Как стать автором
Обновить

Комментарии 155

читал, читал и единственный вопрос который возник
ШТА?
штат it во внуково не мог решить, проблему с сисадмином внуково? и этим занялись ФСБ
Станиславский бы сказал на это «Да, какого х...., не верю „
имхо булшит, пиар чистой воды, первый борт бла бла бла
ФСБ-ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ, а не рак с горы,
— У вас как-то ДО страдает, не смогли? не срослось, облажались? не беда
есть ВО ВРЕМЯ тут тоже не смогли, ну как же так не беда у нас есть после
так вот имхо после и во время уже поздно
у вас политики GPO (ж вы ж виндовый админ решите.
не статься а пиар и циски и фсб
и те и другие пиариться на странных админах
все это имхо и не претендует на правду(но я думаю и размышляю, а значит существую)
Всякое бывает в жизни :-)
Так мы о жизни и не говорим, мы говорим о быте.
1.О быте в нашей стране, я не верю, что серьёзным дядькам из ФСБ, есть дело до одного из штата в it во Внуково.
2. Я как сис.админ не верю в это, что нельзя на этапе ДО решить проблему на сети(виндовой сети), вы же тут описываете ситуацию, сферического коня в вакууме
когда это не админ, а эникейщик(причем брат, сват и т.д. главного бухгалтера или директора)
опять же не холивара ради, а высказывания своего мнения
Решить проблему можно. Вопрос в другом — кто должен был думать об этом и решать? ИТ или ИБ? Решили так, как решили
У меня вообще есть сомнения в том, был ли мальчик…
ФСБ отвечают за всякие критические инфраструктуры, поэтому да, они могут проводить проверки соответствия
Я мы разве тут, говорим что ФСБ не могут?
они все могут на территории Российской федерации,
вопрос в том, зачем им, этим заниматься?
НЛО прилетело и опубликовало эту надпись здесь
Но тем не менее им стало интересно, зачем, почему и так далее.

Обычная разработка.

А тут как выше описали — вполне себе критическая инфраструктура.

Не особо, если честно. Там другая штука — это стратегический объект.

Элементарно — чтобы потом о проделанной работе отчитаться.

Не в этом случае. Это же не террорист, не экстремист. А на статистику никак не влияет — они и так каждый год отчитываются о десятках миллионов отраженных атак
Сферического админа в вакууме…
Мы между собой обсуждали эту новость. Как вариант — в ходе проверки нашли админа, который замутил некую ферму и списали проблемы на него. Все же в аэропортах админ не один и чтобы никто не замечал ферму — маловероятно. Была бы организация помалобюджетнее — поверил бы
“А причем тут ФСБ?” Все очень просто.

Более того — всё элементарно! Ведь ловить майнящих сисадминов намного проще и безопаснее, чем террористов.
Судя по их отчету (на днях) они и террористов неплохо ловят
Статистика и отчёты — штука коварная…
Ну другого у нас нет :-)
Почему-то сразу вспоминается: «премия сама себя не выпишет...»
И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом
То есть, выходит, пара десятков масляных обогревателей может отключить аэропорт?
Больше похоже на повод, а не причину.
Если дословно верить статье, то все гораздо хуже:
На днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту (аналогичная проблема была и в Транснефти).
, то есть питающая сеть просаживается от нагрузки, создаваемой штатным установленным оборудованием. Но это уже совсем похоже на бред.
Попробуйте поставить майнера на ноут и сравнить скорость ухода батарейки в ноль с ним и без него. Вы удивитесь разнице затрат на энергопотребление
А это вы к чему? У нас серверная рассчитана из расчёта максимального мощности потребления по всему оборудованию с запасом, так как будем расширяться. На деле, конечно, потребление меньше 50% от резерва. Если на рабочем месте он это попытался делать, то автомат просто бы вырубил его и всё.
Когда будете расширяться, резерва уже не останется и вырастет вероятность аварии по цепям питания. Впрочем, даже при таком раскладе вероятность отказа не нулевая.
И ни батарея ни дизель-генераторы не смогут обеспечить абсолютную надёжность.
Почему не останется резерва?
Например потому что кто-то тупанул и не рассчитал как следует? Не рассматриваете такой вариант?
Вероятность «косяка» есть всегда, задача перепроверить его перед увеличением оборудования в серверной. Если вскроется по новым данным — будет выработано решение о наращивании мощности, если всё в порядке — включаем штатно.

