Воспользовались какой-нибудь ещё не опубликованной уязвимостью в nginx и вот Вам джамп на сервере сайта. Дальнейшее распространение по сети - дело техники и времени.
Там ведущего админа БД неделю назад искали с вилкой 150-200.
Стоимость одного джавелина больше $150k, т.е. 12 миллионов рублей - ЗП такого сотрудника за 5 лет? В рамках армейского бюджета скупить можно весь IT-отдел.
Другой вопрос, что не все продаются просто за деньги. И каждая вербовка - риск раскрытия всей схемы.
А главное - нафига, если можно тупо найти уязвимое звено в самой инфраструктуре? Ту же жиру и конфлюенс легально сейчас не обновить, а доступные на торрентах версии дырявые как решето. Спорим на каком-то домене 4-5-го уровня она была?
Подошел к серверу Администратор, включил тумблер #2,
Вы текущие скорости обмена информации представляете? За время переключения тумблера на их серверах в админы можно всё население РФ записать. А главное, что админ должен уподобиться герою старой рекламы, который не заплатил налоги. В Аэрофлоте работают тысячи человек. И всем им нужно, по регламенту, менять пароли.
Дело запахло керосином, подошел Администратор и включил тумблер #3, база данных работает в режиме ReadOnly,
И мы получили текущую ситуацию. Не достаточно иметь RO базу. Сотрудникам должна начисляться зарплата, в складской системе должны выписываться ЗИПы, должно закупаться и списываться питание, должно проводиться ТО, должны проводиться документы о заправке...
И если до этого она была RW, то её вполне можно зашифровать до такой степени, что RO будет уже не на чем включать.
Я предлагаю варианты как усилить безопасность в мире IT,
Вы предлагаете методы, которые стали не актуальными 30 лет назад (если не раньше). Это всё равно что предлагать стреножить электромобиль. Ну, а чего, мой дед лошадей стреноживал, ни одну не украли, значит и электромобиль от угона спасёт. В РФ есть защищённые системы. В том же Росатоме. Тупо сеть физически отделённая от интернета. Вот она взломостойкая (и то, с оговорками). А сети, доступ к которым может получить девочка на стойке регистрации в любом уголке РФ, априори невозможно защитить на 100%.
Да ладно, если только бэкдоры, в текущем варианте им всё равно инфраструктуру с нуля поднимать. В бэкапах могут быть зашифрованы данные. А если они сидели на этом год, то возможно, что повреждены все существующие бэкапы, даже в холодном хранилище. Понятно, что сдохнуть компании не дадут, даже если ничего не осталось, но IT-департаменту сейчас не позавидуешь.
Вы предлагаете саморезами прикрутить окна к раме. В случае дачного домика - решение надёжное и проверенное временем. Но мы тут имеем окно выдачи заказов в МакАвто - его слишком часто нужно открывать/закрывать.
Есть дистрибутивы, которые работают с защищённых от записи дисков. Такое годится например для роутеров. Но возникает проблема с обновлениями. Для каждого обновления пакетов или настроек нужно менять диск. Ну или выкачивать настройки и софт по сети.
Это не годится например для БД, гипервизоров, файлопомоек... Что-то можно запускать in-memory, но далеко не всё.
Ваш переключатель работал в программном, а не в аппаратном режиме. При реальном взломе его можно обойти. Можно даже этого не делать (раз уж на drive_C всё равно ничего не пишется), а повредить диск с данными. Сам же зловред будет жить в оперативе и распространяться с одного заражённого компа на другой по сети, без записи на диск.
Ваша сеть в 88-м году не падала только по причине её жёсткой изоляции от остального мира. Был бы интернет в то время - взлом был бы вопросом времени.
А ещё в одном жёлтом ТГ канале АФЛТ-системс ищет ведущего администратора СУБД за 150к в офисе... Ищет с 23 июля. Может дело в тотальной экономии на персонале?
Как показывает практика, присесть можно даже без участия Эзопа. Примеры приводить не буду, а то воспримут за оправдание.
А на счёт устойчивости... Почему бы им и не быть устойчивыми? Это термин "фашизм" придумали в 20-м веке, а само явление существовало задолго до. Те же США времён покорения Америки или времён маккартизма... Существуют и не планируют разваливаться, как бы кому не хотелось. Их даже демократичными, по нынешним меркам, можно назвать.
Раньше, если Вы искали информацию о талибах, то Вас могли взять в разработку, но не завести дело, если Вы не планировали торговать "котиками" или что-то "быстро расширять". А теперь штраф прилетит за сам факт поиска, даже разбираться не будут.
Частный бассейн, глубиной 500 метров... Даже если забыть о стоимости работ по укреплению котлована, энергия потраченная на изъятие грунта похоронит всю идею.
Это сроки для предприятия. Сроки для конкретного сотрудника спускает его руководство. И вот эти сроки - вчера. И сотрудник мог бы сделать это в инициативном порядке, но требование к обязательной покупке лицензий всё портит.
Чего это вдруг?
Вы PXE когда-нибудь настраивали, например?
