Комментарии 304
Так ИТ-команда уже хорошо поработала над минимизацией рисков выполнения производственного плана полётов. Риск выполнить план теперь очень низкий.
опять шифровальщик?
Судя по скриншотам, получили доступ к учетке админа AD и понеслось
Еще учитывая, что пароли к системам, находящимся за пределами AD, хранили в текстовых файлах, а не в vault за хардварными токенами, то задача в разы облегчилась
Еще учитывая, что пароли к системам, находящимся за пределами AD, хранили в текстовых файлах, а не в vault за хардварными токенами, то задача в разы облегчилась
Еще учитывая, что пароли к системам, находящимся за пределами AD, хранили в текстовых файлах, а не в vault за хардварными токенами, то задача в разы облегчилась
Еще учитывая, что пароли к системам, находящимся за пределами AD, хранили в текстовых файлах, а не в vault за хардварными токенами, то задача в разы облегчилась
Что-то у хабра совсем разломался редактор на мобилках
Ну надо же... какая неожиданность... А вы, у ваших поставщиков разных систем безопасности, поспрашивайте, у них очень матёрые спецы есть, вы их задействуйте и они вам на раз всё быстро исправят. Там ассы, лучшие в мире, даже не сомневайтесь. Быстрее, звоните им. ;-)
Ну, право слово, сам 20+ лет назад пытался эту (смежную, но очень близкую) тему грызть - больше всего головняка от военпредов было, при чём докапывались не до логики, а исключительно до оформления документации, из-за чего разработке логики отводилось от силы 20% ресурсов...
После того как в одном комплексе шифрования (сертифицированная криптография однако) увидел что в трафике (TCP/IP+...не буду говорить что, но из 70-х) передается "секретный" пароль "закрытый" по XOR циклически одним (!) константным(!) байтом, я ничему не удивляюсь.
И документация (формуляры...) в классическом "военно бюрократическом" исполнении.
Где целый раздел посвящен правилам безопасного хранения использования этого "пароля".
Хоть в pdf, но так и всплывает в голове образ "синьки" (если кто еще помнит что это)
В pdf включено было описание API, которое не вытаскиваемоев из pdf и.. В общем классика такой "докумиентации". Ругался/смеялся и плакал. Но сертифицированая гадость. Только ее и ни ни другое.
А еще автор не постеснялся свое имя в заголовки *.h вставить :)
передается "секретный" пароль "закрытый" по XOR циклически одним (!) константным(!) байтом
В одном проекте безопасники докопались до способа хранения пароля для шифрования соединения. Пришлось убрать пароль, вместе с шифрованием, это их устроило
Справедливости ради, знать, что твое соединение небезопасно, обычно намного лучше, чем думать, что оно защищено корректно.
А вот с моей (противоположной) стороны, на практике, а не в теории, если я вижу открытый текст в передаче - я просто начинаю с ним работать (сохранять, изменять). Если там хотя бы минимальное шифрование - это сразу перестает быть низко висящим фруктом, мне еще надо понять, это тупой xor который я легко смогу даже сам взломать или какой-нибудь "настоящий" взрослый алгоритм шифрования.
Ресурсы взломщика тоже не бесконечные, он не будет максимально давить по всем фронтам, часто даже минимальный "оберег" - уже достаточен, чтобы отпугнуть.
Классика же:
Комиссия:
-- Так, записываете недостатки: пожарное ведро ржавое - раз, не покрашено - два, протекает - три, ручка не держится - четыре..
Начальник хватает пожарное ведро, выбрасывает его через забор конторы.
-- Так, записывайте недостатки: нет пожарного ведра - один.
кстати о бекапах. сам думал - идеальный бекап только на физических носителях которые лично выдергиваешь физически проводом.. потому что программно - может отключит, а может не отключит, а может есть дыра позволяющая включить удаленно и все там снести.
но в малой фирме не проблема пробежаться по серверам ножками с внешним диском и туда покопировать. а когда есть 7к точек по всей стране....
может вот это и есть проблема, почему оказывается что бекапов у гигантов нет( недавно вон иишка снесла зарубежной фирме все их базы данных
почему оказывается что бекапов у гигантов нет
недавно вон иишка снесла зарубежной фирме все их базы данных
Та фирма вроде не была гигантом
почему оказывается что бекапов у гигантов нет
Потому что чем больше контора, тем дороже бекапы.
И тем больше "эффективных" менеджеров которые "да ничо не буууудет, я сто раз так делал!"
А регламент резервного копирования у вас есть? А журнал учета отчуждаемых носителей? А журнал проверки восстановления из резервных копий? А журнал учета заданий резервного копирования? А закрывающийся на ключ металлический шкаф для хранения журналов? А? А?
Электронный журнал
Если система очень большая, то "проверить восстановление из резервных копий" невозможно потому что или нет достаточно ресурсов (попробуй восстанови бэкап на 2-10 ТБ) или времени, пока база в процессе восстановления - нужно успевать писать уже новый бэкап, а старый становится неактуальным. А если базы меньше, но их очень много, то проблема может быть в их согласованности, так как бэкапы не одновременно создаются.
Блокчейн в помощь. Да, избыточно. А что делать
А чем он тут поможет, кроме того, что накладные расходы ещё больше вырастут?
Смотрите, не все офисы Аэрофлота встали... дальше продолжать? И точно эти накладные расходы превысили бы хотя бы процент от того убытка, который сейчас ?
Конечно, продолжайте!
Куда вы предлагаете впихнуть блокчейн? Адовое количество транзакицй в секунду не в SQL базу данных, а в блокчейн записывать?
Если да, то в чем преимущество по сравнению с "простым" иметь пол дюжины синхронизированных баз данных по всей стране и писать одновременно во все?
Смотрите, не все офисы Аэрофлота встали... дальше продолжать?
Конечно, продолжайте. Мне правда совсем непонятно, почему вытертый с диска блокчейн может лучше сохранить данные, чем вытертая с диска классическая база данных.
И точно эти накладные расходы превысили бы хотя бы процент от того убытка, который сейчас ?
Кратное увеличение расходов на ИТ-инфраструктуру в течении многих лет, в сравнении с убытками от простоя в течении недели? Не факт, что первое будет дешевле, вполне вероятно, что даже дороже. И платить за первое будут непосредственно пассажиры.
На первый вопрос есть ответ:
Если злодей сидит в системе достаточно давно - он может потихоньку гадить в периодические бекапы, которые стирать вовсе не нужно - просто в них будет мусор, который перезапишет предыдущие сохранения на всю глубину архива (а он не бесконечный).
Блокчейн теоретически может сохранить информацию на разнесенных нодах, и не даст ее перезаписать в прошлом.
Другой вопрос в скорости работы всего этого, и обьемах хранения данных.
Если злодей сидит в системе достаточно давно - он может потихоньку гадить в периодические бекапы
Если он уже в сети, собрать информацию о нодах блокчейна и их все повредить, это задача такого же уровня сложности, как и нагадить в бэкапы. Где-то целостность бэкапов проверяется, и там об их повреждении узнают раньше, где-то не проверяется. С блокчейном та же фигня. Чтобы убедиться, что его исторические блоки сохраняют свою целостность, периодически должна запускаться процедура валидации всего блокчейна.
для этого блокчейна придётся хранить все данные на всех устройствах конечных пользователей, иначе это не блокчейн а оверинжениринг
10 Тб не так много. Старый бэкап актуален ровно на дату создания, на точное время создания, восстановление бэкапа конечно на дату создания будет. Новые данные будут потеряны и их нужно внести заново, иначе ни как. Если данные обновлять непрерывно, это опасно, так как если внести мусор в БД, откатить не получится, так как есть только новая БД, тут нужны именно бэкапы на момент создания.
Соглашусь что в такой большой системе много организационных вопросов, тестировать систему с откатом состояния особо не дадут.
Если даже бекапы есть, и они оказали не пораженными (например, на DLT лентах), то вопрос во времени сохранения бекапа. Если они сидели там год, то год как система была скомпрометирована. Значит, злоумышленники могут все повторить (если не пограничные устройства были скомпрометированы). А на год откатываться (если у них есть бекапы за год) - такой себе удовольствие
Та фирма была энтузиастом вайбкодинга без признаков собственного мозга.
В некоторых источниках пишут что бэкапы тоже пострадали.