ИБП в нашем случае — нужны для корректного завершения работы, на случай отключения электричества, или для того, чтобы пережить кратковременный сбой. Загрузку ИБП контролируем.
Да, это хорошо но порой бывает что батарея самого ИБП отказывает внезапно… у меня вон батарея полежала год просто на полке и всё — одна ячейка не работает. Периодическое тестирование батарей проблему не решает принципиально а лишь снижает вероятность аварии, а может и вовсе не снижает — вводит новые риски например выхода из строя инвертора в момент тестового переключения на батарею.
Всё бывает. Однако, не делаю из этого паранойю. В некритический момент всё можно проверить. Заодно и учения по устранению проблем.
Это не паранойя, просто вероятность. А план действий надо бы составить и на маловероятные ветви развития событий.
Можно всю жизнь обвешать автотестами, но сломается в другом месте. :)
До расширения — резерв был, а когда расширились — резерв исчерпан. Чтобы его расширить нужны дополнительные действия и т.п.
Вы меня, конечно, извините, но я из Внуково летать больше не буду, если у них там вся инфраструктура на ноутбуках построена.
Ну я для примера :-)
немного оффтопа — вы удивитесь тому, какая штука бывает может отвечать за вашу жизнь)))
Проходя службу в армии. Работал на обслуживании АСУ. так вот не поверите там самое нормальное что есть это как раз таки ноутбуки(Getac).
Я не удивлюсь росту потребления, а вот в случае выхода ноутбука из строя из-за полной утилизации процессора действительно можно удивиться.
Сеть не рассчитана на постоянное пиковое потребление. Точно так же, если у вас дома все разом включат электрические плитки и все потребители — может просто перегореть подводящий кабель.
может просто перегореть подводящий кабель

Это просто означает, что неверно подобрано сечение подводящего кабеля. Обратитесь к профессиональному электрику за консультацией, подбором кабеля и монтажом.
Если считать сечение кабеля по максимуму допустимого потребления по всем квартирам дома, то кабель получится слишком дорогим а использоваться будет лишь на 10% от максимума.
п.с. я не про отдельную квартиру, а про весь многоэтажный дом.
Считать надо исходя из номинала защитных устройств на подстанции. Под этот номинал подбирается и минимальное сечение кабеля. Это делается именно для того, чтобы даже при максимальной нагрузке кабель не перегревался, а уж тем более не перегорал.

Как нетрудно догадаться — сечение кабеля взято «с запасом», что иногда в индивидуальном строительстве трактуется как «лишние деньги на ветер — бери вон тот, у меня на даче такой уже 10 лет висит». И ничего, что «дача» сарай 2х2 метра, а целевой объект — дом в 100+ кв.м.
Для жилых зданий расчетная мощность считается от наличия газовых или электрических плит, количества квартир, площади квартир, типа здания, довольно прилично разных коэффициентов. Сферический пример в вакууме("коэффициент спроса" примерный, только для понимания как это работает): если номинальная мощность каждой квартиры 5кВт, то для дома в 10 квартир получится 5*10*0.8=40кВт, а если дом из 100 квартир, получится 5*100*0.5= 250кВт. Под эти мощности уже проектируется сама подстанция, кабели и все остальное.
И такое считается для всего, в том числе и для аэропортов, не только для жилых зданий.
По поводу вопроса с кабелем, как вы и сказали, защитные устройства определяют минимально допустимое сечение кабеля, реальное сечение зачастую выше, так как нужно еще добиться адекватно-небольшого падения напряжения(=потерь) в линии(особенно длинной). То есть сильно потратиться на более мощный кабель может оказаться дешевле чем постоянно тратиться на потери в линии, а возможно еще и стабилизаторы напряжения для некоторого оборудования.
Дело не в номинале. а в выделенной мощности на ВЕСЬ дом, она всегда меньше суммы допустимых мощностей по всем квартирам! Раньше коэффициент был меньше, сейчас это стало реальной проблемой для старых домов — при ограничении в 40А@220В(~8кВт) на каждую квартиру в доме на 100 квартир общее ограничение мощности на ВЕСЬ дом 400кВт и когда все начинают включать кондиционеры на половину разрешенной для квартиры мощности в 4кВт закономерно отрубается защита на домовой ввод. Особенно это заметно когда все начинают 31-го декабря готовится к празднованию и включают электрические плиты… Часто от такой нагрузки, хоть она и не превышает допустимую для кабеля, кабель просто перегорает от физического износа — его в землю закопали 40 лет назад и не рассчитывали что он будет эксплуатироваться постоянно на предельном режиме.
Если же рассчитывать проводку на реальные 800кВт то вам уже не понравится ценник на такие услуги, при том что реально кабель на полную использоваться будет лишь 1-2 раза в году.
Если рассматривать ваш пример, то тут с точностью до наоборот — подвести к даче-сараю 3 фазы 380 Вольт с запасом, а вдруг одновременно будешь включать две электрические плиты на все 4 комфорки, пилораму, пылесос и микроволновку с чайником.
Много вы знаете случаев, когда выгорало? Я не знаю лично. То, что горе-электрики из союзных и не очень республик, умеют сделать такой монтаж, что можно загореться — знаю, а вот вводящие кабеля — ни разу не встречался.

