Комментарии 505
В интренете уже начали появляться попытки написания дешифровщиков: github.com/leo-stone/hack-petya
Так дешифровщику этому уже год.
и «ПриватБанк»
Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )
А так, врятли эта атака есть действие одного дня, по любому подготовка уже длится не один месяц (внешние уязвимости, соц.инжинеринг, инсайд), просто «Петя» ждал команды, сегодня её получил.
Отличное, показательное, выступление вирусни — он отлично показал уровень соблюдения АйТи безопасности в гос. учреждениях и не хило так ударил по самолюбию всяких АйТи «Директоров» из разряда «Сыночек, главбуха».
Ничего не имею против автора, но если он на это нарвался то где-то что-то было сделано не так — наверное первое, это, компания, пользующаяся аутсорсом, с таким количеством компов.
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
ну ересь же. Есть примеры ПК на разных ОС (7-10) с последними апдейтами которые молча взяли ребутнулись и попросили 300уе.
А причём тут версия оси до обхода блокировок?
Да и вообще, что такое «с последними апдейтами»? В принципе нет такого понятия как «последний апдейт», ну разве что у вас Win98.
Да и апдейты для того-же ванкрая прикрывают внешние пути проникновении но никак не «изнутри».
В общем смотрите на проблему шире, эта проблема комплексная а не о том стоят апдейты и варез или нет.
Да и вообще, что такое «с последними апдейтами»? В принципе нет такого понятия как «последний апдейт», ну разве что у вас Win98.
Да и апдейты для того-же ванкрая прикрывают внешние пути проникновении но никак не «изнутри».
В общем смотрите на проблему шире, эта проблема комплексная а не о том стоят апдейты и варез или нет.
Да и вообще, что такое «с последними апдейтами»?
Это когда заходишь в обновления и там ничего не пишут.
И в чём гарантия?
То что там ничего не написанно то это не значит что все обновы стоят.
Этот вопрос можно решить только посмотрев лог обнов и сравнить номера с билютенями.
То что там ничего не написанно то это не значит что все обновы стоят.
Этот вопрос можно решить только посмотрев лог обнов и сравнить номера с билютенями.
О, спасибо за коммит в копилку агрументов о том, почему Windows — это зло.
А для этого нужны аргументы?
Вообще ничего не имею против винды, нормальная ось но нужно за ней ухаживать и проблем не будет вообще.
Linux то-же можно настроить так что будет дырявый как друшлак, особенно если обновлять софт раз в надцать лет.
Вообще ничего не имею против винды, нормальная ось но нужно за ней ухаживать и проблем не будет вообще.
Linux то-же можно настроить так что будет дырявый как друшлак, особенно если обновлять софт раз в надцать лет.
Ну, основной аргумент, который я слышу относиться к "юзерфрендли" винде и тому, что она вроде как куда проще linux.
А получается, что я даже не могу убедится, что у меня последние обновления стоят)
Любой механизм может сломаться. Если Windows Update сломался по каким-то причинам — актуальные обновки может и не показать. Но это применимо и к любому другому механизму обновления. Стопроцентных гарантий вам никто не даст.
Как я понял, тут порочность еще в основном механизме обновлений.
Скажем, в Ubuntu есть версия пакета. В один момент можно точно сказать, какая версия пакета стоит и последняя ли она.
В случае с Windows различные апдейты могут пропадать, собиратся в коммулятивные обновления и прочее. В итоге, выяснить если ли у вас конкретный апдейт или нет становится проблематично. Тут дело даже не в глюках, а в самом методе работы.
Увы, в Ubuntu проблема та же. Нужное вам обновление могло просто не попасть из PPA автора программы в репозитарий Ubuntu.
В Winddows с этим проще — микрософт одновременно выпускает обновления для всех версий. В Linux частая ситуация, что в какие-то дистрибутивы обновление попало, а для каких-то нужно качать из PPA.
А как только вы используете PPA — у вас получается несколько «последних» версий. И приходится выяснять, какая из них более последняя. Иногда лучшей версий является вовсе не PPA автора.
В Winddows с этим проще — микрософт одновременно выпускает обновления для всех версий. В Linux частая ситуация, что в какие-то дистрибутивы обновление попало, а для каких-то нужно качать из PPA.
А как только вы используете PPA — у вас получается несколько «последних» версий. И приходится выяснять, какая из них более последняя. Иногда лучшей версий является вовсе не PPA автора.
Разве в Ubuntu не добавляют разные префиксы если пакет уже изначально модифицирован по отношению к оригиналу?
Для какого софта? Вроде почти весь повсеместно используемые софт или имеет свои ppa, которые всегда актуальные, или последняя актуальная версия довольно быстро появляется в ubuntu ppa.
Если же вы говорите про приложение, которое использует довольно маленькое число людей, то на windows у вас даже не будет автоматических обновлений.
Если вспомните про какие-то питоновские пакеты, например, jupyter — то их можно ставить и обновлять через pip, например, так же как для nodejs — npm, для ruby — gem и так далее. Такие проблемы и на винде тоже будут.
Да очень много для какого. Софт из ppa бывает несовместим с дистрибутивом, а софт из дистрибутива — не иметь нужный фич.
Как пример — OpenOCD. Версия из Debian stable — не работает с нашими STM32, от автора — тоже. А то, что работает — какое-то сильное левое и последних обновлений не содержит.
А если вы переходите на buildroot — все ещё веселее.
1) Есть ядро от производителя чипа. С патчами для данного чипа и багами.
2) Есть ванильное ядро, но патчи от производителя туда без бубна не ставятся.
3) Есть нечто смешанное — и не ванильное и не от производителя, но работает.
И тут прилетает необходимость срочно закрыть дыру. И начинаются пляски с бубном и подпиливание патча напильником.
Ну в общем это все примерно одинаково в любой ОС.
Как пример — OpenOCD. Версия из Debian stable — не работает с нашими STM32, от автора — тоже. А то, что работает — какое-то сильное левое и последних обновлений не содержит.
А если вы переходите на buildroot — все ещё веселее.
1) Есть ядро от производителя чипа. С патчами для данного чипа и багами.
2) Есть ванильное ядро, но патчи от производителя туда без бубна не ставятся.
3) Есть нечто смешанное — и не ванильное и не от производителя, но работает.
И тут прилетает необходимость срочно закрыть дыру. И начинаются пляски с бубном и подпиливание патча напильником.
Ну в общем это все примерно одинаково в любой ОС.
А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности? Если вас не устраивает скорость, с которой они выкладывают обновления (к слову, делают они это быстрее, чем Microsoft) никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев) и распространить в своей организации удобным вам способом (aptly, ansible, etc.)
А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности?
Мягко говоря — сказки. То есть это верно только для хомячков. как только вам нужен софт посвежеее — приходится ставиться из PPA. Или вообще из левого источника.
Уже приводил пример — OpenOCD для наших плат берется не с Debian/Stable, и не с сайта авторов, а из левого источника, где оно к нашим STM32 адаптировано.
И обновляется оно там — редко. А основная ветка про наши платы не знает. И так — постоянно. Как только на linux начинаешь серьезно работать — вот такая вот петрушка.
А для безопасности важно то, что заражается. Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
Никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев)
Между прочим, linux — это не только ubunta для хомячков. Можете посмотреть у себя дома — у вас 5-10 машин с линуксом (мобильник, телевизор, роутер, медиаконвертор и так далее) и на всех кроме десктопа — линукс, но далеко не ubunta. Если уж говорить о маcсовом дистрибутиве — это прежде всего buildroot (если можно этот зоопарк назвать дистрибутивом).
А там вообще горе горькое. Ибо ванильное ядро не встает на плату. Нужны патчи от производителя кристалла и от производителя платы. И если в ядре свежая дыра — значит самому, ручками накатывать нужный патч. ну и напильником его подтачивать.
Ну в общем попробуйте ради прикола понять, какое у вас ядро в мобильнике работает. Какие патчи там наложены, какие нет. И из сорцов попытайтесь его обновить. Вот когда вы это сделаете — тогда и поймете, что в линуксе — не легче, чем в винде.
Вы уверены, что свежая версия OpenOCD критически важна для безопасности системы?
Как только будет атака именно на неё — станет важна. Или вы считаете что такая атака невозможна? А пока жаренный петух не клюнет — не важна.
Увы, аналогичного софта — много. Начиная с того же скайпа, который мне пришлось пару лет отнюдь не из репозитариев ставить (на ubuntu между прочим). Или вам и атака на скайп кажется фантастикой?
Увы, аналогичного софта — много. Начиная с того же скайпа, который мне пришлось пару лет отнюдь не из репозитариев ставить (на ubuntu между прочим). Или вам и атака на скайп кажется фантастикой?
Да ставилась на них WinCE, но… Ну в общем на кастомное устройство проще и дешевле поставить линукс. Так что он заслуженно почти монополист.
А ограничиваться мы будем тем, что заражается. Роутеры и фоторамки — вполне себе заражаются.
А ограничиваться мы будем тем, что заражается. Роутеры и фоторамки — вполне себе заражаются.
> Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
Я не понимаю, это ирония такая, или вы это правда серьёзно?
Я не понимаю, это ирония такая, или вы это правда серьёзно?
С сетью он общается (например для отладки приложения в GDB), запускается под рутом (чтобы доступ к физическим устройствам иметь), в чем проблема для него эксплойт сделать?
Руки у вирусописателей не дошли, вот и вся проблема.
Руки у вирусописателей не дошли, вот и вся проблема.
запускается под рутомПочему бы сразу сразу SSH с паролем qwerty наружу не выставить? А вообще, речь вроде шла о безопасности самой системы. Атаковать ваше внешнее устройство, как вы описали ниже — да, скорее всего выйдет. Но не думаю, что за озвученную вами цифру $10k кто-то реально будет этим заморачиваться.
И внешнее, и саму систему, где идет сборка из исходников и прошивка. При цене сорцов в миллион долларов — почему бы не потратиться на промышленный шпионаж? Скажем тем же китайцам.
В порядке паранойи мы и стоимость распиливания кристалла и считывания из ПЗУ электронным микроскопом рассматривали. Тому же SAMSUNG вполне по плечу такое. Дорого, да и Корея не Китай, но при некой цене — будет выгодно.
В порядке паранойи мы и стоимость распиливания кристалла и считывания из ПЗУ электронным микроскопом рассматривали. Тому же SAMSUNG вполне по плечу такое. Дорого, да и Корея не Китай, но при некой цене — будет выгодно.
Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.При правильных конфигах не будет.
подскажите, где же их взять?
Сесть и написать? Сейчас почти в любом Linux-дистрибутиве из коробки есть SELinux или AppArmor. Пускай всякие «Пети» хоть обшифруются, навредить у них никак не выйдет.
Ну попробуйте, напишите… :-)))
Собственно суть атаки такая.
1) Через инет подключаемся к OpenOCD (имитируем GDB).
2) Считываем прошивку из устройства.
3) Извлекаем из неё ключи.
4a) Имеем возможность атаковать любое устройство из серии
4б) Имеем возможность спиратить прошивку.
Устройство — это то, что через OpenOCD отлаживается или прошивается.
Ну и чем ваши правила тут помогут?
Вполне реальная атака, при бюджете в 10 тысяч долларов — ничего нереального не вижу. Китайцам вполне доступно.
Собственно суть атаки такая.
1) Через инет подключаемся к OpenOCD (имитируем GDB).
2) Считываем прошивку из устройства.
3) Извлекаем из неё ключи.
4a) Имеем возможность атаковать любое устройство из серии
4б) Имеем возможность спиратить прошивку.
Устройство — это то, что через OpenOCD отлаживается или прошивается.
Ну и чем ваши правила тут помогут?
Вполне реальная атака, при бюджете в 10 тысяч долларов — ничего нереального не вижу. Китайцам вполне доступно.
Выставлять OpenOCD голой жопой в интернет по-видимому настолько же разумно, насколько разумно делать то же самое с SMB в Windows. Зачем так поступать?
Для выполнения основной цели — удаленной прошивки устройства. :-)
ну как пример командировки в Москву: в 5-30 выехали из Питера, в 19-30 вернулись. В Москве всего 7 часов, из них 2 на дорогу.
И если что случится, то нужно, чтобы коллега (он у себя дома в Питере) исправил срочно. В этой ситуации — в инет выставляется все.
Ну а если время есть — то, да, через vpn-туннели. Но это только если есть время.
P.S. Увы, генеральский эффект никто не отменял. на испытаниях иногда ломается и то, что не должно было никогда сломаться.
ну как пример командировки в Москву: в 5-30 выехали из Питера, в 19-30 вернулись. В Москве всего 7 часов, из них 2 на дорогу.
И если что случится, то нужно, чтобы коллега (он у себя дома в Питере) исправил срочно. В этой ситуации — в инет выставляется все.
Ну а если время есть — то, да, через vpn-туннели. Но это только если есть время.
P.S. Увы, генеральский эффект никто не отменял. на испытаниях иногда ломается и то, что не должно было никогда сломаться.
А заранее vpn-туннель настроить религия не позволяет?
> Но это только если есть время.
Это ваши проблемы, а не проблемы с обновлениями в Linux. И, действительно, почему не подготавливаете оборудование заранее?
Это ваши проблемы, а не проблемы с обновлениями в Linux. И, действительно, почему не подготавливаете оборудование заранее?
Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности. ssh-доступ есть, но иногда его не хватает.
Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Увы. В linux или мэйнстрим — и на конкретном железе не работает. Или патчи для конкретного железа — и никаких обновлений.
Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили? Heartbleed на вашем мобильнике закрыт? А на мобильнике вашей жены. родителей и друзей?
А что на домашнем руотере? Когда последний раз обновления ставили? И есть ли на него обновления вообще? Heartbleed на роутере закрыт?
Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Увы. В linux или мэйнстрим — и на конкретном железе не работает. Или патчи для конкретного железа — и никаких обновлений.
Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили? Heartbleed на вашем мобильнике закрыт? А на мобильнике вашей жены. родителей и друзей?
А что на домашнем руотере? Когда последний раз обновления ставили? И есть ли на него обновления вообще? Heartbleed на роутере закрыт?
> Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили?
Вчера новую прошивку накатил.
> Heartbleed на вашем мобильнике закрыт?
Закрыт.
> А на мобильнике вашей жены. родителей и друзей?
Тоже закрыт.
> А что на домашнем руотере?
Тоже.
> Когда последний раз обновления ставили?
Когда обновлял клиент OpenVPN.
> И есть ли на него обновления вообще?
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).
> Heartbleed на роутере закрыт?
Закрыт.
> Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Ну а вы не используйте платы, которые не поддерживаются в апстриме. Есть и x86-платы на AMD APU, на BayTrail/CherryTrail, есть и ARM-платы, например на Allwinner, на Broadcom (RPi) плюс nVidia делают какие-то телодвижения в верном направлении (но по ценам даже x86 дешевле, чем ARM от nVidia). На все это можно накатить хоть LTS-ветку, хоть свежайший stable, хоть релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение.
Если вы, или ваше руководство, выбираете экономить, и фирма приобретает платы для которых нет обновлений, если лично вы экономите и приобретаете смартфоны и роутеры поддержки которых прямо сейчас нет в апстриме — это ваши проблемы, а не проблемы Linux.
> Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности.
Опять же, это ваши проблемы с планированием, а не проблемы с обновлениями в Linux.
Вчера новую прошивку накатил.
> Heartbleed на вашем мобильнике закрыт?
Закрыт.
> А на мобильнике вашей жены. родителей и друзей?
Тоже закрыт.
> А что на домашнем руотере?
Тоже.
> Когда последний раз обновления ставили?
Когда обновлял клиент OpenVPN.
> И есть ли на него обновления вообще?
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).
> Heartbleed на роутере закрыт?
Закрыт.
> Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Ну а вы не используйте платы, которые не поддерживаются в апстриме. Есть и x86-платы на AMD APU, на BayTrail/CherryTrail, есть и ARM-платы, например на Allwinner, на Broadcom (RPi) плюс nVidia делают какие-то телодвижения в верном направлении (но по ценам даже x86 дешевле, чем ARM от nVidia). На все это можно накатить хоть LTS-ветку, хоть свежайший stable, хоть релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение.
Если вы, или ваше руководство, выбираете экономить, и фирма приобретает платы для которых нет обновлений, если лично вы экономите и приобретаете смартфоны и роутеры поддержки которых прямо сейчас нет в апстриме — это ваши проблемы, а не проблемы Linux.
> Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности.
Опять же, это ваши проблемы с планированием, а не проблемы с обновлениями в Linux.
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).
И насколько часто у вас обновления на роутеры приходят? Вы туда что, OpenWRT залили?
Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Ну а вы не используйте платы, которые не поддерживаются в апстриме.
Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
например на Allwinner,
И сколько лет поставки они гарантируют? Мы используем Renesas с гарантиями поставки 10-20 лет.
Посмотрел линейки AllWinner . Ни одного подходящего проца нету. Нам нужно 5-10 UART, double FPU и cortex-M (лучше M7). то есть даже если отвлечься от того, что они не дают гарантий поставок, то технически — все равно эти машинки нам не подходят.
Если вы, или ваше руководство, выбираете экономить,
Наоборот. Renesas — самый крупный в мире производитель мирококонтролеров. Это и есть upstream, а не allwinder с долями процентов.
Проблема в том, что на апстреме SoС — у линукса очень плохо с поддержкой. Хорошо лишь на пользовательских побрякушках. И то — лишь 2-3 года, пока они работают (а на большее эти ваши allwinder не рассчитаны). А нам нужно, чтобы поддержка была на 10-20 лет. И запчасти 10-20 лет производились.
Ну в общем это как в автомобильной микроэлектронике.
Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
С потребительской электроникой все замечательно, когда она вам для игрушек нужна. И меняете вы её раз в 1-2 года. А если вам нужно жорогое устройство для работы, а не для игры, и вы не планируете его менять 10-20 лет — с поддержкой все ужасно.
Так что экономить — это брать как раз ваш дешевый Allwinder, который 20 лет просто не протянет.
Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха (это мировой лидер в своем сегменте — преобразователей интерфейсов). Обновления есть только на самые популярные машинки и выходят они пару раз в год.
Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
> И насколько часто у вас обновления на роутеры приходят?
В trunk-ветке — каждый день.
> Вы туда что, OpenWRT залили?
Да.
> Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Не CyanogenMod, а LineageOS.
> Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
> Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…
> Мы используем Renesas с гарантиями поставки 10-20 лет.
> Renesas — самый крупный в мире производитель мирококонтролеров.
> Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
> Это и есть upstream, а не allwinder с долями процентов.
Это шутка или вы действительно использовали этот термин неправильно?
> Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Давайте разбираться, понимаете ли вы, про что речь, а то я не первый раз беседую с сеньорами embedded-девелоперами, и уже заметил что с пониманием поддержкой в апстриме у вашей братии большие сложности.
Про запчасти мы сейчас не говорим, так как контекст беседы это security-фиксы. Итак, что означает словосочетание «поддержка в апстриме»?
А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме? Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают. В принципе не исключено, что уровень поддержки плат Renesas тот же, что например у AMD и Intel, я этому не удивлюсь. Но вопрос в том, а проверяли ли вы это?
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.
> Это и есть upstream, а не allwinder с долями процентов.
> Ваши Allwinder
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel? (помимо того, что вы упомянули, что вам нужен Cortex-M, но не упомянули, почему именно Cortex-M). И, пожалуйста, не нужно делать поспешных выводов, лишь бы поскорее выдать ответное сообщение. Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.
В trunk-ветке — каждый день.
> Вы туда что, OpenWRT залили?
Да.
> Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Не CyanogenMod, а LineageOS.
> Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
> Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…
> Мы используем Renesas с гарантиями поставки 10-20 лет.
> Renesas — самый крупный в мире производитель мирококонтролеров.
> Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
> Это и есть upstream, а не allwinder с долями процентов.
Это шутка или вы действительно использовали этот термин неправильно?
> Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Давайте разбираться, понимаете ли вы, про что речь, а то я не первый раз беседую с сеньорами embedded-девелоперами, и уже заметил что с пониманием поддержкой в апстриме у вашей братии большие сложности.
Про запчасти мы сейчас не говорим, так как контекст беседы это security-фиксы. Итак, что означает словосочетание «поддержка в апстриме»?
А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме? Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают. В принципе не исключено, что уровень поддержки плат Renesas тот же, что например у AMD и Intel, я этому не удивлюсь. Но вопрос в том, а проверяли ли вы это?
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.
> Это и есть upstream, а не allwinder с долями процентов.
> Ваши Allwinder
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel? (помимо того, что вы упомянули, что вам нужен Cortex-M, но не упомянули, почему именно Cortex-M). И, пожалуйста, не нужно делать поспешных выводов, лишь бы поскорее выдать ответное сообщение. Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.
Ну что же, назовите модели роутеров, на которые производитель оперативно дает обновления ядра. И назовите модели мобильников на android с регулярными обновлениями ядра. Ваша попытка подмены понятий — не прошла. Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления. Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
Ну что же, скажите, на какой версии ядра базируется последняя прошивка? И когда эта версия вышла? Мне просто лень самому копать. По тому, что успел увидеть — на 4.8, которая в upstream просто не поддерживается, Но могуи ошибиться, так что жду честного ответа от вас.
Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года. Когда это исправление попадет в OpenWRT и когда — в LineageOS? Через месяц? Через полгода? Через год? А я взял первое попавшее CVE, исправленное в ванильном ядре.
Пока что я вижу, что у вас — не лучше, чем у всех. То есть весьма плохо. Или вы себе купили роутер и мобильник без поддержки в upstream?
Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
Вся беда в том, что в ядре периодически бывают мелкие революции и интерфейсы, которыми драйверы общаются с ядром, немного меняются. Если для платы есть девелопер на ставке у компании — драйвера обновляются нормально, с тестированием. Если нету — правка идет довольно формально.
Давайте проверим. Раз уж вы такой любитель AllWinner, то давайте на нем. Ну вот хоть как-то подходящая плата F1C600. Дайте ссылочку на рекомендуемое ядро и работает ли на нем последнее ванильное ядро 4.12? На 99% уверен, что 4.12 на нём лишь формально работает. Наверняка куча багов с портами и так далее. А нормальная поддержка — где-то в 3.10 или 3.18.
Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
Говорим-говорим. Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается. Энтузиастов мало, основная поддержка драйверов идет за счет девелоперов состоящих в штате производителя. сняли плату с производства — перестали оплачивать девелоперу её поддержку.
А оперативно ни у кого не получается. Всегда есть десяток проблем, которые устранены в версии вендора, но ещё не исправлены в upstream. Или новые баги, внесенные в upstream, но отсутствующие в версии вендора. Atmel тоже в upstram комитит, но намного лучше пользоваться их собственной версией.
Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер. У него интерфейсов довольно мало, причем большинство — стандартные.
Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
В идеале нам бы 1 ватт потребляемой мощности, 10 мегов ОЗУ на кристалле, 8 UART, FPU двойной точности, 400 МГц. Идеала нет, но 4 из 5 — бывают. Ну вот, например — STM32H753BI или R7S721000VLFP
Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Вы опять пытаетесь запретить нам разрабатывать платы? Что за дурное желание запретить чужой бизнес? Ну не годятся нам готовые платы. Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует. Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Не согласны — ну что же, приведите пример вендора с ванильным ядром 4.12. А у вас на компе какое ядро? Смотрю на debian 9 -ядро 3.4.113. Актуальное, но — не последнее и не ванильное.
Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
В trunk-ветке — каждый день.
Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
Не CyanogenMod, а LineageOS.
Ну что же, скажите, на какой версии ядра базируется последняя прошивка? И когда эта версия вышла? Мне просто лень самому копать. По тому, что успел увидеть — на 4.8, которая в upstream просто не поддерживается, Но могуи ошибиться, так что жду честного ответа от вас.
Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года. Когда это исправление попадет в OpenWRT и когда — в LineageOS? Через месяц? Через полгода? Через год? А я взял первое попавшее CVE, исправленное в ванильном ядре.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…
Пока что я вижу, что у вас — не лучше, чем у всех. То есть весьма плохо. Или вы себе купили роутер и мобильник без поддержки в upstream?
Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
Итак, что означает словосочетание «поддержка в апстриме»?
Вся беда в том, что в ядре периодически бывают мелкие революции и интерфейсы, которыми драйверы общаются с ядром, немного меняются. Если для платы есть девелопер на ставке у компании — драйвера обновляются нормально, с тестированием. Если нету — правка идет довольно формально.
Давайте проверим. Раз уж вы такой любитель AllWinner, то давайте на нем. Ну вот хоть как-то подходящая плата F1C600. Дайте ссылочку на рекомендуемое ядро и работает ли на нем последнее ванильное ядро 4.12? На 99% уверен, что 4.12 на нём лишь формально работает. Наверняка куча багов с портами и так далее. А нормальная поддержка — где-то в 3.10 или 3.18.
Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
Про запчасти мы сейчас не говорим,
Говорим-говорим. Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается. Энтузиастов мало, основная поддержка драйверов идет за счет девелоперов состоящих в штате производителя. сняли плату с производства — перестали оплачивать девелоперу её поддержку.
Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают.
А оперативно ни у кого не получается. Всегда есть десяток проблем, которые устранены в версии вендора, но ещё не исправлены в upstream. Или новые баги, внесенные в upstream, но отсутствующие в версии вендора. Atmel тоже в upstram комитит, но намного лучше пользоваться их собственной версией.
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.
Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер. У него интерфейсов довольно мало, причем большинство — стандартные.
Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel?
- Очень плохая производительность на ватт энергопотребления.
- Куцые возможности по вводу-выводу, особенно по USART.
- Нет российских аналогов, то есть двойного применения не сделаешь.
В идеале нам бы 1 ватт потребляемой мощности, 10 мегов ОЗУ на кристалле, 8 UART, FPU двойной точности, 400 МГц. Идеала нет, но 4 из 5 — бывают. Ну вот, например — STM32H753BI или R7S721000VLFP
не упомянули, почему именно Cortex-M
Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.
Вы опять пытаетесь запретить нам разрабатывать платы? Что за дурное желание запретить чужой бизнес? Ну не годятся нам готовые платы. Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует. Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Не согласны — ну что же, приведите пример вендора с ванильным ядром 4.12. А у вас на компе какое ядро? Смотрю на debian 9 -ядро 3.4.113. Актуальное, но — не последнее и не ванильное.
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке. Да-да, бинарник драйвера 20летней давности — вполне работает. Это не 100%, есть исключения вроде видеоподсистемы, но для простой перифериии — именно так.
Соответственно в windows вендорам нужно только написать и откомпилировать драйвера. С чем они и справляются.
В linux иная модель. Драйвер, даже загружаемый, должен быть откомпилирован с текущим ядром. Поэтому вендору нужно поддерживать исходный код драйвера в актуальном состоянии. А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Так что вина тут не вендоров, а архитектуры системы.
Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
> А у вас на компе какое ядро?
См. выше: https://habrahabr.ru/post/331762/#comment_10294382
> релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение
> Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года.
Так-так-так, что же там, интересно-интересно… а, вот что: «When a kerberos 5 ticket is being decoded so that it can be loaded into an rxrpc-type key...» Я конечно дико извиняюсь, но с каких пор ядра для смартфонов и роутеров собирают с CONFIG_AF_RXRPC?
> Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления.
> Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
> Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
> В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует.
Раз вы не в теме, то придётся поверить:
https://www.opennet.ru/opennews/art.shtml?num=44368
https://www.opennet.ru/opennews/art.shtml?num=46513
> Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Аж любопытно, полезете проверять, или таки правда лень.
> Мне просто лень самому копать. По тому, что успел увидеть — на 4.8
Видимо не там смотрели: https://android.googlesource.com/kernel/common/+/android-4.9
> Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
По памяти — Nexus 4 и Nexus 7, и точно было что-то ещё, но сходу не вспомню. По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).
> Раз уж вы такой любитель AllWinner
Мимо, я любитель x86-железок, не в последнюю очередь в связи с тем, что на них с обсуждаемым нами вопросом всё обычно гораздо проще (но не всегда, например не с Intel Clover Trail) а в первую потому что на всём не-x86 мрак с 3D-драйверами (разве что кроме Tegra, и то только до EOL).
> Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
И на платах Renesas с их родными ядрами тонна багов — можно прямо брать полный changelog между 3.18 и 4.12 и в каждую строчку пальцем тыкать :)
Да и вам чего время тратить — чтобы узнать какие проблемы есть в 4.12 сразу смотрите, что исправлено в linux-next.
> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучил? (Помимо Intel Clover Trail и nVidia Tegra до X1, которые изначально не поддерживались.)
> А оперативно ни у кого не получается.
Да, но пока изменения идут в апстрим можно собирать из обновляющихся бранчей, вот например бранч для Intel Edison уже обновили до 4.12: https://github.com/andy-shev/linux/tree/eds (не смотря на сворачивание проекта Intel Edison).
Вендор не предоставил вам такой бранч? Ну или пинайте, чтобы предоставили, или накатывайте избранные патчи.
> Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер.
О, а давайте к словам поцепляемся. А планшет это устройство? А планшет с клавиатурой? А тот же самый планшет с неотцепляемой клавиатурой, типа Irbis NB11/14/41/44, Prestigio Smartbook 116/141, 4Good Light AM500?
Или наоборот, а планшет с ноутбучной начинкой, типа Dell 9250 или Chuwi Hi13 — это устройство, или не устройство?
А LTE-модем это устройство? А если внутри него Android в полный рост, как в Yota Swift / Yota Many / Yota Ruby?
А как быть со смарт-часами? Кажется, что устройство, но с 512 МБ ОЗУ и 4 ГБ флеша — хоть Debian ставь.
И так далее. ИМХО, границы размыты до такой степени, что на них можно с чистой совестью забить, что я давно и сделал.
> У него интерфейсов довольно мало, причем большинство — стандартные.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?