наверняка есть.
просто поднять кучу взаимоувязанных систем, каждая из которых бекапится по своему - тоже боольшое веселье: там же дельта в данных будет.
Если им грохнули все базы, там и с бекапами веселья - врагу не пожелаешь ...
Так то в статье написано, что атака продолжалась год, т.е. все бэкапы скомпроментированы. А еще, для расследования навернчка нельзя так быстро освободить червера, иначе можно упустить что-то и наступить на ту же граблю еще раз, что будни хуже простоя
В тг-каналах пишут такое:
«Аэрофлот» взломали хакеры — группировка Silent Crow заявила, что полностью уничтожила внутреннюю ИТ-инфраструктуру компании.
Хакеры утверждают, что операция длилась год и им удалось снести около 7000 серверов.
Хакеры вытащили 12 ТБ баз данных, корпоративную почту, записи разговоров, доступ к компьютерам топ-менеджеров и системе наблюдения за сотрудниками.
вот тоже интересно на сколько это правда
Ну СДЭК тоже уничтожали АБСОЛЮТНО и БЕСПОВОРОТНО, но в результате вроде как всё достаточно быстро (относительно угроз) воскресло. Плюс 12ТБ звучит как непонятно откуда взявшаяся цифра.
СДЭК неделю не функционировал, если память не изменяет. А потом начал понемногу восстанавливаться с потерей каких-то данных, но завелся. А тут у людей перелеты, отпуска и т.д.
СДЭК некоторые данные восстанавливал всеми доступными способами, в том числе и парсингом собственных сообщений - косяков там было море. Каждый, кто желал получить свою посылку, имел возможность поиграть в детектива и поучаствовать в сборе улик. Только на посылке есть лейбл, который является физическим подтверждением корректности восстановления данных. Как подобными методами восстанавливать то, что существовало только в виде набора транзакций (например, бронирование билетов) - не очень понятно.
Ну я к тому же, что масштаб несколько иной. Да как минимум люди сегодня-завтра двигают в аэропорт, потому что за полгода впереди куплен был билет, забронирован отель и т.д. И в аэропорте они узнают горькую правду. Это не тоже самое, что не получить посылку в какой-то день, пусть даже очень ценную и важную. Вещь все равно осталась, ее вручат, но с задержкой. А вот отпуск, бронь, сделку так не перенести. Они всегда привязаны к конкретным датам.
в целом, конечно согласен с вашим комментарием, но с этим:
Это не тоже самое, что не получить посылку в какой-то день, пусть даже очень ценную и важную. Вещь все равно осталась, ее вручат, но с задержкой.
пожалуй, не соглашусь. У меня в практике был случай, когда оборудование, отправленное ТК с солидным запасом по времени, не попало на дальнейший транзит в последний рейс навигации и опоздание на пару дней привело к полугодовой задержке по договору. Понятно, что в общей массе таких случаев будет бесконечно мало, в отличие от проблем, которые огребут пассажиры рейса, но всё же.
Понятно, что в общей массе таких случаев будет бесконечно мало
Ну, это прямо скажем, совершенно маргинальный случай - безусловно реальный и наверняка далеко не единичный, но слишком уж редкий статистически и узко ограниченный условиями, в которых в принципе может возникнуть. Большинство с таким не столкнутся никогда, потому что значимое число жителей крайнего севера (Канада, США) живут в условиях относительно регулярных авиасообщений и не полагаются по сути исключительно на сезонную навигацию, а для регионов с другим климатом такой проблемы не существует в принципе. Разве что ваш объект транспортировки в силу габаритов и веса не поддавался перевозке авиатранспортом никаким разумным способом, тогда действительно ничего нельзя сделать.
в силу габаритов и веса
в силу наличия аккумуляторов ёмкостью, исключающей перевозку в авиационном багаже не за стоимость, делающую весь многомилионный проект нерентабельным
значимое число жителей крайнего севера (Канада, США)
это, кстати, не крайний север был, а районы, приравненные к нему. просто в какой-то момент дороги там превращаются в непроходимые болота, а в вертолёт такую штуку легально не запихать
Все так. Сроки для доставки важный показатель, а где-то даже критический, где требуется соблюдение сроков. Например заявки для торгов, раньше принимались на бумаге и нужно было подать точно до времени Х. Да и СДЕКом пользуется бизнес для реализации товаров, и это все издержки и штрафы, поэтому да, для кого-то недельный простой курьерский это убытки на большие суммы. Но я к тому, что все же разница есть. У билетов всегда важна дата и нарушение этих сроков гарантирует проблемы и издержки — сорванные переговоры, отпуска и прочие планы, а в случае почты — это критично лишь для какой-то части клиентов, пусть даже и немалой, но точно не для всех сразу.
Как подобными методами восстанавливать то, что существовало только в виде набора транзакций (например, бронирование билетов) - не очень понятно.
Через посредников (типа Авиасейлс), из почты (например, обратиться к Яндексу с просьбой вытащить бронирования из Яндекс-почты).
(например, бронирование билетов)
Так же как в сдековских квитках. Смотреть в исходящих почтового сервера. Потом на входящих у клиентов.
Скачанные билеты в формате PDF
Билет же на почту присылается, у письма должна быть DKIM подпись. Попросить пассажиров прислать письма с билетами, по ним можно восстановить.
а с чем сверять-то DKIM, если архив почтового сервера теперь только у хакеров?
Не нужен тут никакой архив, достаточно открытого ключа DKIM подписи. Пассажир представляет письмо с билетом и DKIM подписью. Подпись проверяется открытым ключом и если она валида, значит билет достоверен и данные из него можно загрузить в систему. Билеты же по типовому шаблону оформлены, значит не должно быть проблемой из него все реквизиты извлечь.
т.е. вы предлагаете доверять закрытому ключу, который, по заявлению хакеров, был скомпрометирован в промежуток времени длительностью до года?
А где писали что закрытый ключ утащили ? По нормальному такие вещи находятся на аппаратном носителе или отдельном компьютере, который имеет только функцию "выполнить действие с ключом", но не имеет функции "выдать ключ".
А как можно в здравом уме предположить обратное, если скомпрометированы и гипервизоры и виртуалки всей инфраструктуры, включая "святая святых" безопасников в виде DLP и внутренней прослушки / записи переговоров. Когда у меня в университете был курс инфобеза, одним из постулатов был: "любой канал связи считается открытым, пока не доказано обратное, любая система считается незащищенной, пока не доказано обратное". Это звалось презумпцией незащищенности информационной системы. Уверен, что такие вещи не поменялись за последние годы.
Плюс еще можно для каждого такого билета делать валидацию по логам платежного шлюза/банка, что в указанный момент времени кто-то оплатил указанную сумму.
По идее, на перелёты по расписанию это не должно особо влиять, самолёту не нужны сервисы аэрофлота, как и аэропорту, чтобы полететь, а билеты можно проверить руками, и даже выписать
Другой вопрос, почему была спроектирована такая зависимость которая приводит к нынешним отменам полетов
Важно знать число свободных мест на рейсе, чтобы их можно было продавать. Т.е. в самолете 200 мест, но неизвестно, сколько продано, значит непонятно, сколько можно продавать еще. Не продавать на уже объявленные к продаже рейсы вообще - явно не вариант, т.к. продавали их как минимум на несколько месяцев вперед.
Но ведь это не мешает самолету, который вылетает через два часа иди даже день, там уже все или почти все билеты проданы, а им зачем-то отменили вылеты, когда уже все пассажиры сидят в терминале
Которые сидят в терминале отменили, например, потому что терминал привык что данные на пассажиров должны к ним из базы поступить, и не способен за короткое время полностью перестроиться на ввод вручную.
Там же все по времени расписано - прилеты, вылеты, погрузка выгрузка багажа, рабочее время экипажей, работа наземного транспорта и служб обслуживания самолетов. Плюс еще вообще полеты из за БПЛА приостанавливают. 1-2 рейса как-то можно задержать и в ручном режиме обработать, но не 10-20.
Самолёт не маршрутка, "как набилась - поехали". Экипажу нужен список пассажиров с конкретными местами (всякие центровки считать, топливо и т.п.), список багажа, план полёта, погоду, карты и т.п. Всё это давно в планшетиках электрицифрировано. Билеты это капля в море.