По поводу Внуково у меня точных данных нет, но там около 2 МВт, по-моему.

Если рассматривать ваш пример, то тут с точностью до наоборот — подвести к даче-сараю 3 фазы 380 Вольт с запасом, а вдруг одновременно будешь включать две электрические плиты на все 4 комфорки, пилораму, пылесос и микроволновку с чайником.

У меня 15 кВт в бытовке. Я могу их все использовать. Точка. Ничего не сгорело.
Пару случаев было у нас прямо в городе, периодически с других уголков страны жалуются что под новый год учащаются случаи отключения домов.

Я вот тоже в квартире могу использовать 15кВт. Но… если все разом начнут использовать каждый по разрешенным мощностям — будет плохо. В посёлках — это уровень разделительного трансформатора, он не рассчитан на то что все разом начнут потреблять по разрешённому максимуму — в таком режиме он проработает недолго. Но к счастью, в среднем такого не происходит, поэтому никогда и не ставят трансформаторы на максимальную мощность — это экономически нецелесообразно.
Электрическая платка — киловатты. nVidia GeForce 1060GT — 150-180 Вт.
Думаете они туда оборудование внесли? :)
Очень некорректное сравнение — вероятность одновременного включения всех плиток низка, полная загрузка вычислительных ресурсов — норма (за исключением резервного оборудования).

Отличное сравнение с масляными обогревателями — у фермы график потребления более ровный. Поэтому вообще непонятно, что там за "скачки напряжения" такие. Особенно в масштабах аэропорта.

«скачки» видимо имеется в виду по длине кабеля — где-то посередине появился мощный потребитель — в «хвосте» началась просадка напряжения.
Сбой центрального отопления в офисе — начали врубать масляные конвекторы в кабинетах. Вот вам и скачки. И это хоть и нештатная ситуация, но и критической / аварианой ее не назовешь. А один асик за несколько сотен тыр. потребляет как один масляный конвектор.
Хм… Сбой отопления -> в кабинетах включают обогреватели -> Идут скачки питания -> У товарища майора в кабинете срабатывает сигнал, что в воздушной гавани столицы идут непонятные скачки напряжения -> в офис приезжает ФСБ, начинают выяснять, что, как и почему. И вот в этот-то самый момент под руку попадается админ Вася, который решил срубить легких денег на простаивающем оборудовании. Дело раскрыто, Ватсон!
Отлично! Вам новости писать надо и проводить расследования!
вот это правдоподобная уже версия. отдать в жертву сисадмина, чтобы прикрыть какую-то более серьезную проблему и виновного ))
Конвекторы в кабенетах — нагрузка более менее распределённая как по длине так и по фазам.
А вот инфраструктура дата-центра может быть не рассчитана на одновременную работу всех серверов с максимальной нагрузкой.
А вот инфраструктура дата-центра может быть не рассчитана на одновременную работу всех серверов с максимальной нагрузкой.