> Acer 5920G
> Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
https://launchpad.net/ubuntu/xenial/+source/linux/+changelog
Но нет ни одной причины, по которой 4.12 не заработало бы.
> Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Ну-ка, что там в diff-ах: http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.12/
А в diff-ах там только конфиг да сборка пакетов.
> Очень плохая производительность на ватт энергопотребления.
> Куцые возможности по вводу-выводу, особенно по USART.
> Нет российских аналогов, то есть двойного применения не сделаешь.
Отлично, вот это по делу. Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
По UART — смотрели датащиты SoC или спеки плат? В частности, у BayTrail/CherryTrail в спеках два HSUART и один UART, в то время как на платах фактически встречается 4 UART (и возможно больше, не углублялся). Почему бы не использовать переходники c mPCIe? Есть платы с парой mPCIe, есть переходники с mPCIe на четыре UART.
> Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее. Да и с потреблением у BayTrail/CherryTrail на практике значительно лучше, чем принято думать о x86-решениях. Посмотрим, чем порадует AMD в APU G-серии на базе Ryzen.
> > Внимательно изучите
> Вы опять пытаетесь запретить нам
Привет
> Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.
> Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
> Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
А дома-то ещё на Семёрке сидите, или уже обновились?
> А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности. Я вот не пойму, у Renesas деньжат не хватает, или в чем там беда? И, опять же, «А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме?» — так что там с этими платами?
См. выше: https://habrahabr.ru/post/331762/#comment_10294382
> релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение
> Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года.
Так-так-так, что же там, интересно-интересно… а, вот что: «When a kerberos 5 ticket is being decoded so that it can be loaded into an rxrpc-type key...» Я конечно дико извиняюсь, но с каких пор ядра для смартфонов и роутеров собирают с CONFIG_AF_RXRPC?
> Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления.
> Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
> Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
> В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует.
Раз вы не в теме, то придётся поверить:
https://www.opennet.ru/opennews/art.shtml?num=44368
https://www.opennet.ru/opennews/art.shtml?num=46513
> Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Аж любопытно, полезете проверять, или таки правда лень.
> Мне просто лень самому копать. По тому, что успел увидеть — на 4.8
Видимо не там смотрели: https://android.googlesource.com/kernel/common/+/android-4.9
> Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
По памяти — Nexus 4 и Nexus 7, и точно было что-то ещё, но сходу не вспомню. По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).
> Раз уж вы такой любитель AllWinner
Мимо, я любитель x86-железок, не в последнюю очередь в связи с тем, что на них с обсуждаемым нами вопросом всё обычно гораздо проще (но не всегда, например не с Intel Clover Trail) а в первую потому что на всём не-x86 мрак с 3D-драйверами (разве что кроме Tegra, и то только до EOL).
> Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
И на платах Renesas с их родными ядрами тонна багов — можно прямо брать полный changelog между 3.18 и 4.12 и в каждую строчку пальцем тыкать :)
Да и вам чего время тратить — чтобы узнать какие проблемы есть в 4.12 сразу смотрите, что исправлено в linux-next.
> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучил? (Помимо Intel Clover Trail и nVidia Tegra до X1, которые изначально не поддерживались.)
> А оперативно ни у кого не получается.
Да, но пока изменения идут в апстрим можно собирать из обновляющихся бранчей, вот например бранч для Intel Edison уже обновили до 4.12: https://github.com/andy-shev/linux/tree/eds (не смотря на сворачивание проекта Intel Edison).
Вендор не предоставил вам такой бранч? Ну или пинайте, чтобы предоставили, или накатывайте избранные патчи.
> Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер.
О, а давайте к словам поцепляемся. А планшет это устройство? А планшет с клавиатурой? А тот же самый планшет с неотцепляемой клавиатурой, типа Irbis NB11/14/41/44, Prestigio Smartbook 116/141, 4Good Light AM500?
Или наоборот, а планшет с ноутбучной начинкой, типа Dell 9250 или Chuwi Hi13 — это устройство, или не устройство?
А LTE-модем это устройство? А если внутри него Android в полный рост, как в Yota Swift / Yota Many / Yota Ruby?
А как быть со смарт-часами? Кажется, что устройство, но с 512 МБ ОЗУ и 4 ГБ флеша — хоть Debian ставь.
И так далее. ИМХО, границы размыты до такой степени, что на них можно с чистой совестью забить, что я давно и сделал.
> У него интерфейсов довольно мало, причем большинство — стандартные.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?
> Acer 5920G
> Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
https://launchpad.net/ubuntu/xenial/+source/linux/+changelog
Но нет ни одной причины, по которой 4.12 не заработало бы.
> Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Ну-ка, что там в diff-ах: http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.12/
А в diff-ах там только конфиг да сборка пакетов.
> Очень плохая производительность на ватт энергопотребления.
> Куцые возможности по вводу-выводу, особенно по USART.
> Нет российских аналогов, то есть двойного применения не сделаешь.
Отлично, вот это по делу. Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
По UART — смотрели датащиты SoC или спеки плат? В частности, у BayTrail/CherryTrail в спеках два HSUART и один UART, в то время как на платах фактически встречается 4 UART (и возможно больше, не углублялся). Почему бы не использовать переходники c mPCIe? Есть платы с парой mPCIe, есть переходники с mPCIe на четыре UART.
> Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее. Да и с потреблением у BayTrail/CherryTrail на практике значительно лучше, чем принято думать о x86-решениях. Посмотрим, чем порадует AMD в APU G-серии на базе Ryzen.
> > Внимательно изучите
> Вы опять пытаетесь запретить нам
Привет
> Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.
> Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
> Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
А дома-то ещё на Семёрке сидите, или уже обновились?
> А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности. Я вот не пойму, у Renesas деньжат не хватает, или в чем там беда? И, опять же, «А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме?» — так что там с этими платами?
> По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).
Поправка: имел ввиду объем флеша.
Поправка: имел ввиду объем флеша.
Прошу прощения, был в командировке, времени на треп не было.
Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.
А кому они нужны для работы на ARM??? Игрушки разве что писать.
Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.
С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART. Вся беда в том, что подсистема UART — часть подсистемы терминалов. Да ещё каждый драйвер — на десяток (иногда сотню) микросхем с похожим протоколом. Так что проблемы с конкретной реализацией UART — бывают часто. Ну скажем не 1 сбойный байт в сутки на RS485, а на порядок больше. Это при передаче примерно гигабайта в сутки. Ну так принято — RS485 настраивает до 1 ошибки в сутки при передаче на 115200.
Кстати, I2S — что за зверь? Может I2C?
Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200? Так что нам нужен безрадиаторный процессор с энергопотреблением в полватта. Общее энергопотребление всей платы, включая 3 GPS-приемника — до 2х ватт. Но мы бы не отказались ещё уменьшить энергопотребление. При этих полватта на процессор — это 856 DMIPS (чуть быстрее Intel Pentium Pro).
Поэтому мы постепенно отказываемся от linux.
Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса. Собственно проблема в том, что драйверы в linux являются частью ядра.
С одной стороны это дает возможность постоянно менять интерфейсы драйвера с ядром, оперативно добавлять возможности сразу во всю подсистему и так далее. С другой стороны — фиксированный интерфейс и бинарные версии драйверов — стабильнее. Тот драйвер, что я компилил для windows NT — работает до сих пор, в любой новой винде.
Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.
Так что увы, чем дальше — тем больше линукс становится системой для китайского барахла. :-(((
релиз-кандидат 4.12, который например стоит на планшете
Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
Раз вы не в теме, то придётся поверить
Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.
на всём не-x86 мрак с 3D-драйверами
А кому они нужны для работы на ARM??? Игрушки разве что писать.
> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучи
Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
О, а давайте к словам поцепляемся. А планшет это устройство?
Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?
С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART. Вся беда в том, что подсистема UART — часть подсистемы терминалов. Да ещё каждый драйвер — на десяток (иногда сотню) микросхем с похожим протоколом. Так что проблемы с конкретной реализацией UART — бывают часто. Ну скажем не 1 сбойный байт в сутки на RS485, а на порядок больше. Это при передаче примерно гигабайта в сутки. Ну так принято — RS485 настраивает до 1 ошибки в сутки при передаче на 115200.
Кстати, I2S — что за зверь? Может I2C?
Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200? Так что нам нужен безрадиаторный процессор с энергопотреблением в полватта. Общее энергопотребление всей платы, включая 3 GPS-приемника — до 2х ватт. Но мы бы не отказались ещё уменьшить энергопотребление. При этих полватта на процессор — это 856 DMIPS (чуть быстрее Intel Pentium Pro).
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее.
Поэтому мы постепенно отказываемся от linux.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.
Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса. Собственно проблема в том, что драйверы в linux являются частью ядра.
С одной стороны это дает возможность постоянно менять интерфейсы драйвера с ядром, оперативно добавлять возможности сразу во всю подсистему и так далее. С другой стороны — фиксированный интерфейс и бинарные версии драйверов — стабильнее. Тот драйвер, что я компилил для windows NT — работает до сих пор, в любой новой винде.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности.
Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.
Так что увы, чем дальше — тем больше линукс становится системой для китайского барахла. :-(((
«В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке.»
Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает мой старенький принтер/сканер/любимый девайс?
Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.
Вина тут именно архитектуры и MS, которые отказываются от поддержки старых версий ОС (по вполне разумным причинам), и вендоры вслед за MS перестают выпускать драйвера под более старые версии OS, а для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.
Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает мой старенький принтер/сканер/любимый девайс?
Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.
Вина тут именно архитектуры и MS, которые отказываются от поддержки старых версий ОС (по вполне разумным причинам), и вендоры вслед за MS перестают выпускать драйвера под более старые версии OS, а для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.
И виной тому — использование системо-зависимых API и недокументированных функций, а также систем защиты кода, активно использующих грязные хаки.
Нормально написанный под WinXP 32-битный драйвер USB-устройств должен работать и в 64-битной десятке.
Драйвера не выпускают, но иногда хватает изменений в файле .inf, чтобы устройство определилось и заработало. Подключал так старый принтер HP 1000 к win7_x64 и звуковую карту audigy к win10_x64.
Вы не понимаете весь ужас в linux. Вот есть у меня 4хпортовая PCI-плата. Она не заводится в ubuntui з-за несколько неверных адресов портов. Я могу исправить это в драйвере. НО! При каждом обновлении ядра мне придется заново вносить правку и компилировать ядро из исходников. Это при каждом обновлении ядра, которых чуть ли не сотня для LTS-системы.
Десяток раз в год!
На windows тот драйвер. где я правил сорцы — работает со времен windows NT 4. И бинарник тот же.
Не вижу кучи воплей сейчас. Они были во времена, когда существовали 3 варианта драйверов — win 3.1, winт 95, win NT. В linux вопить бесполезно — на кучу оборудования драйверов просто нет.
на принтер и сканер очень любят вместо драйвера сделайть комбайн на сотню мегабайт — драйвер + сервис + приложение + сайт для заказха расходников… Ну в общем нажал на кнопку на сканере — получил документ в ворд, уже переведенный в текст. И вот такие комбайны — да, плохо переносят смену версии.
НО! У вас на виндоус переставал работать драйвер из-за обновления ядра? Ну хоть раз было такое?
Рекомендую ознакомится с блогом PSV-Studio, например с этой статьей.
Эта проблема одинакова для всех систем. Единственное — в linux принято писать программы сразу переносимыми на разные архитектуры, включая 64 битные и архитектуры с другим порядком байтов в слове. Если писать сразу переносимо — расходы на перенос меньше, да и размазаны на всю стадию написания кода.
Если речь про устройство с драйвером для windows 3.1 или windows 95 — вы правы. Если есть драйвер для windows XP и ваша система 32битная — то шансы, что удастся заставить его заработать в Vista, win 7/8/10 — достаточно большие. А на 64битную систему — да, 32битный драйвер не встанет. И из комбайна — придется выдирать именно драйвер.
Десяток раз в год!
На windows тот драйвер. где я правил сорцы — работает со времен windows NT 4. И бинарник тот же.
Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает
Не вижу кучи воплей сейчас. Они были во времена, когда существовали 3 варианта драйверов — win 3.1, winт 95, win NT. В linux вопить бесполезно — на кучу оборудования драйверов просто нет.
мой старенький принтер/сканер/любимый девайс?
на принтер и сканер очень любят вместо драйвера сделайть комбайн на сотню мегабайт — драйвер + сервис + приложение + сайт для заказха расходников… Ну в общем нажал на кнопку на сканере — получил документ в ворд, уже переведенный в текст. И вот такие комбайны — да, плохо переносят смену версии.
НО! У вас на виндоус переставал работать драйвер из-за обновления ядра? Ну хоть раз было такое?
Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.
Рекомендую ознакомится с блогом PSV-Studio, например с этой статьей.
Эта проблема одинакова для всех систем. Единственное — в linux принято писать программы сразу переносимыми на разные архитектуры, включая 64 битные и архитектуры с другим порядком байтов в слове. Если писать сразу переносимо — расходы на перенос меньше, да и размазаны на всю стадию написания кода.
для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.
Если речь про устройство с драйвером для windows 3.1 или windows 95 — вы правы. Если есть драйвер для windows XP и ваша система 32битная — то шансы, что удастся заставить его заработать в Vista, win 7/8/10 — достаточно большие. А на 64битную систему — да, 32битный драйвер не встанет. И из комбайна — придется выдирать именно драйвер.
Ядро-то зачем пересобирать? Достаточно же собирать только драйвер
А что ещё делать, если драйвер включен в ядро? Чтобы сделать его загружаемым — тоже нужно перекомпилить ядро при каждом обновлении. Это же не windows, чтобы все драйвера (кроме небольшой горстки) были загружаемыми.
Если это такой важный драйвер, что включен в ядро — почему не написать про эти порты разработчикам драйвера?
Это не важный для драйвер для компа, но это драйвер COM-порта, Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,
Более того, это не просто драйвер COM-порта, это драйвер 8250/16450/16550/16650/16750/16850. Иными словами, это драйвер с древней историей, используемый на сотне разновидностях микросхем. И любая правка — должна проверяться на всем этом зоопарке.
А писать разработчикам — бесполезно. И не только потому, что ради профессиональной (то есть редкой) платы они не рискнут испортить поведение на китайской (то есть популярной) комплектухе.
Гораздо важнее, что у меня Ubuntu 14.04 LTS. Ядро там вроде 3.13. И ставить туда новое, не тестированное разработчиками ubuntu, ядро — я не буду.
И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре
Сколько это займет? Думаю от 3 до 5 лет, не меньше.
А причиной — неудачный дизайн linux. Если бы драйверы не были бы частью ядра (как в windows), достаточно было один раз исправить ошибку и скомпилировать драйвер.
А необходимость бэкпортировать любое исправление ошибок в драйверах в старые версии приводит к тому, что в linux хорошо поддерживаются лишь дешевая китайская комплектуха. Чем профессиональней плата — тем меньше шансов, что она будет работать под linux.
Более того, это не просто драйвер COM-порта, это драйвер 8250/16450/16550/16650/16750/16850. Иными словами, это драйвер с древней историей, используемый на сотне разновидностях микросхем. И любая правка — должна проверяться на всем этом зоопарке.
А писать разработчикам — бесполезно. И не только потому, что ради профессиональной (то есть редкой) платы они не рискнут испортить поведение на китайской (то есть популярной) комплектухе.
Гораздо важнее, что у меня Ubuntu 14.04 LTS. Ядро там вроде 3.13. И ставить туда новое, не тестированное разработчиками ubuntu, ядро — я не буду.
И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре
Сколько это займет? Думаю от 3 до 5 лет, не меньше.
А причиной — неудачный дизайн linux. Если бы драйверы не были бы частью ядра (как в windows), достаточно было один раз исправить ошибку и скомпилировать драйвер.
А необходимость бэкпортировать любое исправление ошибок в драйверах в старые версии приводит к тому, что в linux хорошо поддерживаются лишь дешевая китайская комплектуха. Чем профессиональней плата — тем меньше шансов, что она будет работать под linux.
Вот вы сами пишите:
Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,
Причем тут неудачный дизайн linux?
Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?
Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?
1) Давно видели комп с встроенным ком-портом? "In the book PC 97 Hardware Design Guide, Microsoft deprecated support for the RS-232 compatible serial port of the original IBM PC design"
2) На тех персоналках, где есть комп-порт, вы хоть раз его использовали как главную консоль?
3) А для промышленных машинок — все равно свое ядро компилится. Ибо хватает редкой периферии.
Это был ответ на вопрос, почему зашитый в ядро драйвер сом-порта — атавизм.
Причем тут неудачный дизайн linux?
При хорошем дизайне все драйвера выгружаемые/отключаемые. Включая скомпиленные в ядро. Посмотрите, как стартует виндоус. Вначале видеоподсистема встроенyая и простейшая, потом встроенный видеодрайвер отключается и загружается уже драйвер конкретной видеоплаты.
Ещё раз. Основная проблема дизайна linux — отсутствие бинарной совместимости драйверов. Все остальное — уже печальные следствия.
С другой стороны, в windows не менее 18 типов драйверов, что тоже сложно назвать хорошим дизайном.
Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie (вы видимо не слышали о том, что Stretch уже в stable, что в некотором роде равноценно 16.04). Может даже надумаете чего.
Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.
Бида-бида, у кучи драйверов в ядре вообще по одному мейнетру, а многие уже годами не обновлялись (ну, необходимости не было) — как вы будете теперь жить с этим знанием?
А кому они нужны для работы на ARM??? Игрушки разве что писать.
Нихрена себе, IVI в автомобиле это стало быть игрушки, причём я даже знаю какой жанр — гоночки. О других примерах сами догадаетесь?
Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
Это с каких пор мейнтеры подсистем ядра начали принимать патчи без их тестирования, позвольте поинтересоваться?
Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.
Хорошо, что всё просто и понятно, но что там насчет планшета с клавиатурой? Без клавиатуры специализированный компьютер, а с чехлом-клавиатурой — внезапно универсальное устройство?
С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART.
То есть UART у вас на платах Renesas отвалился на апстримном ядре?
Кстати, I2S — что за зверь? Может I2C?
Может набрать I2S в Гугле и кликнуть по первой строчке? Например.
Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200?
Думаю, что либо ваши проекты это только квадракоптеры, либо вы в зависимости от моего вопроса, будете приводить любой пример, лишь бы не соглашаться :)
Ну серьёзно, у вас что, на всех проектах требования по производительности на ватт как при проектировании квадрокоптеров? Что за цирк, а?
Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.
Поддержка железа Renesas в Linux — очень плоха, так?
Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса.
Так и осталась неизвестной версия ОС у вас дома — седьмая или десятая.
Не вижу кучи воплей сейчас.
Железо, тем не менее, никуда не делось, и драйвера к нему так и не обновили. Частично вопрос постепенно решается тем что люди избавляются от старого железа (продают на eBay/Avito/etc. тем, кто согласен пользоваться им на Win7, то есть тем, кто не будет вопить; я сам так делал) и обзаводятся новым, и частично тем, что в Win10 подставляют костыли под старые драйвера, например спустя два года после выхода Win10 были добавлены костыли для видеодрайверов Intel Clover Trail 2013 года.
И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре
По второму пункту — достаточно написать патч так, чтобы код отрабатывал только на конкретном устройстве.
Пункт 3 явно занял бы меньше времени, чем вы уже потратили на пересборку вышедших ядер.
Вместо 4а и 4б можно договориться с разработчиками из Canonical о бэкпортировании патча, делал это неоднократно.
А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie
Отлично! Вы наконец начинаете понимать… Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются. И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?
Ну вот и в еmbeded — ровно так же. На старых ядрах от вендоров — поддержка есть, новых ядер от вендоров нет, на новых ядрах из менйстрима — поддержки нет (или она плохая).
Очень рад, что вы наконец-то поняли, о чем речь.
у кучи драйверов в ядре вообще по одному мейнетру, а многие уже годами не обновлялись (ну, необходимости не было)
Вам уже говорилось об этом:
Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
Это с каких пор мейнтеры подсистем ядра начали принимать патчи без их тестирования, позвольте поинтересоваться?
Вот так и представляю себе мейнтейнера ком-порта 8250/16450/16550/16650/16750/16850 в окружении тысячи плат, собранных на сотне разных микросхем. :-)
Не смешите, мейнтейнер тестирует лишь на нескольких устройствах из тысячи поддерживаемых. Остальное — дело тестеров (если они есть). Ну или девелоперов конкретного устройства.
Так что постепенно, по мере изменений в драйвере, поддержка старых устройств начинает глючить. В итоге формально — поддерживает, а фактически — ужас.
Хорошо, что всё просто и понятно, но что там насчет планшета с клавиатурой?
Хоть с ней, хоть без неё — это универсальный компьютер. Потому что какую программу запускать — определяете вы, а не разработчик. А устройство — это когда у вас защита одна программа. Например — автомобильный навигатор, bookreader и так далее. Прошьете туда linux — станет компом, А пока не прошили — это устройство.
То есть UART у вас на платах Renesas отвалился на апстримном ядре?
Да в общем-то на любом апстримном ядре поддержка UART оставляет делать лучшего. Ну кроме совсем уж обычного 16550A. UART-подсистема тесно связано с TTY и DMA, изменения там часты. Не протестировали — значит хороший шанс (порядка процентов), что поломали. Изменений много, так что за 5-10 версий ядра ломается наверняка.
Ну серьёзно, у вас что, на всех проектах требования по производительности на ватт как при проектировании квадрокоптеров? Что за цирк, а?
Думаете в морской технике лучше? Там стальной корпус со стенками 5 миллиметров. Пару тонн воды или льда на корпус — может принять запросто при шторме. И в общем-то ничего не с прибором будет. «Диапазон рабочих температур:-15º…+60 ºС»
Понятно, что вентиляторы не годятся. Ну вот и представьте себе — +60 снаружи корпуса, а в корпусе — печка на 20 ватт. Какая рабочая температура у процессора будет? И сколько он протянет при этой температуре?
Примерно то же самое и на РЖД, и в автомобильной технике (не забываем про пустыни, так что тоже IP68). У нас всюду — допустимо -15 — +60 во включенном состоянии и -60 — +80 — в выключенном.
Горячие процессоры нам не годятся. Теплые — тоже. Используем холодные.
Зато требования по производительности — небольшие. В переводе на x86 — pentium II на 300 Мгц хватит.
Железо, тем не менее, никуда не делось, и драйвера к нему так и не обновили.
А приведите пример железа, к которому не подходят старые драйверы? Видеоадаптеры небось? И ещё всякие комбайны на 100 мегов из драйвера сервиса и черта в ступе?
Почему-то у нас на восьмерку и десятку старые драйвера встают. И что мы делаем не так?
По второму пункту — достаточно написать патч так, чтобы код отрабатывал только на конкретном устройстве.
На конкретной плате или на конкретной микросхеме? Если на плате — так слишком узко, если на микросхеме — так как оттестировать кучу плат на её основе?
Пункт 3 явно занял бы меньше времени, чем вы уже потратили на пересборку вышедших ядер.
Включение патча в апстрим даже у компаний занимает годы. Мы сделали проще — запускаем Debian в виртуалке под Windows.
Вместо 4а и 4б можно договориться с разработчиками из Canonical о бэкпортировании патча, делал это неоднократно.
Ну значит у вас некий особый статус.
Ещё раз повторю. Причина проблем с драйверами в linux — это включение драйверов в ядро. На Windows в тяжелом случае можно перебрать десяток бинарных драйверов и найти работающий. В linux в том же случае нужно перебирать ядра. А потом — точно так же перебирать ядра для другого устройства. и делать свой костыль из драйверов, выдранных из разных ядер.
P.S. если уж вам так интересно — у меня XP на работе, Win 7 дома и Win 10 на ноуте.
Забыл ответить…
Все, что не игрушки — перечислено в приложении к ПДД. Называется "Перечень неисправностей и условий, при которых запрещается эксплуатация транспортных средств". Пока вашей IVI там нету — она относится к игрушкам.
Когда беспилотные автомобили войдут в ПДД — наша система в этом списке видимо будет.
IVI в автомобиле это стало быть игрушки,
Все, что не игрушки — перечислено в приложении к ПДД. Называется "Перечень неисправностей и условий, при которых запрещается эксплуатация транспортных средств". Пока вашей IVI там нету — она относится к игрушкам.
Когда беспилотные автомобили войдут в ПДД — наша система в этом списке видимо будет.
А пока тоже игрушка
у меня XP на работе, Win 7 дома и Win 10 на ноуте.
Это многое объясняет, да.
Пока вашей IVI там нету — она относится к игрушкам.
Такая точка зрения — ваша личная проблема, не имеющая отношения к индустрии в целом и экосистеме ARM в частности.
А вы перестаёте понимать, так как речь, очевидно, идёт про планшет на базе x86 SoC (другие в Ubuntu и Debian просто не поддерживаются на данный момент, насколько мне известно) а вы далее приводите пример с ARM SoC:Отлично! Вы наконец начинаете понимать…Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie (вы видимо не слышали о том, что Stretch уже в stable, что в некотором роде равноценно 16.04). Может даже надумаете чего.
Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются.
Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.
ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.На старых ядрах от вендоров — поддержка есть, новых ядер от вендоров нет, на новых ядрах из менйстрима — поддержки нет (или она плохая). Очень рад, что вы наконец-то поняли, о чем речь.
Привет
И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?
Вендоры.
Вам уже говорилось об этом
Вы видимо забыли, что речь шла о количестве разработчиков LEDE.
Вот так и представляю себе мейнтейнера ком-порта 8250/16450/16550/16650/16750/16850 в окружении тысячи плат, собранных на сотне разных микросхем. :-)
Не утрируйте, вы отлично знаете, что речь не об этом.
Так что постепенно, по мере изменений в драйвере, поддержка старых устройств начинает глючить. В итоге формально — поддерживает, а фактически — ужас.
Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.
Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Прошьете туда linux — станет компом, А пока не прошили — это устройство.
Исходно речь шла об обновлениях Linux на устройствах, сейчас пишите что прошивка Linux уже делает устройство компом. Вы уж определитесь.
То есть UART у вас на платах Renesas отвалился на апстримном ядре?Изменений много, так что за 5-10 версий ядра ломается наверняка.
Ближе к делу, на платах Renesas, поддержку которых они добавили в апстрим (если у вас такие есть) отвалился UART, так? На каких?
На каких платах Renesas, которые поддерживаются в апстриме, конкретно У ВАС отвалился UART в Linux 4.12?
Какая рабочая температура у процессора будет? И сколько он протянет при этой температуре?
У AMD APU G-Series максимальные показатели порядка -40 +120 (могут варьироваться в зависимости от платы) у Intel смотрите thermal design guide для той серии процессоров, которая установлена на плату, там найдёте нужные вам формулы.
В общем, пока я не вижу убедительных аргументов за то, чтобы кушать кактус сборок под конкретные платы с ARM SoC, вместо того, чтобы пользоваться x86 SoC. Конечно, если речь идёт о платах c ARM SoC, поддержки которых нет в апстриме, а у Renesas очень может быть, что она таки есть.
А приведите пример железа, к которому не подходят старые драйверы? Видеоадаптеры небось? И ещё всякие комбайны на 100 мегов из драйвера сервиса и черта в ступе?
К принтерам HP например кажется год драйвера никак не могли обновить, насколько я помню, ко многим так и не обновили. Плюс там всякое веселье, типа на Семёрке печать по сети на этот принтер работает, ставим на Десятке — не работает или глючит, и т.д. У менее массовых производителях принтеров (чем, скажем, HP, Samsung, и несколько других крупнейших) с драйверами, которые на родных-то, официально поддерживаемых системах глючат, на Десятке стало ещё веселее.
Само собой такие железки есть во всех категориях, не только среди принтеров, но в целом веселее всего с ноутбуками (а так же планшетами, нетбуками, неттопами и т.д.) — вот где самый смак. Особенно с гибридной графикой, и драйверами, обновление которых прекращено. На Десятке драйвер может быть доступен и устанавливаться с Windows Update, но без поддержки OpenGL, и без панели настроек (и к примеру RGB Range с Limited 16-235 на Full 0-255 у HDMI-выхода становится не переключить).
Почему-то у нас на восьмерку и десятку старые драйвера встают. И что мы делаем не так?
Ну так и у меня на планшете 4.12 работает, а не 3.0-3.4, видимо тоже что-то не так делаю.
На конкретной плате или на конкретной микросхеме? Если на плате — так слишком узко, если на микросхеме — так как оттестировать кучу плат на её основе?
Этот вопрос вы уже с мейнтером подсистемы решайте. В целом quirk-и под кривое железо — обычное дело, с этим ничего не поделать, они иногда нужны, их следует добавлять по мере обнаружения такого железа.
Включение патча в апстрим даже у компаний занимает годы. Мы сделали проще — запускаем Debian в виртуалке под Windows.
Вот это Enterprise, вот это я понимаю — стабильность и надёжность. Хотя Debian и oldstable, Windows хоть не XP (я надеюсь) и на том спасибо.
Ну значит у вас некий особый статус.
У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.
А вы перестаёте понимать, так как речь, очевидно, идёт про планшет на базе x86 SoC (другие в Ubuntu и Debian просто не поддерживаются на данный момент, насколько мне известно) а вы далее приводите пример с ARM SoC:
Наоборот, Ubuntu_Touch насколько я знаю, поддерживала только ARM. Debian 9 вполне работает на OrangePie на ARM, разве там есть проблемы с поддержкой сенсорного экрана? Но экран нам просто не нужен. Вот вам список девелоперских машин, поищите там «правильную» модель планшета
Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.
Вот-вот-вот. Ровно тоже самое и в embebed. Ну разве что платы мы делаем сами и сборки ядер — тоже. А вот работающие сорцы — да, только от вендоров. Все остальное — или глючит или отстает на пару лет.
И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?
Вендоры.
Все вендоры шагают не в ногу? Может в консерватории что подправить?
