Comments 15
Он реально атакует ВПК.. Или просто выявлен только там, просто потому, что там ищут.
А так интересный детектив.
Атакует оборонку или нападалку?
Блять, я недоумеваю. Предприятие ВПК. Чего уж проще, открывать все эти word документы, ссылки и т.д. в линуксе по умолчанию и все. Что сложного? Не квантовая физика.
угу, и весь необходимый юзеру софт запускать на линуксе...
Или держать две машины на одной у юзера стоит почтовый клиент под линуксом, а на второй винда и необходимые (для выполнения его обязанностей) программы. А дальше он ручками открывает файл на линуксе, и если нужно, пересылает себе этот файл на машину с виндой.
Задача: догадайтесь, как быстро пользователь настроит автоматический форвард всех сообщений на виндовую машину?
А под Линукс что, не бывает зловредов что ли?
А под Линукс что, не бывает зловредов что ли?
Бывает, наверное. Но речь идет не о том чего бывает, а чего нет, а о том, что в Линуксе надо ОЧЕНЬ постараться, чтобы подхватить какую-то гадость, как в анекдоте с албанским вирусом. Случайно, мимоходом, открыв документ в письме или зайдя на левый сайт, в форточках — сплошь и рядом. Ну-ка, ну-ка, где вы последний раз слышали о заражении такого рода в Линуксе? И чтобы он нанес ущерб, зашифровав всю систему и всю локальную сеть. В ссылках, что вы привели, речь вроде о многих зловредах, но они не смогут сами попасть в систему, только уж совсем дырявое, типа пароль для ssh 12345. Нет технических подробностей, как он может заразить не имея рут прав. Желтизна в заголовках короче и бла-бла-бла страшилки. Неубедительно. Формально, Вы может и правы, но статистически — ни о чем.
Ну-ка, ну-ка, где вы последний раз слышали о заражении такого рода в Линуксе?
Две недели назад.
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/
Не убедили опять. Это описание пофиксеного бага. Там нет нигде речи о конкретном заражении и последствиях на Линукс системе. На Хабре часто пишут о подробных расследованиях всевозможных зловредов, с конкретными примерами, путями заражения и последствиями и что-то я не припоминаю похожего такого этакого не для форточек. 99.99% для Винды. Возможно я упустил, допускаю такое и оставил 0.01%. Но из раза в раз читая о зловредных dll, docx и видя в примерах скриншоты из Винды, постоянно недоумеваю, чего уж проще то все подозрительное и присланное открывайте в Линуксе и на 99.99% убережете себя от стонов и воплей. A разные желтушные заголовки, типа "10 лет троян ускользал от антивирусов" в 4pda, так себе аргумент.
Там нет нигде речи о конкретном заражении и последствиях на Линукс системе.
Там написано "We are aware of this issue being exploited in other products in the wild" == Уязвимость уже эксплуатируется злоумышленниками на протяжении какого-то неопределенного времени и будет эксплуатироваться пока юзера не обновят уязвимый софт. Эта уязвимость позволяет выполнить на машине юзера произвольный код просто по факту просмотра картинки на странице сайта или внутри письма. Запускать что-либо и выполнять какие-то действия от юзера не требуется. Злонамеренный код в принципе может быть чем угодно. То есть это может быть как какой-то ранее написанный вирус, так и что-то новое. Если зловред уже прошёл в систему через эту уязвимость и успел закрепиться в системе, то он продолжит там работать даже после обновления уязвимого софта.
Так что в сухом остатке совет "открывать только на Линуксе" на самом деле ничего не дает - зловред запустится и на нём тоже, получив доступ ко всему тому, к чему имеет доступ сам пострадавший юзер.
Повторю, там нет подробного описания каким образом он укореняется и насколько серьезно зловред повреждает систему. Вы спорите не со мной, Вы спорите со статистикой. Практика показывает, что для того чтобы уничтожить UNIX-о подобную систему и окружение надо ОЧЕНЬ ПРЕОЧЕНЬ постараться, в отличие от Винды. Поэтому открывать в Линуксе, на самом то деле, таки да убережет от последствий в 99% случаев. Кроме того, я умолчал, как о само собой разумеющемся, что эта линукс машина должна быть отделена от внутренних сетей и не содержать критичных данных и секретов. Даже если она повредится, то восстановить ее из образа, типа LiveCD. Короче, не нужно дорогостоящего оборудования и коллайдеров для первого рубежа обороны от зловредов. А тот кто это понимает(а что тут сложного), но игнорирует, ССЗБ
Мне даже несколько странно, что такие элементарные, само собой разумеющиеся вещи вызывают возражения и минусы(на сами минусы мне насрать, не понимаю мотивы минусующих).
Или держать две машины на одной у юзера стоит почтовый клиент под линуксом, а на второй винда и необходимые (для выполнения его обязанностей) программы.
Именно. Все что приходит снаружи периметра, должно быть физически изолированно.
догадайтесь, как быстро пользователь настроит автоматический форвард всех сообщений на виндовую машину?
Напомню вам, это предприятие ВПК. У пользователя не должно быть таких прав в системе, только у админа. Более того, если уж без форточек ну никак, то виндовая машина не должна быть подключена к внешней сети вообще, а сидеть где-то глубоко внутри за всякими хардверными файрволами и огорожена по самые помидоры. UAC должен быть настроен на максимальное ограничение. Либо вообще только рабочая станция, тонкий клиент к терминальному серверу. Должен быть свой интранет предприятия и все. Никакой связи наружу. Хочешь в одноклассники, дождись окончания рабочего дня и дома делай что хочешь.
В теории все верно, но работают реальные люди со своими слабостями, - безопасность работает только тогда, когда она удобна и незаметна, а все эти ДОЛЖНО, НАДО - не работают. Можно объяснить (и контролировать) одному, десяти, ну пусть 100 людям, но если их тысячи - обязательно найдется слабое звено и все насмарку - одна дырка, и вся выстроенная, дорогостоящая оборона рухнет
"но если их тысячи - обязательно найдется слабое звено и все насмарку - одна дырка, и вся выстроенная, дорогостоящая оборона рухнет".
Согласен, такое предприятие нужно или закрывать, или перепрофилировать, например, в "Зеленстрой".
При СССР моего знакомого уволили и чуть не посадили, за то, что он после работы со спецдокументами не сдал промокашку, на которой расписывал ручку.
Я считаю, что "работают реальные люди со своими слабостями" это отмазка для сотрудников-кадровиков, чтобы прикрыть свои недоработки.
MATA на санскрите означает МАТЬ, вы не правильно название дали.
Искусный MataDoor: как устроен и как действует новый опасный бэкдор, атакующий российскую оборонку