насколько я помню, СДЭК не хакеры пинали, а чьи-то кривые руки
Ну так и аэрофлот восстановится - новые билеты, новые бронивания, самолеты и маршруты опять заведут в базу. Сам софт и железно никуда не делись. Просто это все займет время.
если был доступ к iLo то можно было залить вместо BIOS и firmware мусор и железо превратиться именно в жезело. и многие такие девайсы без программаторов невозможно будет восстановить.
Для авиакомпании время критичнее. Собственно время рейса - один из основных его параметров, если его не соблюсти, рейс ценность для клиента теряет. С посылками тоже возможно, но сильно реже, там контент важнее.
В итоге на возвраты и компенсации, возможно - суды сильно больше денег уйдёт.
С третьей стороны самолёт на земле хотя бы топливо не тратит...
Угу. Только если я правильно помню, у самолётов стоянка не особо предусмотрена. Аэропорты это же отдельные от авиакомпаний сущности (даже не смотря на то, что шереметьево частично принадлежит аэрофлоту). Т.е даже если самолёт не тратит топливо, не платит узловому аэропорту и аэропортам назначения, он создаёт финансовую нагрузку и его простой просто не выгоден никому
а нельзя эти самолеты временно отдать другой авиакомпании чтобы не простаивали?
Это тоже бизнес-процесс, требующий кучи телодвижений - как практических, так и чисто согласовательных. Если там ЭДО, скажем, сломано, то процесс этот затянется надолго.
А что другая авиакомпания будет с ними делать? У любой авиакомпании есть полетное расписание, которое подогнано под собственный флот. Она не может взять и добавить к нему новые рейсы. Вероятно только чартерные рейсы можно поручить другой компании вместе с самолетами.
У любой авиакомпании есть полетное расписание, которое подогнано под собственный флот.
Они его в обычной повседневной работе перестраивают постоянно в режиме онлайн, по необходимости. Флот-то не статичен, там всегда происходят изменения, где-то погодные условия меняются, где-то неисправности. Открыть новые рейсы вот просто так не могут, но могут поработать на рейсах других авиакомпаний, например.
А если само понятие "этот самолёт" было определено в потерянной базе?
там уже в каждом самолёте вирус, если отдать их другой компании то они тоже заразятся :D:D
Конечно, даже простой денег стоит. Но он всё-таки сильно дешевле полёта, и на круг убытки за день без продаж и без полётов будут меньше.
АК платит "за бетон" у каждого своего воздушного судна. Прям вот да, как обычный платный паркинг.
Компенсации в стиле аэрофлота нормальной авиакомпании - получите ваучер в кассе, использовать ваучер можно тоже только в кассе, в течение года что ли, с ценой Х от цены на сайте. Плюс за год ваучер выцветает до нечитаемого, но это уже мелочи.
В ковид было именно так с эрофлотом.
в Ковид - возможно, но за мартовский отмененный рейс в Европу в 22м году вернули в течение недели ЕМНИП полностью.
В прошлом году была задержка вылета ночного рейса на два часа — выдали воду и талон на питание в аэропорту. Поел. Через час аэропорт закрыли полностью (работало ПВО), разместили на 5 часов в гостинице до утра, обеспечили трансфер туда, завтрак в гостинице и трансфер обратно.
Аэрофлот, внутренний рейс, аэропорт Гумрак (ныне Сталинград), осень 2024.
Могут работать и так.
PS Я что-то чувствовал, поэтому купил страховку, без проблем получил и её, без подачи документов пришла ссылка в смс о наступившем страховом случае.
Скорее всего это объём баз данных в т.ч. и почты
Ни насколько. Хакерам это нафик не надо. Silent Crew - это т.н. "кибервойска". Трампуша попросил, взяли под козырёк и обвалили. Чтобы знали кто здесь главный. Это никак не может повлиять на поставки титана аирбасу, например. Абсолютно безопасно: сегодня аэрофлот, завтра ЦБ, виноваты - хакеры, а их пойди найди (особенно когда известно где искать). Скандалы-интриги-расследования-невидимые бойцы даркнета)))
Резервные копии:
- должны просто быть в наличии;
- одна - оффлайн;
- и все - регулярно проверяемые (что там реально сохраненные данные, а не шифрованный мусор).
CDEK подтвердит, что это важно.
А вы давно проверяли свои бэкапы? 😉
Винлаб так и не работает. Думаю именно Винлаб очень даже подтвердит.
Хотя удивительно - вроде не самая мелкая контора. Неужели нельзя потратить некоторое время - провести инвентаризацию всех серверов, баз данных, сделать план аварийного восстановления и работать с его учетом.
Да, это трудозатраты - но зато потом можно спать спокойно ;)
Да, это трудозатраты - но зато потом можно спать спокойно ;)
Просто это обычно фиг объяснишь "бизнесу", у бизнеса (особенно в условиях отечественного инвестиционного климата) другие задачи -- минимизировать расходы, а тратить деньги на какие-то там потенциальные риски бизнес убедить сложно, тем более когда "20 лет уже работает так как сейчас, и ничего не случилось". А уж у Аэрофлота это определенно была не самая приоритетная из проблем, с учетом того, что сейчас флот в нормальном режиме без поиска обходных путей обслуживать невозможно.
бизнесу как раз все можно объяснить - если это реально.
А когда у тебя несколько тысяч точек по всей стране (а может и за ней)... ну вот 7к точек. нужно нанять 7к студентов на дошираке (один сисадмин всю страну за смену не облетит), чтобы они каждый день бегали и физически снимали бекапы на внешний носитель (любой онлайновый или даже просто втыкнутый проводом выносится хакерами в первую очередь)
каждому выдавать минимальную зп по региону - уже от 420'000'000 в месяц. И это на студентов. которые конечно же понаставят 123 пароли, бекапы будут делать от балды, да еще ходить по сомнительным сайтам. Да и вообще сейчас их нельзя. там в 2023 году постановление вышло, что на критически важную инфраструктуру (при этом такой назвали буквально все) можно нанимать только дипломированных спецов с нужной профой.
то есть надо умножать расход на пять или десять.
онлайн носители хакеры снесут
централизовать в одном месте и оттуда переливать на физические носители - это какая будет нагрузка? . ботлнек как бы. по расписанию распределить? значит потеря данных при потере точки.
это в маленькой коморке можно хоть каждый час делать бекапы.
Не обязательно же ручками вытыкать, неужели не придумали какие-нибудь сата-девайсы, у которых связь рвется на уровне железа (например, через реле или транзисторы), и включается по независимой, железной линии (например, четко по таймеру, и только на дозапись, без возможности удаления или перезаписи)? Раз в день включился таймер, хард подключился, данные слились, таймер диск отрезал. И отдельный простенький сервак, который раз в N месяцев трет предыдущие бекапы, и при этом находится в оффлайне?
Правда, если идет речь про год - то у них было достаточно времени и бекапы испортить, и таймеров дождаться и т.д.
Вряд ли имеет смысл так фокусироваться на проблеме физического отключения, когда существует множество других угроз. В нынешних реалиях хорошо бы принять во внимание риски, что и сотрудник может зайти завербованный и железную ту кнопку нажать, и сверху что-то по датацентру прилетит. Тогда даже физически отключенный бэкап не спасет. И вообще, сложную систему всегда гораздо проще испортить, чем защитить.
если сисадмин или даже какое-то событие может удаленно включить железку с бекапами, это 100% может сделать хакер - то есть 100% такой бекап будет снесен.
В нашем мире буквально все железо априори дырявое.
Именно централизация, на мой взгляд. И объем данных не такой уж большой даже для контор типа Аэрофлота или CDEK - нам же не надо каждый день делать полный бэкап всего? Предположу, что дневной объем новых данных в том же аэрофлоте (если не считать системы видеонаблюдения) - не превысит объема одной болванки DVD.
Базы данных имеют свои механизмы для инкрементального бэкапа, для файловых серверов - куча программ по бэкапу только изменившихся файлов, конфиги оборудования и образы систем можно бэкапить при изменении.
И 7к точек по стране - в каждой стоит свой сервер со своей базой? Или всё-таки сотрудники работают удаленно в централизованной системе? А на местах для частных нужд какие-то SOHO файлопомойки?
