Комментарии 60
Ну, дык это классика: отправил в чужое облако = выложил в паблик. И неважно, личные фотки или бухгалтерскую базу (lol). Помнится, во времена зелёной травы и больших деревьев принято было сервер с базами 1С размещать только на своём сервере, в особо неприметном чулане, лучше вообще в отдельном периметре, о котором знают только гендир, да админ. Облачная бухгалтерия, такая облачная.
во времена зелёной травы и больших деревьев принято было сервер с базами 1С размещать только на своём сервере, в особо неприметном чулане
еще хз, где выше матожидание того, что данные утекут в паблик, или просто безвозвратно исчезнут, - в облаке, или, если сын завхоза, который стопудово разбирается в компьютере потому, что все свободное время в смартфоне сидит, сервер в чулане поднимет
на своём сервере, в особо неприметном чулане, лучше вообще в отдельном периметре
В газели с кунгом под окнами офиса при полном баке.
P.S.: Извините, если ненароком спалил чью-то локацию )
Там речь же про сайт компании, а не про какие-то облака или базы данных 1С. Сайт - штука, которая продаёт. На кой такое взламывать - не понятно.
Сайт на 24 терабайта? Интересно. Даже Хабр столько не занимает (не считая бэкапов).
А хабр разве такой большой сайт? Сколько там в день статей с комментариями - с пару десятков статей и несколько сотен комментариев в среднем?
А где-то можно на эти 24 Тб посмотреть? а то на скринах какая-то шляпа, могли бы хоть дерево каталогов с конфиденциалочкой на скрине выложить. Потому что пока это всё напоминает анекдот:
Приходит 80-летний дед к врачу:
Доктор, я со своей старухой могу только раз в месяц и то не всегда.
Ну и что, для Вашего возраста это нормально.
Дык, сосед у меня, ему 82, рассказывает, что он может хоть каждую ночь...
Дедушка, ну а кто Вам-то мешает рассказывать?...
Похоже что заглавный сайт действительно сломали, но на этом всё. Нужно больше грязных подробностей, ждём развития событий. :)
самая жесть, про которую я слышал - на электроподвесе в нерабочей шахте лифта
Это уже по-моему городские легенды, хотя кто знает...
У меня был опыт только с ЭМИ уничтожителями дисков - в СХД в половине (или чуть меньше) слотов были вместо дисков магнитные катушки и рядом в стойке ящик, набитый конденсаторами.
Управлялась эта вундервафля через кнопочную Нокию в коробочке (видать производитель не осилил в GSM-модем), которая подключена аудио-разъемом куда-то к мозгам и по DTMF (наверное) активировала подрыв.
Плюс, вроде, брелки были аля 433Мгц от гаражных ворот, вот весело было бы если кто-то случайно бы активировал, шифрования то там нет никакого.
Помню про одну контору, которая торговала металлопрокатом вагонами... Там была сделана труба с 4-го этажа до подвала. Когда "маски-шоу" только входили на 1-й этаж, охранник выдёргивал хот-плаг винчестер из сервера и ронял его в эту трубу. Падение с 5-го этажа гарантированно уничтожало информацию на винте вместе с винтом.
Потом они сделали более умно. Сервер, который стоял в офисе, это был "хвост ящерицы", рассчитанный на то, что его заберёт "маски-шоу". Программно всё выглядело, как будто бы данные лежат именно на этом сервере в офисе, но очень мало, кто знал, что на самом деле сервер выступал в качестве прокси, от своего имени расшаривая сетевой диск, который физически находился вообще не в офисе. Там у какой-то бабульки по соседству поставили диск-станцию, по WiFi соединялись с офисом. Т.е. приезжали "маски-шоу", забирали сервер из офиса, увозили к себе, и никакого компромата на нём найти не могли, потому что реальная бухгалтерия была спрятана на диск-станции у бабульки. А чтобы прийти к бабульке, нужно для начала знать, к какой бабульке идти - за аренду платили наличкой, никто по этому адресу не ходил, так что обнаружить связь между конторой и бабулькой почти невозможно. Бабулька тоже ни разу не возражала, что арендаторы не показываются, но за аренду платят исправно.