Вас ждёт ещё множество замечательных открытий, мой юный друг.
Не, я понимаю как работает буржуазная политика. Это называется лицемерие.
Она создавалась не то, что не мгновенно, а в неурочное время (знаю минимум 2 таких примера). А мгновенности требует государство, устанавливая сроки "импортозамещения".
Может быть нанять стороннюю организацию, она перепишет скрипты, протестирует, переведёт
И будет поддерживать за 100500 денег то, что раньше админ за полставки поддерживал, т.к. админ не будет понимать, как эта шляпа работает.
С чего Вы решили, что это "полные глупости"?
Потому, что или трусы, или крестик. Невозможно одним ртом кричать про прелести открытого рынка, а другим требовать продать зарубежную компанию.
Так Вы для начала можете хотя бы показать пример того, где как-то иначе устроено?
Все 00-е было иначе устроено и нормально работало.
Я тут в закрытом контуре пытался видеокарту в докер на астре пробросить... Статья на сайте астры в платном доступе. Задача типовая, на убунте решается штатными средствами. В инете 100500 статей на этот счёт. А про астру только по подписке.
А зачем на РЕД? Не проще мигрировать на Астру, она Debian-based?
Не сильно проще. Там своих тараканов хватает. Один мандатный доступ чего стоит.
Как быстро данная система была создана изначально?
Она могла быть создана в инициативном порядке на одном энтузиазме и ящике пива 100500 лет назад, когда админ был студентом и мог тратить на это по 30 часов в сутках 10 дней в неделю. А сейчас у админа отдышка, семья и хроническое недосыпание - не осилит он сделать это в рабочее время так, чтобы не прервать рабочий процесс предприятия. Теоретически, нехватка времени - не проблема админа. У него есть для этого начальство. Но на практике проще уволиться с насиженного места, чем доказывать необходимость увеличить штат в 5 раз.
Расскажете как менялись "галочки" на примере ну вот хотя бы тиктока в США?
Классный подход! Они там творят полные глупости, а мы за ними должны повторять, да?
Не уверен, что это хорошая идея. Сфера не абсолютно жёсткая, при погружении её всё равно будет чуть-чуть сжимать, а значит спускаться она будет с ускорением.
Плюс, воздух в сфере может создать проблемы на глубине. Его же нужно будет оттуда спустить. Как это делать? Отдельным клапаном?
Спускать с вакуумом? Не факт, что насос рассчитанный на работу на глубине будет корректно работать и на поверхности.
Так что возможно, что рабочим вариантом окажется спуск с водой и внешними баллонами на тросах.
На отечественных скрепах!
Это, скорее всего, результат работы нейронки, но можно повторить с помощью магнитов или пружин.
Воспользовались какой-нибудь ещё не опубликованной уязвимостью в nginx и вот Вам джамп на сервере сайта. Дальнейшее распространение по сети - дело техники и времени.
Там ведущего админа БД неделю назад искали с вилкой 150-200.
Стоимость одного джавелина больше $150k, т.е. 12 миллионов рублей - ЗП такого сотрудника за 5 лет? В рамках армейского бюджета скупить можно весь IT-отдел.
Другой вопрос, что не все продаются просто за деньги. И каждая вербовка - риск раскрытия всей схемы.
А главное - нафига, если можно тупо найти уязвимое звено в самой инфраструктуре? Ту же жиру и конфлюенс легально сейчас не обновить, а доступные на торрентах версии дырявые как решето. Спорим на каком-то домене 4-5-го уровня она была?
Вы текущие скорости обмена информации представляете? За время переключения тумблера на их серверах в админы можно всё население РФ записать.
А главное, что админ должен уподобиться герою старой рекламы, который не заплатил налоги. В Аэрофлоте работают тысячи человек. И всем им нужно, по регламенту, менять пароли.
И мы получили текущую ситуацию. Не достаточно иметь RO базу. Сотрудникам должна начисляться зарплата, в складской системе должны выписываться ЗИПы, должно закупаться и списываться питание, должно проводиться ТО, должны проводиться документы о заправке...
И если до этого она была RW, то её вполне можно зашифровать до такой степени, что RO будет уже не на чем включать.
Вы предлагаете методы, которые стали не актуальными 30 лет назад (если не раньше).
Это всё равно что предлагать стреножить электромобиль. Ну, а чего, мой дед лошадей стреноживал, ни одну не украли, значит и электромобиль от угона спасёт.
В РФ есть защищённые системы. В том же Росатоме. Тупо сеть физически отделённая от интернета. Вот она взломостойкая (и то, с оговорками).
А сети, доступ к которым может получить девочка на стойке регистрации в любом уголке РФ, априори невозможно защитить на 100%.
Для этого их сначала установить надо.
До 2014-го ФСБ могли позвонить в СБУ и поинтересоваться, что за перец сидит за таким-то IP. А сейчас даже пробовать не будут, по понятным причинам.
Так что могут проводить как угодно - всё равно исполнители не будут установлены, а Зеленского наверное уже по всем возможным статьям в РФ осудили.
Да ладно, если только бэкдоры, в текущем варианте им всё равно инфраструктуру с нуля поднимать.