не превысит объема одной болванки DVD
Вы ошибаетесь. Просто наугад глянул, сколько занимает суточный инкремент одной БД не самой крупной транспортно-логистической компании - 15 ГБ, а суточный бэкап инкрементов всех баз - 4 ТБ. Ну, и хранится оно всё на робо-библиотеке LTO-9, в идеале бы на нестираемые картриджи WORM, но там трёхзвенка (агенты льют бэкапы на NAS, а пишет на ленты сервер, находящийся в изолированной сети), так что не зная о существовании второй копии на лентах, шансов её сломать извне достаточно мало.
Откуда такие объёмы? - надо (по действующему законодательству) хранить копии (сканы) транспортных накладных и ещё чего-то.
Сканы в tiff-ах хранятся? Прикинул что 100КБ будет достаточно при адекватном разрешении и сжатии для скана листа A4. 4ТБ это что-то за гранью.
В pdf. А уж какой алгоритм сжатия настроен на потоковых сканерах - не вдавался. И да, глянул скан своего недавнего заявления на отпуск (буквально 5 строчек текста на идеально белом листе) - 114 кБ, а потоковые сканеры по 50 двусторонних листов в минуту глотают, и это более "сложные" документы. Тот офис, где я бываю, имеет два таких сканера, которые молотят практически без остановки (скан прикрепляется к документу по штрих-коду в "шапке", отсюда и скорость такая), работают с ними посменно 4 девочки-оператора. Вроде, подобный по загруженности офис есть в Новосибе и где-то на Дальнем Востоке, базы частично автономные, но в Москву сливается всё, вот как-то так и набегает...
Да, про болванку улыбнуло... Лет так 10 назад (или около того) мне озвучили требования к внутренней сети официального дилера Ауди со стороны головного офиса - внутрення сеть 10 Гбит, иначе Ваши бэкапы просто не успеют сделаться к моменту создания нового бэкапа...
я не представляю этого.. ну вот у информации может быть несколько видов - текстовая (сюда же - все SQL, JSON, CSV), графическая, звуковая, видео....
Единственное, что могу представить, бэкап состоит из 100МБ данных о продажах за сегодня (вся подробная информация, включая серийный номер ручки включения кондиционера и все что известно о покупателе) и 10 Тб - Запись со всех камер наблюдения во всех офисах огромной страны в 4K качестве.
Вот прямо сейчас смотрю на бэкапы veeam образов почтового сервака небольшой конторы (~10 ящиков)
Минимум гигабайт почты в день на 1 ящик? Сурово и кроваво.
У меня за 5 лет работы на текущем месте ящик суммарно 21 ГБ. Почту не удаляю.
Вы, как впрочем и многие, забываете, что инкрементальный бэкап - это разница в данных между двумя датами. 10 ГБ изменений за день != 10 ГБ новых сообщений. На что намекает объем следующего полного бэкапа (на 0.07 ГБ меньше предыдущего).
То есть схема бэкапа неоптимальна, раз в хранение идет значительно больший объем информации, чем реально изменилось?
На своем рабочем месте бэкаплю почту из указанного выше каталога банальным скриптом с tar --listed-incremental внутри, объем ежедневных архивов соответствует объему полученной/отправленной почты. Даже немного меньше, ибо gzip ;)
К сожалению, централизованно у нас бэкапится только то, что на сервере, а объем ящика там ограничен полугигабайтом.
Нет, Вы просто не представляете, сколько информации при диагностике автомобиля уходит производителю... Протокол диагностики ОДНОГО автомобиля достаточно большой, а при ремонте их может быть несколько. Базы (локальные) по ремонту весят ОЧЕНЬ прилично.
Все-таки лезут в голову мысли, что как-то все это очень сильно неправильно, перемудрено и оверинженерино. Уверен, лет тридцать назат тот же дилер так же успешно продавал свои Ауди и без такого сумасшедшего трафика.
Вот та же мысль. Когда сисадминил (давно) в одной оптовой конторе - в каждом региональном филиале был свой сервер (Sybase) и шла репликация баз по итогам дня. Объем пакетов при достаточно крупных филиалах (тысячи продаж в день) не превышал десятка мегабайт.
Отправлялись пакеты просто консольной утилиткой через почту. Тут же, после отправки пакетов - создавалась копия локальной базы и обрезались логи. Все, готовы к следующему дню.
Куда-то не туда свернули ;))
Тут ситуация такова - их и сегодня можно продавать так же, без такого трафика. Но, есть требование производителя - делать только так и не иначе. Опять же вопрос защиты - доступ в корпоративную сеть для программирования, диагностики (да-да, сейчас многие автомобили нельзя отдиагностировать локально), привязки блоков, ключей и прочего. Не выполняешь требования - теряешь дилерство...
Насчет dvd- суточный поток только ОДНОГО потока данных по бронированиям - +30ГБ в сутки.
По Аэрофлоту?
по данным за 2020 год, по информации сервиса «Туту.ру», за сутки в стране совершалось 1200 авиарейсов.
Каждый рейс это пусть даже 300 паксов в среднем. И это все авиакомпании, не только Аэрофлот. И сейчас, возможно, число рейсов снизилось из-за подорожания билетов и ограничений по аэропортам.
30 ГБ / (1200 * 300) = 83 килобайта на пассажира не многовато?
(любой онлайновый или даже просто втыкнутый проводом выносится хакерами в первую очередь)
Ну во-первых не любой, иначе бы любой сервис торчащий в интернет в принципе сразу вынесли бы, включая Хабр, на котором мы сейчас это пишем. Во-вторых, есть например ленты, и там носитель после создания бэкапов можно физически вынуть из устройства. Так же, ленты поддерживают режим WORM, когда картридж можно записать, но невозможно стереть. Есть и системы на дисках поддерживающие принцип WORM, интерфейс управления которых недоступен для устройств которые на них бэкапятся, а сама взломанная система не имеет возможности послать серверу бэкапов команду на удаление бэкапа. А "студенты с дисками" в этом плане как раз менее надежны, так как стоит воткнуть этот диск в зараженную машину, и она пошефрует все рание сделанные на него бэкапы.
У Аэрофлота 30 тыс. сотрудников. Это аж 177 человек на один самолёт, наверное можно выделить людей на защиту информации?
инвентаризация двух кластеров Hyperv Одной не большой конторы азняла 2,5 месяца и то сейчас продолжают вылазить тонкости
"Одна - оффлайн" - это смешно. Минимум 3 копии - одна под руками, одна на удалённой площадке (по географическому признаку) и одна физическая - в архиве (лента ,флешка и т.д., на выбор).
Для потенциальных минусовальщиков - был в Страсбурге крупнейший в Европе ЦОД, где хостились Amazon, MS Azure и т.д. И там же был хостинг, который за недорого делал людям приличные сайты для бизнеса (например, интерет-магазины из простого конструктора). И прямо в панели делались бэкапы, которые этот крупный хостинг хранил виртуальные прямо на тех же серверах и физические, в соседнем здании дата-центра в своих же стойках (да, там корпуса были). Надо ли говорить, что это тот самый OVH SBG2, сгоревший под ноль. И сотня тысяч этих сайтов сгорела без возможности восстановления из бэкапов.
А почему именно такие 3 - одна под руками. Одна - на случай чп с первой площадкой, но которую можно развернуть оперативно и при этом регулярно проверять. И ещё одна - в архиве, до которого не доберётся шифровальщик.
P.S. да, лет 5 назад я отвечал за бэкапы и у меня всё работало вплоть до автоматизированных проверок и изредка - вручную с ленты.
Вот эти "автоматизированные проверки" - прямо боль. Неужели где-то они в самом деле есть в живой и сложной системе? Да, для своих хобби-микропроектов я делаю 100% покрытие тестами, чисто ради красивого бейджика, но в реальной жизни и сложных и живых проектов - оно бывает? И даже если где-то однажды достиглось - оно пережило потом год развития программы, с добавлением новых плюшечек?
К сожалению, там где я видел, очень часто бэкап признается рабочим если после восстановления можно зайти на нужный адрес и там откроется какая-то красивая страничка, а не сообщение об ошибке. Даже такая задачка как проверить, что логин работает - часто ломается о другое хорошее правило, что пароли надо регулярно менять, поэтому нельзя один раз написать тест который бы проверял, что в систему можно войти.