Собственно на этом спор стоит закончить. Вы считаете, что виноваты все вендоры. а я считаю, что включение драйверов в ядро — это неудачный дизайн linux. При хорошем дизайне драйвера должны поддерживаться вендорами и распространяться отдельно. Лучше в сорцах, но можно допустить и бинарное распространение. Уверяю. вас, линукс к этому придет. FUSE — шаг в верном направлении.
Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.
В моей практике это случается постоянно. Более того, как ни удивительно, встречается и с менйстримовыми подсистемами. Вы просто не понимаете уровень требований к аппаратуре, принятой в embeded. Ну например, на одной машинке на ядре 2.6.9 после сотен тысяч обменов по USB обмен прекращался. Пришлось разбираться, искать патч и собирать своё ядро. Но это USB, то есть подсистема даже без патчей вендора. И готовая машинка от вендора, а не наша собственная плата.
Беда в том, что для нас эта сотня тысяч — это 3 часа работы. А система должна работать в запертом контейнере, причем выдача ключей от этого контейнера — идет с записью в специальный журнал (радиопередающее оборудование морской связи МЧС).
И так — постоянно. И любой embeded разработчик много такого расскажет. Так что ситуация «собираем ядро и все работает» — редкость. Вначале устраняем собственные ошибки при конфигурировании, потом — ищем патчи на то, что работает со сбоями. И постоянный выбор — в этом ядре работают хорошо такие-то устройства, а вот в этом — другие. :-))
И как видите, выбор готовой машинки — не спасает. :-) Да и не годится нам обычно готовая. Своя хороша тем, что за очень короткое время делаем интерфейсы под заказчика.
Исходно речь шла об обновлениях Linux на устройствах, сейчас пишите что прошивка Linux уже делает устройство компом. Вы уж определитесь.
Вот у вас читалка. И вас все равно, что внутри — linux, freeBSD, QNX или windows. Потому что доступа к ОС у вас нет. Есть только доступ к одной программе (оболочке). Это — устройство. Как только у вас на штатном экране будет доступ к ОС — это уже компьютер.
Если пользователь может на вашем IVI запустить свои программы — это компьютер. Если не может — устройство. Так что всякие мобильники на андроиде — вполне себе компьютеры. а вот простые телефоны без JAVA — устройства.
Мне странно, что разработчик IVI (и, видимо, LEDE) не понимает этой разницы.
К принтерам HP например кажется год драйвера никак не могли обновить,
Особенно с гибридной графикой, и драйверами, обновление которых прекращено
Да, под видом драйвера для принтера часто втюхивается дикий монстр из драйвера, сервисов, прикладных программ… Но если вы вынете из этого зоопарка сам драйвер — он заработает. Более того, на принтерах HP — PCL, а это значит, что заработает любой драйвер на PCL5 или PCL6. Да, чуть меньше управления лотками. Но печатать — можно.
Видеокарты — это отдельная песня. Видеоподсистема в Windows является частью ядра. И там дйествительно нету совместимости между версиями.
Windows хоть не XP (я надеюсь)
УВЫ, Нам надо чтобы то, что мы делаем на windows — запускалось на любом компе. Самый простой способ этого достигнуть — разрабатывать на XP. А в остальных системах — оно и так работает, без всяких правок.
У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.
Ну-ну, я правильно понимаю, что вы разработчик LEDE? А мы — не системщики, мы прикладники.
У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.
У меня тоже нету особого статуса и даже мной ни один GPS-приемник не куплен, но во всех приемниках, с которыми я работал, были внесены попрошенные мной изменения в прошивке. :-)
Вот только я не утверждаю, что любому программисту это удастся. :-) То, что мы делаем — авторам приемников интересно. А вот мейнтейнерам linux -нет. У вас, я так понимаю, ситуация обратная.
Кстати, ради смеха, можете поискать хоть один GPS-приемник на x86. делают на ARM, на ПЛИС, на своих собственных процессорах — на чем угодно, только не на х86. В нашей сфере никому не нужна эта печка.
Jef239, вы видимо очень спешили, когда отвечали, и не обратили внимание на два вот этих абзаца. Для вашего удобства я даже скопирую их ещё раз:
Если же обосновать отрицательный ответ нечем (как с вопросами про Renesas выше) то ответа нет вообще.
Ради чего только сидеть на железе без поддержки в апстриме и кушать кактус?
Ближе к делу, на платах Renesas, поддержку которых они добавили в апстрим (если у вас такие есть) отвалился UART, так? На каких? На каких платах Renesas, которые поддерживаются в апстриме, конкретно У ВАС отвалился UART в Linux 4.12?
У AMD APU G-Series максимальные показатели порядка -40 +120 (могут варьироваться в зависимости от платы) у Intel смотрите thermal design guide для той серии процессоров, которая установлена на плату, там найдёте нужные вам формулы. В общем, пока я не вижу убедительных аргументов за то, чтобы кушать кактус сборок под конкретные платы с ARM SoC, вместо того, чтобы пользоваться x86 SoC. Конечно, если речь идёт о платах c ARM SoC, поддержки которых нет в апстриме, а у Renesas очень может быть, что она таки есть.В связи с отсутствием ответа на заданные выше вопросы пока что отстаётся сделать вывод, что пользоваться ими не позволяют какие-то религиозные убеждения, типа «в нашей сфере никому не нужна эта печка». У вас то Debian в виртуальной машине на XP, то квадрокоптер/морская техника/GPS-трекеры — причем из этой колоды всегда выбирается что-то, что позволит вам обосновать отрицательный ответ.
Если же обосновать отрицательный ответ нечем (как с вопросами про Renesas выше) то ответа нет вообще.
Все остальное — или глючит или отстает на пару лет.
Все вендоры шагают не в ногу? Может в консерватории что подправить? Собственно на этом спор стоит закончить.Привет: https://habrahabr.ru/post/331762/#comment_10294382 (большой абзац в конце).
Наоборот, Ubuntu_Touch насколько я знаю, поддерживала только ARM. Debian 9 вполне работает на OrangePie на ARM, разве там есть проблемы с поддержкой сенсорного экрана? Но экран нам просто не нужен.Я ответил, что пишу с планшета на котором крутится релиз-кандидат 4.12. Куда вас дальше понесло, а? Вы начали разглогольствовать, что у вас там Ubuntu 14.04 и Debian stable (фактически оказался oldstable; причем следует полагать, что 14.04 и oldstable менее глючные, чем 16.04, и stable, хотя на деле конечно же наоборот, но откуда вам, пользователю Windows, об этом знать) хотя к современным планшетам (которые с S0i3 вместо S3) это не имеет отношения никакого — в упомянутых релизах просто нет драйверов для них. Вы вообще сравнили use case «индустраильные платы» и «планшет» по версиям используемых ядер чтобы высказать какую мысль?
Вот вам список девелоперских машин, поищите там «правильную» модель планшетаС какой целью?
Вендоры как были в начале, так и остались виноваты в конце. И что «Вот-вот-вот»?Вот-вот-вот. Ровно тоже самое и в embebed. Ну разве что платы мы делаем сами и сборки ядер — тоже. А вот работающие сорцы — да, только от вендоров.Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются.Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.
Никто не спорит с тем, что случается. Я утверждаю, что не в таких масштабах, и что все эти проблемы — решаемы. Потому что я сам сталкиваюсь с этим и на практике знаю процесс решения.Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.В моей практике это случается постоянно. Более того, как ни удивительно, встречается и с менйстримовыми подсистемами.
Ну например, на одной машинке на ядре 2.6.9 после сотен тысяч обменов по USB обмен прекращался. Пришлось разбираться, искать патч и собирать своё ядро.Это потому что 2.6.9 новое слишком, нужно было 2.4.37 юзать, тогда бы проблем не было.
Вы просто не понимаете уровень требований к аппаратуре, принятой в embeded.
Так что ситуация «собираем ядро и все работает» — редкость. Вначале устраняем собственные ошибки при конфигурировании, потом — ищем патчи на то, что работает со сбоями.Я в курсе ситуации, не переживайте: https://patchwork.kernel.org/patch/9820801/
Ради чего только сидеть на железе без поддержки в апстриме и кушать кактус?
Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Вот у вас читалка. И вас все равно, что внутри — linux, freeBSD, QNX или windows… Если пользователь может на вашем IVI запустить свои программы — это компьютер. Если не может — устройство. Так что всякие мобильники на андроиде — вполне себе компьютеры. а вот простые телефоны без JAVA — устройства.А шо, на читалки (не на Android) или телефоны без Java приходят обновления? Какой смысл вы в ваш исходный вопрос тогда вкладывали, доказывая наличие проблем с обновлениями у AllWinner? (Хотя до сих пор остаётся неясным, что там с должно случиться, чтобы поддержка плат AllWinner начала отваливаться в новых релизах.)
Да, под видом драйвера для принтера часто втюхивается дикий монстр из драйвера, сервисов, прикладных программ…Ответили про принтеры HP (не все из которых поддерживают PCL, ну да ладно) закрыв глаза на принтеры других производителей, другие категории железок, переферию ноутов помимо видео, и т.д.
Ну-ну, я правильно понимаю, что вы разработчик LEDE?Нет.
То, что мы делаем — авторам приемников интересно. А вот мейнтейнерам linux -нет. У вас, я так понимаю, ситуация обратная.Тоже нет. В общем, не выдумывайте, всё делалось в рядовом порядке.
Молодой человек, мне кажется, что я довольно ясно выразился:
Раз вы не понимаете — придется отвечать вам в вашем же духе.
Молодой человек, когда вы закончите школу и будете учиться в институте вам объяснят разницу между GPS-приемниками и GPS-трекерами. А пока просто запомните, что приемник — это не трекер.
Мы занимаемся высокоточной спутниковой навигацией. То есть измерением расстояния между фазовыми центрами GNSS-антенн с СКО 5 миллиметров.
Если бы вы были инженером, то догадались бы, что никто не будет делать уникальные платы для каждого применения. Используется всего несколько версий плат, основное отличие — в питании, корпусах, разъемах. Одного факта проблем с теплоотводом в морском решении — хватает, чтобы все наши платы были энергоэффективными. а ограничения по весу в квадрокоптерном решении — хватает, чтобы они были ещё и легкими.
А вот когда «если вы, или ваше руководство, выбираете экономить», то вместо разработки платы — берется готовый x86, к нему - конвертор RS422-ETH на 8 или 16 портов, и монтируется это все в запираемый ящик или стойку. Для макетных вариантов и х86 хватит, а по цене — копейки, примерно дня 3 работы инженеров по разработке своей платы.
Но я понимаю, что школьнику вполне может показаться, что свою плату разработать дешевле, чем купить готовый X86. Ничего страшного, когда выучитесь в институте — все поймете сами.
Молодой человек, если вам часто что-то кажется — сходите к врачу. Психические болезни (как и любые другие) лучше лечить в самом начале. Если написано stable — значит stable. Или вы настолько юны, что мне вам вывод uname -a предъявить?
Вот-вот. Все вендоры идут не в ногу, все вендоры плохие? Ну да, в ранней юности часто так кажется. Вырастите, повзрослеете, поймете, что если «все не в ногу», то проблема не в вендорах, а в архитектуре linux. А сейчас объяснять вам — бесполезно. Подростки все равно не слушают взрослых, надо ждать пока вы подрастете. Тогда и поймете. А пока просто рано.
А теперь посмотрите, что в реальности. Вот вам история, как долго и безуспешно вносились патчи в ядро. Это AXFS, драйвер, позволяющий выполнять программы прямо из flash-памяти. Если у вас с английским туго — вот русское описание.
Покопайтесь в истории патчей, посмотрите как шла война за включение патчей в ядро. А потом просто поверьте, что часто бывает именно так.
Можете ещё и Android Mainlining поинтересоваться. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все.
В юности часто кажется, что вы сможете«обогнать гугл». А в старости приходит понимание, что лучше не тратить на этот силы.
Ещё раз повторяю, что не вижу смысла тратить время на спор с вами. Вырастите — все сами поймете.
Собственно на этом спор стоит закончить. Вы считаете, что виноваты все вендоры. а я считаю, что включение драйверов в ядро — это неудачный дизайн linux.
Раз вы не понимаете — придется отвечать вам в вашем же духе.
У вас то Debian в виртуальной машине на XP, то квадрокоптер/морская техника/GPS-трекеры — причем из этой колоды всегда выбирается что-то, что позволит вам обосновать отрицательный ответ.
Молодой человек, когда вы закончите школу и будете учиться в институте вам объяснят разницу между GPS-приемниками и GPS-трекерами. А пока просто запомните, что приемник — это не трекер.
Мы занимаемся высокоточной спутниковой навигацией. То есть измерением расстояния между фазовыми центрами GNSS-антенн с СКО 5 миллиметров.
На этой базе делается много разных решений:
- условно неподвижные, например контроль сползания МГУ в Москва-реку — он на несколько миллиметров в год ползет. Или контроль колебаний мостов (один мост, например, просел на 9 см из-за того, что на него положили больше асфальта, чем по проекту). Или контроль колебаний стенок шлюза (по мере наполнения водой стенки на пару см ходят).
- подвижные. Автономные газонокосилки, точное земледелие (если картошку сажать в грядки, а не равномерно — урожай чуть ли не в полтора раза больше, а для этого нужна точность 5 см), определение положения маневрового локомотива в сортировочной горке (то есть реальное определение пути, по которому он едет — нужно для контроля автовождения).
- угломерные, то есть курс, крен, дифферент. Это спутниковые компасы — и для морских судов (на всех атомных ледоколах стоят наши спутниковые компасы) и для квадрокоптеров и для гонок по пустыне.
Если бы вы были инженером, то догадались бы, что никто не будет делать уникальные платы для каждого применения. Используется всего несколько версий плат, основное отличие — в питании, корпусах, разъемах. Одного факта проблем с теплоотводом в морском решении — хватает, чтобы все наши платы были энергоэффективными. а ограничения по весу в квадрокоптерном решении — хватает, чтобы они были ещё и легкими.
А вот когда «если вы, или ваше руководство, выбираете экономить», то вместо разработки платы — берется готовый x86, к нему - конвертор RS422-ETH на 8 или 16 портов, и монтируется это все в запираемый ящик или стойку. Для макетных вариантов и х86 хватит, а по цене — копейки, примерно дня 3 работы инженеров по разработке своей платы.
Но я понимаю, что школьнику вполне может показаться, что свою плату разработать дешевле, чем купить готовый X86. Ничего страшного, когда выучитесь в институте — все поймете сами.
Ответ в вашем духе. Осторожно, сарказм!
Сарказм ON
А зачем вам для IVI linux? " вы, или ваше руководство, выбираете экономить» на лицензии? Неужели 5-10 тысяч на лицензию для вас такие огромные деньги? Если нужен *nix — свет на linux не сошелся, вполне хватает нормальных платных решений.
А зачем вам для IVI планшеты? Опять или ваше руководство, выбираете экономить»? А потребителям — ругаться из-за того, кто на какое место сядет ибо все планшеты — с разными игрушками? Возьмите нормальный брендовый сервер с хорошим SLA на обслуживание. И по HDMI подключите к нему экраны.
А если уж брать планшет — берите ipad. Он, кстати, достаточно *nix внутри.
Сарказм OFF
На самом деле я примерно понимаю соображения, почему вы взяли дешевые планшеты на x86. Вам действительно хочется навариться на перепродаже неиспользуемого китайского хлама на падающем рынке.
Собственно вот вам обзор рынка
Если вам удастся переломить эту тенденцию — получите «много денег». Не удастся — ну так перепродажа планшетов — это не разработка плат, много не потеряете.
А зачем вам для IVI linux? " вы, или ваше руководство, выбираете экономить» на лицензии? Неужели 5-10 тысяч на лицензию для вас такие огромные деньги? Если нужен *nix — свет на linux не сошелся, вполне хватает нормальных платных решений.
А зачем вам для IVI планшеты? Опять или ваше руководство, выбираете экономить»? А потребителям — ругаться из-за того, кто на какое место сядет ибо все планшеты — с разными игрушками? Возьмите нормальный брендовый сервер с хорошим SLA на обслуживание. И по HDMI подключите к нему экраны.
А если уж брать планшет — берите ipad. Он, кстати, достаточно *nix внутри.
Сарказм OFF
На самом деле я примерно понимаю соображения, почему вы взяли дешевые планшеты на x86. Вам действительно хочется навариться на перепродаже неиспользуемого китайского хлама на падающем рынке.
Собственно вот вам обзор рынка
Если вам удастся переломить эту тенденцию — получите «много денег». Не удастся — ну так перепродажа планшетов — это не разработка плат, много не потеряете.
фактически оказался oldstable;
Молодой человек, если вам часто что-то кажется — сходите к врачу. Психические болезни (как и любые другие) лучше лечить в самом начале. Если написано stable — значит stable. Или вы настолько юны, что мне вам вывод uname -a предъявить?
Вендоры как были в начале, так и остались виноваты в конце.
Вот-вот. Все вендоры идут не в ногу, все вендоры плохие? Ну да, в ранней юности часто так кажется. Вырастите, повзрослеете, поймете, что если «все не в ногу», то проблема не в вендорах, а в архитектуре linux. А сейчас объяснять вам — бесполезно. Подростки все равно не слушают взрослых, надо ждать пока вы подрастете. Тогда и поймете. А пока просто рано.
В общем, не выдумывайте, всё делалось в рядовом порядке.
А теперь посмотрите, что в реальности. Вот вам история, как долго и безуспешно вносились патчи в ядро. Это AXFS, драйвер, позволяющий выполнять программы прямо из flash-памяти. Если у вас с английским туго — вот русское описание.
Покопайтесь в истории патчей, посмотрите как шла война за включение патчей в ядро. А потом просто поверьте, что часто бывает именно так.
Можете ещё и Android Mainlining поинтересоваться. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все.
В юности часто кажется, что вы сможете«обогнать гугл». А в старости приходит понимание, что лучше не тратить на этот силы.
Ещё раз повторяю, что не вижу смысла тратить время на спор с вами. Вырастите — все сами поймете.
Молодой человек, мне кажется
Молодой человек, когда вы закончите школу и будете учиться в институте
я понимаю, что школьнику вполне может показаться
Молодой человек, если вам часто что-то кажется — сходите к врачу. Психические болезни (как и любые другие) лучше лечить в самом начале.
В юности часто кажется
не вижу смысла тратить время на спор с вами
Это какая-то слишком эмоциональная реакция на просьбу проверить наличие поддержки ваших плат Renesas в апстриме.
Меж тем меня недавно спросили о BCM7230 (вопрос касался применения в ТВ-приставке, и если более конкретно — сетевого драйвера). По ходу разбирательств выяснилось, что в аккаунте Broadcom на GitHub https://github.com/Broadcom выложены различные ядра под их STB-решений, в том числе 4.13, первый релиз-кандидат которого выйдет через несколько дней. И они целенаправленно вносят изменения в апстрим, вопреки вашим заявлениям.
Все вендоры идут не в ногу, все вендоры плохие?
Повторюсь, большой абзац в конце: https://habrahabr.ru/post/331762/#comment_10294382
Broadcom, как оказалось, апстримят драйвера не только для RPi, и наверняка там не упомянуто ещё несколько вендоров, в частности очень вероятно, что Renesas тоже самое место в этом списке.
Молодой человек, если вы хотите общаться со взрослыми, то для начала — честно ответьте на заданные вам вопросы. Без ваших обычных выкрутасов и вранья.
Сколько вы знаете роутеров, которые бы регулярно обновлялись производителем?
Сколько вы знаете мобильников на Андроиде, которые бы регулярно обновлялись производителем?
Производителем — это не гиковской прошивкой от «8 разработчиков», а именно производителем. Регулярно — раз в месяц или чаще.
Вам верится, что все вендоры шагают не в ногу? Когда подрастете — поймете, что дело не в вендорах, а в проблемах в архитектуре linux. Пока вам просто не хватает опыта, чтобы это понять.
Далее. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все? Разу ж вы считаете, что протолкнуть свой пат в апстрим пара пустяков, расскажите, за сколько лет это удалось гугл?
И вот на эти патчи ядра посмотрите. Как думаете, через сколько лет они войдут в ядро?
Рад, что вы утверждаете, что ваш патчик вошел в ядро сразу. Вот только в реальной жизни — как в axfs и у гугл. На них — есть пруфы, есть история, можно переписку нарыть. А ваш патчик — для меня зверь мифический. Может он и был. А может, как с обновляемыми прошивками у роутеров — какое-нибудь вранье с вашей стороны.
Ну кто же, кроме вас, виноват, что вам не платят (или платят копейки)? При нормальной зарплате сделать свою плату в 10-100 раз дороже, чем взять готовую железу. Только малолетки думают, что разработка платы ничего не стоит.
Сколько вы знаете роутеров, которые бы регулярно обновлялись производителем?
Сколько вы знаете мобильников на Андроиде, которые бы регулярно обновлялись производителем?
Производителем — это не гиковской прошивкой от «8 разработчиков», а именно производителем. Регулярно — раз в месяц или чаще.
Вам верится, что все вендоры шагают не в ногу? Когда подрастете — поймете, что дело не в вендорах, а в проблемах в архитектуре linux. Пока вам просто не хватает опыта, чтобы это понять.
Далее. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все? Разу ж вы считаете, что протолкнуть свой пат в апстрим пара пустяков, расскажите, за сколько лет это удалось гугл?
И вот на эти патчи ядра посмотрите. Как думаете, через сколько лет они войдут в ядро?
Рад, что вы утверждаете, что ваш патчик вошел в ядро сразу. Вот только в реальной жизни — как в axfs и у гугл. На них — есть пруфы, есть история, можно переписку нарыть. А ваш патчик — для меня зверь мифический. Может он и был. А может, как с обновляемыми прошивками у роутеров — какое-нибудь вранье с вашей стороны.
Ну кто же, кроме вас, виноват, что вам не платят (или платят копейки)? При нормальной зарплате сделать свою плату в 10-100 раз дороже, чем взять готовую железу. Только малолетки думают, что разработка платы ничего не стоит.
Так все равно, винда или linux. Если у вас обновления идут с корпоративного сервера, куда их выборочно копирует главный админ, то на обоих системах вы не знаете, все ли у вас обновления или нет.
На линуксе чуть хуже, потому что обновления ещё разные на разных дистрибутивах. То есть на винде, перестроивши обновления на сервера микрософта вместо собственного корпоративного зеркала — вы получите все обновления. А линуксе — только те, что успели войти в ваш дистрибутив.
Причина проблем в том, что на обоих системах обновления бывают не совсем корректными. Помните историю, как обновление яндекс-диска удаляло файлы? Ну и аналогичный rm -rf /usr в линуксовском обновлении?
Так что в крупных организациях вроде банков обновления ставятся не сразу, а лишь после проверки. И не из инета, а из корпоративного хранилища. Отсюда и проблемы с актуальностью.
На линуксе чуть хуже, потому что обновления ещё разные на разных дистрибутивах. То есть на винде, перестроивши обновления на сервера микрософта вместо собственного корпоративного зеркала — вы получите все обновления. А линуксе — только те, что успели войти в ваш дистрибутив.
Причина проблем в том, что на обоих системах обновления бывают не совсем корректными. Помните историю, как обновление яндекс-диска удаляло файлы? Ну и аналогичный rm -rf /usr в линуксовском обновлении?
Так что в крупных организациях вроде банков обновления ставятся не сразу, а лишь после проверки. И не из инета, а из корпоративного хранилища. Отсюда и проблемы с актуальностью.
del
Вообще-то говорилось не про сам факт актуальности, а про возможность его проверки.
В линуксе, не важно что и откуда я ставил, из каких PPA или сам собирал. Т.к. у каждой библиотки есть версия и всегда можно очень легко узнать какая версия актуальная и какая стоит в системе. Сравнить и в результате понять что происходит.
Как мне в винде понять, актуальная у меня версия в системе стоит или на машине win update сломался? только анализ логов установки глазками?
Об этом и речь собственно…
В линуксе, не важно что и откуда я ставил, из каких PPA или сам собирал. Т.к. у каждой библиотки есть версия и всегда можно очень легко узнать какая версия актуальная и какая стоит в системе. Сравнить и в результате понять что происходит.
Как мне в винде понять, актуальная у меня версия в системе стоит или на машине win update сломался? только анализ логов установки глазками?
Об этом и речь собственно…
Как будто в linux версия линейна и всегда увеличивается… У автора есть несколько веток — актуальная ночная сборка, альфа, бета, пара стабильных, версия с long поддержкой. К этому добавляется правки от авторов дистрибутива. Какие патчи у них наложены, какие-то нет. В итоге в тяжелом случае — изучать историю коммитов и смотреть, наложен ли нужный патч.
Особенная веселуха — с версиями ядра, особенно со старыми с long поддержкой. А уж если ядро на специфичную плату, которым вендор занимается раз в полгода…
В винде нету такого зоосада версий. А логи можно посмотреть и скриптом и тем же grepом.
В винде проблема в ином — централизованное обновление — оно только на саму винду. А у каждого приложения — свой механизм обновлений. Или вообще — без механизма — следите за сайтом и скачивайте ручками.
Особенная веселуха — с версиями ядра, особенно со старыми с long поддержкой. А уж если ядро на специфичную плату, которым вендор занимается раз в полгода…
В винде нету такого зоосада версий. А логи можно посмотреть и скриптом и тем же grepом.
В винде проблема в ином — централизованное обновление — оно только на саму винду. А у каждого приложения — свой механизм обновлений. Или вообще — без механизма — следите за сайтом и скачивайте ручками.
Вы походу свой личный манимирок с микроплатами переносите на весь мир…
Какие нафиг специфичные платы?
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего. Майки официально отказались публиковать подробную информацию об обновленниях. Про версии я уже молчу…
Какие нафиг специфичные платы?
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего. Майки официально отказались публиковать подробную информацию об обновленниях. Про версии я уже молчу…
Блажен, кто верует, легко ему на свете…
Роутер дома есть? Умный телевизор? Мобильник? Медиаконвертор? Умные часы? Фоторамка? Мобильник на андроиде? У каждого дома — десяток устройств на линуксе. Причем большинство — на очень старых ядрах, вроде 2.6.39.58.
Можно. Теоретически. Можно теоретически и свежий патч самому на ядро 2.6.39.58 накатить. Вот только шансы, что заработает — минимальны.
Извините, но это сказки! Ну вот вам то самое обновление KB4012212
Идете в раздел «File information», там в подраздел «Windows 7 and Windows Server 2008 R2 file information» и там видите список файлов с версиями.
На винде просто зоопарк версий на два порядка меньше.
Роутер дома есть? Умный телевизор? Мобильник? Медиаконвертор? Умные часы? Фоторамка? Мобильник на андроиде? У каждого дома — десяток устройств на линуксе. Причем большинство — на очень старых ядрах, вроде 2.6.39.58.
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
Можно. Теоретически. Можно теоретически и свежий патч самому на ядро 2.6.39.58 накатить. Вот только шансы, что заработает — минимальны.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего.
Извините, но это сказки! Ну вот вам то самое обновление KB4012212
Идете в раздел «File information», там в подраздел «Windows 7 and Windows Server 2008 R2 file information» и там видите список файлов с версиями.
На винде просто зоопарк версий на два порядка меньше.
Как человек работающий с embedded linux: «Как я Вас понимаю». И просто по человечески желаю не сталкиваться с baytrail на linux. Вот там полный мрак, один официальный патч может включать поддержку дисплея и ломать драйвер тачскрина одновременно.
Это вы там еще прошивку не видели… Я до сих пор по ночам вздрагиваю, хотя уже больше года прошло с тех пор, как с линейкой Atom я больше не работаю.
Патчи для BayTrail почти полностью в апстриме, то что еще не вошло я собираю отсюда: https://github.com/jwrdegoede/linux-sunxi
В случае проблем с разработчиком можно выйти на связь: https://github.com/jwrdegoede/linux-sunxi/commit/250d55e3d35d0baba97e6087d7e7629868745f8a
У некоторых планшетов степень работоспособности близка к 100%: http://4pda.ru/forum/index.php?showtopic=650808&view=findpost&p=60617335
В случае проблем с разработчиком можно выйти на связь: https://github.com/jwrdegoede/linux-sunxi/commit/250d55e3d35d0baba97e6087d7e7629868745f8a
У некоторых планшетов степень работоспособности близка к 100%: http://4pda.ru/forum/index.php?showtopic=650808&view=findpost&p=60617335
А причём тут версия оси до обхода блокировок?
вот и я не понял ...
Уязвимость SMBv1? Или уже что-то другое?
Критические данные «ПриватБанка» не пострадали пока, однако это не говорит о том, что отдельно взятые компьютеры банка были успешно зашифрованы.
Приват на убунте сидит и в ус не дует.
Вроде как терминалы пострадали
Кстати да, терминалы и банкоматы у них тоже на убунте?
раньше точно были на винде, сейчас не знаю. Сегодня знакомая не смогла передать деньги по причине отказа терминала, так что возможно они на винде. Сам не видел, что именно с ним было.
Банкоматы на ХР, терминалы уже на линуксе.
буквально недавно они обновили ПО терминалов, там сейчас точно не винда… дебиан что ле
Что бы была безопасность нужны затраты. Затраты на бекапы, ПО… Защититься от прохождения вирусни через медок вообще проблемно, а помнится гоструктуры у нас работают в режиме экономии и не получают денег на безопасность, а многие так и вообще домашние компы иной раз приносят на работу т.к. там нет своих (хлам 10-20 летней давности не в счет).
Не скажу за все, но работают и отдельно получают деньги на безопасность, особенно после выхода закона о защите персональных данных, но на деле (не буду тыкать пальцем в организацию) в IT отделе работает 3 сынка и один админ, на которого в случае факапа все сливается (там даже СБУ разборки устроила, и админу даже повезло — они его обелили).
У нас не работали банкоматы Приватбанка, и терминалы в кассах супермаркетов.
Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )
Но банкоматы Привата вчера вечером не работали)))
Такое ощущение что статья написана домохозяйкой для домохозяек. Про это было написано больше года назад
Мало того, как было замечено выше "попытки написать дешифровщик" закончились год назад.
Даже если предположить, что это результат скрещивания какого-нибудь WannaCry со "старым петей", так называемые "критические объекты" уже давно должны были сделать выводы.
Это всего лишь перепись псевдоадминов, которые смотрят Youtube вместо того чтобы делать то, за что им платят зря плату.
Это проблема низких зарплат гос сектора. Однако в этом конкретном случае страдают и те, кто хорошо защищен.
Каким-бы крутым не был админ, от 0day уязвимостей полностью защититься невозможно. Можно минимизировать ущерб, снизить риски, однако на восстановление работоспособности все равно нужно время. Ну и как правильно заметил автор, с большими требованиями пропорционально должна расти зарплата.
Что за копипаста? Зашел на хабр с надеждой найти что-то внятное, но и тут статья ничем не лучше.
Кто-то достоверно знает, как оно по сети расползается?
Внутрь с письмом, допустим, попало — а дальше как? Самба?
Внутрь с письмом, допустим, попало — а дальше как? Самба?
Говорят, вот так: https://www.exploit-db.com/docs/41896.pdf
Я правильно предполагаю, что через NAT / роутер оно не пройдёт?
нет, если не пробрасывали порты уязвимых сервисов и в самом роутере нет дыр. (но дырявые роутеры не новость) :)
И если не ходите по ссылкам, и не открываете прикрепленные файлы.
Тем не менее у нас заразился комп, служащий сервером сетевого Medoc'ка. Единственный пострадавший комп из всей сетки.
Инересно, решил поискать что такое вообще Medoc. Но нашел что-то поинтереснее:
У Microsoft заявили, що через MEDoc сталася масована кібератака. Українська кіберполіція також підозрює MEDoc у поширенні віруса-здирника.Они открещиваются и говорят что их обновление было без вируса. Помню когда был вирус заражающий Delphi и все скомпилированные программы шли уже зараженными. Там масштабность тоже не знала границ, благо вирус был не злобный. Но это был звоночек.
Я могу высказать свое подозрение, например что клиент MEDoc просто открывает vpn к своему серверу для передачи данных обновлений и других данных по шифрованному каналу, что звучит неплохо.
Но при этом он попадает к этому серверу в локалку, из которой к нему по уязвимой самбе может прилететь неПетя.
Вообще, со стороны MEDoc было бы хорошо написать свой официальный ответ с разбором полетов. Только чтобы техник ответил, а не менеджер по рекламе.
Но при этом он попадает к этому серверу в локалку, из которой к нему по уязвимой самбе может прилететь неПетя.
Вообще, со стороны MEDoc было бы хорошо написать свой официальный ответ с разбором полетов. Только чтобы техник ответил, а не менеджер по рекламе.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445,
Это полумера, векторов атаки явно больше чем просто порты, как с WannaCry просто закрыть порты и накатить патч пока не получается.
И не получится. Ванкрай был банальным вирусняком который нагнул всех любителей дарить самбу в мир.
Тут просматривается явная подготовка и скорее всего заражение происходило далеко не один месяц но без активации.
Если-бы это было всё также как и с ванкраем то все эти системы отгребли бы ещё при самом ванкрае — когда он пришёлся по 445 порту всея интернета.
В общем как вы понимаете, я не могу поверить что данные события из разряда «ну так вот получилось», чувствуется подготовка. А если и действительно спонтанная атака с такими масштабами разрушений, то я очень боюсь за будущее ОйТи нашего государства.
Тут просматривается явная подготовка и скорее всего заражение происходило далеко не один месяц но без активации.
Если-бы это было всё также как и с ванкраем то все эти системы отгребли бы ещё при самом ванкрае — когда он пришёлся по 445 порту всея интернета.
В общем как вы понимаете, я не могу поверить что данные события из разряда «ну так вот получилось», чувствуется подготовка. А если и действительно спонтанная атака с такими масштабами разрушений, то я очень боюсь за будущее ОйТи нашего государства.
Образец вредоноса бы выложил кто-то. Можно в виде снимка с машины, или как он там доставляется (письмо, ссылка, котик.jpg.scr)
Верну в рабочее состояние серваки и пошарю по старому образу, вдруг что есть (или на почте)
Тут сказано на какой сайт зайти чтобы заразится:
http://1337.verylegit.link/gat.dUZ3772mobiads.gif.exe
(Прошу не минусовать тех кто боятся этой ссылки, выкладывая ее я преследовал скрытую цель, но не заражения)
http://1337.verylegit.link/gat.dUZ3772mobiads.gif.exe
(Прошу не минусовать тех кто боятся этой ссылки, выкладывая ее я преследовал скрытую цель, но не заражения)
Сами столкнулись сейчас с такой бедой 4 сервака лягло. Предварительно думаем что через почту заразились локальные пк менеджеров(через почтовую переписку с поставщиками, так как они тоже оказались заражены), далее файловый сервер ну и дальше и удаленка с бд. Если кто найдет решение делитесь.
У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.
Почему-то автор на ПМ не отвечает, так что пишу публично — ссылки на обновления бесполезны, они закрывают уязвимость от WannaCry, но не от Пети. Последний заражает даже обновлённые машины.
Считаю необходимым дополнить сообщение, когда методы распространения заразы стали известны. На тот момент мне не было известно (и даже допустимо), что заражение пришло через Медок, так что это могла быть не новая уязвимость, а грамотное использование старой. Проанализировав все факты становится понятно, что всё началось именно с Медка, затем червь с помощью Mimikatz смог извлечь некоторые другие пароли попасть даже туда, куда можно попасть только со знанием паролей. Также он просканировал сеть и заразил несколько машин, которые избежали обновлений (жёсткого контроля пользователей по определённым причинам нет), и допускаю что часть могла запустить вложение из почты. Выводы сделаны, гайки буду закручивать сильнее.
Заражение могло пройти ранее, до того как вы поставили обновления в связи с новостью про Wannacry. Просто вирус спал всё это время.
а MEDOC был в сети?
Пострадала не только Украина же! А как же российские Роснефть, Башнефть и прочие?
Беларусь тоже немного задела напасть
ОАО «Бобруйский машиностроительный завод».
Из оффициальных новостных новостных источников
ОАО «Бобруйский машиностроительный завод».
Из оффициальных новостных новостных источников
Получается сервера с UEFI не трогает?
Так после перезагрузки происходит перезапись MBR или передается управление на уже переписанную MBR?
Если первое, то зачем такие сложности, почему сразу не перезаписывает? А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Если первое, то зачем такие сложности, почему сразу не перезаписывает? А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Здесь перепутали ACPI S3 Sleep (suspend to RAM), когда лампочка мигает, и комп включается за пару секунд, с S4 (Suspend to disk или Hibernate) — когда лампочка не мигает.
В S4 после запуска выполняется обычная загрузка POST -> MBR -> Windows и уже Windows сам восстанавливает с диска свое состояние. С случае переписи MBR не восстановит, естественно.
Если включен Hybrid Sleep — то комп уходит в S3, с подстраховкой в виде S4 на случай если уборщица выдернет вилку из розетки.
В S4 после запуска выполняется обычная загрузка POST -> MBR -> Windows и уже Windows сам восстанавливает с диска свое состояние. С случае переписи MBR не восстановит, естественно.
Если включен Hybrid Sleep — то комп уходит в S3, с подстраховкой в виде S4 на случай если уборщица выдернет вилку из розетки.
> А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Включение компьютера из состояния гибернации ничем не отличается от холодного включения, MBR используется. Загрузчик Windows сам определяет, нужно ли делать холодный старт или восстанавливать образ ОП.
Включение компьютера из состояния гибернации ничем не отличается от холодного включения, MBR используется. Загрузчик Windows сам определяет, нужно ли делать холодный старт или восстанавливать образ ОП.
У нас майкрософтовский антивирус увидел заражение бут сектора и «вылечил» его. Биткойны в результате не вымагались. Но пользовательские файлы всё же зашифровались. Примерно с пол часа прошло, пока я со всем этим ковырялся-разбирался, и вдруг возникло штатное предупреждение о перезагрузке через минуту с отсчётом времени. Посмотрев в журнал винды, перезагрузка была запрошена explorer.exe и поддержана wininit.exe, причина не указана.
По UPD6. Это ведь от WannaCry заплаты?
Мартовские апдейты, которые закрывали ту уязвимость. В комментариях видел, что последние апдейты тоже уязвимы, но пока однозначного ответа на вопрос нет. У этого вируса рассылки по внешним сетям нет, начальное заражение по почте, а локальные сети работают чуть иначе.
Да, EternalBlue закрывает. Но текущая дыра не в этом. Пролезает и сквозь последние патчи.
По тестам не всегда. Иногда да, а иногда патч помогает, пытаемся понять почему так.
Литреев пишет, что возможно в Petya используется новая уязвимость 0-day, и некоторые другие специалисты с ним согласны.
"Так, похоже, что компьютеры европейских компаний поразил вирус типа Win32/Diskcoder.Petya.C, а вернее, его модификация. Он повреждает запись MBR, но, похоже, не трогает сами данные. Распространяется через уязвимость в SMB, но это не единственный способ распространения.
Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом."
t.me/alexlitreev_channel
Если, как написано, «это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows,...», то что за патчи предлагается ставить?
"Мне написал технический директор ESET Israel и подтвердил, что это новая модификация Petya."
t.me/alexlitreev_channel
По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
Вопрос на счет UPD 6
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
Именно по такому адресу должен быть файлы?
Нашел у себя
C:\Windows\INF\PERFLIB\0000\perfc.dat
C:\Windows\INF\PERFLIB\0409\perfc.dat
C:\Windows\INF\PERFLIB\0419\perfc.dat
Это то же или это не опасно?
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
Именно по такому адресу должен быть файлы?
Нашел у себя
C:\Windows\INF\PERFLIB\0000\perfc.dat
C:\Windows\INF\PERFLIB\0409\perfc.dat
C:\Windows\INF\PERFLIB\0419\perfc.dat
Это то же или это не опасно?
Заливайте на VirusTotal и образцы, если можно на info@protectmaster.org
Эти файлы относятся к счетчикам производительности (409/419 — коды языков).
Вот цитата о файлах perfXxxxx.dat в System32:
«Perfc009.dat and Perfh009.dat: These file system files reflect the current state of the performance registry.
Perfd009.dat and Perfi009.dat: These file system files reflect the initial state of the performance registry.»
А perfX.dat без цифр в INF IMHO исходные версии этих файлов.
Вот цитата о файлах perfXxxxx.dat в System32:
«Perfc009.dat and Perfh009.dat: These file system files reflect the current state of the performance registry.
Perfd009.dat and Perfi009.dat: These file system files reflect the initial state of the performance registry.»
А perfX.dat без цифр в INF IMHO исходные версии этих файлов.
Это служебные файлы.
Аналогичный результат поиска.
кто подкинет вирус… хочу потестить на виртуале как распостраняеться
Образец файла можно попробовать найти по ссылке из https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759 — на yandeks.disk
там чуть больше инфо по IoC
там чуть больше инфо по IoC
Вопрос:
«Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat».
Как данный файл связан с шифровальщиком?
Он должен быть именно по этому пути (не в поддиректориях)?
«Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat».
Как данный файл связан с шифровальщиком?
Он должен быть именно по этому пути (не в поддиректориях)?
Я что-то не понял или WannaCry людей ничему не научил или вирус использует новую уязвимость?
«Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows»
Вот поясните, предлагают ставить обновления (см. список выше) — еще в марте они были. Так что, их MS не предлагали к автоматическому обновлению?
Пересмотрел все свои обновления — там KB4012212 ни в каких списках нет…
P.S. Кстати, ставить? не ставить? а то с этим пожаром просто стремно что ни попадя на машину тянуть :)
Вот поясните, предлагают ставить обновления (см. список выше) — еще в марте они были. Так что, их MS не предлагали к автоматическому обновлению?
Пересмотрел все свои обновления — там KB4012212 ни в каких списках нет…
P.S. Кстати, ставить? не ставить? а то с этим пожаром просто стремно что ни попадя на машину тянуть :)
Смотрите UPD 6 и UPD 7
KB4012212 — это Security Only патч
проверьте у себя KB4012215. это Monthly Rollup включающий также исправления ошибок
проверьте у себя KB4012215. это Monthly Rollup включающий также исправления ошибок
Дополню — это мартовские (или апрельские) патчи. Если в этот месяц обновления произведены не были — сейчас ставится более свежий (майский или июньский) патчи, с другими номерами, но которые включают в себя всё то что было в KB4012212\KB4012215
Ещё немного дополню: Monthly Rollup включает в себя все предыдущие Monthly Rollup-ы, т.е. в системе только последний. А Security-only Update в каждом месяце свой, он не кумулятивный, и соответственно сколько месяцев — столько Security-only Update-ов (за исключением месяцев, когда их не было выпущено Microsoft).
По смыслу в системе или обновляется Monthly Rollup, или накапливаются Security-only Update-ы.
По смыслу в системе или обновляется Monthly Rollup, или накапливаются Security-only Update-ы.
есть любопытные совпадения, в моем окружении все заразились после обновления программы Medoc
Можно подробнее и с фактами?
О Medoc пока подтверждения нет. Это от того специалиста, который одним из первых про Medoc сообщал. Ранее уже в мае через Medoc вирус попадал, так что подозрения есть.
есть штук 6 сообщений с утра, компании от мелких до среднекрупных, в 3 случаях зараза появилась ровно после обновления медка. Самому лично возможности посмотреть нет, несколько лет уже отошёл от администрирования, если будут какие-то ещё интересные факты отпишу. Одесса
+1 после обновления МеДок. Но по сетке не расползлось, возможно сработали патчи Майкрософт.
подтверждаю. Заражение сервера M.E.doc сразу после обновления.
я два сервера медка обновил еще вчера, и еще несколько серверов сегодня утром, весь домен лег после часу дня, можно сказать что все виндовс машины умерли одновременно… Также умерли предприятия где нету серверов медка…
Подтверждаю, сразу после обновления медка, произошло заражение.
Кто-то может мне объяснить, если он шифрует только MBR, в чем собственно проблема? Восстановить MBR и погнали? Или где я ошибаюсь?
Скорее всего, автор поста хотел сказать «шифрует диски с MBR», иначе, конечно, баловство какое-то :-)
Не помогает восстановление загрузочной записи… Просто видна unknown партиция вместо системной и все.
Пробовали штатными средствами bootrec
Пробовали штатными средствами bootrec
Ещё всякие папки, типа WIndows, Programm files, Documents and settings, etc тоже шифруются, становятся размером 0 и датой создания 1 января 1970. Странно то, что один диск С нормально подмонтировался, хотя бы смог посмотреть, что случилось, а с другой машины не подмонтировался даже…
да и вообще не понимаю, по какой логике заражались машины…
да и вообще не понимаю, по какой логике заражались машины…
А известно в какой момент шифруются файлы? В фоне вместе с mbr или после перезагрузки?
после перезагрузки работает миша. Он шифрует файлы. Это все тот же Petya, и работает он все так же, только более продвинут
Т.е. вариант решения — восстановить MBR без попытки старта ОС?
Петя шифрует MBR, а потом приходит Мина и шифрует уже сами файлы
Похоже несколько модификаций, случай о котором знаю только шифрование mbr, но не факт, что так во всех случаях.
Данные md5 и общие сведения от IBM X-Force:
https://exchange.xforce.ibmcloud.com/collection/Petya-Ransomware-Campaign-9c4316058c7a4c50931d135e62d55d89
https://exchange.xforce.ibmcloud.com/collection/Petya-Ransomware-Campaign-9c4316058c7a4c50931d135e62d55d89
Пострадали и довольно хорошо защищенные компании.
Уа-ха-ха! Это Вы про те, что MS17-010 не могут закрыть? Думаю, если копнуть чуть-чуть, то в таких «хорошо защищенных» ms08-067 есть.
Эта история еще раз подтверждает, что монополия одной системы — зло. Причем в любой сфере, не только в ІТ.
Ведь если в организациях (к примеру) 50% машин было бы на винде, а другие 50% на юникс-лайк системах, упала бы только половина машин, а не все.
Ведь если в организациях (к примеру) 50% машин было бы на винде, а другие 50% на юникс-лайк системах, упала бы только половина машин, а не все.
Думаете нереально зацепить Windows-машины через подсистему linux? Ну или linxu-машины через wine. Отличие в том, что wine стоит не у всех, а вот lunux-подсистема — на большинстве Win 10 есть.
А стоимость обслуживания при этом могла бы удвоиться, даже не учитывая особенно совместимость. Делать 2 системы на разных принципах для одной задачи в одной структуре имеет смысл крайне редко — космос, авиация, оборона, возможно ещё что-то критическое. Во всех остальных случаях небольшое повышение надежности в некоторых сценариях (и понижение в других) приведет к серьёзному увеличению затрат труда и средств.
Если бы вы мне сказали эту мысль вчера, я бы пожалуй с вами согласился. Но сегодня — нет.
Я думаю вы согласитесь, что убытки компаний, подвергшись атаке, будут огромны (и через простой, и через потерю данных). А вот если бы была возможность держать в организации парк машин с разными системами, тогда потери были бы в разы меньше. Конечно, тогда нужно, чтобы каждая система могла на одном уровне покрывать все потребности в работе, чего сейчас на десктопе трудно добиться, к сожалению. В этом и проблема.
Я думаю вы согласитесь, что убытки компаний, подвергшись атаке, будут огромны (и через простой, и через потерю данных). А вот если бы была возможность держать в организации парк машин с разными системами, тогда потери были бы в разы меньше. Конечно, тогда нужно, чтобы каждая система могла на одном уровне покрывать все потребности в работе, чего сейчас на десктопе трудно добиться, к сожалению. В этом и проблема.
одно хорошо, в украине завтра выходной, не у всех, но все же у большинства компаний, и они восстановят работосопосбность. А вот с данными у всех будет по-разному.
Если они делают бэкпапы, убытки компании не столь большие (а если восстановление автоматизировано то и вовсе ничтожны) — взяли и развернули образ на день назад. Ну а критически важные данные можно запасать и почаще. Запасать естественно на комп с другой ОС.
Стоимость разработки обычно побольше стоимости восстановления из бекапов и накатки образов на отформатированные диски. Простой, конечно, но он не идёт ни в какой сравнение с повторением той же системы на другой платформе (тем более хранилище всё равно одно), а проектировать изначально 2 системы — от одного предложения руководство посчитает идиотом (за просто так потратить вдвое больше ресурсов). Простой даже в несколько дней будет гарантированно дешевле.
Простой даже в несколько дней будет гарантированно дешевле.
Вы уверены? Убытки уже оценивают в миллиарды гривен. Я сильно сомневаюсь, что при возможности нормальной взаимозаменяемости Windows другой ОС’ью в рабочей среде, поддержка стоила бы дороже всех этих убытков (и да, Приватбанк — хороший пример). Но нормальной взаимозаменяемости на десктопе нет, потому что тут монополия Windows.
Такая ситуация была бы невозможна в сфере мобильных ОС, ведь тут Android вполне себе конкурентная система для iOS и наоборот. То же самое в сфере браузеров — хром, фаерфокс и т. д.
И хоть меня продолжают минусовать, я все равно уверен, что любая монополия — зло. А если кто-то считает иначе, вспомните, что было с вэбом в эпоху монополии Internet Explorer.
Убытки одной компании? Значит создание полной копии системы для такой компании будет явно не дешевле. И не только создания — удваивается сопровождение, развивать и дорабатывать нужно тоже параллельно, учитывая что вторая система в роли догоняющей и ей за месяцы надо пройти путь в годы предыдущей, а потом ещё и наверстать эти месяцы (что увеличивает цену разработки), то ситуация ещё ухудшается. А добивают пользователи, которых нужно обучать работать с двумя системами и тонкий клиент — это не всегда выход. Более того — иногда просто невозможно перейти на другую систему (потому как написать свою часть должны производитель железа. смежники, госструктуры), тут не всегда как с рашн консул — пасибл, бат вери экспенсив, тут зачастую импасибл.
Я с вами согласен. Ситуация, которую вы описали — это следствие монополии, ни больше ни меньше.
Приведу пример с браузерами. Вспомните эпоху монополии Internet Explorer — тогда тоже все сидели на нем. Ну и сайты верстались исключительно под IE, ибо 90% рынка. В итоге любая критическая уязвимость либо баг в IE (потенциально) мог запросто сломать весь вэб.
Но потом на сцену вышли фаерфокс, хром, другие браузеры, монополия была сломана и сайты уже перестали делаться под один браузер. И сейчас, если в одном из браузеров найдется критическая уязвимость либо баг, упадет только часть вэб-клиентов, но не сломается все.
Приведу пример с браузерами. Вспомните эпоху монополии Internet Explorer — тогда тоже все сидели на нем. Ну и сайты верстались исключительно под IE, ибо 90% рынка. В итоге любая критическая уязвимость либо баг в IE (потенциально) мог запросто сломать весь вэб.
Но потом на сцену вышли фаерфокс, хром, другие браузеры, монополия была сломана и сайты уже перестали делаться под один браузер. И сейчас, если в одном из браузеров найдется критическая уязвимость либо баг, упадет только часть вэб-клиентов, но не сломается все.
Ноль проблем, покажите пример. Все домашние роутеры на *nix, причем в 99% — это linux. Пожалуйста, сделайте прошивку для популярных роутеров под windows. :-) Что-то вроде DD-WRT, только с windows.
P.S. Если вы понимаете, почему это нереально, то легко поймете почему и в остальных местах засилье одной системы.
P.S. Если вы понимаете, почему это нереально, то легко поймете почему и в остальных местах засилье одной системы.
причем в 99% — это linux
Уверены? Я могу ошибаться, но (насколько я осведомлен) в сетевом оборудовании огромный процент прошивок на bsd и прочих юниксах. Я надеюсь, вы понимаете, что linux != bsd/unix, хоть это и одно семейство ОС.
Так что тут как раз-таки монополии нет, есть много продуктов от разных производителей. И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.
У меня дома лежит пачка старых роутеров и ADSL модемов.
Что-то отличное от Linux встречается очень редко.
Могу вспомнить разве что VxWorks и ZyNOS. Всё-таки ядро Linux — это весьма хороший framework для написания драйверов, плюс там очень много поддерживаемых «плюшек» (сетевых протоколов, алгоритмов шифрования и прочего). А тут важен параметр Time To Market, поэтому в большинстве случаев берут именно его, ибо цена доработки под свою железку минимальна.
А с WinCE и Platform Builder мне пришлось немного пострадать, не могу сказать что мне понравилось.
Что-то отличное от Linux встречается очень редко.
Могу вспомнить разве что VxWorks и ZyNOS. Всё-таки ядро Linux — это весьма хороший framework для написания драйверов, плюс там очень много поддерживаемых «плюшек» (сетевых протоколов, алгоритмов шифрования и прочего). А тут важен параметр Time To Market, поэтому в большинстве случаев берут именно его, ибо цена доработки под свою железку минимальна.
А с WinCE и Platform Builder мне пришлось немного пострадать, не могу сказать что мне понравилось.
Насколько я знаю, аналога BusyBox для FreeBSD нет. А это означает, что для FreeBSD потребуется больший объем flash-памяти, чем для linux.
FreeBSD — это прежде всего сервера, магистральное оборудование и так далее. А вот в домашних роутерах считается каждая копейка, потраченная на железо. Поэтому там засилье linux.
А если это что-то типа Heartbleed, то оно затронет не только все linux-машины, а и вообще все *nix. Любуйтесь на описание OpenSSL:
FreeBSD — это прежде всего сервера, магистральное оборудование и так далее. А вот в домашних роутерах считается каждая копейка, потраченная на железо. Поэтому там засилье linux.
И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.
А если это что-то типа Heartbleed, то оно затронет не только все linux-машины, а и вообще все *nix. Любуйтесь на описание OpenSSL:
Доступна для большинства UNIX-подобных операционных систем (включая Solaris/OpenSolaris, Linux, Mac OS X, QNX4[3], QNX6 и четырёх операционных систем BSD с открытым исходным кодом), а также для OpenVMS и Microsoft Windows.
http://portsmon.freebsd.org/portoverview.py?category=sysutils&portname=busybox
PS насколько я знаю, у Cisco своя ОС, у Juniper — форк FreeBSD, у Microtik — linux, у D-Link — тоже Linux. Проект OpenWRT делается на основе Linux, проект FreeNAS — на основе FreeBSD.
Браузер намного проще подобных систем, взять хотя бы документированный стандарт. Тут уже была история о реверсе процессов нефтеперерабатывающего завода, могу сказать что это ещё хороший вариант.
Ну есть вариант — все система в инете. А пользователи работают с сайтом и им все равно, в какой системе запущен chrome. Но это довольно узкая ниша. Если уж делать — то не ради двух систем на десктопе, а ради планшетов и мобильников.
Нет варианта, это бесполезно как WiFi-чайник — он в себя воду не нальёт, так и тут — оборудование должно быть рядом, у него должны быть драйвера (а работа из браузера — ещё то извращение, пробовали), переделка оборудования — это нужен месяц простоя. Банки могут, многие другие — нет.
Если бы популярной была другая ОС, в другой ОС тоже бывают уязвимости.
Например, давайте вспомним, на какой ОС появился первый интернет червь, использующий уязвимость, и какая ОС в то время была самая популярная в сети.
Например, давайте вспомним, на какой ОС появился первый интернет червь, использующий уязвимость, и какая ОС в то время была самая популярная в сети.
у нас упала половина машин, остальные успели вручную отключить от локалки, а потом и вовсе потушить на всякий. Но да, офис парализован. Хотя варианта с *никс нет, специфика((
Хотя варианта с *никс нет, специфика((
В этом, собственно, и проблема — трудно заменить винду, потому она всюду стоит. А раз всюду стоит, то и случилось что случилось. Была бы возможность нормальной взаимозаменяемости систем для работы — было бы тогда несколько систем и организация бы не была заблокирована.
С Mac-а очень интересно наблюдается за происходящей паникой…
https://nakedsecurity.sophos.com/2012/06/14/mac-malware-apple-marketing-message/
На маках уже давно есть ботнеты. Если компов на маках станет много и они проникнут широко в компании, ими тоже заинтересуются. Всё упирается в выгоду.
На маках уже давно есть ботнеты. Если компов на маках станет много и они проникнут широко в компании, ими тоже заинтересуются. Всё упирается в выгоду.
Дело не в том что мак такой защищенный и классный (это не так), дело в том что мак это неуловимый Джо.
Эх… Ну им не впервой. Переустановят кактус, и продолжат дальше его грызть.
Windows 10 Pro 1607 x64 — обновление KB4013429 не устанавливается — пишет «обновление не применимо к вашему компьютеру».
В списке обновлений (смотрел через «Панель управления / Программы и компоненты / Просмотр установленных обновлений») KB4013429 отсутствует. ((
Если компьютер автоматически обновляется, почему этого обновления в системе нет?
И почему скаченное не устанавливается?
В списке обновлений (смотрел через «Панель управления / Программы и компоненты / Просмотр установленных обновлений») KB4013429 отсутствует. ((
Если компьютер автоматически обновляется, почему этого обновления в системе нет?
И почему скаченное не устанавливается?
Вопрос по этому пункту:
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
есть такой файл. файл на windows server 2008 r2. сервер не перегружали. пока работает. в сети были зараженные компьютеры, отправил на переустановку системы. что можно предпринять?
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
есть такой файл. файл на windows server 2008 r2. сервер не перегружали. пока работает. в сети были зараженные компьютеры, отправил на переустановку системы. что можно предпринять?
А M.E.Doc используется? Просто чтобы знать, участвует он в этом или нет.
используется. и сейчас в памяти его агент висит. файл «perfc» теперь почему-то без расширения.
Хоть они и отпираются до сих пор, но нутром чую — именно через медок и пришло заражение.
он точно лежит в c:\windows?
есть родные виндовые файлы perfc.dat лежащие в других каталогах.
для страховки можете скопировать родной файл perfc.dat в каталог c:\windows и после этого удалить всех пользователей из его прав, добавить пользователя «Все» и сделать ему запрет на все права.
есть родные виндовые файлы perfc.dat лежащие в других каталогах.
для страховки можете скопировать родной файл perfc.dat в каталог c:\windows и после этого удалить всех пользователей из его прав, добавить пользователя «Все» и сделать ему запрет на все права.
В тех компах что нам сегодня привезли — MeDOC используется.
В mbr баннер, но то ерунда. MFT частично шифрована на всех дисках, по остаткам MFT собираю файловую — файлы тоже часть зашифрована (почти все doc, xls, pdf), часть нет (чудом одна база 1С 7.7 DBF), jpg.
В mbr баннер, но то ерунда. MFT частично шифрована на всех дисках, по остаткам MFT собираю файловую — файлы тоже часть зашифрована (почти все doc, xls, pdf), часть нет (чудом одна база 1С 7.7 DBF), jpg.
Мониторинг кошелька вымогателей онлайн.
Если есть подтвержденная информация о других кошельках — дополняйте.
Если есть подтвержденная информация о других кошельках — дополняйте.
у пользователей создался файл «rundll32.exe»
в каком каталоге?
создавался файл perfc.bat
опять же — в каком каталоге?
спрашиваю потому, что можно заранее скопировать родной файл винды и сделать запрет на полный доступ для «Все»
Потеряль сегодня весь домен(ws2008r2+w7+xp), выжыли только тонкие клиенты на линуксе и сервера на линуксе.
Стоял каспер, стояли все обновления от микрософта по 20тое мая, развернуты политики APPLocker и Software restriction policy. печаль…
П.С.
делайте резервные копии, и периодически их проверяйте.