В бэкапах могут быть зашифрованы данные. А если они сидели на этом год, то возможно, что повреждены все существующие бэкапы, даже в холодном хранилище.
Понятно, что сдохнуть компании не дадут, даже если ничего не осталось, но IT-департаменту сейчас не позавидуешь.
Вы предлагаете саморезами прикрутить окна к раме. В случае дачного домика - решение надёжное и проверенное временем. Но мы тут имеем окно выдачи заказов в МакАвто - его слишком часто нужно открывать/закрывать.
Есть дистрибутивы, которые работают с защищённых от записи дисков. Такое годится например для роутеров. Но возникает проблема с обновлениями. Для каждого обновления пакетов или настроек нужно менять диск. Ну или выкачивать настройки и софт по сети.
Это не годится например для БД, гипервизоров, файлопомоек... Что-то можно запускать in-memory, но далеко не всё.
Ваш переключатель работал в программном, а не в аппаратном режиме. При реальном взломе его можно обойти. Можно даже этого не делать (раз уж на drive_C всё равно ничего не пишется), а повредить диск с данными. Сам же зловред будет жить в оперативе и распространяться с одного заражённого компа на другой по сети, без записи на диск.
Ваша сеть в 88-м году не падала только по причине её жёсткой изоляции от остального мира. Был бы интернет в то время - взлом был бы вопросом времени.
А ещё в одном жёлтом ТГ канале АФЛТ-системс ищет ведущего администратора СУБД за 150к в офисе... Ищет с 23 июля.
Может дело в тотальной экономии на персонале?
Как показывает практика, присесть можно даже без участия Эзопа. Примеры приводить не буду, а то воспримут за оправдание.
А на счёт устойчивости... Почему бы им и не быть устойчивыми? Это термин "фашизм" придумали в 20-м веке, а само явление существовало задолго до. Те же США времён покорения Америки или времён маккартизма... Существуют и не планируют разваливаться, как бы кому не хотелось. Их даже демократичными, по нынешним меркам, можно назвать.
Раньше, если Вы искали информацию о талибах, то Вас могли взять в разработку, но не завести дело, если Вы не планировали торговать "котиками" или что-то "быстро расширять". А теперь штраф прилетит за сам факт поиска, даже разбираться не будут.
Ну это же КДПВ. При чём, похоже, нарисованная нейронкой.
"Это другое".gif.
Такие подземные хранилища не обеспечивают герметичность, а значит не получится создать внутри вакуум.
Частный бассейн, глубиной 500 метров...
Даже если забыть о стоимости работ по укреплению котлована, энергия потраченная на изъятие грунта похоронит всю идею.
Это сроки для предприятия. Сроки для конкретного сотрудника спускает его руководство. И вот эти сроки - вчера.
И сотрудник мог бы сделать это в инициативном порядке, но требование к обязательной покупке лицензий всё портит.
Вы PXE когда-нибудь настраивали, например?
Не, я понимаю как работает буржуазная политика. Это называется лицемерие.
Она создавалась не то, что не мгновенно, а в неурочное время (знаю минимум 2 таких примера).
А мгновенности требует государство, устанавливая сроки "импортозамещения".
И будет поддерживать за 100500 денег то, что раньше админ за полставки поддерживал, т.к. админ не будет понимать, как эта шляпа работает.
Потому, что или трусы, или крестик. Невозможно одним ртом кричать про прелести открытого рынка, а другим требовать продать зарубежную компанию.
Все 00-е было иначе устроено и нормально работало.
Я тут в закрытом контуре пытался видеокарту в докер на астре пробросить... Статья на сайте астры в платном доступе.
Задача типовая, на убунте решается штатными средствами. В инете 100500 статей на этот счёт. А про астру только по подписке.
Не сильно проще. Там своих тараканов хватает. Один мандатный доступ чего стоит.
Она могла быть создана в инициативном порядке на одном энтузиазме и ящике пива 100500 лет назад, когда админ был студентом и мог тратить на это по 30 часов в сутках 10 дней в неделю.
А сейчас у админа отдышка, семья и хроническое недосыпание - не осилит он сделать это в рабочее время так, чтобы не прервать рабочий процесс предприятия.
Теоретически, нехватка времени - не проблема админа. У него есть для этого начальство. Но на практике проще уволиться с насиженного места, чем доказывать необходимость увеличить штат в 5 раз.
Классный подход! Они там творят полные глупости, а мы за ними должны повторять, да?
Ну если такая дура подлетит на полста метров, то тоже феерично будет.
Не уверен, что это хорошая идея. Сфера не абсолютно жёсткая, при погружении её всё равно будет чуть-чуть сжимать, а значит спускаться она будет с ускорением.
Плюс, воздух в сфере может создать проблемы на глубине. Его же нужно будет оттуда спустить. Как это делать? Отдельным клапаном?
Спускать с вакуумом? Не факт, что насос рассчитанный на работу на глубине будет корректно работать и на поверхности.
Так что возможно, что рабочим вариантом окажется спуск с водой и внешними баллонами на тросах.