Даже на ЭТОМ этапе - часто есть сложности, а ведь аутентификация - это 0.01% от всего функционала... А еще есть API которые нельзя дергать. Мы бы хотели что-то проверить, но каждый "дерг" стоит денег. А еще есть API которые прямо совсем нельзя дергать (ты дернул - а там самолет экстренно посадили, его спецназ с огнеметами окружили и во всей области объявлен карантин).
Расскажу свой опыт про автоматизацию.
Раньше аналитикам (системным и бизнес) давали какие-то бэкапы свежих данных. Раз в месяц, скажем. И отдельные таблицы могли накатывать чаще.
Я для автоматизации проверки бэкапов сделал им по базе (в их контуре бэкапом с прода), которая каждый день приходила к состоянию закрытия биржевого дня (восстановление в районе 4-6 часов утра по Москве к началу рабочего дня). Соответственно, одному отделу база висела только на чтение, второму - на изменение. Если они не хотели, чтобы база стиралась, они в своей базе создавали табличку с данными (условно, флаг защиты от запуска скрипта). Таким образом, я получил автоматизированные проверки бэкапов одной из основных и тяжёлых наших баз (ещё и от монолитно-говняного вендорского биржевого софта, на базу которого я никак не мог повлиять, кроме ругани с поддержкой этого вендора), а два отдела аналитиков получили свежие бэкапы каждый день.
З.ы. я такое проворачивал на двух работах. На предыдущей это тоже был бэкап торговой базы средствами павершелла для аналитиков, на условно текущей это павершелл, баш + питон (такая связка из-за безопасности и направления открытых портов из прода в левый контур).
Но Ваше замечание однозначно стоящее!
Копий много не бывает (с) легат древнеримского легиона ;)
Примерно так)
если они там были год, то можно было с бэкапов и начать, заранее портить бэкапы, откатываться будет или очень далеко или вообще некуда
А вот на этот случай раз в квартал должен приходить информационный аудит (сторонняя компания) который вместе со штатными одминами проверит состояние систем, права доступа, и в том числе наличие резервных копий и их пригодность к восстановлению.
Ну с точки зрения паранойи, в стороннюю тоже может внедриться злоумышленник. И он может получить гораздо больше данных при аудите, чем изначально кто-то пришедший новичком (пользователем) в аэрофлот.
ключевое слово "должен".
Ну и с учетом того, как усердно там импортозамещались, скорее всего там на многое закрывали глаза. Тех окон не так-то много, сервис должен работать 24 на 7, даже в банке нет таких требований, ночью пару людей будут делать платежи, ничего страшного, переживут, а самолеты летают 24 на 7.
Инсайдер и это может обойти, зная примерное расписание аудитов.
даже если есть: поднять одновременно 10 взаимоувязанных между собой онлайн систем - задачка веселая изза стратегии восстановления (дельта по данным наверняка будет и наверняка одну поднимаешь, она падает изза входящих невалидных обращений и так много раз и тп)
А вы давно проверяли свои бэкапы?
Бэкапы? А что это?
/s
Но если хакеры уже больше года незамеченными резвятся в вашей системе, то совершенно все ваши копии оказываются скомпрометированы и их нельзя разворачивать по стандартной процедуре - все данные и процессы должны проходить аудит. Последние копии при этом и вовсе могут быть повреждены хакерами.
И тут ходят слухи, что у Аэрофлота всё именно так - последние "горячие" копии уничтожены, а более старые скопрметированы на всю глубину и там просто их не восстановить. В результате потеря данных каких-то данных неизбежна, а как восстановить остальное, никто толком не знает.
Вот да. Всегда интересовало, неужто кто рискнет тупо восстановить из бэкапа скомпрометированную систему.
Хотя и понимаю, что раскатить "с нуля" со всеми последними конфигурациями каким-нибудь терраформом/ансиблом можно далеко не все.
Вот про "всю глубину бэкапа" - это интересно. Я понимаю хакерскую задачу "проникнуть внутрь и постепенно развить успех" (захватывая все больше и больше машин). Однако, задача "захватим все и потом будем тихо сидеть N лет" мне кажется какой-то чрезмерно мудрой и стратегической для мира, где всем правит не тайная ложа, а явная лажа.
Окей, я могу поверить, что это сделали не просто хулиганы, а какие-то специальные украинские кибервойска с дисциплиной и координацией. Гуд, верим. Но тогда, они должны были сделать это, например, в 2022, и оттудда знать, что СВО продлится до 2025 чтобы сейчас это сделать. Но кто бы им это сказал? Кто тогда вообще об этом знал, кто мог планировать это на 3 года вперед? (ведь каждый день эту карту можно было разыграть и извлечь выгоду уже сейчас, а не в неопределенном завтра, которое могло и не наступить)
Однако, задача "захватим все и потом будем тихо сидеть N лет" мне кажется какой-то чрезмерно мудрой и стратегической для мира, где всем правит не тайная ложа, а явная лажа.
Обычно оно не "захватим всё и будем тихо сидеть", а "получим миноритарный доступ и будем внимательно и незаметно слушать сеть, постепенно получая больше и больше информации, пока не доберёмся до привилегий системного администратора, а тогда уже всё и завалим"
уничтожение инфраструктуры? ) т.е. они ходили и сервера поливали серной кислотой? )
Про физическое уничтожение, это что-то уже на уровне голливудских фильмов
форматнули все харды, до которых дотянулись, например) понятно что железо никто не ломал физически
Если стереть конфиги маршрутизаторов и коммутаторов, а там сотни VLAN и сотни маршрутов - то воостановить это будет очень непросто, и инфраструктуры считай нет - железки стоят, а сетей нет.
а конфиги коммутаторов и маршрутизаторов бэкапить религия не позволяет?
А бэкапы религия хакерам не позволяет удалить/шифрануть?
Оффлайн бэкап хакерам удалить сложно.
Нужна уже помощь сотрудника, а это уже совсем другая история ;)
Если они сидели год, то бэкапы могут быть также уничтожены, даже офлайновые. Мало кто проверяет оффлайн бэкапы.
это зависит от многих факторов: как именно организован "оффлайн", есть ли выделенный специалист, ответственный за бэкапы. Раздолбайство никто не отменяет, но всё-таки... мне сложно поверить, что можно уничтожить кассеты, хранящие бэкапы за предыдущие периоды.
В действительности, было бы очень интересно послушать итоги расследования. Пока что заявление хакеров выглядит как минимум преувеличенным.
С другой стороны, слишком уж участились такие случаи: СДЭК, Лукойл, Орион-Телеком, Аэрофлот... Это уже попахивает кибервойной...
Да, кассеты сложно уничтожить, если только кассеты не лежат в роботе, и у хакера есть доступ к этому роботу. А в такой конторе кассет сотни, и руками их никто не переставляет. У нас был вот такой девайс c 500+ кассетами:
Скрытый текст
"попахивает" в 2025?
пока не вижу особой активности наших групп в на зарубежом
так пните "ваши группы", пусть они активизируются уже!
(на самом деле, если активность не видна - не значит, что её нет. возможно, цели выбираются менее публичные)
Ну почему же, вон одному сотовому оператору снесли давеча ядро до основания.
Начисто снесли! И за что только этот анекдот банили в RU.ANEKDOT?
мне сложно поверить, что можно уничтожить кассеты, хранящие бэкапы за предыдущие периоды.
Ну там для уничтожения не обязательно уничтожать кассеты или данные на них. Может так случиться, что оно шифруется асимметричным алгоритмом, а уже год как ключ из /dev/urandom берется.. даже если не рассматривать более простой вариант, что процесс где-то падает (в аэрофлоте, думаю, за этим то следят)
уничтожить кассеты, хранящие бэкапы за предыдущие периоды
Вопрос в том, насколько предыдущие?
Авиакомпания живёт операционкой, билеты продаются до последнего момента. Можно восстановить знание, что на рейс N вот эти десять билетов были куплены месяц назад - но в аэропорту уже бузят ещё 100+ человек, которые купили позже.
И это речь только о билетах. Знание того, какой конкретно борт выделен на этот рейс, сколько в него топлива залили на последней заправке - это то, что со старых лент не вытянуть.
А не лежат ли данные о купленных билетах в Леонардо?
Скорее всего да. Но там именно билетные, универсальные данные. А у авиакомпании на каждое место наверняка куча метаинформации есть, которая только внутри актуальна.
