Комментарии 52
А есть гипотезы че так долго из бэкапа восстанавливались , или типа все норм?
Ну если учесть восстановление совсем с нуля, то, вроде, не долго.
день поднять сетку с 0, новые пароли, новые ключи, новые сертификаты (большим отделом)
день поднять основные сервисы вроде домена и т.д. то же самое, новые пароли, новые ключи (старые с большой вероятностью скомпрометированы)
день поднять сервера с базами
день поднять фронт и подключить к базам + полировка вылезающих проблем
Даже если у вас есть горячие бакапы, поднять сотни филиалов (а с учетом ПВЗ, я думаю, на порядок больше) за день можно только если у вас тысячи инженеров. Просто физически добраться до оборудования занимает время.
Кроме сети еще есть cloud. Мы тестировали такой сценарий - раскатку с нуля после шифровальщика. Получилось почти неделя работы. Конечно, у нас немного другой масштаб, но и штат соответствующий.
Без понимания того что произошло сложно судить, но шапками кидать, что "мы тераформом все из репы раскатим за день и нетконфиги из оксидайза зальем за полчаса" - очень, на мой взгляд, самоуверенно.
А откуда инфа, что они вообще восстанавливались из бэкапов? Судя по тому, что номера посылок начались заново и слетел сдэк Id, есть подозрение, что не все было восстановлено.
Столько букф, а решение простое и бесплатное. Если бы у них не было бы Винды на компах, шифровальщики в письмах и фишинговых ссылках просто обломались бы. Все. Не благодарите.
Фишинг по классике вообще обходится без ВПО на стадии Initial Access — люди просто отдают свои логины и пароли по ссылке.
Второй сценарий тоже отлично сработает и с Виндой, и с Линуксом, и с любой другой операционкой на серверах и рабочих станциях.
Мы тоже любим Линукс, но, к сожалению, его внедрение везде само по себе проблему не решит.
его внедрение везде само по себе проблему не решит.
А никто не говорил, что Линукс, это серебряная пуля. Но 99.99% беды отведет. Успехов вам подцепить шифровальщик под Линукс.
люди просто отдают свои логины и пароли по ссылке.
Все уже украд придумано до нас. Для этого существует вход по ключам, 2FA, passkey, Yubico и все такое.
Второй сценарий тоже отлично сработает и с Виндой, и с Линуксом, и с любой другой операционкой на серверах и рабочих станциях.
А вообще, я просто убежден, что даже если все вышеописанное по второму методу, оказалось дискредитированным, без засланного казачк инсайда, такой взлом осуществить нереально. Слишком много нюансов надо знать. Так что тут однозначно была не лажа, а ложа. Диверсия значит.
Слышал историю как шифровальщик успешно запустился и отработал под Вайном. Байка это или нет проверять не стал.
успешно запустился
Сам "запустился". Албанский вирус. ;) И что он бы там пошифровал?
Даже если это и правда, Вайн еще иметь надо на компе, чтобы зловред "запустился".
Это вполне возможно, и даже вроде авторы вайна предупреждали. Если все нужные api доступны, диск тоже для записи доступен - почему бы ему не сработать, тем более ни дефендера ни иных средств защиты.
Но 99.99% беды отведет. Успехов вам подцепить шифровальщик под Линукс.
Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей. То есть целевая аудитория злоумышленников сидит в других ОС. У Андроида всё в порядке с вирусами, а он по сути тот же Линукс.
Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей.
Этот аргумент приводят с начала времен. Вот вам не все ли равно, почему его мало. Главное, что мало, ничтожно мало и именно из-за особеностей ОС. И возможности распространения и нанесения ущерба, сопостовимого с Форточным, именно из-за особеностей ОС, в Линуксе очень слабые.
У Андроида всё в порядке с вирусами, а он по сути тот же Линукс.
А человек, по сути та же обезьяна, но почему-то есть болезни и вирусы, которые для человека смертельные, а обезьянам пофиг. И наоборот.
Хотите сказать, что в Линуксе полностью отсутствуют критические уязвимости? Если существует хотя бы одна уязвимость - всё, при желании её найдут и вас взломают.
Хотите сказать, что в Линуксе полностью отсутствуют критические уязвимости?
