
                                                                    0
                                                                    У меня есть такая — не могу продать. )))
                                                                      0
                                                                      Эм… зачем же вам её продавать, если не секрет? Эм… ну и за одно, где вы + цена?
                                                                        0
                                                                        Чтобы вместо неё поставить Вегу.
                                                                        где вы + цена?
                                                                        Я далеко от Вас, да и цена высокая — поэтому и не берут, говорят — за 20 возьму, а за 26 лучше в магазине куплю. )))
                                                                          0
                                                                          Я вот в день нашего диалога умудрился вечером сделать заказ. За 27,4т.р.
                                                                          А уже в воскресенье мне «магазин» «честно позвонил и сказал, что так-и-так, мы перекупы, ну в общем-то наш поставщик успел продать кому-то другому» — зашибись, подумал я.
                                                                          Упорно хочу именно ASUS. Другие производители бывают в магазинах, даже в режиме «без предзаказа». Но блин, это не ASUS.
                                                                            0
                                                                            Ну да, ASUS дефицитнее. У меня, кстати, PowerColor.
                                                                            За эти дни биткойн обвалился, сразу появились и 580-е, и Веги — купил последнюю без проблем.
                                                                              0
                                                                              В моем случае тоже «маленькое счастье» произошло — ни Вег, ни 580 рядом в продаже не было. Однако… вчера из ДНС «написали»: «вы ASUS RX 580 8G интересовались? проверьте тут». Перешел по линку — доступна карта для предзаказа. За 25 дней (жесть блин). Всего 25990р. Заказал. Получил уведомление, что предзаказ подтвержден. А через буквально минут 20-30 уже и не было этой странички — все, что было, по предзаказам разобрали. Дикий ажиотаж.

                                                                              Про Vega я конечно же знаю. Но как-то не шибко верится, что тут смогу в обозримом будущем достать. Да и 580 ну просто за глаза. Не майнить же (удивительно блин, наверное, ибо что не 580 — обязательно шахтер).
                                                                                0
                                                                                Вот же ж ирония судьбы — когда я в игры играл днями напролёт, круче GTX 560 ничего у меня не было в компе, даже в мыслях не было покупать топовые видюхи. )))
                                                                                  0
                                                                                  Ну я как бы IT-QA-Engeener. Работаю довольно много. По средствам не шибко бедствую. Дома так же мощная рабочая станция. Но блин, когда есть возможность, почему бы и не поиграть в градостроительный симулятор на cinematic-уровне?
                                                                                  Смущенно смотрю на себя со стороны — блин, взрослый ребенок, жуть же!
                                                                                    0
                                                                                    Не поверите, в рабочем ноутбуке до сих пор стоит 560m и до сих пор хватает нормально.
                                                                                      0
                                                                                      Ну тут так же надо понимать и то, что:
                                                                                      — Ноутбук далеко не предел производительности
                                                                                      — значит и задачи далеко не предельные

                                                                                      А когда бывает нужно и с фотошопом поработать, да и большие мониторы используются (стац же). Короче говоря, хорошая видеокарта (хотя бы та же моя текуще-старая R9 280X) лишней не бывает. Как бонус — поиграть (стац же).
                                                                        0
                                                                        Переходите на темную сторону, заодно и карточка себя отработает.
                                                                          0
                                                                          Перехожу. )))
                                                                          Кстати, не факт, что она тёмная.))
                                                                      0
                                                                      К сожалению URL blacklist подход (Umbrella, CWS) тут не работает. Использование HTTPS делает сетевые СЗИ (FireSIGHT, FirePOWER) бесполезными. AMP for Endpoints генерирует такое количетсво событий, что в них легко утонуть. => ни одна тулза вас не спасет если прослойка между консолью СЗИ и стулом кривая )
                                                                        +1
                                                                        Черные списки — вполне себе вариант для ИЗВЕСТНЫХ майнеров/доменов.
                                                                        HTTPS решается либо путем легального MITM (в Firepower и WSA есть такая функция), либо путем применения ETA (encrypted traffic analytics). И в статье упомянуто, что наличие шифрование тоже может стать триггером для расследования.
                                                                        AMP4E настраивается :-) Нужно комплексное решение — серебряной пули нет.
                                                                        А итоговый вывод верен :-)
                                                                        +2
                                                                        В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети?