Рассказывали байку, что после очередного представления «маски-шоу» сервер вынесли на какую-то левую площадку (то ли вот так к «старушке», то ли вообще на другой континент с оплатой с карточки физлица), но серверную комнату оставили. Поставили туда бронированую дверь, серверные стойки с непрозрачными дверями и «хитрыми» замками, а внутри стойки — большой черный резиновый член. Через некоторое время «маски-шоу» пришли снова... :-)
Увидеть часть выкачанных данных можно в нашем телеграм-канале
В системе, для регистрации в которой нужен реальный номер телефона? И что тут может пойти не так...
1) С недавних пор можно и без телефона.
2) Что мешает купить сим-карту из Буркина-Фасо или Кот-д'Ивуара?
Ограничения телефоном — они для законопослушных. :-(
Ограничения телефоном — они для законопослушных. :-(
Ну вот я не законопослушный. "Дяденька, научи плохому!" (c)
С недавних пор можно и без телефона.
неможно
чтобы получить фейковый номер фрагмента нужна телега, чтобы была телега нужен номер телефона уже не фейковый (замкнутый круг получается)
или я чегось не так понял?
Что мешает купить сим-карту из Буркина-Фасо или Кот-д'Ивуара?
Ну, например, тот факт, что слетать в Буркина-Фасо или Кот-д'Ивуар я вы ближайшее время не планировал?
Ну, например, тот факт, что слетать в Буркина-Фасо или Кот-д'Ивуар я вы ближайшее время не планировал?
Вы не планировали? Возможно. Но те, кто ломал сайт/продавал с него данные/и т. д. уже слетали и привезли. И далеко не одну. А еще можно сходить в общагу ближайшего мединститута или военного училища, там этих товарищей обычно навалом, и можно купить сим-карты со всей Африки. Короче, для тех, кто хочет заиметь левую сим-карту нероссийского происхождения возможностей море. Да, это не в ларек за пивом сходить, но если кто-то заморочился, то он найдет способ.
В телеграме необязательно иметь реальный номер телефона, недавно телеграм выпустил анонимные номера которые можно купить криптой, а ещё есть виртуальные номера которые в большинстве своём тоже можно купить криптой.
А что, уже появился способ получать эту крипту, не светя в процессе свои данные?
Криптой пользуюсь уже лет 7, и за всё это время получал её в основном только за свою работу или за продажи чего-то, не покупая за фиат)
Ну а если серьезно, то конечно можно придумать много разных схем при желании, да и ещё, если говорим про незаконопослушных граждан выше, то они могли например продать кому-то кусочек бд, за это получить крипту и за эти деньги купить номер) Схем много можно придумать, да и за такие суммы аля 5бтс вряд-ли тебя будут сильно искать)
всё это время получал её в основном только за свою работу или за продажи чего-то, не покупая за фиат)
Видите ли, в один прекрасный момент я понял, что никто не сольёт Вас с более преогромной радостью, чем Ваши лучшие друзья — при этом добровольно и с песней, сами не понимая этого: например, взять те же фоточки с ивентов, на которых добрый и пушистый фейсбук ненавязчиво попросит тегнуть "всех ваших друзей" — и, обаньки, сколько б Вы не шифровались, фоточка тщательно скрывавшегося от не-друзей человека уже связана с его именем и фамилией.
Таким же образом и здесь: Вы делали для кого-то работу? Вас, может, и правда не найти — но вычислят (по истории транзакций в блокчейне) того, для кого Вы делали работу — он, в отличие от Вас, не предпринимает мер безопасности, — зайдут к нему с терморектальным криптоанализатором и вежливо попросят рассказать, а кто это такой красивый делал эту работу, явки, адреса, пароли — а он, в отличие от, законопослушный.
Аргумент. Теперь моя очередь предложить альтернативу)
Что если например мы обменяем деньги в обычном обменнике (в котором забивают на AML) и отправим деньги в миксер? Естественно придётся платить какие-то комиссии, но всё таки безопасность будет сильно повышена, и за 5 бтс с учётом сложностей искать вряд-ли будут)
Можно (было) подключиться к майнинговому пулу и намайнить себе немножко. Крипта прямо из воздуха, считайте.