То же топливо можно и на приборах в самолёте посмотреть, но ответить на вопрос "а надо ли заливать ещё, и если да - то где?" в зависимости от графика будущих перелётов уже без кучи звонков и выписывания всего на бумагу не выйдет.
А Вы представляете себе как в огромной и древней организации построена инфраструктура, которая лет дцать уже как не является железом? Кто-то годами ничего не документируя ставил сервак за серваком, виртуалку за виртуалкой, систему за системой, костыль за костылем, настраивал ручками соединения, пилил дырки в файерволлах, раздавал права и тп?
А кто-то вообще представляет себе, что такое восстановиться из бэкапов (есть все - представьте такую волшебную возможность!), когда разрушен комплекс систем, а транзакции немножко распределенные? Как определить нужное время для восстановления состояния каждой из нескольких сотен систем?
Вангую, что никто ни разу не проводил подобные (disaster recovery) мероприятия. А их нужно проводить минимум раз в полгода для объектов КИИ...
Требования к старшему системному администратору (вакансия в архиве) https://hh.ru/vacancy/116092676?hhtmFrom=employer_vacancies
Снапшоты аикса на NIM сервере хранятся(или планировали храниться), хоть какой-то бэкап есть, но это неточно
Я такое в кино видел. Когда серверы взламывают, они начинают сыпать искрами, а оборудование взрывается.
Вот у тебя тыщща-2-3 офисных компов, которые одномоментно перестали грузиться и "потеряли разделы" на дисках. Сколько времени займет с ними разобраться? Даже тупо с нуля образы ОС накатить.
Ну минут может 40... Ну если конечно админ знает про WDS/PXE а не очередной клоун который считает что поставить ОС можно только с оптического диска.
Ну всё-таки часа 4. PXE будет перегружен, да и сеть не резиновая.
У вас прямо админы натасканы на одну эту задачу и стоят на низком старте. А в реале очень часто это крайне задолбанные люди, которые делают 100500 разных задач, и одна перебивает другую, и все срочнее других.
Но получить со склада партию ноутов, накатить принятую на сейчас в организации систему и отдать в поддержку на раздачу новым сотрудникам - прям регулярная задача.
Есть совсем маленькое, очень небольшое предположение что в компании уровня Аэрофлота 1) админу регулярно нужно ставить клиентскую ОС с корпоративным окружением 2) админу проще потратить несколько дней времени чтобы развернуть и набить образами у себя сервера с WDS + SCCM + WSUS + LUP чтобы большую часть работы провести буквально одним движением а не проводить с каждым компьютером по три-четыре часа 3) в ситуации описанной выше все 100500 задач идут мимо - приоритет будет отдан на обеспечение минимальной работоспособности компании. Но конечно такие сложные мысли вам конечно неочевидны, да?
Вот у кого бэкапы есть))
12 Тб это крошечная БД. Не бьются цифры
Доигрались в SAP и прочее забугорное.
"запад нам поможет" Е. Гайдар )))
Не пишите ерунду. "Заграница нам поможет! Запад с нами!" говорил О. Бендер
По сабжу: с 2022 года активно идёт процесс импортозамещения критических информационных систем. Другой вопрос в качестве этого импортозамещения.
По мне так важнее динамика, а большинство смотрит на любую ситуацию в статике. Ну то есть даже если импортозамещение идет с известными в стране темпами и кавеством, интересно в каких направлениях и как люди, набивая шишки, корректируют локальные процессы. Ну то есть явно же много где кривое импортозамещение с переклеенными шильдами, встает по факту боком, многим больно встает. И не думаю, что всех прет плакать, колоться)))
Вот в этом динамика и интересна)) Но госсектор штука дико инерционная, такие процессы больмень видны только на масштабах минимум в пятилетки. За три гроба (с) =)))))
Вам же в статье написали, что перешли на все отечественное. прочитайте внимательнее.
Причем тут SAP? В мире взламывается множество компаний у которых не используется SAP и устойчиво существуют множество компаний, которые используют SAP.
Так там же написано, перешли на гойда_лучшее_в_мире_аналоговнет импортозмещение.
Не понятно почему такие системы, которые отвечают за моменты связанные с жизнью человека не дублируются. Сломалась одна, тут же вторая включилась. Пилотам хоть летное задание дают в бумажном виде. А то так в полете отключиться система, стюардесса пойдет пассажиров спрашивать куда летим.
И кто в систему управления доступ извне дает? Что хакеры сидят как у себя дома. Терабайты данных качают, и эту активность никто не замечает.
И кто в систему управления доступ извне дает? Что хакеры сидят как у себя дома. Терабайты данных качают, и эту активность никто не замечает.
Никто не дает. И я вот в этом сомневаюсь. Задосили. что легли системы - да. Но чтобы физически попали в локальные сети - как-то слабо верится. Но тут зависит от того, что может реально сисадмин какой помог. Даже не сиадмин, а какой-то супер сисадмин.
Вы такие наивные... Если задаться целью, то можно взломать практически любую систему. Ну не бывает 100% защиты. Обязательно найдётся какой-нибудь гений, который найдёт лазейку и использует её.
Если верить отчёту хакеров, они год готовились. Вероятнее всего, кто-то был внедрён в периметр компании. Что было дальше -- можно только гадать (от уровня доступа "внедрённого", до того, как это всё осуществлялось).
Приносит кто-то случайно флешку с вирусом, который канальчик наружу открывает по SSH и всё, ходи по сетке делай что хочешь.
флешки давно заблочены.
Вы работник службы IT Аэрофлота?
Флешка это образно - фишинговые email, сообщения в мессенджерах всё так же работают через социальную инженерию
Фишинговые email вполне неплохо фильтруются rspamd и прочими spamassassin, не говоря уже о ksmg и других проприетарных решениях. Вы явно не работали в таких огромных структурах, вам сложно представить как в них всё организовано.
Таргетированные, как часть конкретной атаки? Хрен ты их выловишь фильтрами.
Ну так и ковида не было, потому что вирусы вполне надежно фильтруются масками и регулярным мытьем рук. А он был. Есть огромная разница между "спамассассин иногда ловит такую атаку" (это нам ничего не дает) и "спамассассин ловит такую атаку в 100% случаев".
Это примерно как TCP пакеты, в которых sequence так подобраны, что перекрывают друг-друга. Одна ОС может собрать их таким образом, что возьмет данные из первого пакета, вторая - возьмет из самого последнего. Третья - возьмет из пакета с меньшим sequence, а четвертая - с большим. А как IDS реконструировать трафик? Любая попытка собрать его по каким-то правилам основывается на ложном упрощении, что и хакеры и все системы за IDS обрабатывают эту нештатную ситуацию одинаковым образом (а это не так).
Как раз вчера с этим разбирался, потому что фишинговое письмо определенного типа прошло как раз через фильтры, который специально под него делался. Оказалось, что в письме поле From: синтаксически неверно, но не совсем. В итоге оно достаточно неверно, чтобы spamassassin не смог его извлечь и пропустить через свои регексы, но вполне верно, чтобы postfix его доставил. Только OpenDKIM на него ругнулся, через это я и смог разобраться.
А можно поподробнее про это "верно/не верно"? Можно в личку.
Да там все просто, поле было вида: From: Servizio-Verifica-Clienti@domain.com
То есть, адрес содержит минус (0x2d hyphen-minus) и при этом он в addr-spec (не в angle-addr). По rfc5322 это допустимо, он в спецификации atext - равноправный с любой буквой, но на практике - где-когда-как. (напр в gmail он может быть только в середине адреса (как в этом примере)), но не в начале или конце.
В общем, хоть по RFC и можно, на практике каждый парсер по своему относится к этому. И в нашем случае не триггерился триггер HEADER_FROM_DIFFERENT_DOMAINS в спамассассине на это письмо (у него во From и в Return-Path были разные доменные имена, причем во From - наш домен был подставлен).
Таки имею отношение. И знаю, через сколько бумажков надо пройти, чтобы "дырку наружу" пропилить. Просто вирус наружу дырочку не откроет.
Брат, я на твоей стороне, убери ствол ;-)
Ну значит крот прошел все этапы проверки СБ и принёс вирус на винте. Или написал его от руки с бумажки.