                                                                        Если вы не можете их обнаружить по трафику, скачам электроэнергии и куче другой подозрительной активности — стоит ли беспокоиться?
                                                                          0
                                                                          Статья как раз и описывает как обнаружить. Теперь дело за заказчиками :-)
                                                                            0
                                                                            Ещё раз — если люди сами не видят аномалий — стоит ли беспокоиться, похоже что проблем нет.
                                                                              0
                                                                              Статья о том, как увидеть эти аномалии (не все знают). А дальше каждый решает для себя. А проблема есть, если задают вопросы. Кто не задает, тому и неактуально.
                                                                                0
                                                                                Ну то есть до прочтения статьи никаких проблем небыло, и нужно прочитать чтоб понять «ого, оказывается есть проблемы».
                                                                                  0
                                                                                  Параноидальные люди всегда были и будут. С одной стороны параноидальность — хорошо, с другой — не всегда.
                                                                                    0
                                                                                    У кого-то было — для них статья.
                                                                                    У кого не было — просто держать в голове, что можно и помониторить.
                                                                            +1
                                                                            И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ.

                                                                            Я так понимаю, что это откуда из газет взято? Просто очень интересно как скачки напряжения дошли до ФСБ? Они и это уже мониторят? :)
                                                                            В остальном же, если всё сделано по стандарту, УВД никаким боком пострадать не может: батареи и дизель стоят наготове и часто проверяются. В ШРМ была иная ситуация, когда два или три раза на дню питающий фидер рубили ремонтники. Аэропорт уходил на резервное питание. УВД как работало, так и работало, ничего не замечая.
                                                                              0
                                                                              Резервное питание не отменяет необходимости держать основное под контролем. И всё-же пострадать может, только вероятность этого события достаточно мала. Зачем же сознательно лишний раз подвергаться риску и повышать эту вероятность?
                                                                                0
                                                                                Держать под контролем что? Если есть перебои питания, то, конечно, надо разбираться с этим, но, думаю, что электрик вряд ли поймёт, что здесь стоит «майнер» на обычном компьютере, так как потребление не выше заявленного.
                                                                                  0
                                                                                  Ну возможно майнера определили ПОСЛЕ того, как пришла ФСБ. Мы же не знаем деталей
                                                                                    0
                                                                                    Вариант ПОСЛЕ — это полная Х — ибо под *после* можно подвести вообще все.
                                                                                    Пасаны у нас тут шубохранилище много энергии жрет на обогрев!
                                                                                    Тсссс, ща скажем что тут админ майнит, биткоин в моде — зохавают.
                                                                                    0
                                                                                    Под контролем — в смысле обеспечивать безаварийность. Электрик конечно не поймёт — это не его дело, поэтому этим занимается ФСБ которое проверяет всякого рода аномалии и т.д. что-то мне подсказывает что у них есть и свой «электрик» и аналитики, и множество смежных специалистов способных выявить аномалии подобного рода. Скорей всего вышли на скачки напряжения с другой стороны — сначала обнаружили аномальное поведение серверов, потом подсчитали нагрузку на электросеть и сделали выводы что это повышает вероятность аварии связанной с работой аэропорта до неприемлемой величины. А дальше журналисты заголовки штампуют…
                                                                                0
                                                                                Всё же компания Cisco могла бы и создать отдельную категорию «mining» в сервисе Cisco Umbrella (и заодно для Firepower-продуктов). Кто же, как не Cisco, «контроль всея DNS-а» :), может иметь и поддерживать в актуальном состоянии список майнинговых доменов ??? На вас вся надежда!
                                                                                  –1
                                                                                  Могла бы. Может и создадим. Но все-таки — это не угроза ИБ в классическом понимании.
                                                                                    +1
                                                                                    Держать HoneyPot — ловить туда свежих майнеров, разбирать их сигнатуры поведения и добавлять в базу. Но этим кто-то должен заниматься, и получать зарплату… а за чей счет?
                                                                                      –1
                                                                                      У нас 250 человек этим занимается :-) Но в первую очередь они ловят и классифицируют то, что вредоносно.
                                                                                        0
                                                                                        Alexeyslav — полностью согласна!
                                                                                      +1
                                                                                      “Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.