П.П.С.
Зашифровало только диски С.
ставь reactos
Медок на сервере стоял? Клиентские машины были обновлены тоже по 20 мая? Если была хоть одна машина с июньскими обновлениями — она тоже пострадала?
Медок был сетевой — стоял на vm с вин xp, обновления на медок я ставил на несколько серверов еще за день до этого, и еще несколько серверов обновил до 9 утра, а все погибло после часа дня.
К сожалению, к установке через wsus июльских обновлений я еще не приступал.
У меня выжыло две vm (ws2008r2 и xp) и один ноутбук(w7), ноутбук просто отключили от сети, когда стало понятно что происходит.
Также умерли несколько тестовых vm которые были вне домена ws2008r2, а несколько тестовых ws2012R2 не доменных и без обновлений — выжили =\
К сожалению, к установке через wsus июльских обновлений я еще не приступал.
У меня выжыло две vm (ws2008r2 и xp) и один ноутбук(w7), ноутбук просто отключили от сети, когда стало понятно что происходит.
Также умерли несколько тестовых vm которые были вне домена ws2008r2, а несколько тестовых ws2012R2 не доменных и без обновлений — выжили =\
1.Каспер при подключении к KNS блокировал эту атаку по поведенческому признаку. Сейчас уже добавили классическую сигнатуру. Было соединение с KNS?
2.AppLocker работал по белым или чёрным спискам?
3. SRP работал по всем учеткам или для адмиских было сделано исключение в настройках?
2.AppLocker работал по белым или чёрным спискам?
3. SRP работал по всем учеткам или для адмиских было сделано исключение в настройках?
1 — сервер каспера умер — думаю одним из первых, обновления скачивал раз в 2 часа…
2 — AppLocker был только на терминальніх серверах, разрешался запуск по и скриптов из стандартных каталогов и несколько не стандартных.
3 — адмны были в исключениях, SRP актуален только для win7 и xp,
большая часть пользователей работает на терминальных серверах, а правами администратора на vm с ролью домен контролеров обладает только 3 человека… и тем не менее все зашифровало )))
2 — AppLocker был только на терминальніх серверах, разрешался запуск по и скриптов из стандартных каталогов и несколько не стандартных.
3 — адмны были в исключениях, SRP актуален только для win7 и xp,
большая часть пользователей работает на терминальных серверах, а правами администратора на vm с ролью домен контролеров обладает только 3 человека… и тем не менее все зашифровало )))
2.3 Разрешение по путям в данной атаке не работает, исполняемый файл запускался с высокими правами как раз из системных каталогов. Сработало бы если бы включён контроль запрета всех неизвестных exe.
1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.
1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.
делайте резервные копии, и периодически их проверяйте.
А вы делали? Вы прям данные все потеряли, или только работоспособность машин? SRP как настроен был?
Понимаю, прям сейчас вам, наверное, не до того, но отпишитесь, пожалуйста, как появится время.
Делал =) все что было в расписании будет востановлено (vmware data recovery 2.*)
какимто чудом не задело почтовые базы — для почтового сервера я востановил только системный диск.
Акронис диск директор способен заставить работать пораженные пк, восстанавливает разметку диска, и диском от винды нужно востановить mbr. но данные пользователей зашиврованы на дисках с и д… =\.
какимто чудом не задело почтовые базы — для почтового сервера я востановил только системный диск.
Акронис диск директор способен заставить работать пораженные пк, восстанавливает разметку диска, и диском от винды нужно востановить mbr. но данные пользователей зашиврованы на дисках с и д… =\.
SRP работали только на клиентских ПК и разрешали запуск ПО и скриптов только из «стандарных каталогов».
на терминальных серверах работали политики APPLocker, тоже разрешали запуск из «стандартных каталогов».
на терминальных серверах работали политики APPLocker, тоже разрешали запуск из «стандартных каталогов».
Киберполиция… Шиндошс… Ну, я не удивлюсь новости, что управление по борьбе с наркотиками перестало функционировать, т.к. скололось героином.
22.05.2017
27.06.2017
Хех.
… Подобные выводы – однозначно ошибочные, ведь разработчик «M.E.Doc», как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого нами были заключены договоры с крупными антивирусными компаниями...
27.06.2017
Внимание!
На наши сервера осуществляется вирусная атака.
Хех.
Что-то цитаты не гуглятся...
Самое смешное, что первое сообщение есть , а второе вчера вечером на официальном сайте было, а сегодня ссылка (Вниманию пользователей!) ведет на совершенно другой документ. Видимо точно частично виноваты.
Да, реже, но случаи были, особенно если нет промежуточного роутера с натом. У нас, когда на фирме выключили все железо, люди начали звонить домой и предупреждать. Некоторые домашние не успели выдернуть шнур из сети. У нас все это пришлось в примерно 15:30 по Киевскому времени.
В домовых сетях обычно (кроме редких буратин) наглухо забиты все порты относящиеся к SMB.
Ну да. Если раньше большая внутренняя локальная сеть была в порядке вещей, то сейчас такого больше нет.
Насколько мне известно её не стало уже очень давно т.к. и ранее были всевозможные проблемы от корпоративной технологии в провайдерской сети. Там же большой трафик идёт при поиске ресурсов, у людей крали файлы и т.п. В общем виндовые шары в провайдерской сети не нужны, они не для этого был придуманы.
Объясните, пожалуйста, следующее.
Из прочитанного я сделал следующий вывод.
Вирус работает в 2 этапа:
— на первом этапе заменяется MBR
— на втором шифруются данные в разделах.
Если я все правильно понял, то вопрос в следующем — на свежих ПК и ОС в основном, если не ошибаюсь используется GPT разметка — подвержены ли риску такие ПК?
Из прочитанного я сделал следующий вывод.
Вирус работает в 2 этапа:
— на первом этапе заменяется MBR
— на втором шифруются данные в разделах.
Если я все правильно понял, то вопрос в следующем — на свежих ПК и ОС в основном, если не ошибаюсь используется GPT разметка — подвержены ли риску такие ПК?
- Новость как бальзам на душу.
- Решето.
- О, мелкомягкие выпустили даже обнову на мою любимую XP, спасибо им. :)
- Шифрует только диск Ц? Млин, а в чем проблем? Переустанавливайте систему, делов-то.
Народ а подскажите, что делать в такой ситуации — сервер на Windows Server 2003. Там 1С работает через терминалку + Me.doc + файлопомойка. После информации об атаке, сервер был выключен вручную сегодня вечером, также как и интернет в офисе. Все локальные компьютеры на 7-ке до конца рабочего дня работали.
Теперь боимся включать все обратно. Как лучше поступить?
Начните с того чтобы сделать бекап (не на самом сервере, конечно) сервера и всего до чего руки дотянутся.
Сделать бэкапы из-под *nix или live-cd
Отключить от локалки все машинки.
Просканировать машинки на предмет признаков зловреда.
Создать C:\Windows\perfc
Навернуть самые свежие нужные апдейты.
Повесить мониторинг входящих файлов извне на какой-нить линуксовый сервер на предмет опасных сигнатур.
Перекрыть ненужные порты извне на роутере
Подключить машинки к локалке
Отключить от локалки все машинки.
Просканировать машинки на предмет признаков зловреда.
Создать C:\Windows\perfc
Навернуть самые свежие нужные апдейты.
Повесить мониторинг входящих файлов извне на какой-нить линуксовый сервер на предмет опасных сигнатур.
Перекрыть ненужные порты извне на роутере
Подключить машинки к локалке
Думаю можно загрузиться с live CD какого нибудь антивируса. Windows Defender Offline не поддерживает 2003 сервер кажется, но может стоит попробовать решения от Avira или Bit Defender?
Сам планирую завтра запустить live CD и проверить что осталось на диске.
Дополнение к моим сообщениям выше:
1) Развернул резервные копии на утро 27 июня, в них нет трояна, подозрение на заранее установленный зловред и часовую бомбу снимается.
2) На одном из серверов не зашифровался диск D (при этом везде C зашифрован и у него «неизвестная ФС»), однако большинство самих файлов зашифрованы без смены имён. Это видно по дате и при сравнении с файлами в бекапе.
3) На одном из серверов Медка не было вообще, при этом стояли последние обновления и были урезаны права пользователям. Так что оно распространяется не только Медком, предположение о 0-day остаётся в силе, хотя публичного подтверждения ещё нет.
4) На другой организации из всей локальной сети пострадал один рядовой компьютер и там был Медок.
1) Развернул резервные копии на утро 27 июня, в них нет трояна, подозрение на заранее установленный зловред и часовую бомбу снимается.
2) На одном из серверов не зашифровался диск D (при этом везде C зашифрован и у него «неизвестная ФС»), однако большинство самих файлов зашифрованы без смены имён. Это видно по дате и при сравнении с файлами в бекапе.
3) На одном из серверов Медка не было вообще, при этом стояли последние обновления и были урезаны права пользователям. Так что оно распространяется не только Медком, предположение о 0-day остаётся в силе, хотя публичного подтверждения ещё нет.
4) На другой организации из всей локальной сети пострадал один рядовой компьютер и там был Медок.
Внутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем.
У Вас на всех машинах была админская учетка с одинаковым паролем? Если да, то Mimikatz самое вероятное объяснение
А как тогда зловред пробирается на контроллеры AD? Ведь на PDC и BDC учетные записи локальных администраторов блокируются?
Или они с учетками доменных админов на них попадают?
Или они с учетками доменных админов на них попадают?
Mimikatz достает пароли ВСЕХ учеток, залогиненных в системе — и доменные естественно тоже.
Только что тестировал на WIndows 10 1703 Enterprise — легко и непринужденно достала пароль доменного админа на простой машине.
Но включение этого админа в группу Protected Users в AD уровня 2012R2 решает проблему вроде бы и пароль в открытом виде Mmikatz уже не смогла достать.
Только что тестировал на WIndows 10 1703 Enterprise — легко и непринужденно достала пароль доменного админа на простой машине.
Но включение этого админа в группу Protected Users в AD уровня 2012R2 решает проблему вроде бы и пароль в открытом виде Mmikatz уже не смогла достать.
Увы, у нас и PDC и BDC на Win2K3…
И что? Не вижу проблем поставить пару новых виртуалок и перенести роли AD на них, потом понизить старые сервера из контроллеров домена до роли простых серверов и повысить уровень домена.
Или продолжать и дальше сидеть на пороховой бочке, когда в любой момент может повториться та же ситуация с похожим вирусом.
Что для конторы ценеее — один новый сервак или информация? Если не было бэкапов — то это почти смерть конторе будет, когда ляжет ВСЯ проделанная работа.
Или продолжать и дальше сидеть на пороховой бочке, когда в любой момент может повториться та же ситуация с похожим вирусом.
Что для конторы ценеее — один новый сервак или информация? Если не было бэкапов — то это почти смерть конторе будет, когда ляжет ВСЯ проделанная работа.
Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.
А как же сетевые диски? А прочие сетевые радости типа почты, мессенджера и т.п.?
Можно смело перейти с SMB на FTP, чем больше не стандартных методов выполнения стандартных задач, тем меньше шансов попасть под сценарий вируса.
О блокировке почты и меседжеров я не говорил, интернет можно вообще не ограничивать, так как фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
Ограничить надо только видимость локальных машин между собой, ну и проброс портов на внешние ІР адреса под запретом.
О блокировке почты и меседжеров я не говорил, интернет можно вообще не ограничивать, так как фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
Ограничить надо только видимость локальных машин между собой, ну и проброс портов на внешние ІР адреса под запретом.
фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
А в этот раз не защитили. УВЫ.
Защититься от неизвестного эксплойта сетевого протокола невозможно.
А от фишинговой атаки подозрительными файлами проще.
Почему вы считаете что блокировать зловреду прямой доступ к портам всех 1000+ локальных машин бесполезно?
А от фишинговой атаки подозрительными файлами проще.
Почему вы считаете что блокировать зловреду прямой доступ к портам всех 1000+ локальных машин бесполезно?
Если зловред не использует этот канал — то бесполезно. А информации о том, что идет распространение по локалке — нету. Скорее всего зловред из вложения с атакует localhost.
Дело в том, что после WannaCry все у себя SMB V1 в локалке отключили. А вот с loachost он скорее всего остался открыт.
Дело в том, что после WannaCry все у себя SMB V1 в локалке отключили. А вот с loachost он скорее всего остался открыт.
Если зловред не использует этот канал — то бесполезно
Не сегодня так завтра…
Безопасный софт (какой бы ни был, ось или сервер протокола) не тот, в котором нет дыр, а тот в котором их никогда не найдут ©.
При наличии дыр, а вероятность, что их можно найти всегда есть, в будущем блокировка портов может снизить диапазон заражения.
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.
Безопасность через неясность — это ложная безопасность. Не так уж и сложно сканировать порты. Блокировка серверов вредит конторскому софту. В итоге ущерба работе наносится больше, чем ущерб от вирусов.
А если атака с сервера?
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.
А если атака с сервера?
Я уже третий раз вам говорю что ни разу не упоминал блокировку доступа к серверам ни к интернету.
И третий раз вам скажу что имел ввиду ограничение доступа к портам между локальными компьютерами в корпоративной сети.
И отвечу на ваш вопрос. Между сервером и клиентской машиной не должно быть ни больше ни меньше открытых портов чем используются в поставленных задачах.
Между софтом терминала и сервером не должно быть никаких коммуникаций кроме запросов через внутреннее API, будь то обновление софта, либо запрос данных.
Согласитесь, вероятность найти эксплойт в неизвестном API меньше чем в протоколах ОС.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
И третий раз вам скажу что имел ввиду ограничение доступа к портам между локальными компьютерами в корпоративной сети.
И отвечу на ваш вопрос. Между сервером и клиентской машиной не должно быть ни больше ни меньше открытых портов чем используются в поставленных задачах.
Между софтом терминала и сервером не должно быть никаких коммуникаций кроме запросов через внутреннее API, будь то обновление софта, либо запрос данных.
Согласитесь, вероятность найти эксплойт в неизвестном API меньше чем в протоколах ОС.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
Раз вы не поняли мой вопрос, придется разжевать на уровне чайника. Терминалы и банкоматы, бигборды не заражаются сами. Ну разве что с ноута обслуживающего персонала. Сетка у них отдельная. Так что если заразились — то как раз с сервера. С вероятностью 95% — по тем самым API, по которым они работают и обновляются.
Это как раз пример, опровергающий ваши теории.
Что касается уровня грамотности, то рекомендую глянуть на табличку. Боюсь, что вы не в курсе, что банкоматы до сих пор работают на Windows XP Embeded, соответственно у них лишь один вариант самбы — тот самый уязвимый SMB 1.0.
Так что вариантов два. Или закрываете самбу и ножками в сопровождении охранников с автоматами обходите банкоматы и проверяете у них логи. Или — скачиваете логи по этой самой уязвимой самбе. Третий вариант (свой самописный протокол) не прокатывает ровно потому. что ПО банкоматов сертифицировано.
Ну это ваш уровень понимания, как что работает в корпоративной сети. :-)
Ответ простой — не надо усложнять жизнь пользователям. Ни своим, ни внешним. Банкомат должен чиниться быстро, а не ждать две недели, пока вы дотопаете до него ножками.
А задача борьбы с вирусами — она вторичная. В большинстве случаев ущерб от вирусов — меньше ущерба от таково вот любителя закрывать все и вся, как вы.
Это как раз пример, опровергающий ваши теории.
Что касается уровня грамотности, то рекомендую глянуть на табличку. Боюсь, что вы не в курсе, что банкоматы до сих пор работают на Windows XP Embeded, соответственно у них лишь один вариант самбы — тот самый уязвимый SMB 1.0.
Так что вариантов два. Или закрываете самбу и ножками в сопровождении охранников с автоматами обходите банкоматы и проверяете у них логи. Или — скачиваете логи по этой самой уязвимой самбе. Третий вариант (свой самописный протокол) не прокатывает ровно потому. что ПО банкоматов сертифицировано.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
Ну это ваш уровень понимания, как что работает в корпоративной сети. :-)
Ответ простой — не надо усложнять жизнь пользователям. Ни своим, ни внешним. Банкомат должен чиниться быстро, а не ждать две недели, пока вы дотопаете до него ножками.
А задача борьбы с вирусами — она вторичная. В большинстве случаев ущерб от вирусов — меньше ущерба от таково вот любителя закрывать все и вся, как вы.
Я в курсе, что банкоматы до сих пор работают на Windows XP, при том не все на Embeded версии.
Те терминалы которые мне удалось изучить, обновляются безопасно, с проверкой сертификатов. Даже обычные пополнялки.
По умолчанию используют сеть VPN по 3G, при том порты по VPN все доступны.
Никто к ним не подключает ноутбуки обслуживающего персонала.
И банальным блоком портов могли избежать заражения WannaCry например.
Те терминалы которые мне удалось изучить, обновляются безопасно, с проверкой сертификатов. Даже обычные пополнялки.
По умолчанию используют сеть VPN по 3G, при том порты по VPN все доступны.
Никто к ним не подключает ноутбуки обслуживающего персонала.
И банальным блоком портов могли избежать заражения WannaCry например.
Ещё в порядке ликбеза. Вы в курсе, что доступ к удапённым принтерами идет по самбе? Обычно — принтер один на 5-10 машин. То есть в сетке из 1000 машин будет 100-200 серверов печати. Ну и так далее… Если надо — сделаю ликбез.
Так что в итоге примерно треть машин в сетке — в той или иной степени серверы. И доступ к ним идет по самбе.
С точки зрения ущерба для инфраструктуры — не так важно, заражено 100% машин, или заражено 30%, но самых важных. И то и другое — критическая ситуация.
То есть ваш способ — просто не подходит для большинства конторских сетей.
Так что в итоге примерно треть машин в сетке — в той или иной степени серверы. И доступ к ним идет по самбе.
С точки зрения ущерба для инфраструктуры — не так важно, заражено 100% машин, или заражено 30%, но самых важных. И то и другое — критическая ситуация.
То есть ваш способ — просто не подходит для большинства конторских сетей.
Учитывая срок жизни принтеров, скорее всего большенство обновились и обзавелись Ethernet/Wi-Fi без хост-компьютеров.
Я вашу точку зрения услышал, спасибо за общение.
Думаю не стоит больше продолжать плодить ветки комментариев.
Я вашу точку зрения услышал, спасибо за общение.
Думаю не стоит больше продолжать плодить ветки комментариев.
Да я тоже не вижу смысла больше спорить. Одно могу сказать — какое счастье, что я не работаю там, где вы админите сетку. Что у меня на ноуте — стандартный софт со стандартной настройкой, а не нечто, работающее лишь в корпоративной сети по нестандартным портам.
Сроки жизни принтеров? HP 5L только недавно убрали. Как там, без хост компьютера заработает?
Централизация ресурсов.
1.Поднимается сервер печати и все принтеры заводятся на него.
2.Клиентские пк печатают через сервер печати, а не напрямую через соседа.
3. Сеть отстраиваем на разрешение серверных ресурсов ( печать и прочее) и изоляцию клиентов друг от друга.
Получаем и учёт принтеров и безопасность.
1.Поднимается сервер печати и все принтеры заводятся на него.
2.Клиентские пк печатают через сервер печати, а не напрямую через соседа.
3. Сеть отстраиваем на разрешение серверных ресурсов ( печать и прочее) и изоляцию клиентов друг от друга.
Получаем и учёт принтеров и безопасность.
Ключевой вопрос — как вы собираетесь принтеры к серверу печати подключить? Пробросить USB через ethernet? А цена конверторов?
Перечитайте внимательно, что я написал. Там прямо подразумевалось, что принтеры — не входят сами в сеть, а подключены к локальным серверам печати.
А для сетевых принтеров — все хорошо, кроме единой точки отказа. Пропала сеть от комнаты к центральному офису — и всё, печатать нельзя. Хотя принтер и в той же комнате стоит.
Перечитайте внимательно, что я написал. Там прямо подразумевалось, что принтеры — не входят сами в сеть, а подключены к локальным серверам печати.
А для сетевых принтеров — все хорошо, кроме единой точки отказа. Пропала сеть от комнаты к центральному офису — и всё, печатать нельзя. Хотя принтер и в той же комнате стоит.
Мне лично больше нравиться обратная идея. Вместо одного домена на тысячи машин — много мелких доменов по десятку машин. И считаем все вне домена — опасным. Примерно так было устроено на Северстали лет 15 назад.
Преимущества — внутри домена ничего не мешает работать, а максимальный урон от вируса — отдельные домены. При этом критичные машины, то есть управляющие производством, находятся в отдельных доменах и очень слабо связаны со всеми остальными. Вплоть до полной изоляции отдельных критичных доменов.
А у вас зараженный сервер печати заражает всю огромную сетку.
Преимущества — внутри домена ничего не мешает работать, а максимальный урон от вируса — отдельные домены. При этом критичные машины, то есть управляющие производством, находятся в отдельных доменах и очень слабо связаны со всеми остальными. Вплоть до полной изоляции отдельных критичных доменов.
А у вас зараженный сервер печати заражает всю огромную сетку.
1 отдел = 1 vlan, свои принтеры\сервера печати, шары и тд. Понимаю что не панацея, но изолировать зараженные ПК становится всеже проще.
Если вы изолируете отделы, то лишаетесь общих каталогов и возможности централизованно управлять печатью. Сейчас модно на больших предприятиях делать анализ того что печатают и всё такое прочее.
Изоляция отделов\групп и т.д. друг от друга никак не повлияют на централизованный сбор информации и управление печатью. Да будет сложнее организовать доступ к общим ресурсам, но не что-то я сомневаюсь что всем нужно иметь доступ ко всем ресурсам, так что это тоже решаемо.
Моды разные бывают. Например есть мода разбивать большое предприятие на кучу мелких независимых фирм. Или считать прибыль отдельно по отделам.
Централизация создает единые точки отказа. И заставляет поддерживать избыточную надежность. Один критичный процесс заставляет поддерживает всю централизованную инфраструктуру в высоконадежном состоянии. То есть с дублированием и троированием.
Кроме того, централизация — это единая точка распространения зловредов по всей системе.
Если вам высокая надежность не нужна — централизируйте. А если у вас от падения сервера может зависнуть работа тысячи магазинов по всей стране или крупного завода — децентрализация позволяет спать спокойно. Потому что падение сервера — это максимум один участок одного стана в одном цеху. А не простой всего завода длиной 10 километров.
Централизация создает единые точки отказа. И заставляет поддерживать избыточную надежность. Один критичный процесс заставляет поддерживает всю централизованную инфраструктуру в высоконадежном состоянии. То есть с дублированием и троированием.
Кроме того, централизация — это единая точка распространения зловредов по всей системе.
Если вам высокая надежность не нужна — централизируйте. А если у вас от падения сервера может зависнуть работа тысячи магазинов по всей стране или крупного завода — децентрализация позволяет спать спокойно. Потому что падение сервера — это максимум один участок одного стана в одном цеху. А не простой всего завода длиной 10 километров.
Отдел или группа — это уже детали оргструктуры.
Вся беда антивирусов в том, что они защищают по сигнатурам, от заранее известной заразы. Если в атаче пришел PDF или DOCX с неизвестной заразой — антивирус промолчит. Задача фаервола — защищать от проникновения извне. Если атака идет от 127.0.0.1 — фаервол обычно молчит.
А распространение дальше — тем же путем, через почту на адреса из адресной книги.
Ну и никаких внешних проявлений до часа «Ч», это тоже большую роль сыграло. То есть заражение было сильно раньше деструктивных действий.
А распространение дальше — тем же путем, через почту на адреса из адресной книги.
Ну и никаких внешних проявлений до часа «Ч», это тоже большую роль сыграло. То есть заражение было сильно раньше деструктивных действий.
Фишинговая атака исполняется долго, да и могли прочитать новости и перестать запускать что-либо.
В случае если все порты открыты, то заражение 1000+ машин будет осуществлено за 10 минут.
В случае если все порты открыты, то заражение 1000+ машин будет осуществлено за 10 минут.
Антивирусы и рады бы работать не по сигнатурам, но нет такой возможности уже очень давно. Они пытаются, но пока ни у кого нет результатов.
А те, у кого есть результаты, классическими антивирусами не называются. :-) Как примеры — Outpost Security Suite и AVZ.
Вполне достаточно системы, которая автоматически (outpost) или вручную контролирует автозапуск. Ну и пользователя, который не жмет просто так на кнопку «разрешить».
Как минимум я эти двумя отлавливал вирусы, не известные ни вебу, ни касперу.
Вполне достаточно системы, которая автоматически (outpost) или вручную контролирует автозапуск. Ну и пользователя, который не жмет просто так на кнопку «разрешить».
Как минимум я эти двумя отлавливал вирусы, не известные ни вебу, ни касперу.
Outpost судя по всему приставился после покупки Яндексом. AVZ возможно и актуальна для домашних пользователей, хотя судя по вики наработки перешли касперскому, вот только корпоративным не помогла даже политика ограничения запускаемых приложений встроенная в Windows.
Насколько помню у Outpost постоянно появлялись кучи уведомлений типа «приложение хочет это и то, разрешить?» и откуда даже относительно опытному пользователю догадаться можно ли это разрешить или нет?
Насколько помню у Outpost постоянно появлялись кучи уведомлений типа «приложение хочет это и то, разрешить?» и откуда даже относительно опытному пользователю догадаться можно ли это разрешить или нет?
AVZ — это программа, показывающая, что живет в системе. Для принятия решений по её данным нужен или очень грамотный пользователь (вирусный аналитик) или серверная часть с эвристикой и ИИ. Бесплатная технология анализа есть на virusinfo.info.
Outpost действительно загнулся, но есть Comodo Internet Security.
Насчет кучи уведомлений — вы правы. И для AVZ и для Outpost и для Comodo недостаточно быть «относительно опытным пользователем». Или понимать устройство windows — или действовать по принципам для домохозяйки:
— Если я устанавливаю софт — разрешить все.
— Если в первый раз запускаю — разрешить все.
— В противном случае — не разрешать ничего. Или звать специалиста.
Ну и на первом запуске — потоптаться по всем функциям.
Не знаю, у меня как-то не было вопросов, почему приложение хочет то или это. На мой взгляд — все логично. Да и сами вопросы — лишь при установке нового софта. Но это у меня больше 30 лет стажа и из них больше 20 лет с виндой.
Outpost действительно загнулся, но есть Comodo Internet Security.
Насчет кучи уведомлений — вы правы. И для AVZ и для Outpost и для Comodo недостаточно быть «относительно опытным пользователем». Или понимать устройство windows — или действовать по принципам для домохозяйки:
— Если я устанавливаю софт — разрешить все.
— Если в первый раз запускаю — разрешить все.
— В противном случае — не разрешать ничего. Или звать специалиста.
Ну и на первом запуске — потоптаться по всем функциям.
Не знаю, у меня как-то не было вопросов, почему приложение хочет то или это. На мой взгляд — все логично. Да и сами вопросы — лишь при установке нового софта. Но это у меня больше 30 лет стажа и из них больше 20 лет с виндой.
Вирус через массовую рассылку зараженных PDF распространялся. Крупная компания без электронной почты?? Такого я ещё не видел.
Почитайте еще раз, я не говорил о ограничениях доступа в интернет, только между локальными машинами.
Пусть заразится один через PDF файл, с изоляцией портов не сможет использовать никакие эксплойты, чтобы заражать других по локальной сети.
Пусть заразится один через PDF файл, с изоляцией портов не сможет использовать никакие эксплойты, чтобы заражать других по локальной сети.
Почему? Что мешает зараженной машине разослать PDF по всей адресной книге?
Текущий сценарий:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин и заразил все через эксплойты сетевых протоколов в течении 10 минут
Сценарий если внутри сети все порты заблокированы:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин, а порты то закрыты, и заразились на 1000+ машин меньше
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин и заразил все через эксплойты сетевых протоколов в течении 10 минут
Сценарий если внутри сети все порты заблокированы:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин, а порты то закрыты, и заразились на 1000+ машин меньше
Откуда информация от текущем сценарии? я ориентируюсь на анализ СБУ. Ну и на свои мысли, как бы я делал такую атаку.
Главная сила этой атаки — в скрытности. Поэтому вряд ли вирус распространялся по локальной сети иначе, чем через почту. Атака через локалку -может быть отслежена софтом, как аномалия в сетевом трафике. Атака через почту — может быть достаточно скрытной, чтобы никакие средства анализа не зафиксировали резкого увеличения обмена.
Если у вас есть пруф, что атака шла через локалку — давайте. Если нет — то и ваше и мое мнение пока что одинаково бездоказательно.
Вот перевод:
По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных.
Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных.
Главная сила этой атаки — в скрытности. Поэтому вряд ли вирус распространялся по локальной сети иначе, чем через почту. Атака через локалку -может быть отслежена софтом, как аномалия в сетевом трафике. Атака через почту — может быть достаточно скрытной, чтобы никакие средства анализа не зафиксировали резкого увеличения обмена.
Если у вас есть пруф, что атака шла через локалку — давайте. Если нет — то и ваше и мое мнение пока что одинаково бездоказательно.
Есть вероятность что многие машины еще не обновили.
Еще ходят слухи что все это работает похожим образом как WannaCry, и работает на последних обновлениях Windows 10. Так что у меня только слухи и подсчет вероятностей возможного сценария.
Блокировка портов внутри локальной сети обосновано безопаснее, так как в будущем могут найти похожие эксплойты.
Возможно все эти компьютеры уже были заражены до WannaCry, потом обновлены, но у хакеров остался доступ, а только теперь запустили сеть.
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
Еще ходят слухи что все это работает похожим образом как WannaCry, и работает на последних обновлениях Windows 10. Так что у меня только слухи и подсчет вероятностей возможного сценария.
Блокировка портов внутри локальной сети обосновано безопаснее, так как в будущем могут найти похожие эксплойты.