Вы серьёзно?
НЛО прилетело и опубликовало эту надпись здесь
Нафига? Нагнуть гораздо проще за какой-нибудь тендер, чем за непонятную фигню, которую и под какую-либо статью УК трудно подвести
Инфоповод безопасный с трендом: майнинг — зло. Более того, что с вероятностью в 99% никто не будет проверять этот инфоповод, как в случае с тендерами (они открытые).
НЛО прилетело и опубликовало эту надпись здесь
Сотрудникам проще и понятнее будет завербовать вас «за какой-нибудь тендер, чем за непонятную фигню»)
НЛО прилетело и опубликовало эту надпись здесь
Нагнуть за тендер и прочую фигню — не инфоповод для хорошей шумихи и, как выше уже сказали, самовыписывающейся премии.
а нагнуть за фигню типа «а-аа, майнинг, а-а, просадки электричества, а-а, ущерб Родине» и прочие из-пальца-высасывательные-слова-которые-так-любят-в-этой-конторе.
НЛО прилетело и опубликовало эту надпись здесь
Вы удивитесь, но именно так это и происходит. На 3 чайника на рабочем месте, где проводка на это не рассчитана, должно быть специальное разрешение. Достаточно обесточить одну линию с половиной диспетчеров или коммуникационным оборудованием, и в аэропорту в час-пик уже будет паника.
В УВД и чайники есть, если что на кухне. Да и питается это всё отдельно + резервирование.
Ну и если аэропорт прекратил отвечать, во что я не верю вообще, то по правилам борт уходит на запасной.
Там несколько всё сложнее, его кто-то должен будет вывести из зоны воздушного пространства аэропорта чтобы уйти на другой, движение там достаточно плотное чтобы самостоятельно выбирать маршрут.
Думаю, что подобные случае разбирались, так как обесточивание аэропорта — внештатная, но прогнозируемая ситуация.
По факту могут пострадать только «посадка», «круг». Конкретно по Внукову — эти две службы сидят физически в разных местах, если меня не подводит память.
НЛО прилетело и опубликовало эту надпись здесь
В хорошую погоду, да. а если даже лёгкий туман? Уже не очевидно получается.
А если сочетание туман, вечер, высокая загрузка по всем аэропортам, и тут вдруг один из них отключается. Может, на этот счет есть какие инструкции и у диспетчеров и у пилотов, но тот факт что вероятность фатальной ошибки в такие моменты многократно повышается.
НЛО прилетело и опубликовало эту надпись здесь
Вот только без наземного оборудования, порой даже вручную сесть не всегда возможно. Для автоматической посадки необходима безукоризненная работа оборудования на полосе, а такое оборудование есть даже не на каждой полосе.
Впрочем, ИМХО Москва себе это может позволить, хотя не уверен что безусловно. Но ещё остаются самолёты на которых нет оборудования для автоматической посадки, так что в любом случае могут быть варианты.
Аэропорты может и простаивают, но вот диспетчеры — врятли. Именно они станут ограничивающим фактором в данном случае. Пока вызовут запасных диспетчеров на усиление, может час пройти. А их наверняка не сразу вызовут, сперва подумают что обойдутся своими силами… как обычно это происходит.
И да, частоты диспетчеров в аэропортах разные, пилотам надо знать на какие переключаться — это тоже элемент риска. В случае подобного стресса, они могут забыть переключить или переключить не туда и долго выяснять почему радио молчит. Всё это конечно не приводи непосредственно к аварии но повышает вероятность такого события. Каждая мелочь… и когда эти мелочи выстраиваются в цепочку — происходит катастрофа.
Даже если такой сценарий и рассматривался, всегда что-то может пойти не так.
НЛО прилетело и опубликовало эту надпись здесь
Имею чуть другую точку зрения. «Векторние» — когда диспетчер ведёт вручную борты — в СМУ (сложных метеоусловиях) или при каких-то проблемах в самом аэропорту — нормальное явление. Наблюдать за этим интересно со стороны, а им вот не до шуток совсем.