                                                                                      Разве нормальный подход к обеспечению безопасности коммуникаций должен вызывать подозрения? В моей картине мира все наоборот.
                                                                                        0
                                                                                        Нормальный подход заключается в том, что вы должны знать, что у вас в сети нормально, а что нет. Если пользователю не нужен шифрованный трафик, то это триггер. А если нужен, то надо понимать для каких протоколов/приложений. Все остальное — аномалия.
                                                                                        +1
                                                                                        Скоро в вакансиях для сисадминов будут добавлять преференцию — разрешаем майнить на компах фирмы в разумных пределах.
                                                                                          0
                                                                                          При условии разделения прибыли пополам :-)
                                                                                            0
                                                                                            Это щедрость. Поидее результат труда на компьютерах работодателя должен полностью принадлежать работодателю.
                                                                                              0
                                                                                              Смех смехом, а мне сегодня начальство заявило, что пора бы уже и майнингом заняться — хотят, чтобы ферму в офисе собрал.
                                                                                              0
                                                                                              Для тридешников уже давно пишут — «Чур не майнить»
                                                                                              Потому что моделлерам и визуализаторам все равно нужны видяхи.
                                                                                              И чем лучше видяха, тем быстрее работа делается.
                                                                                              Только вот с другой стороны «продвинутые люди» могут дополнительное бабло себе зарабатывать.
                                                                                              А это владельцам-жлобам очень не нравится.
                                                                                              PS. представляю как живется людям типа Amazon, Microsoft, Weta Digital… :)))
                                                                                              Кстати, на момент выхода фильма Аватар Weta имела самую большую рендер-ферму для создания спецэффектов, машин там тысячи.
                                                                                              А ведь делают Аватар2 мощностей для которого нужно еще больше!
                                                                                              +2
                                                                                              То есть когда все эти же люди десятилетиями запускали на корпоративных машинах всякие Seti@home и прочие FoldingHome всем было пофигу, а как майнинг так сразу стало непофигу? Не поделились что ли с кем-то? )
                                                                                                +1
                                                                                                Ответ простой — некоторые компании подсуетились и на волне майнинг-хайпа проталкивают новые продукты.
                                                                                                  0
                                                                                                  И такое есть. Но в нашем случае, уже существующие продукты позволяют ловить что-то новое
                                                                                                  0
                                                                                                  Это не носило такого массового характера, так как народ не зарабатывал на этом. И вредоносов, ищущих внеземные цивилизации, я тоже что-то не припомню :-)
                                                                                                  +1
                                                                                                  Хорошая мысль, выпускать ASIC в дизайне чайника. Надо подсказать китайским товарищам…
                                                                                                    +1
                                                                                                    wi-fi чайникам уже приделывают, за малым делом осталось.
                                                                                                      +1
                                                                                                      Да, вот, например, кофе-машины, будут в свободное время майнить, а 250 специалистов будут трафик перехватывать.
                                                                                                    +3
                                                                                                    “Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.


                                                                                                    Даешь по расследованию на каждую HTTPS сессию!
                                                                                                      0
                                                                                                      Хорошая статья, спасибо. Небольшое уточнение

                                                                                                      как обнаружить майнера у себя на компьютере, то обычно все рекомендации сводятся к одной основной — обращать внимание на тормознутость своего ПК, что определяется по ощущениям или с помощью визуального анализа планировщика задач (Task manager в Windows или Activity monitor в MacOS)

                                                                                                      Вирусописатели в массе не дураки (и рекомендации экспертов читают) и не хотят, чтобы пользователь обеспокоился и полез все проверять (хотя наглые конечно есть, вчера чтоли была новость от Касперского о факте вздутия батареи смартфона в ходе исследования майнера). Поэтому многие майнеры не наглеют и не потребляют все ресурсы. Ну и есть майнеры, которые не показывают себя в списке задач.
                                                                                                      Так что отсутствие майнера в списке задач — не показатель его отсутствия на машине
                                                                                                        0
                                                                                                        А его присутствие не означает, что вынос майнера удалит его. Есть майнеры, которые запускают по два процесса, следующих друг за другом
                                                                                                          0
                                                                                                          Вполне логично появление комплекса, в котором перезапускается процесс майнера после его убивания
                                                                                                        +1
                                                                                                        Ого! Им там что, топовые видюхи ставят? Наверное 1080, не ниже. Ну и десяток таких карт по нагрузке как один чайник. Включил чайник — приехало ФСБ. Майнинг на ноутбуках, — смешно, чего уж не на смартфонах)
                                                                                                          +1
                                                                                                          Хочу дополнить методику обнаружения некоторыми своими наблюдениями.

                                                                                                          1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.

                                                                                                          2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.

                                                                                                          3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)

                                                                                                          4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.