А когда-то не было такого способа? Найдите любую локальную p2p тусовку, вам там за наличку продадут практически любые объемы, хватит на тысячи номеров.
А ещё операторы рансомвари Money Message слили украденные исходники, принадлежащие MSI
Увидеть часть выкачанных данных можно в нашем телеграм-канале
Сами данные они пока не выкладывали, только скриншоты:
так с января уже 3 месяца прошло. Чем все закончилось/не закончилось?
Больше похоже на новую попытку возродить критобум и рекламу крипты. То есть сам взлом просто отвлекающий маневр, основное - это привлечь внимание что типа крипта еще ценна и кому то нужна. На крипте сделали миллиарды те кто продавал "лопаты" - асики и видеокарты. Сейчас у Нвиди не лучшие времена, продажи упали, приходится снижать цены. Ну очень нужен новый криптобум многим. Реклама и ажиотаж любыми способами.
Даже комментарии подтверждают правильность рекламы - больше осуждают не взлом и базы утекшие. а именно криптовалюту.
Ну нормально так, а позаботиться о безопасности облачных хранений тяжело было
А почему говорят про облака? Я в статье не увидел, что данные на облаках хранились.
Сейчас маркетинговым термином "облако" принято называть любой remote computing. В данном случае, 1Сбит в том числе предоставляет услугу удалённого доступа к информационным базам 1С, расположенным на своих серверных мощностях.
Если даже крупных ломают, я уже беспокоюсь о своих сервисах. Подскажите пожалуйста годные статьи по чек листу безопасности. Если я, например, настроил fail2ban, отключил авторизацию по паролю по ssh, отключил ssh для root, этого достаточно? Наверняка у них тоже все это было настроено и все равно ломают (а может кто-то из своих).
регулярно применять обновления. Мой сайт както взломали через дебаг пакет ларавела древней версии. Разобратся с правами линукса.
Добавьте контейнеры для всех сервисов и регулярно обновляйте ПО.
ssh для root можно оставить при логине только по сертификату , который у вас на персоналке защищён паролем сложностью более 50 бит, это безопасне, чем постоянно использовать sudo или аналог.
"Добавьте контейнеры для всех сервисов и регулярно обновляйте ПО." Как контейнер может добавить безопасности? Честно говоря до сих пор обхожусь без докера.. были мысли, что на проде это не особо нужно. (не так глубоко знаком с ним). Или речь про то, что если стек LEMP в контейнерах, то обновлять проще потом?
"регулярно обновляйте ПО" - я так понимаю это можно настроить авто обновление апдейтов безопасности linux. LEMP набор наверное не обязательно часто обновлять.
При размещении каждого сервиса в отдельном контейнере выполняется задача изоляции атакуемого сервиса, чтобы при его взломе другие, не связанные с ним сервисы и сам сервер-хост не попали под управление взломщику. Каждый контейнер при этом должен быть закрыт от остальных сервисов файрволом, в контейнере не должнго быть паролей, идентичных таковым для других сервисов и других контейнеров.
Чем это принципиально отличается от банального запуска разных сервисов под разными юзерами?
1) Взломщик получает доступ не к одному сайту (службе), а ко всем, работающим от того же пользователя. В результате, например, все ваши сайты на сервере управляются взломщиком.
2) Проникнув через сервис в систему, взломщик получает возможность атаковать другие, чисто локальные сервисы, при этом резко вырастает вероятность получения доступа с полными правами путём повышения привилегий.
1) От одного пользователя запускаем ровно один сервис, и проблемы нет
2) Не получает, кто ж его к ним пустит-то? Фраза «чисто локальные» подразумевает, что они будут слушать Unix-сокет, и, во-первых, взломщик в принципе не сможет узнать, где эти Unix-сокеты вообще лежат, а во-вторых, даже если узнает или догадается — система отлупит его с Permission denied, потому что пользователь не тот. Даже файрвол не нужен, всё делается банальными chown/chmod
Ну, первый-бит славится своим раздолбайством.
Хакеры сообщили, что им удалось выгрузить более 24 ТБ данных сайта 1cbit.ru