НЛО прилетело и опубликовало эту надпись здесь
Заворачивают, если есть кому. В случае обесточивания аэропорта, он условно замолкает на какое-то время. Резервное питание, дизель-генератор лишь уменьшают вероятность такого события. Например, сценарий по фильму «Крепкий орешек 2».
НЛО прилетело и опубликовало эту надпись здесь
Прекращайте параноить. Всё придумано за вас. Аэродром не замолкает ни на минуту, кроме его закрытия и то есть дисп «на всякий» на частоте. Если даже случится такая ситуация, а такое было в Америке точно, то КВС даст команду ухода на запасной.
Мне вот интересно… точно придумано? Или как обычно «АВОСЬ» нас всех спасёт… кто-то решит наверху что такая вероятность неблагоприятного исхода не стоит денег на защиту от неприятностей, и когда-то кто-то огребёт. Как с Чернобылем и Фукусимой. Не предусмотрели, понимаешь, что энергоблок может разрушиться. Верней, этот сценарий рассмативался но был отклонён как маловероятный и слишком дорогой для того чтобы защищаться от него. А знаешь какая вероятность МПА(максимальной проектной аварии) заложена в современные энергоблоки АЭС на этапе расчета проекта? Порядка 1E-7 за год! До чернобыля этот показатель был на уровне 1E-6. Но слава богам, МПА современных реакторных установок предусматривает полное разрушение реактора и внешняя оболочка не развалится, как в Чернобыле. При условии, конечно, что не произойдет ядерный взрыв а это достигается уже другими методами — нынешние ВВЭР очень непросто взорвать, поплавить можно, а взорвать — нет.
Самолёт без разрешения просто не сядет в этот аэропорт. Вот и всё. Не отвечает — уйдёт на запасной. Не забывайте, что 123,45 МГц тоже работает, где между собой пилоты обмениваются информацией, что дополнит картину и КВС примет решение ухода на запасной.
НЛО прилетело и опубликовало эту надпись здесь
И таки они на подлодке есть — называются торпедными аппаратами.
В статье вроде упоминалось, что подключают не фермы, а рабочие станции в сети.
НЛО прилетело и опубликовало эту надпись здесь
Интересно, это сколько надо оборудования для таких скачков? Желательно в пересчёте на рубли, чтобы понять всю бессмысленность новости… Зарплаты у админов там не такие уж и большие…
НЛО прилетело и опубликовало эту надпись здесь
Ну, учитывая, что я хочу себе RX 580, которые люто обожают майнеры, в данном случае реально «проклятые». Сметают все, что где бы только не появилось. Ни на амазоне, ни на наших местных магазинах толком нету. Только появятся и сразу исчезают.
У меня есть такая — не могу продать. )))
Эм… зачем же вам её продавать, если не секрет? Эм… ну и за одно, где вы + цена?
Чтобы вместо неё поставить Вегу.
где вы + цена?
Я далеко от Вас, да и цена высокая — поэтому и не берут, говорят — за 20 возьму, а за 26 лучше в магазине куплю. )))
Я вот в день нашего диалога умудрился вечером сделать заказ. За 27,4т.р.
А уже в воскресенье мне «магазин» «честно позвонил и сказал, что так-и-так, мы перекупы, ну в общем-то наш поставщик успел продать кому-то другому» — зашибись, подумал я.
Упорно хочу именно ASUS. Другие производители бывают в магазинах, даже в режиме «без предзаказа». Но блин, это не ASUS.
Ну да, ASUS дефицитнее. У меня, кстати, PowerColor.
За эти дни биткойн обвалился, сразу появились и 580-е, и Веги — купил последнюю без проблем.
В моем случае тоже «маленькое счастье» произошло — ни Вег, ни 580 рядом в продаже не было. Однако… вчера из ДНС «написали»: «вы ASUS RX 580 8G интересовались? проверьте тут». Перешел по линку — доступна карта для предзаказа. За 25 дней (жесть блин). Всего 25990р. Заказал. Получил уведомление, что предзаказ подтвержден. А через буквально минут 20-30 уже и не было этой странички — все, что было, по предзаказам разобрали. Дикий ажиотаж.