                                                                                                          В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
                                                                                                          Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
                                                                                                            0
                                                                                                            Если Cisco так умеет все ловить, почему она не среди лидеров квадратом Gartner?
                                                                                                              0
                                                                                                              Кто-то работает и является №1 в мире ИБ по объему продаж, а кто-то стремится в квадрат. Вы, кстати, про какой из них говорите?
                                                                                                              0
                                                                                                              Как таких особо инициативных снифферов обойти? (простой способ, всякие MITM и глубокий анализ трафика кнечно не не выдержит)
                                                                                                              Берем сервак, на нем устанавливаем транслятор (и дешифратор) трафика на пулл. Там где майнер стоит прописываем ему айпишник этого сервака и шифруем трафик. Profit.
                                                                                                              Если вы рил крутой манер, то есть не используете не пулл, то тут понятно. Делаете форк в блокчейне, майшине блок локально и отсылаете. Тут не часто отсылать надо.
                                                                                                                0
                                                                                                                «Берем сервак»… Левый сервак, во-первых, будет отслежен, а во-вторых, даже к порту свитча не сможет подключиться при наличии системы защиты
                                                                                                                  0
                                                                                                                  ну это понятно. я чисто про сниффер писал. не везде же прям все закрыто… некоторым нужно чтоб работал весь интернет
                                                                                                                +1
                                                                                                                итого имеем: ФСБ залетело на огонек, потому что кто то стуканул, что вася пупкин админ что то ваяет в комнатушке для швабр (тут варианты можно свои предлагать, зачем ФСБэшникам залетать на огонек… не исключено, что в отделах начали включать обогреватели, в результате чего срабатывают автоматы… электрики, безопасники и пр. пишут рапорта, а вот ФСБ обязано проверять). Далее админ вася пупкин попадается в результате этого кипиша и шмона и чтобы замять ситуацию — его делают стрелочником, хотя непонятно, как аэропорт может пострадать от майнинга?! я молчу про то, что системы дублируются и даже, как заметили выше — сравняют его с землей, все борта уведут на запасные… дело в другом, если чайник, микроволновка и лампочка освещения дают просадку — ээээ, вы уверены, что ИТ служба крайняя? я не одобряю использование корпоративных мощностей в личных целях, но кажется мне: или тут ПиаР чистой воды бравых разведчиков и супер-пупер программ от СИСЬКИ или история высосана из пальца! а по поводу как найти крысу внутри сети, могу сказать так: какие бы вы не вешали замки и не строили высокие заборы с стороны отделов ИТ и ИБ — пока сотрудник не распишется, что в случае, например майнинга — его сразу же уволят без выплат, компенсаций и плюс к всему он еще заплатит штраф в размере своей ЗП — барьеры не будут работать, а вся аналитика сведется к борьбе с ветряными мельницами!!!
                                                                                                                  0
                                                                                                                  Только не nicecash, а nicehash
                                                                                                                    0
                                                                                                                    Упс. Описался. Спасибо
                                                                                                                    +1

                                                                                                                    Я думаю, для начала нужно понять, с чем именно боремся. И применять соответствующие средства.


                                                                                                                    • С запуском неразрешенного софта? вайтлистим екзешники
                                                                                                                    • С запуском запрещенного софта? блэклистим екзешники
                                                                                                                    • С расходом электричества и износом железа? мониторим загрузцу cpu/gpu, особенно в нерабочее время
                                                                                                                    • С сопутствующим вредоносным софтом? А вот это уже давно отработано.
                                                                                                                    • С людьми, которые имеют наглость наживаться за счет компании? Вот с людьми бороться сложнее всего.
                                                                                                                      0
                                                                                                                      Не везде можно WL/BL использовать. Поэтому анализ сетевого трафика зачастую является более ценным источником данных, чем активность на хосте
                                                                                                                        0
                                                                                                                        Сдается мне, что конкретно данный пример — аэропорт -в силу специфики работы- как раз то место где весь софт может быть завайтлистен…

                                                                                                                        До жути интересно, как таки парня взяли и на чем он погорел..))
                                                                                                                          0
                                                                                                                          На самом деле современный аэропорт как раз в худшую сторону отличается от обычной корпоративной сети. Куча арендаторов со своими подсетками и сегментами, хотспоты, управление полетами, офисная сеть и т.п. Там сложно вайтлистить
                                                                                                                            0
                                                                                                                            Мне кажется, что вы смешиваете в один котёл всё, что должно быть разделено и, скорее всего, всё и разделено по сегментам: логическим и физическим.
                                                                                                                              0
                                                                                                                              Логическим да. Физическим — не всегда. Отсюда и многие проблемы
                                                                                                                                0
                                                                                                                                Угу, навтыкают всяких дешёвых свитчей и удивляешься логам… :)
                                                                                                                      0
                                                                                                                      Лучше бы ФСБ занались не криптовалютами, а криптовальщиками. Не программами, а людьми, которые пишут и продают.
                                                                                                                        0
                                                                                                                        Сисадмин аэропорта «Внуково» майнил криптовалюту на рабочем мест

                                                                                                                        Жадность фермера сгубила (с)

                                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                        Самое читаемое