Нет, не хочу такого сказать и с этим не спорю. Спорю с теми, кто защищает Винду в аспекте легкости подцепления зловредов(по разным причинам), а жизнь показывает явно обратное.
Если существует хотя бы одна уязвимость - всё, при желании её найдут и вас взломают.
Вот когда убьют, тогда и приходите. Одного желания недостаточно. Есть цена взлома, по отношению к достигнутому профиту.
Есть цена взлома, по отношению к достигнутому профиту.
Вот вы и повторили то, что я ответил в первом сообщении. Вы путаете безопасность (миллиарды пользователей, миллионы злоумышленников и независимый аудит подтвердили, что Вин/Мак в целом безопасны) с иллюзией безопасности (а вы попробуйте найти зловред на нашу ОС, которой пользуются 3% юзеров). Эта иллюзия очень опасна, и если бы условный СДЭК перешёл на неё - то и взлом мог бы произойти гораздо раньше и дешевле для злоумышленников.
Если кто-то пользуется самописной ОС, на которую нет вирусов - потому что ею пользуется только один человек - это же не значит, что эта ОС самая безопасная в мире? (Я вас не минусую)
У Андроида всё в порядке с вирусами, а он по сути тот же Линукс
Серьёзно, вы хоть раз видели своими глазами?
Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей
… и 97% серверов. А как раз за зашифрованные серверы можно получить жирный выкуп
Некорректно сравнивать сервер и ПК. Если на ПК пользователю разрешено всё, то на сервере - запрещено всё, кроме разрешённого. Поэтому социальная инженерия на серверах не работает.
Но ведь серверов много и данные на них важные есть, однако о проблеме с серверными шифровальщиками под линукс и массовых заражениях ими мы пока не слышим, почему?
Даже если это и так, то это тоже весомый аргумент в пользу Linux: просто за счет выбора ОС радикально уменьшить поверхность атаки.
Ох, как вас отколбасило, как чертей от ладана, что на мой коммент аж 8 минусов понаставили. Что, неприятно правду матку читать.
А что должно помешать шифровальщику получить доступ к вашим файлов по Линуксом?
Мне вот другое интересно - неужели СДЭК настолько маленький стартап, что точка входа покрывает всю инфраструктуру?
Лично у меня в практике на проекте нагрузки на порядок меньше, но взлом отдельной ноды или даже глобальной админки не сильно повлияет на всю распределенную архитектуру.
Мне как создателю такой системы нужно пару дней что бы правильно все настроить для такого тотального шифрования. И это при условии что есть все доступы и я знаю всю систему в целом потому нет проблем с рассылкой и обходов фаерволов.
И то с бекапов все запустится в течении часа максимум. А даже если я повлияю на часовые бекапы и смогу как то внедрить скрипт на суточные бекапы, то все равно есть "холодные ноды" которые при потери связи со всей инфраструктурой автоматом запускаются и к ним уже можно "долить" самые актуальные бекапы (отдельная система только на чтение, сегмент бекапов в которые можно только дописывать, но не перезаписывать, система разворачивается так же только на чтение и спользуется для зеркалирования на боевой кластер который уже будет чтение-запись)
Между взломом и уничтожением может проходить несколько месяцев. За это время хакеры и структуру сети изучат, и учетки с компами админов захватят.
Сдается мне, что они сами свою систему положили. А история с шифровальщиком придумана, чтобы скрыть свои кривые руки.
Но этого только мое предположение.
А с бд как рашаете вопрос? Получил доступ к ноде записью в бд - вот и всю базу можно, разве нет?
У нас слишком децентрализованое решение, потому "всю базу положить" можно только если получить доступ ко всем нодам на уровне сегмента (страны). И все равно выйдут из спячки пасивки, которые только на чтение.
Данные разнесены по всем нодам, но индексы и первичка для поиска дублируются на каждую ноду в рамках сегмента (занимает до пары десятков гигов, но выйгрыш в стабильности и ускорении поиска в единой базе)
В теории если скомпроментировать "чистовые зеркала" а потом положить сеть, что бы пошло востановление с зеркала то можно сотворить беду. Потому собсвенно включение востановления и прочие критичные по функционалу дейсвия только с ручника. Это классика стульев, если безопасно то не совсем удобно, а если удобно то не совсем безопасно.