Про Vega я конечно же знаю. Но как-то не шибко верится, что тут смогу в обозримом будущем достать. Да и 580 ну просто за глаза. Не майнить же (удивительно блин, наверное, ибо что не 580 — обязательно шахтер).
Вот же ж ирония судьбы — когда я в игры играл днями напролёт, круче GTX 560 ничего у меня не было в компе, даже в мыслях не было покупать топовые видюхи. )))
Ну я как бы IT-QA-Engeener. Работаю довольно много. По средствам не шибко бедствую. Дома так же мощная рабочая станция. Но блин, когда есть возможность, почему бы и не поиграть в градостроительный симулятор на cinematic-уровне?
Смущенно смотрю на себя со стороны — блин, взрослый ребенок, жуть же!
Не поверите, в рабочем ноутбуке до сих пор стоит 560m и до сих пор хватает нормально.
Ну тут так же надо понимать и то, что:
— Ноутбук далеко не предел производительности
— значит и задачи далеко не предельные

А когда бывает нужно и с фотошопом поработать, да и большие мониторы используются (стац же). Короче говоря, хорошая видеокарта (хотя бы та же моя текуще-старая R9 280X) лишней не бывает. Как бонус — поиграть (стац же).
Переходите на темную сторону, заодно и карточка себя отработает.
Перехожу. )))
Кстати, не факт, что она тёмная.))
К сожалению URL blacklist подход (Umbrella, CWS) тут не работает. Использование HTTPS делает сетевые СЗИ (FireSIGHT, FirePOWER) бесполезными. AMP for Endpoints генерирует такое количетсво событий, что в них легко утонуть. => ни одна тулза вас не спасет если прослойка между консолью СЗИ и стулом кривая )
Черные списки — вполне себе вариант для ИЗВЕСТНЫХ майнеров/доменов.
HTTPS решается либо путем легального MITM (в Firepower и WSA есть такая функция), либо путем применения ETA (encrypted traffic analytics). И в статье упомянуто, что наличие шифрование тоже может стать триггером для расследования.
AMP4E настраивается :-) Нужно комплексное решение — серебряной пули нет.
А итоговый вывод верен :-)
В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети?

Если вы не можете их обнаружить по трафику, скачам электроэнергии и куче другой подозрительной активности — стоит ли беспокоиться?
Статья как раз и описывает как обнаружить. Теперь дело за заказчиками :-)
Ещё раз — если люди сами не видят аномалий — стоит ли беспокоиться, похоже что проблем нет.
Статья о том, как увидеть эти аномалии (не все знают). А дальше каждый решает для себя. А проблема есть, если задают вопросы. Кто не задает, тому и неактуально.
Ну то есть до прочтения статьи никаких проблем небыло, и нужно прочитать чтоб понять «ого, оказывается есть проблемы».
Параноидальные люди всегда были и будут. С одной стороны параноидальность — хорошо, с другой — не всегда.
У кого-то было — для них статья.
У кого не было — просто держать в голове, что можно и помониторить.
И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ.

Я так понимаю, что это откуда из газет взято? Просто очень интересно как скачки напряжения дошли до ФСБ? Они и это уже мониторят? :)
В остальном же, если всё сделано по стандарту, УВД никаким боком пострадать не может: батареи и дизель стоят наготове и часто проверяются. В ШРМ была иная ситуация, когда два или три раза на дню питающий фидер рубили ремонтники. Аэропорт уходил на резервное питание. УВД как работало, так и работало, ничего не замечая.
Резервное питание не отменяет необходимости держать основное под контролем. И всё-же пострадать может, только вероятность этого события достаточно мала. Зачем же сознательно лишний раз подвергаться риску и повышать эту вероятность?
Держать под контролем что? Если есть перебои питания, то, конечно, надо разбираться с этим, но, думаю, что электрик вряд ли поймёт, что здесь стоит «майнер» на обычном компьютере, так как потребление не выше заявленного.
Ну возможно майнера определили ПОСЛЕ того, как пришла ФСБ. Мы же не знаем деталей
Вариант ПОСЛЕ — это полная Х — ибо под *после* можно подвести вообще все.
Пасаны у нас тут шубохранилище много энергии жрет на обогрев!
Тсссс, ща скажем что тут админ майнит, биткоин в моде — зохавают.
Под контролем — в смысле обеспечивать безаварийность. Электрик конечно не поймёт — это не его дело, поэтому этим занимается ФСБ которое проверяет всякого рода аномалии и т.д. что-то мне подсказывает что у них есть и свой «электрик» и аналитики, и множество смежных специалистов способных выявить аномалии подобного рода. Скорей всего вышли на скачки напряжения с другой стороны — сначала обнаружили аномальное поведение серверов, потом подсчитали нагрузку на электросеть и сделали выводы что это повышает вероятность аварии связанной с работой аэропорта до неприемлемой величины. А дальше журналисты заголовки штампуют…
Всё же компания Cisco могла бы и создать отдельную категорию «mining» в сервисе Cisco Umbrella (и заодно для Firepower-продуктов). Кто же, как не Cisco, «контроль всея DNS-а» :), может иметь и поддерживать в актуальном состоянии список майнинговых доменов ??? На вас вся надежда!
Могла бы. Может и создадим. Но все-таки — это не угроза ИБ в классическом понимании.
Держать HoneyPot — ловить туда свежих майнеров, разбирать их сигнатуры поведения и добавлять в базу. Но этим кто-то должен заниматься, и получать зарплату… а за чей счет?
У нас 250 человек этим занимается :-) Но в первую очередь они ловят и классифицируют то, что вредоносно.
“Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.