Возможно все эти компьютеры уже были заражены до WannaCry, потом обновлены, но у хакеров остался доступ, а только теперь запустили сеть.
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
А безопаснее всего — вообще машины не включать. :-) Блокировать порты, нужные для работы — почти то же самое, что выключить машины. Если у вас есть SQL-сервер, то как к нему клиенты обращаться будут? Телепатически? Ах через сеть… Раз через сеть — значит может быть и атака. SQL, Файлопомойка, локальный документооборот… ну в общем много чего требует локальной сети. А значит — и находится под угрозой.
УВЫ, крупное предприятие — это не домовая сеть для хомячков. :-)
Думаете цифры продаж таких решений липовые? :-))) Начиная с некого размера сети автоматизированное слежение за аномалиями трафика становится выгодным.
УВЫ, крупное предприятие — это не домовая сеть для хомячков. :-)
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
Думаете цифры продаж таких решений липовые? :-))) Начиная с некого размера сети автоматизированное слежение за аномалиями трафика становится выгодным.
Я ни разу не говорил о блокировке серверов, я имел ввиду ограничения только между компьютерами в локальной сети.
Задача хорошего админа создать нестандартное окружение сети и установка на офисные машины нестандартного софта, в котором будет сложно составить сценарий заражения вирусом.
Все порты включая порт SQL сервера должны быть нестандартными, зачем делать жизнь зловредов легче?
Задача хорошего админа создать нестандартное окружение сети и установка на офисные машины нестандартного софта, в котором будет сложно составить сценарий заражения вирусом.
Все порты включая порт SQL сервера должны быть нестандартными, зачем делать жизнь зловредов легче?
А что сервера не в локальной сети? А где? Только в интернете? :-)))
Нестандартные порты затрудняют жизнь прежде всего стандартному софту. И не сильно мешают навороченным троянам, умеющим сканировать порты.
Нестандартные порты затрудняют жизнь прежде всего стандартному софту. И не сильно мешают навороченным троянам, умеющим сканировать порты.
Для админа, что обслуживает 1000+ машин, не должно быть проблемой автоматизировать настройку всего, включая нестандартные порты в софте.
Если вы не понимаете в чем суть моих комментариев, то прошу задавать прямые вопросы без сарказма.
Если вы не понимаете в чем суть моих комментариев, то прошу задавать прямые вопросы без сарказма.
«Автоматическая настройка всего» — это нечто вроде коммунизма или живого дед-мороза. Ну в общем не бывает. 20-30 программ — да, можно автоматизировать развертывание. А если их под тысячу — уже опаньки. Все сильно зависит от однородности софта в парке машин.
К сожалению, я суть как раз понимаю. Потому и возмущаюсь.
Вы хотите максимально затруднить жизнь пользователям, чтобы максимально облегчить её себе, любимому. А страдает прежде всего бизнес. Тот самый бизнес, который вы обслуживаете.
К сожалению, я суть как раз понимаю. Потому и возмущаюсь.
Вы хотите максимально затруднить жизнь пользователям, чтобы максимально облегчить её себе, любимому. А страдает прежде всего бизнес. Тот самый бизнес, который вы обслуживаете.
Ваше право со мной не соглашаться.
И вместо множества вопросов лучше бы изложили свою точку зрения сразу.
Думаю вы переоцениваете профессиональность вирусов.
В свое время 95% вирусов, что инфицировались через флешки, можно было нейтрализовать банальным созданием папки autorun.inf
Это само собой не тот уровень, но если вирус должен занимать в два раза больше кода, чтобы сканировать порты, идентифицировать протоколы и тд., а даст он только +5% больше заражений, то скорее всего этот код писать не будут.
Суть всего что я написал в том, что любая защита — это борьба с вероятностью взлома, которую можно и нужно понижать любыми способами.
Это само собой не облегчает жизнь админам, но бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
И вместо множества вопросов лучше бы изложили свою точку зрения сразу.
Думаю вы переоцениваете профессиональность вирусов.
В свое время 95% вирусов, что инфицировались через флешки, можно было нейтрализовать банальным созданием папки autorun.inf
Это само собой не тот уровень, но если вирус должен занимать в два раза больше кода, чтобы сканировать порты, идентифицировать протоколы и тд., а даст он только +5% больше заражений, то скорее всего этот код писать не будут.
Суть всего что я написал в том, что любая защита — это борьба с вероятностью взлома, которую можно и нужно понижать любыми способами.
Это само собой не облегчает жизнь админам, но бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
Ошибаетесь. При обоих сценариях — вы не правы.
Сценарий 1. Государственная атака на Украину. Ну скажем со стороны ДНР. В этом случае перед атакой была проведена разведка и написан софт, преодолевающий существующий уровень защиты. Был бы уровень защиты другим — значит и софт был умнее.
Сценарий 2. Атака частного лица ради денег. Тут страдают слабейшие. Если их не оказывается — вирус модернизируется пока пострадавшие не станет так много, что они обеспечат нужный поток денег.
Так что в обоих сценариях — никакие принятые повсеместно меры защиты не помогут. Поможет быть в числе 5-10% наиболее защищенных из списка потенциальных жертв. Тогда есть шансы, что затронут лишь 90% менее защищенных.
Но стоит ли это понижения производительности бизнеса в полтора-два раза — это большой вопрос. На мой взгляд — не стоит.
Лучше уж IDS поставить. И доступ к интернету через proxy сделать.
- Поражены оказались и безголовые сервера, на которых не было никогда никаких вложений.
- Выше люди сообщают что восстановились из вчерашних бэкапов и там никаких следов нет.
- Также сообщают что были поражены компьютеры с только недавно установленной системой.
- Самое главное: физическое выдергивание сетевого провода спасает от заражения.
А вот это уже аргументы. Вот ещё интересная информация
Внутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем
И ни слова про medoc, а, судя по разным источникам, это был основной способ распространения вируса. Почта — это второстепенный способ. Я еще не знаю как умудрилась наша сеть поймать этот вирус, ибо заражение было явно через рядовой компьютер и врядли это была почта
пруф вот. Атака шла через локалку с использованием штатных средств — wmi и psexec.
Ну и чем тут поможет изоляция клиентов друг от друга? Клиент заражает сервер, а сервер — остальных клиентов. Ну да, капельку дольше, чем заражение peer-to-peer. Но эти секунды — роли не играют.
А кто мешает серверу это запретить? Открою секрет, даже контроллеру домена можно без особых последствий запретить исходящие tcp к юзерам. Это проверено, это работает. И так же для массы других серверов, в смысле сервисов. Возможны неприятные исключения, да, но в целом это рабочее решение и оно активно используется. Со времен кидо не было проблем, включая само «время кидо». Имею в виду свою сеть.
И как тогда админ удаленно на машины юзеров ходить будет? А удаленное администрирование как пойдет?
Запретить можно все, вопрос в том, не будут ли лекарство хуже болезни.
Запретить можно все, вопрос в том, не будут ли лекарство хуже болезни.
А зачем ему ходить на машины юзеров с серверов? Тем более по своим сервисам бесконечно далеких от этих задач?
Разницу не чувствуете? Вы описали правильно схему заражения юзер--->сервер--->>юзеры.
Когда речь идет о машине админа, начальная стадия юзер--->админ невозможна. Админская машина по определению в выделенном сегменте. Из него — можно, в него — ни-ни, только обратный трафик в рамках установленных админом тсп соединений, ицмп-ответы, юдп.
Ну, а безопасность админской машины… Если админ с головой, проблем не будет.
Прописные истины корпоративных сетей.
Разницу не чувствуете? Вы описали правильно схему заражения юзер--->сервер--->>юзеры.
Когда речь идет о машине админа, начальная стадия юзер--->админ невозможна. Админская машина по определению в выделенном сегменте. Из него — можно, в него — ни-ни, только обратный трафик в рамках установленных админом тсп соединений, ицмп-ответы, юдп.
Ну, а безопасность админской машины… Если админ с головой, проблем не будет.
Прописные истины корпоративных сетей.
А всякие корпоративные политики, скрипты, перемещаемые профили и так далее вы предлагаете с админской машины распространять? Или все-таки с сервера домена? А если с сервера домена — то вот вам и канал для заражения.
Э?
Политики — это файлы, которые грузятся с сервера в результате подключения к этому серверу клиента, если речь об АД. Логон и логофф скрипты для юзеров и компов — это тоже ВХОДЯЩИЕ для сервера соединения. Перемещаемые профили… и с ними проблем нет. Бывают случаи, когда исходящие соединения в сторону юзеров от сервера нужны, например всякие воип и медиа заморочки. Ну и разрешите соотв. порты и протоколы (не сталкивался с червями, работающими через SIP, например), а самбу, RPC и прочее закройте. Это все не проблема, проблема, когда в головах предрассудки.
Политики — это файлы, которые грузятся с сервера в результате подключения к этому серверу клиента, если речь об АД. Логон и логофф скрипты для юзеров и компов — это тоже ВХОДЯЩИЕ для сервера соединения. Перемещаемые профили… и с ними проблем нет. Бывают случаи, когда исходящие соединения в сторону юзеров от сервера нужны, например всякие воип и медиа заморочки. Ну и разрешите соотв. порты и протоколы (не сталкивался с червями, работающими через SIP, например), а самбу, RPC и прочее закройте. Это все не проблема, проблема, когда в головах предрассудки.
И как вы предлагаете связывать машины по OPC, когда RPC админы прикрыли?
Ну в общем услужливый дурак опаснее врага. Админ, считающий, что безопасность сети важнее работы предприятия — очень много может наворотить.
Собственно к этому и сводится наш с вами спор. Вы предлагаете меры, а у меня от них волосы дыбом лезут. Потому что в таких условиях — проще наплевать на безопасность и вынести весь нужный софт в интернет. Благо хотя бы на интернет вы не покушаетесь. В смысле проще, чем писать так, чтобы софт мог работать несмотря на ваши ограничения.
Но если у васклиенты только в косынку играют компы только офисные — может офисный планктон с его софтом и стерпит.
В качестве кардинального решения — можно сделать все компы на ARM, SPARC, MIPS, соответственно вирусы, рассчитанные на x86 просто не пройдут. Ей богу, это (+перевод на linux) проще, чем пытаться написать систему с теми ограничениями, что вы предлагаете.
Ну в общем услужливый дурак опаснее врага. Админ, считающий, что безопасность сети важнее работы предприятия — очень много может наворотить.
Собственно к этому и сводится наш с вами спор. Вы предлагаете меры, а у меня от них волосы дыбом лезут. Потому что в таких условиях — проще наплевать на безопасность и вынести весь нужный софт в интернет. Благо хотя бы на интернет вы не покушаетесь. В смысле проще, чем писать так, чтобы софт мог работать несмотря на ваши ограничения.
Но если у вас
В качестве кардинального решения — можно сделать все компы на ARM, SPARC, MIPS, соответственно вирусы, рассчитанные на x86 просто не пройдут. Ей богу, это (+перевод на linux) проще, чем пытаться написать систему с теми ограничениями, что вы предлагаете.
Прежде, чем волосами шевелить, опишите, где и как используется у вас OPC, в каких частях вашей сетии.
Если речь у вас об АСУТП сегменте, где бегает МЭК, живут разные скады и инженерные станции — так это отдельный разговор. Все то, что вам кажется таким страшным зверством в моих предложениях там будет преимущественно на границе этой сети (и даже большее зверство), а внутри будет достаточно высокий уровень доверия, вяжитесь там хоть по NETBEUI в кач-ве транспорта. А вот закрытый, еще раз, медленно, в направлении ОТ СЕРВЕРА к клиентам RPC, от контроллера домена в частности — ни к чему плохому не приводит, уж поверьте мне.
Или вы считаете, что на энергетическом предприятии вот так все и живет с моими «зверствами»? Все не работает и лежит примерно 365 дней в году?
И кстати, юзеры разные бывают. Те, кто не в косынку играет, а режимы технологические ведет… эээ, о каком там домене вы говорите? Какие контроллеры? Хотя, если взять сименс, например, они в своих сетевых дизайнах таки да, рисуют. Свой лес для офиса, соверешенно отдельное АД для одного сегмента технологии (допустим, чисто информационные системы), отдельное — для другого. Но это уже черезчур.
На счет что легче, а что нет, надо просто понимать работу сетевых протоколов, немного потратить времени на изучение профиля трафика в ваших сетях, как офисных, так и технологических, а дальше все будет легко и просто. И спотыкаться никто не будет.
Если речь у вас об АСУТП сегменте, где бегает МЭК, живут разные скады и инженерные станции — так это отдельный разговор. Все то, что вам кажется таким страшным зверством в моих предложениях там будет преимущественно на границе этой сети (и даже большее зверство), а внутри будет достаточно высокий уровень доверия, вяжитесь там хоть по NETBEUI в кач-ве транспорта. А вот закрытый, еще раз, медленно, в направлении ОТ СЕРВЕРА к клиентам RPC, от контроллера домена в частности — ни к чему плохому не приводит, уж поверьте мне.
Или вы считаете, что на энергетическом предприятии вот так все и живет с моими «зверствами»? Все не работает и лежит примерно 365 дней в году?
И кстати, юзеры разные бывают. Те, кто не в косынку играет, а режимы технологические ведет… эээ, о каком там домене вы говорите? Какие контроллеры? Хотя, если взять сименс, например, они в своих сетевых дизайнах таки да, рисуют. Свой лес для офиса, соверешенно отдельное АД для одного сегмента технологии (допустим, чисто информационные системы), отдельное — для другого. Но это уже черезчур.
На счет что легче, а что нет, надо просто понимать работу сетевых протоколов, немного потратить времени на изучение профиля трафика в ваших сетях, как офисных, так и технологических, а дальше все будет легко и просто. И спотыкаться никто не будет.
Вам что ликбез по OPC написать?
OPC используется в двух испостасях
1) Для связи нижнего уровня (датчики, контроллеры) со средним (сервера).
2) Для связи верхнего уровня (SCADA) с тем же средним.
На среднем уровне у нас пара серверов (дублирование) и несколько десятков датчиков НУ. С точки зрения сети — эти датчики — клиентские машины. А с точки зрения технологиии OPC — наоборот, OPC-серверами являются датчики, а серверные машин СУ — клиентами.
Что касается деления на подсети — так это вы, похоже, только сейчас, после моих слов, додумались. Да, делится на подсети с разными правами в разных сетях. Но это противоречит вашей идее о запрете всего и вся, включая нужное.
OPC используется в двух испостасях
1) Для связи нижнего уровня (датчики, контроллеры) со средним (сервера).
2) Для связи верхнего уровня (SCADA) с тем же средним.
На среднем уровне у нас пара серверов (дублирование) и несколько десятков датчиков НУ. С точки зрения сети — эти датчики — клиентские машины. А с точки зрения технологиии OPC — наоборот, OPC-серверами являются датчики, а серверные машин СУ — клиентами.
Что касается деления на подсети — так это вы, похоже, только сейчас, после моих слов, додумались. Да, делится на подсети с разными правами в разных сетях. Но это противоречит вашей идее о запрете всего и вся, включая нужное.
Спасибо за ликбез.
Иногда выгодней на подсети не делить, а в рамках больших сетей задавать правила взаимодействия, отсекая ЗАВЕДОМО ненужное, решая попутно массу потенциальных проблем ИБ. Но видно у вас мысленный эксперимент не вытанцовывается никак. Ну да ладно, я вроде уже попрощался. Еще раз всех благ.
Иногда выгодней на подсети не делить, а в рамках больших сетей задавать правила взаимодействия, отсекая ЗАВЕДОМО ненужное, решая попутно массу потенциальных проблем ИБ. Но видно у вас мысленный эксперимент не вытанцовывается никак. Ну да ладно, я вроде уже попрощался. Еще раз всех благ.
И кстати, посмотрите, если найдете, какие-то типовые схемы АСУТП, возможно СТМиС и проч. Там по сути реализованы те же подходы, только не софтверно, а физически. Контуры. Сервера на границе контуров, много сетевух. Нужные сервисы смотрят только в нужные «стороны», многоуровневая сегментация (тему резервирования не трогаем) и в итоге некие точки предоставления данных, веб, допустим, многократно и многуровено изолированные от систем, где возможно что-то запороть и чем-то «порулить». Кто-то даже юзает «диод данных», но этот геммор на любителя.
Где-то это хорошо и правильно. Где-то можно обойтись меньшей кровью и физику заменить логикой и фильтрами. Результат тоже в итоге бывает приятным.
Где-то это хорошо и правильно. Где-то можно обойтись меньшей кровью и физику заменить логикой и фильтрами. Результат тоже в итоге бывает приятным.
Контуры — это ровно то, о чем я вам говорил. Много локальных сетей с полным доступом. И гейты между ними.
А ваша идея была — сеть огромного размера, в которой никто ничего сделать не может. Ибо все закрыто. Рай для безопасника и ад для разработчика.
А ваша идея была — сеть огромного размера, в которой никто ничего сделать не может. Ибо все закрыто. Рай для безопасника и ад для разработчика.
Не совсем так. Достаточно большие сети, в т.ч. офисного назначения, можно сделать существенно безопасней, если логически, в какой-то мере приблизить их к описанной выше системе контуров, сегментации и т.д.
Вы, возразив против межпользовательской сегментации, не утверждали ведь сперва, что это неудобно, что это мешает. Вы сказали — это не решает проблемы, это бесполезно. Я показываю — это во многом решает проблему, это так же полезно, как контуры в АСУТП.
Тогда вы заявили, что это неудобно, что это сплошное запинание, а не работа. Могу предположить, что вы просто не пробовали. Ведь контуры АСУТП — не запинание? А почему? Потому что они продуманны. И не возникает задач залезать через телеком разрыв из одного контура в другой, ну не нужно это, т.к. все задачи без этого решаются.
Так же и с тем, что я описал, например с контроллером АД и запретом от него исходящих тсп к клиентам. Вы это оцениваете «в уме», на вскидку и ужасаетесь. А я юзаю и доволен как слон. Ни кидо, ни ванна, ни петя меня не задели вот ничуть, хотя вокруг — да, бушевали. И кстати, серверные админы не то что не замечают этих, по вашему диких костылей и преград, даже не догадываются о них. Вот такие жуткие неудобства. И кстати, это в других регионах нашей организации был типичный сценарий. Админ с правами лезет на контроллер по WAN копр. каналам, этакий старший брат. Заражает, далее с контроллера зараза ломится в сети регионального предприятия. У всех площадок — кроме меня. Контроллер заразили, в ЛВС — ноль вирусного трафика, этакая ДМЗ в «сердце» ЛВС, а не на периметре, как обычно. С т.з. дизайна сети это отнюдь не влан на юзера, как у провайдеров. Все средней «крупности». Но описанные фичи — сильно выручают. Уже не один год. Так что не спешите оценивать на вскидку, не распробовав. И да, инфраструктурники, кто серверами рулят, даже не замечают этого. Один или два раза пытались для теста сделать «телнет на порт» с консоли сервера к клиентам, для теста, удивились, что не прошло. Вот и все жуткие потери от подхода. Надо их еще раз оценить, может действительно так жить нельзя?
Вы, возразив против межпользовательской сегментации, не утверждали ведь сперва, что это неудобно, что это мешает. Вы сказали — это не решает проблемы, это бесполезно. Я показываю — это во многом решает проблему, это так же полезно, как контуры в АСУТП.
Тогда вы заявили, что это неудобно, что это сплошное запинание, а не работа. Могу предположить, что вы просто не пробовали. Ведь контуры АСУТП — не запинание? А почему? Потому что они продуманны. И не возникает задач залезать через телеком разрыв из одного контура в другой, ну не нужно это, т.к. все задачи без этого решаются.
Так же и с тем, что я описал, например с контроллером АД и запретом от него исходящих тсп к клиентам. Вы это оцениваете «в уме», на вскидку и ужасаетесь. А я юзаю и доволен как слон. Ни кидо, ни ванна, ни петя меня не задели вот ничуть, хотя вокруг — да, бушевали. И кстати, серверные админы не то что не замечают этих, по вашему диких костылей и преград, даже не догадываются о них. Вот такие жуткие неудобства. И кстати, это в других регионах нашей организации был типичный сценарий. Админ с правами лезет на контроллер по WAN копр. каналам, этакий старший брат. Заражает, далее с контроллера зараза ломится в сети регионального предприятия. У всех площадок — кроме меня. Контроллер заразили, в ЛВС — ноль вирусного трафика, этакая ДМЗ в «сердце» ЛВС, а не на периметре, как обычно. С т.з. дизайна сети это отнюдь не влан на юзера, как у провайдеров. Все средней «крупности». Но описанные фичи — сильно выручают. Уже не один год. Так что не спешите оценивать на вскидку, не распробовав. И да, инфраструктурники, кто серверами рулят, даже не замечают этого. Один или два раза пытались для теста сделать «телнет на порт» с консоли сервера к клиентам, для теста, удивились, что не прошло. Вот и все жуткие потери от подхода. Надо их еще раз оценить, может действительно так жить нельзя?
Вы, возразив против межпользовательской сегментации,
Очень прошу, не приписывать мне ваши собственные домыслы. Ещё раз повторю свой тезис,
А прописная истина — если можно обойтись без общей сети — лучше обойтись. И делать много мелких сетей. Хотя бы логически, а лучше — физически. Тогда и завод целиком не встанет и можно будет работать (а не спотыкаться на ограничениях).
А возражал я против тезиса IGHOR поддержанного вами:
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.
Изоляция машин в одной сети и разбиение на подсети с разными правами — это очень разные технологии.
На этом предлагаю обсуждение прекратить. Мне неприятно, когда мне приписывают то, что я не говорил.
Схема хорошая, как часть мер. Касательно контролера домена аналогичного можно достичь убрав из админов всех клиентских машин учетку администратора домена. Для обслуживания машин, отдельные учетки саппорта.
Малварь или нарушитель часто сидят и ждут, когда же придёт админ и угоняют учетку.
К сожалению есть сервера которым нужны прямые доступы к клиентам. Те же сервера саппорта или централизованного распространения ПО.
Малварь или нарушитель часто сидят и ждут, когда же придёт админ и угоняют учетку.
К сожалению есть сервера которым нужны прямые доступы к клиентам. Те же сервера саппорта или централизованного распространения ПО.
Конечно, это часть мер и я тоже это упоминал. С контроллерами бывает все плохо, когда они не в твоем подчинении. Про срвера-исключения тоже упоминал. Например это SCCM. Ему надо коннектиться к клиентам, да (оппонент же приводил примеры, которые реально не есть проблема, типа политик и скриптов). Но отсюда никак не следует, что на другие условные 100 серверов можно и нужно забиить, раз один или два мы не можем подвести под эту схему. Для таких серверов должен быть усиленный контроль и усиленные меры другого рода.
Ну и конечно, не в каждой сети и не у каждого эти исключения есть, иногда более опасные сценарии и решения можно заменить на менее опасные и т.д.
Когда червь «работает» на основе 0-дай и ему вообще плевать на любые права и прочие формальности, сетевые меры становятся одними из главных и весьма эффективны. Не раз наблюдал, как их вынужденны были временно вводить на лету, разрушая процессы и работу, выбора не было. Уж лучше сеть сразу так построить, что бы большая часть этих мер сразу была заложена, а стиль работы — на эти меры рассчитан. И да, я еще раз скажу — это свойство промсетей, это свойство «корпоратов». Это не домовые сети начала нулевых и пионернеты. Это нормально и это практикуется. И вовсе не синдром вахтера. А как раз «колхозы» и лажатся по поводам, описанным в топике.
Когда червь «работает» на основе 0-дай и ему вообще плевать на любые права и прочие формальности, сетевые меры становятся одними из главных и весьма эффективны. Не раз наблюдал, как их вынужденны были временно вводить на лету, разрушая процессы и работу, выбора не было. Уж лучше сеть сразу так построить, что бы большая часть этих мер сразу была заложена, а стиль работы — на эти меры рассчитан. И да, я еще раз скажу — это свойство промсетей, это свойство «корпоратов». Это не домовые сети начала нулевых и пионернеты. Это нормально и это практикуется. И вовсе не синдром вахтера. А как раз «колхозы» и лажатся по поводам, описанным в топике.
Не хотите сделать статью по своим методам защиты сети предприятия? Было бы интересно, да и многим бы пригодилось в свете актуальных сегодня угроз.
Да какая разница какое там направление соединения! Доменные политики и логон-скрипты сами по себе являются возможными каналами заражения.
Да, может быть. Поэтому ИБ — вещь комплексная. Все самые шустрые в смысле скорости распространения черви, что были на моей памяти, начиная с мсбласт-а работали по принципу сетевой скан+уязвимость, никак указанные вами механизмы не задействуя. Но это к слову. Тут был выдвинут тезис — изоляция клиентов друг от друга — вещь бестолковая. Я не раз убеждался, что весьма толковая. Была высказана мысль — все равно заражение произойдет в два хода (а не в один), через цепочку пользователь -> заражение сервера -> заражение пользователей. Я показал, что этого в случае классических сетевых червей ВО МНОГИХ случаях (в смысле разных серверов) легко можно избежать. Только и всего.
А прописная истина — если можно обойтись без общей сети — лучше обойтись. И делать много мелких сетей. Хотя бы логически, а лучше — физически. Тогда и завод целиком не встанет и можно будет работать (а не спотыкаться на ограничениях).
P.S. Увы, прописи у нас разные. Я вам про заводы, а вы мне про офисы. Вот и получается, что истины разные.
P.S. Увы, прописи у нас разные. Я вам про заводы, а вы мне про офисы. Вот и получается, что истины разные.
Я в энергетическом секторе работаю. Турбины знаете ли и все такое. И офис, куда ж без него. И «воздушные зазоры» есть и есть, когда их нет. Свои истины я выяснил примерно как уставы пишутся, не кровью конечно, но пОтом — точно.
Э… скажите, а чем принципиально отличаются две независимые сети от одной из двух сегментов, между которыми запрещено любое прохождение пакетов кроме белого списка?
Почему первое считается рабочим решением, а второе — слишком ограниченным?
Ну, есть отличие все же. Не задушенный в зародыше шторм, допустим, в одном L2 сегменте, может положить весь девайс в итоге или их группу, если L2 по ней растянут (и положит), в случае физически раздельных сетей этого можно избежать при правильном дизайне. Но в целом замечание верное.
Возможно, тут момент психологический. Первое решение как-то не представляется, не укладывается в голове в виде слишком мелкого дробления. Ну, две там сетки, офис и технология. А второе как бы намекает на дурную множественность, наделим, надробим. Хотя автор пишет «много мелких сетей» и тогда я уже теряюсь.
Возможно, тут момент психологический. Первое решение как-то не представляется, не укладывается в голове в виде слишком мелкого дробления. Ну, две там сетки, офис и технология. А второе как бы намекает на дурную множественность, наделим, надробим. Хотя автор пишет «много мелких сетей» и тогда я уже теряюсь.
Да тем, что сегмент у casperrr — это одна машина. Мне в такой ситуации проще свою сеть из 3-5 машин сделать, чем развлекаться с докладными на открытие портов и неделю ждать их прохождения. Да, этот сегмент ляжет. Да, все, не запушенное в GIT пропадает. Но на таком сегменте я могу работать.
А на сегменте в 1 машину — только бумажки строчить.
Увы, беда всех безопасников — они считают, что их задачи важнее работы. Синдром вахтера это называется.
А на сегменте в 1 машину — только бумажки строчить.
Увы, беда всех безопасников — они считают, что их задачи важнее работы. Синдром вахтера это называется.
Это у вас домыслы какие-то. В строго техническом смысле сегменты у меня — от десятка до сотни машин в сегменте, если мы говорим о 802.1q вланах. Иногда, когда это необходимо и удобно — используются Port ACL, иногда IP ACL в точках L3-терминации. Мужики-то в циске и не знают правильных подходов, утверждая, что в классическом дизайне ядро-распределение-доступ секьюрити фичи должны делаться на доступе, край — на агрегации, а на доступе — это PACL в том числе. Подумайте — для чего.
Жуткая «сегментация» получается. Прям до уровня порта. На счет докладных и мучительного ожидания. Я не знаю, что вы там в сетях у себя технологических крутите, для этого есть стенды и выделенное под это оборудование. А в нормальном продакшне все работает без особых сбоев годами, а некоторое оборудование — и без перезагрузок годами. Откуда там взяться этим докладным постоянным на какое-то нездокументированное сетевое взаимодейтсвие — не понятно. Вы тут намекали, что мол у некоторых галимый офис, а у нас тут завод, у нас тут все серьезно. Но не вяжется эта серьезность с остальными утверждениями. Где действительно все серьезно — не жалеют потратить время на то, что бы все продумать, задокументировать, нормально реализовать с этапом тестирования и юзать уже потом до следующей модернизации или замены решения. А вообще, советую вернуться к исходному тезису, что изоляция пользователей друг от друга — вещь бесполезная и еще раз прочитать аргументацию. Ответами на которую были рассуждения в духе «а вот если табуретку подставить и на шкаф еще залезть». Если не убеждает… ну, даже уж и не знаю. Наверное, тогда лучше дискуссию прекратить.
Жуткая «сегментация» получается. Прям до уровня порта. На счет докладных и мучительного ожидания. Я не знаю, что вы там в сетях у себя технологических крутите, для этого есть стенды и выделенное под это оборудование. А в нормальном продакшне все работает без особых сбоев годами, а некоторое оборудование — и без перезагрузок годами. Откуда там взяться этим докладным постоянным на какое-то нездокументированное сетевое взаимодейтсвие — не понятно. Вы тут намекали, что мол у некоторых галимый офис, а у нас тут завод, у нас тут все серьезно. Но не вяжется эта серьезность с остальными утверждениями. Где действительно все серьезно — не жалеют потратить время на то, что бы все продумать, задокументировать, нормально реализовать с этапом тестирования и юзать уже потом до следующей модернизации или замены решения. А вообще, советую вернуться к исходному тезису, что изоляция пользователей друг от друга — вещь бесполезная и еще раз прочитать аргументацию. Ответами на которую были рассуждения в духе «а вот если табуретку подставить и на шкаф еще залезть». Если не убеждает… ну, даже уж и не знаю. Наверное, тогда лучше дискуссию прекратить.
Ну вот видите сами. В реальности — у вас совсем не то, что вы описывали. И сегменты есть и RPC ходит. И даже есть отдельные сегменты-стенды, где почти все разрешено.
Все претензии — к вашей теоретической модели с единым сегментом на 1000 машин и запретом всего и вся. Неудобно это. Как минимум — при разработке.
А в реальности — как видно, у вас тоже в все иначе.
Все претензии — к вашей теоретической модели с единым сегментом на 1000 машин и запретом всего и вся. Неудобно это. Как минимум — при разработке.
А в реальности — как видно, у вас тоже в все иначе.
Да, вы видно просто не админ. Сегменты большие, есть такие, где много разрешено. RPC ходит в НУЖНЫХ направлениях. В сегментах на сотни машин взаимодействие между ними полностью запрещено (PACL, IPACL). Большие серверные сегменты. Между большинством серверов, кроме тех случаев, где это необходимо (обеспечивают единый сервис, кластеры и т.д.) — общение запрещено.
Мы как на разных языках разговариваем. Да, я постоянно получаю заявки на отркытие чего либо. Где? На ван каналах. К сосденим площадкам. В инет. Это нормально. В ЛВС заявок нет. Почти нет. Потому что все более-менее продумано и подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
И ничему это не мешает. Файлы люьтся через файлообменники, пир-ту-пир бегает между воип телефонами в спец. сегментах и т.д. ЭТО ПРОЗРАЧНО. А то, что с файлового сервера невозможен коннект в пользовательские сегменты? Вот знаете, кроме меня и нескольких тех. спецов об этом никто и не знает. Это никому не мешает, кроме вирусов, конечно. Это я про описанную вами схему заражения не за секунду, а за две. Не работает она, так-то.
Мы как на разных языках разговариваем. Да, я постоянно получаю заявки на отркытие чего либо. Где? На ван каналах. К сосденим площадкам. В инет. Это нормально. В ЛВС заявок нет. Почти нет. Потому что все более-менее продумано и подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
И ничему это не мешает. Файлы люьтся через файлообменники, пир-ту-пир бегает между воип телефонами в спец. сегментах и т.д. ЭТО ПРОЗРАЧНО. А то, что с файлового сервера невозможен коннект в пользовательские сегменты? Вот знаете, кроме меня и нескольких тех. спецов об этом никто и не знает. Это никому не мешает, кроме вирусов, конечно. Это я про описанную вами схему заражения не за секунду, а за две. Не работает она, так-то.
Не админ. разработчик. Тот, кому проще сделать свою сетку из трех машин, чем писать докладную. Или отказаться от заказа, узнав про ограничения в корпоративной сети.
Ещё раз. После того как вы стали приписывать мне, то что я не говорил, мне с вами общаться стало неприятно.
Давайте наконец прекратим эту дискуссию. У меня нету цели вас перевоспитывать.
А при разработке — все это запросто бывает нужно. На пару часов, на день. Но нужно.
Ещё раз. После того как вы стали приписывать мне, то что я не говорил, мне с вами общаться стало неприятно.
Давайте наконец прекратим эту дискуссию. У меня нету цели вас перевоспитывать.
подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
А при разработке — все это запросто бывает нужно. На пару часов, на день. Но нужно.
Хех, не читая этого коммента я вам уже ответил, как оказывается.
«Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять?»
Перевоспитывать меня не надо. Я для этого староват да и на самовоспитание потратил много времени. Мой результат мне дорого.
Всех благ.
«Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять?»
Перевоспитывать меня не надо. Я для этого староват да и на самовоспитание потратил много времени. Мой результат мне дорого.
Всех благ.
Спор считаю бесполезным, любой может перечитать исходный тезис @ IGHOR и что на самом деле в сети у тех, кто его поддерживает.
Читайте выше. Не охватывается как-то у вас решения, присущие корпоративным сетям, в т.ч. промышленным. И кстати, сужу не по одной своей. Все же просто. ~1000 юзеров офисной направленности? Все, что написал IGHOR верно. Доступ в ЦОДы, серверные сегменты, возможно — в инет. Полная изоляция между собой. АСУТП у вас есть? Через файрволы, шлюзы-посредники и проч. средства стык с ЛВС, допустим, внутри АСУТП несколько иные подходы, это нормально. Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять? Я недоумеваю. Или у вас завод на десять машин? Тогда да, там можно попроще все, наверное. И сервер к ним в сегмент. На неуправляемый свич.
А вы просто никогда не видели, что делается пользователя такого вот горе-админа.
1) Локальные шары запрещены. Думаете пользователи подорвутся писать вам докладные, что они нужны? Не дождетесь. Пользователи в лучшем случае поставят TeamViewer. В худшем — устроят шару из странички в контактике.
Понятно, что это ещё менее безопасно. Зато — не надо мучаться, писать докладные и ждать неделями ответ админа.
Так устроены любые пользователи. Узнав про запрет — они не будут жаловаться, а обойдут запрет самым быстрым для них путем. А то, что этот путь хуже отмена запрета — это не проблемы пользователей.
2) Северсталь. В нашей системе 4-5 компов. Нужна сеть. Выясняется, что время простановки всех подписей на заявке админу — две недели. Время рассмотрения заявки — два месяца. Время монтажа — полгода.
Соответственно админы идут лесом, за неделю кидается 700 метров оптики и делается своя сетка, неучтенная у админов. Работает это 15 лет без обновлений, вирусов и сбоев.
Передача данных из АСУТП в АСУ — на бумажке. Списали с экрана, напечатали на машинке, подписали и отдали. Если отделу АСУ захочется автоматизировать — пусть сам с админами мучается.
Причем у них там все так. На несколько десятков компов в отделе — только один был в официальной сети. Использовался исключительно для почты и контактиков. Ибо куча админских ограничений. Программы не поставишь, плату связи — не воткнешь.
А все рабочие компы — для админов официально не существуют. Как и сети, их соединяющие.
Боюсь, что и у вас ровно так же. Потому что людская природа — везде одинакова.
1) Локальные шары запрещены. Думаете пользователи подорвутся писать вам докладные, что они нужны? Не дождетесь. Пользователи в лучшем случае поставят TeamViewer. В худшем — устроят шару из странички в контактике.
Понятно, что это ещё менее безопасно. Зато — не надо мучаться, писать докладные и ждать неделями ответ админа.
Так устроены любые пользователи. Узнав про запрет — они не будут жаловаться, а обойдут запрет самым быстрым для них путем. А то, что этот путь хуже отмена запрета — это не проблемы пользователей.
2) Северсталь. В нашей системе 4-5 компов. Нужна сеть. Выясняется, что время простановки всех подписей на заявке админу — две недели. Время рассмотрения заявки — два месяца. Время монтажа — полгода.
Соответственно админы идут лесом, за неделю кидается 700 метров оптики и делается своя сетка, неучтенная у админов. Работает это 15 лет без обновлений, вирусов и сбоев.
Передача данных из АСУТП в АСУ — на бумажке. Списали с экрана, напечатали на машинке, подписали и отдали. Если отделу АСУ захочется автоматизировать — пусть сам с админами мучается.
Причем у них там все так. На несколько десятков компов в отделе — только один был в официальной сети. Использовался исключительно для почты и контактиков. Ибо куча админских ограничений. Программы не поставишь, плату связи — не воткнешь.
А все рабочие компы — для админов официально не существуют. Как и сети, их соединяющие.
Боюсь, что и у вас ровно так же. Потому что людская природа — везде одинакова.
Мы вроде попрощались? Ну да ладно.
Я начинал с эникея давно, когда инет у нас был по >=4 р. за мб (а мобильного не было вовсе да и мобильники были далеко не у всех). Все, что только можно увидеть — я видел и все, что можно знать про ухищрения пользователей — я знаю. Ну или почти все, а чего не знаю — догадываюсь. Подо мной сейчас команда эникеев, которые тоже неплохо осведомлены как в результате «прямого контакта» так и благодаря всяким автоматизированным средствам. Вышестоящая над нами условная «пирамида» власти постоянно трясет нас на предмет отчетов в самых разных разрезах как по серверам, так и по раб. станциям. Они нам снятся уже. Смешно читать конец вашего поста, про админов, для которых львиная доля сети не существует.
1. Локальные шары не нужны. По факту. Большинству пользователей. Для большинства пользователей раб. станция — это тонкий клиент для доступа к удаленным сервисам, провод до ЦОДа и только. Многие тети за 50, поверьте, даже не знают и не поймут вас, что это такое — шара. Зато они виртуозно барабанят в SAPе или 1С. Для снятия стресса можно и в инет. Поискать тур для отпуска. Но есть и действительно нужные задачи. Закупки. Торги. Конкурсы всякие. Отчетность. Соц. сети не приветствуются, но люди пользуются. В итоге все нарушают и все под колпаком, любого можно притянуть. Все это понимают и никто не борзеет в целом. Компромисс и разумное сосуществование. Эксцессы редки.
Про разработчиков я уже писал. Будут у вас в вашей песочнице и шары и RPC и проч. Все, что вы заявите для вашей работы.
ТеамВьювера у офисного планктона не будет. Зарезано как по сетке так и мерами уровня хоста. Разными способоами. Обойти можно все теоретически, но это не тот случай. Слишком накладно становится, нет смысла. Можно получить вполне лигитимный удаленный доступ, если это обоснованно и нужно для работы. Никому руки целовать за это не надо будет.
Устроить шару на внешке можно. И даже некоторые сервисы будут работать. Но мало кто в здравом уме это будет делать. А попадется — лишиться работы, а может и получит юр. преследование. Это никому не надо, поверьте. За работу сейчас держатся. К тому же, если кто-то имеет доступ к чему-то действительно важному, всегда есть способ «унести». Ну, сфоткать в конце-концов экран. Особо важная инфа обычно не весит гигабайты, она компактна. Так что это совсем другой вопрос, он не решается исключительно техническими мерами никогда.
Неделями ответ от админа ждать не надо. Есть сервис деск. Админу и любому другому ит-специалисту там считается время реакции, время выполнения, есть крайние сроки, уставки временные с предупреждениями, начальники получают по почте варнинги и имеют этих самых ит-спецов за проволынивание работ. Просроченная заявка — это вообще ЧП. Собирать много подписей на заявку, включая подписи СБ нужно только на базовые, основополагающие вещи, типа завести учетку в АД при приеме на работу, обеспечить физически раб. место и т.п.
Описанные вами вопросы (типа порт открыть, что-то подкрутить) решаются посредством хелпдеска без волокиты, в рабочем порядке, по результатам экспертной оценки ит-специалиста. Как правило в течении дня, максимум двух, если это действительно надо.
ИТ службе периодически ставится оценка, независимый аудит опрашивает юзеров, анонимно. За плохую оценку итшников имеют. Ну… журят хотя бы :)
2. Ну плохо, что сказать? Только не надо экстраполировать этот опыт на всех. Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено, но все понимают, что по факту это оно, возможно, что будет задержка. Как минимум на то, что даже 5 компов надо нанести на схему, продумать подключение со всеми политиками так, что бы потом раз и навсегда и минимально вмешиваться. Если же речь о стенде, временном размещения «на показать» — нет проблем, мешать вам там ничего не будет.
На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство. Видно, тот еще бардак на предприятии. По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении. Как можно что-то кидать куда-то вот просто так… нет слов. Наверняка и ТБ нарушали, на стремянку поди лазали, может работа на высоте была. В общем — полный сюр. Случись какая травма во время этих работ — подсудное дело для ответсвенных лиц.
Или вы плохо объяснили ваш статус на этом объекте, как вариант.
Итого, вывод — нормальных сетей корпоративных вы не видели или видели, но не рассмотрели толком. Ну, знакомьтесь, мотайте на ус, т.с. Хотя, например, все что я описал — это норма, в целом постоянно муссируется, что вот незрелые мы, не все в порядке в королевстве. Но читая вас, я начинаю т.с. другими глазами смотреть на свою работу. Прямо аж себе завидовать.
Я начинал с эникея давно, когда инет у нас был по >=4 р. за мб (а мобильного не было вовсе да и мобильники были далеко не у всех). Все, что только можно увидеть — я видел и все, что можно знать про ухищрения пользователей — я знаю. Ну или почти все, а чего не знаю — догадываюсь. Подо мной сейчас команда эникеев, которые тоже неплохо осведомлены как в результате «прямого контакта» так и благодаря всяким автоматизированным средствам. Вышестоящая над нами условная «пирамида» власти постоянно трясет нас на предмет отчетов в самых разных разрезах как по серверам, так и по раб. станциям. Они нам снятся уже. Смешно читать конец вашего поста, про админов, для которых львиная доля сети не существует.
1. Локальные шары не нужны. По факту. Большинству пользователей. Для большинства пользователей раб. станция — это тонкий клиент для доступа к удаленным сервисам, провод до ЦОДа и только. Многие тети за 50, поверьте, даже не знают и не поймут вас, что это такое — шара. Зато они виртуозно барабанят в SAPе или 1С. Для снятия стресса можно и в инет. Поискать тур для отпуска. Но есть и действительно нужные задачи. Закупки. Торги. Конкурсы всякие. Отчетность. Соц. сети не приветствуются, но люди пользуются. В итоге все нарушают и все под колпаком, любого можно притянуть. Все это понимают и никто не борзеет в целом. Компромисс и разумное сосуществование. Эксцессы редки.
Про разработчиков я уже писал. Будут у вас в вашей песочнице и шары и RPC и проч. Все, что вы заявите для вашей работы.
ТеамВьювера у офисного планктона не будет. Зарезано как по сетке так и мерами уровня хоста. Разными способоами. Обойти можно все теоретически, но это не тот случай. Слишком накладно становится, нет смысла. Можно получить вполне лигитимный удаленный доступ, если это обоснованно и нужно для работы. Никому руки целовать за это не надо будет.
Устроить шару на внешке можно. И даже некоторые сервисы будут работать. Но мало кто в здравом уме это будет делать. А попадется — лишиться работы, а может и получит юр. преследование. Это никому не надо, поверьте. За работу сейчас держатся. К тому же, если кто-то имеет доступ к чему-то действительно важному, всегда есть способ «унести». Ну, сфоткать в конце-концов экран. Особо важная инфа обычно не весит гигабайты, она компактна. Так что это совсем другой вопрос, он не решается исключительно техническими мерами никогда.
Неделями ответ от админа ждать не надо. Есть сервис деск. Админу и любому другому ит-специалисту там считается время реакции, время выполнения, есть крайние сроки, уставки временные с предупреждениями, начальники получают по почте варнинги и имеют этих самых ит-спецов за проволынивание работ. Просроченная заявка — это вообще ЧП. Собирать много подписей на заявку, включая подписи СБ нужно только на базовые, основополагающие вещи, типа завести учетку в АД при приеме на работу, обеспечить физически раб. место и т.п.
Описанные вами вопросы (типа порт открыть, что-то подкрутить) решаются посредством хелпдеска без волокиты, в рабочем порядке, по результатам экспертной оценки ит-специалиста. Как правило в течении дня, максимум двух, если это действительно надо.
ИТ службе периодически ставится оценка, независимый аудит опрашивает юзеров, анонимно. За плохую оценку итшников имеют. Ну… журят хотя бы :)
2. Ну плохо, что сказать? Только не надо экстраполировать этот опыт на всех. Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено, но все понимают, что по факту это оно, возможно, что будет задержка. Как минимум на то, что даже 5 компов надо нанести на схему, продумать подключение со всеми политиками так, что бы потом раз и навсегда и минимально вмешиваться. Если же речь о стенде, временном размещения «на показать» — нет проблем, мешать вам там ничего не будет.
На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство. Видно, тот еще бардак на предприятии. По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении. Как можно что-то кидать куда-то вот просто так… нет слов. Наверняка и ТБ нарушали, на стремянку поди лазали, может работа на высоте была. В общем — полный сюр. Случись какая травма во время этих работ — подсудное дело для ответсвенных лиц.
Или вы плохо объяснили ваш статус на этом объекте, как вариант.
Итого, вывод — нормальных сетей корпоративных вы не видели или видели, но не рассмотрели толком. Ну, знакомьтесь, мотайте на ус, т.с. Хотя, например, все что я описал — это норма, в целом постоянно муссируется, что вот незрелые мы, не все в порядке в королевстве. Но читая вас, я начинаю т.с. другими глазами смотреть на свою работу. Прямо аж себе завидовать.
Я начинал с эникея давно, когда инет у нас был по >=4 р. за мбНу я так и думал, что вы ещё молодой и зеленый. Когда я начинал — ПЗУ прошивали. Буквально, иголкой с проводом вместо нитки. Впрочем тоже не считаю себя аксакалом рядом с теми, кто работал на БЭСМ-4 и БЭСМ-6.
То, что вы эникей — лишь усугубляет ситуацию с вашей молодостью.
Локальные шары не нужны. По факту. Большинству пользователей
Угу. Они нужны начальнику этих пользователей, когда выясняется, что Вася сломал руку и 2 недели на работу не придет. Тогда в течение 5 минут начальник дает доступ к этой шаре Пете. И ждать " Как правило в течении дня, максимум двух" никто не будет. Ибо результаты, как обычно, нужны вчера.
Если уж админ идиот и зажал все возможности сделать локальную шару — значит Вася СМСкой шлет свой пароль Пете.
А глобальные шары не нужны. При маски-шоу компы с глобальными шарами уносятся первыми. Или сгорают, если такая установка у начальства. Или связь с ними рвется в самый неподходящий момент. Или конкурирующий отдел читает документы в процессе разработки…
Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено,
Юридически это вообще не компы, а «система диагностики стана непрерывной горячей оцинковки и аллюминирования». Кому нужно их компами записывать? Чтобы раз в год горе-эникеи роняли всю систему? А так больше 15 лет проработало, 365 на 24.
Как настроил в 2001 году — так и работает. Без антивирусов, обновлений, на Win2K при 256 мегах ОЗУ. И главное — без эникеев, любящих своими шаловливыми ручками все поломать :-). На named pipe оно сделано, то есть на самбе. Включая дублирование архивов между серверами.
По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении
Эникеев лучше вообще туда не пускать. Максимум — в бытовку. И смотреть пристально, чтобы чего не заломали.
А у нас — все инструктажи по ТБ пройдены, допуски подписаны. Да, работа с напряжением до киловольта, если что на 15 киловольт — это мы уже электриков зовем.
На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство.
Каждый судит по себе.
700 метров оптики, разумеется, кидали не мы, а субподрядчики — хозрасчетная организация с той же Северстали. Наше дело — решить откуда и куда кидать. И сделать проект по ГОСТ (точнее по ГОСТ — это тоже не мы, а родственная организация). У нас — полный официоз всего, что мы делаем. Просто админы при малейших попытках вставить палку в колеса — идут лесом.
Хотя, например, все что я описал — это норма,
Можете тешить себя иллюзиями дальше. Но пока у вас синдром вахтера — все будут ваши глупости просто обходить.
Угу, могу продолжить.
Есть госпредприятие, связанное с секретностью. Для доступа в интернет существуют специальные компьютеры, не связанные с внутренней сетью, причём флешки в них вставлять нельзя. В остальные комьютеры можно вставлять только разрешённые флешки. Стоит ли говорить о том, что все используют свои флешки, свистки и мобильные телефоны, раздающие интернет?
Аналогично помещение военной части, куда проносить даже мобильные телефоны нельзя. Думаете, это правило соблюдается? Надо работать — люди будут работать с своими ноутбуками и телефонами, а не ждать месяцами разрешений.
В университете мелкие закупки техники делаются за счёт зарплат, а не через систему закупок — получается и быстрее, и дешевле (*). И меньше геморроя с тем, что надо что-то ставить на баланс.
А ещё паутина сетей на ГЗ МГУ и многое-многое-многое. Если нельзя, но очень хочется, то можно.
(*) Особенность грантового финансирования. Плюс низкие налоги на зарплатный фонд и зачастую отсутствие НДФЛ.
Надо работать — люди будут работать с своими ноутбуками и телефонами, а не ждать месяцами разрешений.
Да, именно так. А админов, которые не понимают — посылают куда подальше.
Погранчасть ФСБ РФ. Ноут для отладки вносим под курткой, выносим — через дыру в заборе. Все это с полного одобрения капитана судна, где стоит наш прибор.
Потому что ноут, который внесли официально — солился у безопасников уже 3 недели. А у меня вся командировка на 3 дня.
Зато замечательно было второй экземпляр провозить в самолете обратно. Там стенки из 5 миллиметровой стали. Обычно надо развинчивать и объяснять, что не бомба. А тут показываю бумагу за подписью начальника части, там штамп «ФСБ РФ». пропустили сразу — кому хочется в ФСБшные секреты влезать.
Забыл описать ситуацию позапрошлой недели. Нужна связь через 3G-4G между базой и ровером. Расстояние — до километра, то есть в одной соте.
Выясняется, что сделать TCP/IP соединение между модемами одного оператора с корпоративными M2M- симками — оперативно невозможно. Ни с белыми ни с серыми адресами — никак. Можно подать заявку и через месяц-два получить ответ — сделают или не сделают.
В итоге соединение от базы из Москвы идет в Питер на сервер, а оттуда = обратно в Москву, на ровер, находящийся в одной соте с базой.
Следующей испытание в Набережных Челнах, соединяться, видимо будем через Англию. Тоже при нахождении в одной соте. Ну чуть выше надежность интернета у сервера в Англии, чем у нашего конторского.
Нравится? Зато не понадобилось писать письмо за подписью гендиректора и ждать месяц разрешит ли админ или нет.
Интересно, что лет 5-6 назад на GPRS ещё было возможно соединяться напрямую (у нас так работало в Сочи). Но с тех пор админы зажали гайки, приходится извращаться.
Так что сказочки, что вы лучше всех знаете, что пользователям нужно — всего лишь проявление вашего синдрома вахтера. А реально ваши ограничения обходят. Причем обход — уменьшает безопасность ваших сетей больше, чем разрешение.
Выясняется, что сделать TCP/IP соединение между модемами одного оператора с корпоративными M2M- симками — оперативно невозможно. Ни с белыми ни с серыми адресами — никак. Можно подать заявку и через месяц-два получить ответ — сделают или не сделают.
В итоге соединение от базы из Москвы идет в Питер на сервер, а оттуда = обратно в Москву, на ровер, находящийся в одной соте с базой.
Следующей испытание в Набережных Челнах, соединяться, видимо будем через Англию. Тоже при нахождении в одной соте. Ну чуть выше надежность интернета у сервера в Англии, чем у нашего конторского.
Нравится? Зато не понадобилось писать письмо за подписью гендиректора и ждать месяц разрешит ли админ или нет.
Интересно, что лет 5-6 назад на GPRS ещё было возможно соединяться напрямую (у нас так работало в Сочи). Но с тех пор админы зажали гайки, приходится извращаться.
Так что сказочки, что вы лучше всех знаете, что пользователям нужно — всего лишь проявление вашего синдрома вахтера. А реально ваши ограничения обходят. Причем обход — уменьшает безопасность ваших сетей больше, чем разрешение.
Вот пристали вы со своим синдромом вахтера. Улыбаюсь. Не в тему, ну не в тему этот образ в данном случае.
Я не вполне понимаю вашу специфику, поэтому категоричен не буду, в отличие от ваших арбузов, выкатываемых на мое поле. Но даже не вполне понимая, интуитивно догадываюсь и в целом, мне так кажется, ситуацию оценить могу. Подобного много, приходится сталкиваться. Ваш подход мне представляется непрофессиональным, мальчишество какое-то. Что значит надо? Когда это надо стало понятно и известно? Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это? На лицо наскок, порыв, полет мысли, как, например, в вашей единственной публикации на хабре. Интересной, замечу, но вот этот подход быстро сделать, на коленке, зато ловко придумано — за версту виден. Мой жизненный опыт подсказывает, что все эти ловкачества, даже если работают какое-то время, как временное решение, дорого потом обходятся. Я вас могу понять только в том случае, если вы руководитель, гешефт которого напрямую зависит от того — сдадим, не сдадим, успеем — нет. Тогда понятно. Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос. А дальше… Дальше пусть искомую находчивость и ловкость проявляют те, кто должен в данном случае. И это правильно. Если они поднапрягутся, найдут прямые контакты и все решат и более того, застолбят это решение, есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась. Вы ткнете в него пальцем и скажете — он все сломал. А он скажет — друзья, а кто вам мешал сделать ПРАВИЛЬНО? Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали. А вы ответите — а нам надо было сразу, а не через… Поверьте, из этих двух сторон вы будете выглядеть бледней. Думаете у меня подобного не возникает, только в других сферах? Опыт показывает, все решаемо или почти все. А иногда надо, ради будущего нормального и правильного функционирования систем где-то чем-то и пожертвовать, а не гнаться за победой любой ценой, типа — не даете прямо, сделаем операцию на глазу через задний проход. Хотя, на вкус и цвет. Если вы жить не можете без того, что бы не устроить везде, где работаете пионернет — это ваше право и ваш выбор. Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?
Я не вполне понимаю вашу специфику, поэтому категоричен не буду, в отличие от ваших арбузов, выкатываемых на мое поле. Но даже не вполне понимая, интуитивно догадываюсь и в целом, мне так кажется, ситуацию оценить могу. Подобного много, приходится сталкиваться. Ваш подход мне представляется непрофессиональным, мальчишество какое-то. Что значит надо? Когда это надо стало понятно и известно? Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это? На лицо наскок, порыв, полет мысли, как, например, в вашей единственной публикации на хабре. Интересной, замечу, но вот этот подход быстро сделать, на коленке, зато ловко придумано — за версту виден. Мой жизненный опыт подсказывает, что все эти ловкачества, даже если работают какое-то время, как временное решение, дорого потом обходятся. Я вас могу понять только в том случае, если вы руководитель, гешефт которого напрямую зависит от того — сдадим, не сдадим, успеем — нет. Тогда понятно. Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос. А дальше… Дальше пусть искомую находчивость и ловкость проявляют те, кто должен в данном случае. И это правильно. Если они поднапрягутся, найдут прямые контакты и все решат и более того, застолбят это решение, есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась. Вы ткнете в него пальцем и скажете — он все сломал. А он скажет — друзья, а кто вам мешал сделать ПРАВИЛЬНО? Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали. А вы ответите — а нам надо было сразу, а не через… Поверьте, из этих двух сторон вы будете выглядеть бледней. Думаете у меня подобного не возникает, только в других сферах? Опыт показывает, все решаемо или почти все. А иногда надо, ради будущего нормального и правильного функционирования систем где-то чем-то и пожертвовать, а не гнаться за победой любой ценой, типа — не даете прямо, сделаем операцию на глазу через задний проход. Хотя, на вкус и цвет. Если вы жить не можете без того, что бы не устроить везде, где работаете пионернет — это ваше право и ваш выбор. Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?
Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это?
Если они поднапрягутся, найдут прямые контакты и все решат
Вот это и есть синдром вахтера во всей красе. Найти админа чужой компании (мегафона), выставить ему ящик водки, поваляться в ногах, и слезно попросить, чтобы он сделал то, что его менедежмент обещает:.
M2M (Machine-to-machine) — технология обмена информацией между устройствами через мобильную сеть
На практике — нету у них М2М. Потому что какой-то эникей решил, что это не нужно.
есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась.
Нету надежды. Ибо эникей с синдромом вахтера может и интернет на М2М симке отрубить. Дескать пускай устройство голосом данные передает. Или ввести белые списки серверов, с которыми коннект возможен.
Увы, фантазии у эникеев хватит на все. А наше дело — чтобы все работало не взирая на горе-админов.
Что значит надо? Когда это надо стало понятно и известно?
Да как обычно. Позвонили потенциальные заказчики, попросили демонстрацию. Захотели, чтобы связь между устройствами была не через УКВ-модемы, а через 3G. Ну взяли и сделали. Пару дней на покупку модемов, симок и настройку — и поехали. В 5-30 выехали из Питера, в 9 утра в Москве, в 13-30 закончили, в 19-30 вернулись в Питер. Рутина.
Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали.
А это не наша проблема, а горе-админов мегафона. У них там все звонки клиентов записываются. Тем более — корпоративных клиентов выделенному менеджеру. Федеральных операторов вообще-то четыре. Так что нет проблемы сменить оператора, если он что-то «потеряет». А уж тем более — клиентский договор.
Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос
Предпочитаю таких увольнять. Любой спец в рамках своей компетенции — последняя инстанция. на то он и спец. А если человек любит перекладывать ответственность на другого — пускай идет работать в госконторы, там каких любят.
Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?
Да, у нас карма такая — делать то, что никто другой в стране не может. И в мире — 5-6 фирм.
Подпольно мы не работаем. Всегда и везде — полный официоз и оформление всех разрешений. Просто эникеии и прочие самодуры — идут лесом. Не так уж сложно оптику записать как «систему технологической связи» а не «локальную сеть».
В энергетике, говорите, работаете? Ну вот можете полюбоваться, что мы делали на Норильскэнерго, когда все остальные фирмы в стране отказались (это моя предыдущая работа, как и проект на Северстали).
Могу уточнить (я в норильск сам не ездил, там только мой софт пашет), но 99%, что эникеев там тоже лесом послали. Записали компы как «технологическое оборудование управлением котельной» — и все, эникеи с их самоуправством идут лесом.
Правильно, что вас на производство только под надзором пускают. А то у вас сразу руки зачешутся все переделать. А в итоге — как обычно, сломаете.
А! Вы про то, чем физические сети лучше логических? Они в грозу лучше. :-))) В смысле меньше сгорит от высокого напряжения.
Пора уже внедрять политику хотя бы как андроид, а лучше сделать возможность сделать строже и пусть в корпоративном секторе админы все настраивают (если adobe-reader то только на чтение например). Потому что я что то не пойму как он добрался до MBR? Если для этого нужен аналог виндового рута, то что есть еще экплойт для повышения привилегий причем еще и 0день?
… и как в Андроиде все программы будут просить полный доступ, а пользователи нажимать, что согласны.
Он использует mimikatz для извлечения логинов и паролей пользователей.
Правильный подход. Защита строится из отдельных кирпичиков, и хостовая изоляция клиентов это один из них.
расшифровщика еще нет?
Согласно данным СБУ по вирусу Petya.A (состоянием на 21.00 по Киеву), вирус эксплуатирует уязвимость MS17-010
Там есть рекомендации и ссылки на апдейты для всех версий Windows (на украинском)
Цитата в одном из пабликов
Я конечно понимаю, что Хабр это не ВК. Но вдруг это поможет проблеме.
Максимальный репост
Публикуем код для разблокировки. Кто там с Win32/Diskcoder.Petya.C воюет — попробуйте.
Код: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
(Специальное спасибо https://vk.com/popyachsa)
Я конечно понимаю, что Хабр это не ВК. Но вдруг это поможет проблеме.
Итого, спустя сутки нет достоверной информации о том, как заражались машинки, нет сигнатур у крупнейших антивирусных решений, да и все статьи только на уровне предположений. Есть, скажем очень вероятная гипотеза про медок, но полностью не объясняет. Есть гипотеза про долгую скрытую атаку, но восстановленные из бекапов машины чисты. Противоречивая информация о том, помогают ли апдейты от ванна край, но похоже, что нет. Гипотеза о 0-дей уязвимости объяснит что угодно, можно валить на неё все шишки. А меж тем, вирус уже мутировал в новую версию… Риторический вопрос — что происходит? Где пресс-релизы антивирусных компаний, которые сигнатуры обновляют каждый час? (Вот только одна публикация на Хабре, да и то лишь список пострадавших собирают.) Мне кажется, это весьма серьезный удар по их же имиджу. Печально все в общем.
Всё так и есть, до сих пор нет полной картины. Ещё одно предположение — заражение через doc и pdf из почты в терминале, и эти уязвимости должны уметь повышать права.
вирус создает задачу на ребут ОС от имени SYSTEM
Этот топик только собрал внимание на Хабре, привлек внимание к проблеме. Технически более качественный пост тут https://m.habrahabr.ru/post/331788/comments/ предлагаю туда и идти, а туи читаь обновления уже утомительно и не так конструктивно. Жду ещё топиков с техническими подробностями!
Сегодня выходной в Украине и никто не работает. Я все свои компьютеры повыключал и жду решения, которое пока неизвестно.
Да, не вы один ждете. Правда, мы уже думаем, за какие компы завтра переводить $300, составляем план возобновления работы сети и прикидываем что менять в конфигурации.
Выше писали что бесполезно платить, так как email на который надо скинуть свои данные уже заблокирован.
Если это можно считать пресс-релизом, то вот от ESET32 https://www.esetnod32.ru/company/press/center/epidemiya-shifratora-win32-diskcoder-c-trojan-rekomendatsii-eset-/
Цитата оттуда: «Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.»
Цитата оттуда: «Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.»
Восстановленные машины могут быть и не чистыми, просто дата активации была точной и без настройки срабатывать позже неё.
Еще раз для особо непонятливого:
Каким образом зловред проник в сеть с установленным файерволлом и обновлениями?
Как я понимаю, доступ по SMB извне был закрыт. Уязвимость пропатчена… Т.е. механизм внедрения WannaCry не прокатывал.
Так как тогда?
И еще: есть где детектор уязвимости? Для WannaCry ребята сваяли такой. В комментариях к https://habrahabr.ru/company/cisco/blog/328598/#first_unread есть ссылки.
А для Пети/Миши есть что-то наподобие?
Каким образом зловред проник в сеть с установленным файерволлом и обновлениями?
Как я понимаю, доступ по SMB извне был закрыт. Уязвимость пропатчена… Т.е. механизм внедрения WannaCry не прокатывал.
Так как тогда?
И еще: есть где детектор уязвимости? Для WannaCry ребята сваяли такой. В комментариях к https://habrahabr.ru/company/cisco/blog/328598/#first_unread есть ссылки.
А для Пети/Миши есть что-то наподобие?
Microsoft Malware Protection Center blog.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
… пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
А пароли он откуда для них берет? Каким-то образом подбирает?
При входе на компьютер MS сохраняет хешик от пароля у себя, в дальнейшим этот же хешик пароля ( а не пароль !) может использоваться для авторизации на других компьютерах домена. Доступ к хешику могут получить только администраторы компьютера и не штатными средствами MS.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
Пишут возможно mimikatz
если этого файла нет perfc.dat то все нормально?
Что происходит с файлами на первом этапе, до перезагрузки?
Не могу понять. По описаниям, — шифрование начинается после перезагрузки во время работы бутафорского «чекдиска». Но, вместе с тем, пишут что файлы еще до перезагрузки оказываются повреждены.
Не могу понять. По описаниям, — шифрование начинается после перезагрузки во время работы бутафорского «чекдиска». Но, вместе с тем, пишут что файлы еще до перезагрузки оказываются повреждены.
У меня есть 2 версии файла:
1) Версия поврежденная, но не зашифрованная
2) Версия изначальная
Открываю: примерно 50% файла изменены так, что последовательность
25 50 44 46 2D 31 2E 36 0D (%PDF-1.6)
превратилась в
6B 43 C3 11 7F B4 CE 6B C5 (kC?????k?)
остальные 50% файла в изначальном состоянии
Сам пока думаю. Если кому нужно — файлы пришлю для анализа.
Пока только один файл такой нашел. Поищу другие, потом отпишусь.
1) Версия поврежденная, но не зашифрованная
2) Версия изначальная
Открываю: примерно 50% файла изменены так, что последовательность
25 50 44 46 2D 31 2E 36 0D (%PDF-1.6)
превратилась в
6B 43 C3 11 7F B4 CE 6B C5 (kC?????k?)
остальные 50% файла в изначальном состоянии
Сам пока думаю. Если кому нужно — файлы пришлю для анализа.
Пока только один файл такой нашел. Поищу другие, потом отпишусь.
Тут как раз понятно, шифруется то, до чего можно добраться без перезагрузки, а остальное уже при эксклюзивном доступе — sql базы и т.д.
Я правильно понял из UPD10, создаём пустой файл 0 байт с именем perfc без расширения?
Автор, кибератаке ведь в заголовке, нет?
Про «шифрует только диск С» — не правда. Имеется комп где С вообще потерял файловую систему, а Д целый, но 99% файлов зашифрованы.
У нас на данный момент из парка около 200 машин заразилось две. Обе были на старых необновленных семёрках.
Основной парк — на Win10, WSUS настроен на автоматический апрув для обновлений безопасности. Похоже, что это помогает, и вирус действительно эксплуатирует MS17-010.
Основной парк — на Win10, WSUS настроен на автоматический апрув для обновлений безопасности. Похоже, что это помогает, и вирус действительно эксплуатирует MS17-010.
У шифрованных файлов меняется расширение или нет?
У нас стоял антивирус корп уровня на всех машинах, так что все порты точно закрыты и открыть с обычного компа нельзя. В инет через только через прокси с фильтрацией контента, закрыта адресация по ип, стоял opendns c ограниченным контентом. Стоят самые последние обновления для виндовс.
В сети возможно ARP-spoofing, в сети есть выход нат на вайбер.
Пострадали даже хранилище от кластера (закрытая отдельная сеть), куда уж точно никто не мог отправить что то.
В офисе остались живы в основном те компы которые не в АД, (серваки были в АД).
В сети возможно ARP-spoofing, в сети есть выход нат на вайбер.
Пострадали даже хранилище от кластера (закрытая отдельная сеть), куда уж точно никто не мог отправить что то.
В офисе остались живы в основном те компы которые не в АД, (серваки были в АД).
Мои не пропатченные Windows 7, без единого обновления выходящие в мир через TL-WR740N почему-то еще живы. Обновил Avast уже на следующий день после начала атаки.
Правда 445 порт был закрыт.
Что я делаю не так? Или еще подождать?
Нет, я действительно удивлен.
Правда 445 порт был закрыт.
Что я делаю не так? Или еще подождать?
Нет, я действительно удивлен.
Не смотря на то что есть классификация в антивирусах и даже можно вылечить его, кошелек стабильно пополняется!
https://bitaps.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
уже 3,5 Биткоина. Последняя транзакция 15 минут назад.
https://bitaps.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
уже 3,5 Биткоина. Последняя транзакция 15 минут назад.
Словили вчера на ноуте где стоит медок. Лицензия 7-ки про обновленная, лицензия e-set. от него сразу же лег файлопомойка на 2003 сервере (сетевой диск с полными правами для гостя). Остальные сервера на 2008 с ограниченным доступом к сетевым папкам не пострадали.
Данные можно восстановить через R-Data если только увидели сообщение и не началась зашифровка.
На клиентской машине пришлось переустановить винду, на сервер восстановили с бэкапа, предварительно исправив Mbr.
Данные можно восстановить через R-Data если только увидели сообщение и не началась зашифровка.
На клиентской машине пришлось переустановить винду, на сервер восстановили с бэкапа, предварительно исправив Mbr.
О вирусе в обновлении Медка говорят еще с 25 майя 2017. http://www.me-doc.com.ua/forum/viewtopic.php?f=82&t=13781
Самое подробное описание, что я видел на сегодня от МакАфи
https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/
Менее подробное от ПозитифТекналаджи
https://www.ptsecurity.com/ru-ru/about/news/283092/
https://www.ptsecurity.com/ru-ru/about/news/283092/?utm_source=Site&utm_medium=slider&utm_content=Petya
Чуть более подробно про UPD10.
Чуть более подробно про UPD10.
Точно так же у ДокторВеб https://news.drweb.ru/show/?i=11349&lng=ru&c=14 с 27.06.2017 с 16:30 уже обновились.
Может поможет в рвзяснениях или подтвержениях: Вчера при атаке нод32 присек за сетевую атаку дллку точное название к сожалению не записал. Но юзал он cve_2017 — 0144 eternalblue. Компьютор в єтоге все равно зашифрован. Я думая атака была на комплексе эксплоитов.
П.с я не итишник я юзер-жертва
Так как мой предыдущий комментарий про монополию Windows заминусовали, решусь-таки на примере пояснить, что я имею в виду, может кто-то не понял моей мысли.
Представьте себе ситуацию, что на рынке легковых автомобилей есть монополист А с 90% долей рынка. Более того, почти все водители учились управлять автомобилями компании А, и плохо себе представляют как управлять автомобилями марок Б и В. Но и это не самое главное — авторегистраторы, gps-трекеры, автомагнитолы и прочие автомобильные принадлежности других фирм тоже делаются исключительно под марку А, и очень редко — под А, Б и В.
И вот вас назначили менеджером по транспортному обеспечению в какой-то организации. Естественно, даже если вы симпатизируете машинам Б и В, вы будете покупать исключительно автомобили А, або при прочих равных затрат будет менше, персонал знает как их водить, а ваши gps-трекеры работают только с ними.
В один прекрасный день группа вымогателей узнает, что в автомобилях марки А есть критическая уязвимость, с помощью которой автомобиль можно заблокировать. И начинают массово блокировать автомобили, паралельно требуя выкупа от собственников за «разблокировку». У вашей организации за час заблокировали 10% автомобилей, и естественно, вы даете распоряжение вернуть все машини назад в парк и перестать использовать. Транспортное обеспечение вашей организации полностью встало до того момента, пока критическая уязвимость не будет устранена.
Если бы у вас использовались не только автомобили А, но еще и Б и В, работа вашей организации не встала бы полностью, потому что автомобили А бы вы вернули в парк, но Б и В продолжали бы работать. Но у вас автомобили только А, ибо А — монополист и вам пришлось покупать их.
Такое с автомобилями сейчас невозможно потому, что нет монополии одного автопроизводителя. Но такая ситуация возможна на ПК потому, что здесь монополия есть.
Представьте себе ситуацию, что на рынке легковых автомобилей есть монополист А с 90% долей рынка. Более того, почти все водители учились управлять автомобилями компании А, и плохо себе представляют как управлять автомобилями марок Б и В. Но и это не самое главное — авторегистраторы, gps-трекеры, автомагнитолы и прочие автомобильные принадлежности других фирм тоже делаются исключительно под марку А, и очень редко — под А, Б и В.
И вот вас назначили менеджером по транспортному обеспечению в какой-то организации. Естественно, даже если вы симпатизируете машинам Б и В, вы будете покупать исключительно автомобили А, або при прочих равных затрат будет менше, персонал знает как их водить, а ваши gps-трекеры работают только с ними.
В один прекрасный день группа вымогателей узнает, что в автомобилях марки А есть критическая уязвимость, с помощью которой автомобиль можно заблокировать. И начинают массово блокировать автомобили, паралельно требуя выкупа от собственников за «разблокировку». У вашей организации за час заблокировали 10% автомобилей, и естественно, вы даете распоряжение вернуть все машини назад в парк и перестать использовать. Транспортное обеспечение вашей организации полностью встало до того момента, пока критическая уязвимость не будет устранена.
Если бы у вас использовались не только автомобили А, но еще и Б и В, работа вашей организации не встала бы полностью, потому что автомобили А бы вы вернули в парк, но Б и В продолжали бы работать. Но у вас автомобили только А, ибо А — монополист и вам пришлось покупать их.
Такое с автомобилями сейчас невозможно потому, что нет монополии одного автопроизводителя. Но такая ситуация возможна на ПК потому, что здесь монополия есть.
Аналогия не совсем верная.
Даже если на рынке есть автомобили А, Б и В, то как менеджер по транспортному обеспечению, вы, скорее всего будете покупать какую-то одну марку(в основной массе). Потому, что так проще организовывать обслуживание и запасы запчастей. Проще и, что важнее, дешевле.
Тем более, что утверждение о монополии МС вообще спорно. В большей части компаний Windows/Linux/Unix сервера встречаются в некоторой пропорции и выполняют те роли, для которых они больше подходят. Проблема в том, что если из нескольких ваших бизнес процессов часть остановлена, то далеко не факт, что остальные могут продолжить работу. А строить систему так, чтобы ИТ обеспечение каждого бизнес процесса дублировалось несколькими гетерогенными ИТ системами очень сложно, дорого и не всегда возможно.
Даже если на рынке есть автомобили А, Б и В, то как менеджер по транспортному обеспечению, вы, скорее всего будете покупать какую-то одну марку(в основной массе). Потому, что так проще организовывать обслуживание и запасы запчастей. Проще и, что важнее, дешевле.
Тем более, что утверждение о монополии МС вообще спорно. В большей части компаний Windows/Linux/Unix сервера встречаются в некоторой пропорции и выполняют те роли, для которых они больше подходят. Проблема в том, что если из нескольких ваших бизнес процессов часть остановлена, то далеко не факт, что остальные могут продолжить работу. А строить систему так, чтобы ИТ обеспечение каждого бизнес процесса дублировалось несколькими гетерогенными ИТ системами очень сложно, дорого и не всегда возможно.
Почему невозможно? Какие бы разные автомобили у вас не были, вы все равно поставите на них одну и ту же противоугонную систему. Через которую ваши автомобили и заблокируют. А две разных противоугонных системы — это практически двойная цена за обслуживание.
Ваш пример вообще с планеты пони и магии.
Вы не пробовали посчитать во сколько обойдется двойной набор ВСЕХ приложений на разные ОС, которые должны отлично уживаться друг с другом, а не на одной ос почтовый клиент работать как надо, а на другой почтовый клиент не выпущен вообще, поэтому пользователи сидят в неудобной веб-морде.
Содержание двойного набор администраторов для обслуживания разных типов ОС.
В каком проценте делить пользователей и функциональность компании на разные ОС? И насколько компании будет хорошо, если у нее отвалится не 100% машин а 50%? Или каждый внутренний сервис должен быть отказоустойчивым кластером, ноды которого работают на разных ОС.
То есть в любом случае решения для крупных компаний будут единые, и переключиться с одного решения на другое может быть дороже дня простоя.
А в итоге, остается нормальный, адекватный и дешевый способ — резервное копирование и проверка целостности.
Какой бы плохой не был Петя — через месяц мы про них уже и вспоминать особо не будем, как перестали на время вспоминать про Ваннакрай. Дырки заделываются, данные восстановятся или напишутся заново. Понятно что множество людей пострадает. Но вот ваш вариант — ну нереален.
Вы не пробовали посчитать во сколько обойдется двойной набор ВСЕХ приложений на разные ОС, которые должны отлично уживаться друг с другом, а не на одной ос почтовый клиент работать как надо, а на другой почтовый клиент не выпущен вообще, поэтому пользователи сидят в неудобной веб-морде.
Содержание двойного набор администраторов для обслуживания разных типов ОС.
В каком проценте делить пользователей и функциональность компании на разные ОС? И насколько компании будет хорошо, если у нее отвалится не 100% машин а 50%? Или каждый внутренний сервис должен быть отказоустойчивым кластером, ноды которого работают на разных ОС.
То есть в любом случае решения для крупных компаний будут единые, и переключиться с одного решения на другое может быть дороже дня простоя.
А в итоге, остается нормальный, адекватный и дешевый способ — резервное копирование и проверка целостности.
Какой бы плохой не был Петя — через месяц мы про них уже и вспоминать особо не будем, как перестали на время вспоминать про Ваннакрай. Дырки заделываются, данные восстановятся или напишутся заново. Понятно что множество людей пострадает. Но вот ваш вариант — ну нереален.
Вы не пробовали посчитать во сколько обойдется двойной набор ВСЕХ приложений на разные ОС
Ну вэб-приложения же как-то делают и чтобы на хроме, и чтобы на фаерфоксе, и даже на ие работали (хотя в 90-е никто и представить не мог, что ие когда-то сметут с трона). И мобильные приложения сразу пишут под Андроид и iOS. Уберите монополию на десктопе — будет то же самое.
В каком проценте делить пользователей и функциональность компании на разные ОС
Это уже от стратегии и менеджмента зависит. Посмотрите на Приватбанк — у них в отделениях работают на линуксе и iOS (да, вы не ослышались, iOS). И ничего — отделения функционируют прекрасно, во время Пети упали терминалы на Windows, но все остальное работало. И как показала практика, стратегия Приватбанка здесь — правильная, а тех, кто завязал всю свою инфраструктуру на одну систему — нет.
Пока «вэб» приложение доберется до браузера, оно должно сперва крутиться на каком-то сервере.
«Уберите монополию» звучит как «давайте заблокируем», а не давайте напишем конкурентноспособный продукт.
В отделениях приватбанка работают и на андроид планшетах.
Что же касается «практика показала», так Приватбанк изначально разворачивал структуру на Линукс, потому что
а) это было дешевле в правовом поле.
б) банк развивался быстро, но он достаточно молод, у него нет множества Legacy хвостов, тянущихся из тех времен, где лицензионные системы никто не считал, Линукс администраторов в стране было меньше 100.
в) Приватбанк ориентировался на цифровой рынок, где Линукс сейчас дефакто более стабилен
Есть банки, которые сидят на Windows и не пострадали.
А вот недавние heartbleed были найдены вообще ОС-независимо.
Но вот вам неймется, вы уверены что только монополия во всем виновата.
«Уберите монополию» звучит как «давайте заблокируем», а не давайте напишем конкурентноспособный продукт.
В отделениях приватбанка работают и на андроид планшетах.
Что же касается «практика показала», так Приватбанк изначально разворачивал структуру на Линукс, потому что
а) это было дешевле в правовом поле.
б) банк развивался быстро, но он достаточно молод, у него нет множества Legacy хвостов, тянущихся из тех времен, где лицензионные системы никто не считал, Линукс администраторов в стране было меньше 100.
в) Приватбанк ориентировался на цифровой рынок, где Линукс сейчас дефакто более стабилен
Есть банки, которые сидят на Windows и не пострадали.
А вот недавние heartbleed были найдены вообще ОС-независимо.
Но вот вам неймется, вы уверены что только монополия во всем виновата.
Вот к чему приводит неконтролируемый доступ к глобальным сетям и отсутствие идентификации пользователей. Получите, распишитесь.
Скажите, в реальной жизни вы будете требовать от преступников обязательного предъявления паспорта перед преступлением? И как, они согласятся сначала предъявить паспорт, а потому уже — воровать, грабить, насиловать, убивать?
Увы, преступники всегда найдут способ обмануть ваши законы. Максимум, что вы получите — это идентификацию жертв.
Что же тогда помешает преступникам убить владельца компа и под его именем выйти в сеть и запустить вирус?
Так что начинайте с надежной идентификации преступников в реальной жизни. Без этого все бесполезно.
Увы, преступники всегда найдут способ обмануть ваши законы. Максимум, что вы получите — это идентификацию жертв.
Что же тогда помешает преступникам убить владельца компа и под его именем выйти в сеть и запустить вирус?
Так что начинайте с надежной идентификации преступников в реальной жизни. Без этого все бесполезно.
Так, немедленно прекратите этот свой неконтролируемый доступ к глобальным сетям, предъявите паспорт, получите направление, распишитесь и незамедлительно проследуйте на идентификацию!
Если бы не рейтинг, то подумал бы что сарказм.
В связи с тем, что зловред использует сохраненные пароли локального и доменного админа для доступа к другим компам, встали вопросы:
1. Как средствами GP или другими удалить по сетке учетки доменного админа со всех компов?
Команда NET USER работает только с локальными учетками?
2. Как средствами GP или другими сменить по сетке пароли локальных админов?
Команда NET USER может удалять/добавлять/(де)активировать учетки, но не менять пароли.
У меня не 1000+ машинок, но все равно ноги топтать неохота. Да и пропустить могу кого-то.
1. Как средствами GP или другими удалить по сетке учетки доменного админа со всех компов?
Команда NET USER работает только с локальными учетками?
2. Как средствами GP или другими сменить по сетке пароли локальных админов?
Команда NET USER может удалять/добавлять/(де)активировать учетки, но не менять пароли.
У меня не 1000+ машинок, но все равно ноги топтать неохота. Да и пропустить могу кого-то.
Поднятие уровня домена до 2012R2.
Включение админов домена в группу Protected users.
https://technet.microsoft.com/en-us/library/dn466518.aspx
Включение через GPO Credential Guard
https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard
Для чего? У вас уже вирус в сети ходит? Смените пароль и выполните первые 2 пункта.
Включение админов домена в группу Protected users.
https://technet.microsoft.com/en-us/library/dn466518.aspx
Включение через GPO Credential Guard
https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard
1. Как средствами GP или другими удалить по сетке учетки доменного админа со всех компов?
Для чего? У вас уже вирус в сети ходит? Смените пароль и выполните первые 2 пункта.
Увы, у меня контроллеры домена на Win2K3. И приобретение Win2K12/16 в финансовых планах на ближайшие 2 года не числятся :)
Когда вирус будет бродить по сети — будет поздно метаться :D Но пароль доменного админа сменил сразу.
А что насчет смены пароля локального админа по сети?
Когда вирус будет бродить по сети — будет поздно метаться :D Но пароль доменного админа сменил сразу.
А что насчет смены пароля локального админа по сети?
Смысл менять пароль локального админа? Он легко достается mimikatzom.
Для Win2012R2 сервера AD достаточно персоналки c 4GB оперативы за 300 долларов.
Что мешает проапдейтить Win2003 до 2012R2?
Что у вас за сервера вообще?
У нас 250 пользователей, 500 девайсов, и всего 2 виртуалки DC c 4GB оперативы спокойно справляются.
Владелец бизнеса рискует потерять ВСЕ в один день — спасут только бэкапы, которые после выполнения задания будут вынесены из здания.
Для Win2012R2 сервера AD достаточно персоналки c 4GB оперативы за 300 долларов.
Что мешает проапдейтить Win2003 до 2012R2?
Что у вас за сервера вообще?
У нас 250 пользователей, 500 девайсов, и всего 2 виртуалки DC c 4GB оперативы спокойно справляются.
Владелец бизнеса рискует потерять ВСЕ в один день — спасут только бэкапы, которые после выполнения задания будут вынесены из здания.
Мешает Федеральный закон ФЗ-44, по которому план закупок на 2018 год уже сверстан, а внесение в него изменений — еще тот геморрой. С кучей заявок, обоснований и утверждений. Так что, либо включать в план закупок 2019 года, либо нижайше бить челом. Притом не только нам перед директором, а директору перед городскими властями, а тем — перед областными. Чтобы выделили дополнительное финансирование.
Спасибо нашему правительству!!!
Спасибо нашему правительству!!!
Давайте так — закон, это конечно хорошо — но что, в конторе одни железные серваки и нигде нельзя поднять виртуалки? Как-то слабо верится.
Да даже банально на Win10Ent Hyper-V есть, где можно поднять сервак DC.
Да даже банально на Win10Ent Hyper-V есть, где можно поднять сервак DC.
А лицензии? Лицензии на Win2K12 тоже денег стоят. А без лицензии она работает 1 час и выключается :).
Смысл покупать железо или поднимать виртуалки без лицензионных ОСей?
Даже не прорабатывал этот вопрос, честно говоря :) Пока что прекрасно обходились двумя железными контроллерами. Железо еще не совсем старое — лет 7 всего. ОСь с прежних серваков перенеслась без проблем.
Так что даже не знаю, как виртуалки ставятся. Не интересно было…
Единственный опыт был — поднимали XP на VMWare в другой XP, т.к. OPC-сервера разных производителей на одной машине начинали конфликтовать. Намучались с пробросом сетевых интерфейсов. Что-то больше не хочется.
Смысл покупать железо или поднимать виртуалки без лицензионных ОСей?
Даже не прорабатывал этот вопрос, честно говоря :) Пока что прекрасно обходились двумя железными контроллерами. Железо еще не совсем старое — лет 7 всего. ОСь с прежних серваков перенеслась без проблем.
Так что даже не знаю, как виртуалки ставятся. Не интересно было…
Единственный опыт был — поднимали XP на VMWare в другой XP, т.к. OPC-сервера разных производителей на одной машине начинали конфликтовать. Намучались с пробросом сетевых интерфейсов. Что-то больше не хочется.
WinSRV 2012R2 без лицензии работает и не выключается — не выдумывайте.
Original Install Date: 4/19/2016, 3:23:43 PM
System Boot Time: 5/28/2017, 7:02:47 PM
Но все равно без лицензий не хорошо :)
Живите и дальше на пороховой бочке, раз за столько лет не смогли обновить свое железо — значит Вам так надо — точнее никак не надо.
Original Install Date: 4/19/2016, 3:23:43 PM
System Boot Time: 5/28/2017, 7:02:47 PM
Но все равно без лицензий не хорошо :)
Живите и дальше на пороховой бочке, раз за столько лет не смогли обновить свое железо — значит Вам так надо — точнее никак не надо.
Я имел в виду пробную версию с офсайта MS, для установки которой лицензионный ключ не нужен.
А это не «без лицензии», а не активированная.
Кстати, а как она обновы получает в таком случае? Это раз.
А два — если при установке не ввести ключ, то устанавливается триальный срок.
А если ввести дублирующий, то или не прокатит или можно нарваться на неприятности.
Почему не обновляем? Регулярно обновляем. Но под конкретные объяснимые цели: 1С, геоинформационная система, сервера диспетчеризации… Т.е. всё то, с чем руководство поиграться может :). А КД — это трудно объяснимо и совсем непонятно :D
А если честно, то приходится прижиматься. Хотеть можно закупить хоть что, а план составляется в пределах выделенных лимитов :)
И пока КД не посыпятся окончательно, вряд ли под них средства выделят. Раньше в конце года перепадало немного дополнительно. А теперь и этого не будет…
А это не «без лицензии», а не активированная.
Кстати, а как она обновы получает в таком случае? Это раз.
А два — если при установке не ввести ключ, то устанавливается триальный срок.
А если ввести дублирующий, то или не прокатит или можно нарваться на неприятности.
Почему не обновляем? Регулярно обновляем. Но под конкретные объяснимые цели: 1С, геоинформационная система, сервера диспетчеризации… Т.е. всё то, с чем руководство поиграться может :). А КД — это трудно объяснимо и совсем непонятно :D
А если честно, то приходится прижиматься. Хотеть можно закупить хоть что, а план составляется в пределах выделенных лимитов :)
И пока КД не посыпятся окончательно, вряд ли под них средства выделят. Раньше в конце года перепадало немного дополнительно. А теперь и этого не будет…
Смысл менять пароль локального админа в том, что сейчас он везде один и тот же.
А если скриптом задать новый с солью, зависящей, например, от сетевого имени компа или даты установки ОСи, то они будут разные на каждом компе.
А если скриптом задать новый с солью, зависящей, например, от сетевого имени компа или даты установки ОСи, то они будут разные на каждом компе.
Скажите, это мне одному кажется, что серверы терминалов (удаленных рабочих столов) — бомбы с горящими запалами?
На них тусуются десятки пользователей. От системных ресурсов эти клиенты не отделены как следует. Обычно и доменные администраторы заходят на эти сервера под своей учеткой…
Вопрос времени — когда какой-нибудь терминальный клиент получит соответствующее письмо или перейдет по ссылке :(
На них тусуются десятки пользователей. От системных ресурсов эти клиенты не отделены как следует. Обычно и доменные администраторы заходят на эти сервера под своей учеткой…
Вопрос времени — когда какой-нибудь терминальный клиент получит соответствующее письмо или перейдет по ссылке :(
Украина подверглась самой крупной в истории кибератаке вирусом Petya