В письмах важно смотреть не только на вложение или потенциально опасную ссылку. Вот алгоритм действий:
...
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы.
Мне кажется, что эти требования сможет выполнить либо Штирлиц, либо профессиональный психолог. Но ожидать всего перечисленного от офисного работника - это перебор. У него ведь есть основные рабочие задачи. А от описанных регулярных тренировок у нормального человека вскоре начнёт дёргаться глаз.
Ну банально не открывать письма с 0z0n и MVide0 можно научить:)
Можно, но без толку. Символы-заменители из таблицы Unicode на глаз не отличит даже эксперт. А выполнение всей процедуры по предложенному автором статьи списку просто остановит работу. Можно, конечно, возложить почётную обязанность по предварительной проверке входящей почты на департамент ИБ, но мне кажется, что они будут не в восторге. Хотя толковый сотрудник найдёт повод для этого повод:
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы. А при любых подозрениях — отправляли письмо команде безопасности.
Наивно полагать, что рядовой сотрудник выявит фишинговое письмо, которое пропустили современные хорошо настроенные технические средства защиты. Но с точки зрения назначения виновного вменить ему в обязанность такую проверку надо обязательно.
Описанный сценарий с фишингом, какой-то ну очень сказочный для злоумышленника. Потому что в реальности файлы с вредоносами детектятся антивирусами, внешние ссылки - закрываются вайтлистингом. Автор предлагает вместо этого проводить регулярные тренировки - весьма дорогое и бесполезное удовольствие.
В идеальном мире (и маркетинговых буклетах антивирусных вендоров) все так и есть.
В реальном мире вредоносная программа, которая детектится антивирусом — это плохая программа и некачественно подготовленная атака. Доступы в компании объема СДЭКа требуются такие, которые почти никогда нельзя определить простым вайтлистом, и у части сотрудников всегда будет возможность ходить куда угодно, а веб-фильтры работают в среднем так же эффективно, как антивирусы.
Результат — 68% инцидентов происходит из-за действий людей, несмотря на то, что хорошие антивирусы есть примерно у всех: https://www.verizon.com/business/resources/reports/dbir/
Нет речи о том, чтобы тренировкой сотрудников заменить антивирусы.
Но в классической триаде «технологии—процессы—люди» важны все три стороны.
Ну, прежде, чем запустить зловред "в массы" злоумышленник прогонит его через virustotal.com, вы про это не слышали? А это совершенно базовые сведения о принципах подготовки атаки. И да, вы явно весьма поверхностно представляете себе, что такое качественно подготовленная целевая атака (APT) и какие средства и процессы требуются для противодействия таким атакам. А это далеко не только вопросы техники. Может, для вас это будет откровением, но ответственным за информационную безопасность в рамках своей деятельности является любой работник организации - более того, об этом говорится в каждом отраслевом стандарте, где идёт речь об ИБ.
Так вот - обучение работников организации базовым принципам ИБ (в том числе - и того, как не попадаться на фишинг) - это одна из базовых задач обеспечения информационной безопасности. Проведение тестирования (в том числе - и имитации того же фишинга) - это неотъемлемая часть обучения. И да, это работает. К сожалению, не в 100% случаев. Как показывает практика проведения таких тестов, 5-10% работников попадаются на фишинг при повторных тестах, даже после повторного обучения. Но с остальными-то это работает! А значит, риск получить "нежданчик" через кого-то из работников становится меньше. Что уже неплохо.
Единственное, что устраивать такие учения раз в месяц - это явный перебор. Раз в квартал - куда ни шло. Не нужно пытаться изо всех работников сформировать "Blue Team".
Ну давайте на СДЭКе пиарится кто на что горазд.
Все же домыслы. Но даже если так при внедрение на случайное рабочее место не должно быть возможности подняться вверх по сети. Не обходимы средства отслеживания вторжения. Честно всякой фигни с заразой много приходит на корпоративную почту и порой она умело выдает себя за что то серьезное, но не проходит и элементарных проверок. Да есть вероятность случайного попадания в точку и стечения обстоятельств. Но даже это бывает в случае ошибок на нескольких уровней. А тут же вообще все легло. К примеру, у меня на работе даже в случае вторжения, не возможно все уничтожить ибо отдельные элементы всей инфраструктуры автономны и имеют каналы взаимодействия через которые так просто не взломать. Ну не хранят же у них админы все пароли в блокноте?
Есть много нюансов при реализации процессов обеспечения ИБ в организации. И многие из них прямо зависят от её руководства. Резоны руководства понятны - ИБ - это исключительно затратная статья, и весьма недешёвая. Рисование риск-моделей, попытки оценить ИБ риски в денежном выражении - это зачастую гадание на кофейной гуще, поскольку универсальных методик оценки рисков нет. А соответственно, - и доказывать руководству, что без "вот этой вот железки и вот этой софтины за пол-миллиона нашей компании может стать очень дурно", не имея возможности точно сказать, что "если не возьмём за пол-миллиона завтра, то через месяц потреяем пять" - это исключительно непростая задача. И, к сожалению, нередки ситуации, когда ИБ-шник постфактум выдаёт тому же руководству сакраментальную фразу "а я предупреждал/обосновывал/запрашивал бюджет" (и хорошо, если подкрепляя свои слова копиями писем, служебных записок и т.п.), поскольку первым "под раздачу" попадает он сам (и да, бывали реплики от руководства "а ты нас плохо убеждал, что это нужно").
Второй момент. Да, то, что не несёт явных прямых затрат (сегментация сети, патч-менеджмент, парольные политики, харденинг и т.п.) сделать можно, но тут начинаются "волны негодования" начиная с не особо ответственных админов, которым "лениво" и у которых "и так всё работает и нефиг трогать", и заканчивая пользователями, которым "неудобно раз в месяц пароль менять". И в этом случае тоже многое зависит от руководства - есть воля и участие руководства, чтобы организацию обезопасить - значит и результат будет. И админов "построят", и юзеров утихомирят. Ну и да, баланс между "юзабилити" и "секьюрити" будет соблюдён.
Ну не хранят же у них админы все пароли в блокноте?
А это здравая идея - блокнот с QR кодами(даже может быть одноразовыми) - никакой хакер не взломает :)
Если нет официальных новостей, то уже не так интересно. В итоге все работает, ну повозмущались люди пару дней на ежедневное "завтра все будет", как-то теперь скучно читать про СДЭК, всякое бывает. Я думаю, что те, кому этот урок был важен, что-то из него уже вынесли.
Главный урок сделать нормальный UX что бы не бесить клиентов и не хотелось вас ломать из тупости операторов которым приходится постоянно звонить
Интересная статья для специалистов наверное. Но потом любопытный человек без специального образования лезет в популярный и абсолютно легальный сервис virustotal набивает cdek https://www.virustotal.com/gui/domain/cdek.ru
находит там строчку "2024-05-03 0/ 58 Text STR3ANGER(NATHACK_BD).csv"
Бьются внутри и снаружи безумные сердца.
Может ещё чего найдет. И гуглит и гуглит строчки. И думает это ж сколько еще статей про сдек написать можна.
Я конечно так не умею. Думаю купили просто л-п-инфра у загрузинившегося сотрудника. И всё.
Сдек пальцы крестиком за вас. Держитесь, мужчины.
Сериал есть короткий от конторы knowbe4, в одной компании внедряли, простой и понятный, там, в развлекательной форме у них на 10 серий вроде по 5-7 минут, все основы проговаривают, плюс мини-тесты, запомнилась как хорошая штука, в отличии от стандартных тестов под презентацию)
Самое забавное, что мы с нетерпением тогда ждали новых серий) кто не смотрел рекомендую)
Всю рекламку не дочитал, но спрошу. Как все-таки сломали сдек (если сломали)?
Был ли рассмотрен вариант компрометации изнутри - сотрудник сошел с ума и сугсанул например?
"В конце апреля в СМИ появились новости, что основатель СДЭК Леонид Гольдорт ведет переговоры о продаже своей доли — ему принадлежит 55%" А в конце мая по удивительному совпадению компанию взломали. Угадайте какой доступ имеют люди в компании которые не/заинтересованы в такой продаже? А были ли хакеры? Спасет ли от таких ситуаций смена операционки, или тренировка несчастных сотрудников не ходить по ссылкам?
Судя масштабу нет разделения на зоны, только стандартные лан и ДМЗ.
Как могли взломать СДЭК. Уроки, которые нужно усвоить каждому