Разве нормальный подход к обеспечению безопасности коммуникаций должен вызывать подозрения? В моей картине мира все наоборот.
Нормальный подход заключается в том, что вы должны знать, что у вас в сети нормально, а что нет. Если пользователю не нужен шифрованный трафик, то это триггер. А если нужен, то надо понимать для каких протоколов/приложений. Все остальное — аномалия.
Скоро в вакансиях для сисадминов будут добавлять преференцию — разрешаем майнить на компах фирмы в разумных пределах.
При условии разделения прибыли пополам :-)
Это щедрость. Поидее результат труда на компьютерах работодателя должен полностью принадлежать работодателю.
Смех смехом, а мне сегодня начальство заявило, что пора бы уже и майнингом заняться — хотят, чтобы ферму в офисе собрал.
Для тридешников уже давно пишут — «Чур не майнить»
Потому что моделлерам и визуализаторам все равно нужны видяхи.
И чем лучше видяха, тем быстрее работа делается.
Только вот с другой стороны «продвинутые люди» могут дополнительное бабло себе зарабатывать.
А это владельцам-жлобам очень не нравится.
PS. представляю как живется людям типа Amazon, Microsoft, Weta Digital… :)))
Кстати, на момент выхода фильма Аватар Weta имела самую большую рендер-ферму для создания спецэффектов, машин там тысячи.
А ведь делают Аватар2 мощностей для которого нужно еще больше!
То есть когда все эти же люди десятилетиями запускали на корпоративных машинах всякие Seti@home и прочие FoldingHome всем было пофигу, а как майнинг так сразу стало непофигу? Не поделились что ли с кем-то? )
Ответ простой — некоторые компании подсуетились и на волне майнинг-хайпа проталкивают новые продукты.
И такое есть. Но в нашем случае, уже существующие продукты позволяют ловить что-то новое
Это не носило такого массового характера, так как народ не зарабатывал на этом. И вредоносов, ищущих внеземные цивилизации, я тоже что-то не припомню :-)
Хорошая мысль, выпускать ASIC в дизайне чайника. Надо подсказать китайским товарищам…
wi-fi чайникам уже приделывают, за малым делом осталось.
Да, вот, например, кофе-машины, будут в свободное время майнить, а 250 специалистов будут трафик перехватывать.
“Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.


Даешь по расследованию на каждую HTTPS сессию!
Хорошая статья, спасибо. Небольшое уточнение

как обнаружить майнера у себя на компьютере, то обычно все рекомендации сводятся к одной основной — обращать внимание на тормознутость своего ПК, что определяется по ощущениям или с помощью визуального анализа планировщика задач (Task manager в Windows или Activity monitor в MacOS)

Вирусописатели в массе не дураки (и рекомендации экспертов читают) и не хотят, чтобы пользователь обеспокоился и полез все проверять (хотя наглые конечно есть, вчера чтоли была новость от Касперского о факте вздутия батареи смартфона в ходе исследования майнера). Поэтому многие майнеры не наглеют и не потребляют все ресурсы. Ну и есть майнеры, которые не показывают себя в списке задач.
Так что отсутствие майнера в списке задач — не показатель его отсутствия на машине
А его присутствие не означает, что вынос майнера удалит его. Есть майнеры, которые запускают по два процесса, следующих друг за другом
Вполне логично появление комплекса, в котором перезапускается процесс майнера после его убивания
Ого! Им там что, топовые видюхи ставят? Наверное 1080, не ниже. Ну и десяток таких карт по нагрузке как один чайник. Включил чайник — приехало ФСБ. Майнинг на ноутбуках, — смешно, чего уж не на смартфонах)
Хочу дополнить методику обнаружения некоторыми своими наблюдениями.