а ещё в гигантских инфрах после десятилетий остаются странные легаси-обрубки, которы фиг в общей каше разглядишь. Скажем, открыли когда-то на заре доступ на условный порт 776 наружу на any, поскольку ip для интеграции менялись, а веса тогдашнего топ-менеджера хватило для аппрува таска. И неторопливого сканера внутри от какого-небудь nero burning rom portable edition вполне будет достаточно для постоянного тоннеля внутрь. Большие старые инфрастрктуры с хроническим недофинансированием правильного и десятки поколений команд спустя десятилетия чудовищны.
Судя по иконке, если это не фейк, то DC имеет доступ в интернет? Или может расскажете, что кто-то там сильно морочился и поднимали свой сервис и меняли политику для отображения сетевого подключения.
Вот тут не отвечу(((( не знаю.
del, не обратил внимание на иконку сетевого интерфейса
А разве в случае подключения к локальной сети она будет другая? Сейчас проверил, на изолированной от интернета, но работающей в локалке машине иконка вроде такая же, если там каких-то супер-нюансов нет в отрисовке.
Что толку гадать? Возможны варианты.
Смотреть реальные настройки тут:
это в шарашках может еще работает. на подобные крупные объекты совершают другие атаки - например была история, когда рядом с жертвой снимали офис, чтобы получить доступ к вайфаю который кто-то по наводке включил.
вообще как бы несколько лет назад там была серьезная тема с защитой КИИ - нужно было все сертифицировать, вышло постановление требующее на все получить сертификат безопасности, создать коммитет по айти безопасности, понаставить брандаумэеров - которые уже из каробки все носители и емейлы блокируют напрочь физически.
Ага. Ну и reverse shell никто не отменял.
везде-везде? а в попке какого нибудь серрвеа в тьмутараканиен торчит Wifi свисток? и нигед винлы 2003 нет? а 2008? а какого-нить места с кучей старых системна XP?
Из новостей: "...«Киберпартизаны» заявили, что в авиакомпании пользуются операционными системами Windows XP и Windows 2003, «что привело к компрометации всей их инфраструктуры»..." Какие уж тут флэшки.
Как пример, фото кабины новейшего МС-21 с "импортозамещенной" авионикой.
Скрытый текст
Главное непонятно зачем они это используют. Какой-то большой набор софта, который только под старой виндой может работать и сложно переписать под линь? И вообще, как-то жутковато становится от мысли, что можно оказаться в самолёте, в котором такая операционка за что-то отвечает.
Это авиационный планшет. Вспомогательное оборудование. Оно в пилотировании не участвует.
Вспомогательное, то есть, ненужное, только зря электричество жрет? Или иногда нужное? Тогда участвует, даже если само крыльями не машет.
В самолёте есть вполне себе определённая категоризация оборудования по его важности и влиянию на безопасность полёта. От категории зависит и требование к надёжности, и порядок сертификации, от "эта фигня может быть только конкретной модели и версии, получившей сертификат" до "производитель самостоятельно решает, что сюда впихнуть".
Вспомогательное - это значит что можно и без него, но с ним удобнее и проще.
Если сломается планшет, пилоты возьмут бумажные талмуды и запросят у диспетчера векторение, но никакого ЧП не произойдет.
– пап, пап, а почему самолеты летают?
– а ты видел?
– конечно, вон
– и что же это давно?
– да, давно
– и вот прям каждый день?
– каждый!
– и ты проверял?
– конечно, каждый день в окно смотрю - летают
– тогда, пожалуйста, ничего не меняй!
Это еще старый, не импортозамещенный мс-21. Фоток нового в интернетах практически нет.
... Windows XP и Windows 2003, что привело к компрометации
Обывателю сложно про что-то другое объяснить, зато звучит очень обидно.
XP/2003 в закрытом контуре довольно распространённая вещь, на самом деле. Особенно в промышленной автоматике. Подозреваю, что и у них так же. В бизнес сегментах сети тоже встречается, но обычно на стыках с каким-то легаси железом или софтом. И уж точно не в management сегментах инфраструктуры
вы так упрощаете вопрос, будто это не Аэрофлот, а ИП Васечкин "Цветы у дома". не бывает такого в больших структурах
Вот как раз у Аэрфлота шансов влететь куда больше, чем у ИП Васечкин. Потому, что у "цветы у дома" весьма вероятно нет толком своей инфры.
А у аэрофлота запредельно много точек отказа, притом как по потенциально рациональным, так и по скорее всего безумным причинам.
Инфра крупных компаний, это же буквально как культурный слой, где намешано всё за годы + крайне высокая вероятность наличия там "опытных специалистов", панически закрывающих ICMP от внешнего мира и с фразами типа "работает - не трогай". Абсолютно не удивлюсь, что там ещё и множество "надёжных" решений, типа centos 5-7, древние и не особо патченные windows server, уже устаревшее зарубежное оборудование, с кучей дыр "для удобства" (зато флешечки прикрыты, ага) и куча сырого "отечественного" оборудования "без закладок".
Так что если от внешнего мира это всё, скорее всего защищено, от случайного залётного чего-то защищено, то вот для опытного специалиста, попавшего во внутренний контур, там вполне наверняка открытые двери.
Ну это весьма закономерный исход с учетом зарплат в 120к безопасникам (https://hh.ru/vacancy/97142356).
При этом на импортозамещение, наверняка, не один миллиард потратили.
В похожих вакансиях вообще нигде зп не указана, что очень печально
Чтобы лемминги после инфоциганских курсов тысячами не ломились "на сладенькое".
Кстати, это ещё одна причина подобных событий. Очень часто в ИБ берут людей без знания сетей (даже основ), linux, AD. Главное -- знание магического числа "149". Как и от чего такой специалист может построить защиту -- лично мне непонятно. Без знания азов сетей, принципов работы (элементарно -- незнание модели OSI и чем первые три уровня отличаются) сетей... Ну вы поняли, ребята. Возвращаемся к кадровому голоду в ИТ.
Мы внедряли своих людей, но претензии к защите оборудования....
22TB данных это смешно по меркам любой крупной компании. Один продуктив ERP-системы весит больше.
Это сотрудники аэрофлота "сотрудники репрессивного аппарата" с их точки зрения?
Интересно, что они там компрометировали в Sabre, если Аэрофлот перешел на Leonardo?
В таких заявлениях важна масштабность и знакомые слова. На западе никто про Leonardo особо не наслышан, а Sabre все знают. И количество серверов - "Пиши 7000, так круче звучать будет! А может, 100500 серверов написать? Не, это уже перебор..."
Ждем восстановления работы Аэрофлота - CDEK вроде около 5 дней восстанавливался.
PS: И подозреваю, что теперь разрешена аналогичная атака на British Airways, Ryanair и проч...
И подозреваю, что теперь разрешена аналогичная атака на British Airways, Ryanair
Во-первых причем тут British Airways, во-вторых причем тут разрешение? Вы свидетель секты "мы еще не начинали всерьез" на 4й год войны?
Мне однажды в одном (платном) медучреждении выдали совершенно неправдоподобные результаты анализов. Я сдал их в другой организации - получил совершенно другие цифры. Пришел туда к врачу, показал - она сказала - в самом деле, не может такого быть, это в лаборатории напутали!
Чтобы признать ошибку и поверить в правильные цифры анализов - хватило 20 секунд. А сколько времени нужно чтобы я снова начал доверять их лаборатории, сейчас, когда я твердо убедился, что в их лаборатории медсестра Татьяна Петровна результаты анализов из носа выковыривает? Прошло полтора года, я пока что не особо начал доверять той Татьяне Петровне.
Вы бы повторно доверили свою драгоценную кровь, мочу и кал этой прекрасной, но безответственной женщине? А авиакомпании мы вроде как всю жизнь целиком доверяем.
Там вроде "обоюдное" решение было: Аэрофлоту не дали дальше пользоваться Sabre, а они в ответ решили прекратить им пользоваться.
Доступ ко всем сервисам используемой ранее американской платформы Sabre, в соответствии с Постановлением Правительства РФ № 1393 от 08.08.2022г., полностью прекращен. (aeroflot.ru)
восстановление будет требовать, возможно, десятки миллионов долларов
Я ошибаюсь, или это буквально копейки по государственным меркам? Один комплекс С-400 стоит 650 млн долларов, один СУ-35 — от 35 до 104 млн долларов, субсидия Автовазу и другим автопроизводителям — примерно 10 000 млн долларов, за экспорт полезных ископаемых Россия в 2024 году получила 282 000 млн долларов.
Скорей всего цифры преуменьшены. Например, отмена всего 1 рейса - это уже в районе 20 млн рублей (да, рублей, но тоже много).
По подсчетам основателя сервиса RunAvia Андрея Патракова, от отмены рейса Boeing 737–800 на 158 пассажиров (20 мест бизнес-класса и 138 мест эконом у «Аэрофлота») авиакомпания может потерять 15–23 млн рублей в зависимости от направления.
Но это просто отмена рейса. А сколько компания потеряет от простоя других сотрудников, не связанных с перелетами, сколько понадобится ресурсов на восстановление всей инфраструктуры, во сколько в итоге обойдутся репутационные потери? Это все просто невозможно оценить, даже примерно. Скорей всего они назвали минимальную сумму, сколько в Аэрофлоте гарантированно потеряют в ближайшее время.
Сказочные.jpg
Шпионить не раскрываясь и сливая данные перелетов и т.п. на много, много, много раз серьезней, чем вот этот вот детский сад.
Ну сломали инфру, починят, дальше что? Аэрофлот и Ростелеком примут меры, хрен потом снова сломаете.
Дети, ей богу.
Заметьте! Наши ни где ничего еще пока не ломали)))
Ну теперь-то будет оборотный штраф за утечку ПД?!
Судя по количеству открытых вакансий по ИБ на HH.ru у аэрофлота с этим был напряг. https://hh.ru/vacancy/121346568
Нужно из этого делать правильные выводы, если "призрак в сети" находился в одной крупной гос. компании, то почему с тем же успехом они не могут находится в других крупных гос. компаниях и "ждать момента"
Начнут конечно - ща все компании как-либо связанные с гос. шерстить начнут.
"Ёш птица гордая - пока не пнёшь не полетит"
Так они и находятся. Поэтому кого это еще не затронуло, стоит проверить всё, что можно. Резервные копии, права доступа, прогнать антивирусы на предмет выявления известных RAT...
В сети аптек «Столички» не работают некоторые точки продажи, также есть сбой в доступности отдельных функций сайта, говорится в уведомлении на ресурсе. Тоже самое говорится и на сайте аптек «Неофарм» (обе сети относятся к ООО «Нео-фарм»).
https://www.rbc.ru/society/29/07/2025/6888a4009a7947b08e4aedd1
Ломать будут всё, до чего дотянутся.
Если что, разговаривал сегодня с товарищем из компании несколько крупнее Аэрофлота, у них тоже недавно попытка нагадить была. Но куда менее успешная, даже в СМИ почти не засветилось. Тем не менее, заблочили все учетки, и ограничили доступ к серверам. Сейчас проверяют, чистят, постепенно открывают доступ.
На всякий случай стоит уточнить, что падение произошло с 59 до 56.89, а то график выглядит, как будто пробили дно, и летим дальше.
А если взять хотя бы за год график, то это падение почти незаметно будет
Да и вообще на сию это меньше 3% - небольшие флуктуации для рынка акций.
Хотя в целом не понимаю людей покупающих акции авиакомпании, бизнес еще тот, особенно в последние годы.
Смотрел табло Пулково - Россия и Победа улетает - не улетает только "чистый" аэрофлот (и то только в Москву). Так что не так все плохо в рамках группы по крайней мере поломано не все напрочь.
Посмотрел Шереметьево еще сейчас - ну большиснтво рейсов летает - не знаю как такое было бы возможно если прямо все у них бы упало.
не понимаю людей покупающих акции авиакомпании
Именно в этом же и суть. Акции - отражение ожиданий инвесторов. А ожидания у всех в целом грустные. Вот, для сравнения, Apple - очень успешная компания и скорее всего в следующем году выпустит новый успешный продукт и заработает много-много денег. Однако, это все понимают, поэтому ее акции уже сегодня дорого стоят, в них уже заложен будущий сказочный успех того продукта, которого пока еще нет. А вдруг он выйдет, но окажется просто успешным, а не сказочно успешным, как мы заложились?
Вот и с компаниями на депрессивном рынке так же. Да, "ужас, но не ужас-ужас-ужас!". Все ожидаемые проблемы уже отражены в низкой цене акций, почему бы и не купить, раз дешево? Возможно завтра окажется что не все наши пессимистичные прогнозы сбудутся, а лишь 80%, и тогда ваша инвестиция очень даже отобьется.
Не, дело их (покупателей), конечно, просто авиабизнес оно в прицнипе такое себе для инвестиций.
А вот про apple вы зря тут, что оно такое может выпустить чтоб оправдать текущую капитализацию вообще? По мне так вообще стагнация идет несколько лет у них и постепенная потеря рынков. И вы представляете сколько там процентов прибыли в цене акции сейчас?
По мне так вообще стагнация идет несколько лет у них и постепенная потеря рынков
Ну так продавайте! :-) Беда в том, что у тех, кто такие пессимисты - нет акций эппла, а у тех, у кого есть - те, вероятно, видят ситуацию чуть оптимистичнее.
Но я не слежу ни за эпплом вообще, ни за их капитализацией. Просто больше верю тем мнениям, которые подкреплены деньгами. Люди, которые купили акции за деньги по такому курсу - вероятно, все тщательно обдумали.
Акции могут покупать не только в надежде на большие дивиденды, но и вообще при нулевых дивидендах, в случае, если акция сама растет. (Купить акции на 1000 долларов, через год они 1200, но никаких дивидендов, это выгоднее, чем купить на 1000, через год получить 100 дивидендами, а акции останутся на том же уровне).
Даже более того - как только компания начинает иметь прибыль (именно в бухгалтерском смысле, то что делится среди собственниками) - это плохой знак, значит, что она достигла какого-то потолка и не может эффективно развиваться (прибыль выгоднее выводить и вкладывать в другой бизнес). Какой-нибудь Убер по крайней мере на заре, на этапе бурного роста - мог постоянно занимать деньги, приносить убытки, но акции при этом росли (потому что он захватывал рынки и был все более ценным активом).
Сломать можно любую систему. это вопрос времени и денег.
Интересно, будут ли подробности.
Меня тут ни сколько зп смущает, а требуемый опыт. Для старшего специалиста.
Ну больше чем требование опыта у кладовщика в пятерочке
Слишком мало?
Старший специалист по безопасности? За пять лет еще как-то в трудом верится, что набил шишек и набрался опыта.
У меня есть опыт администрирования публичных VDS с сайтами на PHP, я тогда очень много интересного узнал о дырах и различных способах DDoS.
И это я так, мимоходом. Представляю какой там пласт знаний у безопасников.
Это скорее всего отголоски совка. В сбере тоже джунов старшими специалистами называют вроде или как-то похоже. Был как-то срач в комментах на эту тему тут на хабре, все думали, что синьоров обсуждают, а потом пришёл человек из сбера и рассказал про альтернотивное именование должностей.
2 TB корпоративной почты
Ни о чём. 200 ящиков по 10 Gb.
Про остальные данные то же самое. У некоторых на домашней файлопомойке данных больше.
Прям на лицо ощущается дефицит высококвалифицированных низкооплачиваемых кадров
Очень удобно получилось, можно под это дело выпустить пару законов и закрутить еще гайки. Например, т.к атака была из-за границы, так что, ради национальной безопасности, отключить рунет.
Сахар....
Мне пришла в голову аналогичная мысль. Видимо, дураки думают одинаково.
Меня вот мучает вопрос, что это за "сервера прослушки" такие?
У нас у полстраны (или у 90%) данные на компах можно снести легко. Теоретически. Всего то для этого надо, чтобы "AnyDesk Software GmbH" работал на всякие там "ЦРУ", которые бы дали такую команду. Почти везде, в очень многих фирмах, такие входы внутрь сети есть, заходишь и начинаешь спокойно ночами брутфорсить пароли доменных админов.
Забыли AD и Exchange импортозаместить?
Отменены более 49 пар рейсов в Москву из Москвы
И вот, XXI век.
Стою лесенкой с лимитками стакане по 52, 48 и так далее.
Налейте акций хотя бы по 52...
В работе информационных систем «Аэрофлота» произошёл сбой, отменены более 49 пар рейсов в Москву и из Москвы