1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.

2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.

3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)

4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.

В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
Если Cisco так умеет все ловить, почему она не среди лидеров квадратом Gartner?
Кто-то работает и является №1 в мире ИБ по объему продаж, а кто-то стремится в квадрат. Вы, кстати, про какой из них говорите?
Как таких особо инициативных снифферов обойти? (простой способ, всякие MITM и глубокий анализ трафика кнечно не не выдержит)
Берем сервак, на нем устанавливаем транслятор (и дешифратор) трафика на пулл. Там где майнер стоит прописываем ему айпишник этого сервака и шифруем трафик. Profit.
Если вы рил крутой манер, то есть не используете не пулл, то тут понятно. Делаете форк в блокчейне, майшине блок локально и отсылаете. Тут не часто отсылать надо.
«Берем сервак»… Левый сервак, во-первых, будет отслежен, а во-вторых, даже к порту свитча не сможет подключиться при наличии системы защиты
ну это понятно. я чисто про сниффер писал. не везде же прям все закрыто… некоторым нужно чтоб работал весь интернет
итого имеем: ФСБ залетело на огонек, потому что кто то стуканул, что вася пупкин админ что то ваяет в комнатушке для швабр (тут варианты можно свои предлагать, зачем ФСБэшникам залетать на огонек… не исключено, что в отделах начали включать обогреватели, в результате чего срабатывают автоматы… электрики, безопасники и пр. пишут рапорта, а вот ФСБ обязано проверять). Далее админ вася пупкин попадается в результате этого кипиша и шмона и чтобы замять ситуацию — его делают стрелочником, хотя непонятно, как аэропорт может пострадать от майнинга?! я молчу про то, что системы дублируются и даже, как заметили выше — сравняют его с землей, все борта уведут на запасные… дело в другом, если чайник, микроволновка и лампочка освещения дают просадку — ээээ, вы уверены, что ИТ служба крайняя? я не одобряю использование корпоративных мощностей в личных целях, но кажется мне: или тут ПиаР чистой воды бравых разведчиков и супер-пупер программ от СИСЬКИ или история высосана из пальца! а по поводу как найти крысу внутри сети, могу сказать так: какие бы вы не вешали замки и не строили высокие заборы с стороны отделов ИТ и ИБ — пока сотрудник не распишется, что в случае, например майнинга — его сразу же уволят без выплат, компенсаций и плюс к всему он еще заплатит штраф в размере своей ЗП — барьеры не будут работать, а вся аналитика сведется к борьбе с ветряными мельницами!!!
Только не nicecash, а nicehash
Упс. Описался. Спасибо

Я думаю, для начала нужно понять, с чем именно боремся. И применять соответствующие средства.


  • С запуском неразрешенного софта? вайтлистим екзешники
  • С запуском запрещенного софта? блэклистим екзешники
  • С расходом электричества и износом железа? мониторим загрузцу cpu/gpu, особенно в нерабочее время
  • С сопутствующим вредоносным софтом? А вот это уже давно отработано.
  • С людьми, которые имеют наглость наживаться за счет компании? Вот с людьми бороться сложнее всего.
Не везде можно WL/BL использовать. Поэтому анализ сетевого трафика зачастую является более ценным источником данных, чем активность на хосте
Сдается мне, что конкретно данный пример — аэропорт -в силу специфики работы- как раз то место где весь софт может быть завайтлистен…

До жути интересно, как таки парня взяли и на чем он погорел..))
На самом деле современный аэропорт как раз в худшую сторону отличается от обычной корпоративной сети. Куча арендаторов со своими подсетками и сегментами, хотспоты, управление полетами, офисная сеть и т.п. Там сложно вайтлистить
Мне кажется, что вы смешиваете в один котёл всё, что должно быть разделено и, скорее всего, всё и разделено по сегментам: логическим и физическим.
Логическим да. Физическим — не всегда. Отсюда и многие проблемы
Угу, навтыкают всяких дешёвых свитчей и удивляешься логам… :)
Лучше бы ФСБ занались не криптовалютами, а криптовальщиками. Не программами, а людьми, которые пишут и продают.
Сисадмин аэропорта «Внуково» майнил криптовалюту на рабочем мест

Жадность фермера сгубила (с)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий