Комментарии 41
"Ущерб от сбоя сервисов СДЭК может составить от 300 млн до 1 млрд рублей" - уфф :(
Если они атаковали зараженное устройство, то почему это (одно) устройство могло вывести из строя практически всю инфраструктуру, то есть по сути иметь полный доступ ко всем серверам?
видимо этим устройством был ноут админа)
"Хакеры могли начать кибератаку на СДЭК через через зараженное устройство, целевую атаку на веб-узел или через уязвимость в библиотеке с открытым кодом, которое используется в программном обеспечении (ПО) СДЭК" - переводя на русский, "я не знаю, как они это сделали, но хочу сказать что-то умное".
Достаточно попасть внутрь контура, если нет полноценного мониторинга, ids и изоляции,, взломать остальное это только дело времени, адептов "обновления не ставим потому что от них одни глюки и проблемы" среди нас очень много, они же тупо будут перебирать все эксплойты от 0day до 10 летней давности прям подряд на всех машинах, роутерах, точках доступа до которых дотянутся
Примерно те же люди, которые говорят, что на линуксе что-то поставил и забыл на годы. Дыры в опасности тоже остаются открытыми без обновлений.
На линуксе автоапдейт поставил и забыл на годы.
его всеравно перезагружать надо после автоапдейтов (не считаем пока фичу с обновлением ядра после перезагрузки)
потом обновлять прошивки нужно у оборудования, у сетевых карт, биос... одним автоапдейтом тут не спастись, хотя это частично проблему закрывает
забыл на годы.
а забывать нельзя кстати, надо проверять что все ок периодически, есть сканеры уязвимостей
Вот, буквально сегодняшнее:
Оповещение о сбое при обновлении
Тема заявки: [yum-updater on kblm-test] ACTION REQUIRED: требуется отреагировать на это сообщение
Описание заявки: Эта заявка содержит информацию по обновлению пакетов системы, владельцем которой Вы являетесь.
Рассмотрите эту информацию, при необходимости отреагируйте.
Если Вы испытываете затруднения, можете переадресовать заявку в ДИТ, пояснив суть затруднений.
Учтите, что заявитель по этой заявке - робот, который не рассматривает ответы и комментарии по заявке.
СООБЩЕНИЕ, ТРЕБУЮЩЕЕ РЕАКЦИИ:
Следующие сервисы были перезапущены, проверьте работу системы: sshd.service network.service
СООБЩЕНИЕ, ТРЕБУЮЩЕЕ РЕАКЦИИ:
ОШИБКА: после попытки рестарта сервисов по-прежнему требуется рестарт следующих сервисов: sshd.service
The following updates will be applied on kblm-test:
Package Arch Version Repository Size
Updating:
bind-export-libs x86_64 32:9.11.4-26.P2.el7_9.16 updates 1.1 M
bind-libs x86_64 32:9.11.4-26.P2.el7_9.16 updates 159 k
bind-libs-lite x86_64 32:9.11.4-26.P2.el7_9.16 updates 1.1 M
bind-license noarch 32:9.11.4-26.P2.el7_9.16 updates 92 k
bind-utils x86_64 32:9.11.4-26.P2.el7_9.16 updates 262 k
dhclient x86_64 12:4.2.5-83.el7.centos.2 updates 286 k
dhcp-common x86_64 12:4.2.5-83.el7.centos.2 updates 177 k
dhcp-libs x86_64 12:4.2.5-83.el7.centos.2 updates 133 k
less x86_64 458-10.el7_9 updates 120 k
Transaction Summary
Upgrade 9 Packages
The updates were successfully applied
Restarting service: sshd.service
Restarting service: network.service
[В DevOps]
This email was generated by yum-updater on kblm-test
Ещё не смотрел, что там отвалилось (тестовый контур - третья очередь разбора), но глянуть придётся...
На днях обновил свою рабочую машинку с линуксом и у нее отвалился докер. Даже сраная винда с ежедневными обновлениями себе такого не позволяет.
Ощущения были примерно такие
Жесть. Надеюсь, хоть Убунту?
У нас такое на CentOS было месяц назад - docker выпилили старый драйвер файловой системы и всё, ничего не стартует, починили пока откатом на предыдущую версию.
А месяца 3-4 назад тоже апдейт докера ушатал контейнеры, что-то стало deprecated и всё, не стартуют контейнеры.
А и да - настроено автообновление этих серверов и после ребута мониторинг прислал, что сервисы упали, поэтому быстро всё обратно подняли.
Автообновление боевых серверов, это ССЗБ, безопасность это хорошо конечно, но апдейты надо сначала на тестовый контур ставить, а уж потом на прод и строго вручную
А что такого? У нас сервер не один у сервиса, обновление затронуло только часть серверов этого сервиса в один день, никаких данных потеряно не было, отказов в обслуживании клиентов не было, обновление прошло в нерабочее время.
В непроде всё работало, но по стечению обстоятельств, докер успели выложить обновление после уже после обновления непрода.
обновление затронуло только часть серверов этого сервиса в один день, никаких данных потеряно не было, отказов в обслуживании клиентов не было, обновление прошло в нерабочее время.
т.е. вам просто повезло, а если бы сервера обновились одновременно?
Я был на одном проекте, там тимлид тоже любил не пинить версии либ и отключать апдейты и был противник бекапов (ceph же обеспечивает сохранность данных!)
ну и я наблюдал как обновилась либа из-за которой по цепочке рухнул весь прод...а регламента чтобы быстро пересобрать рабочую версию нет...а откуда он будет если нет пина версий, даже если откатить коммиты то контейнер соберется с новыми версиями компонентов и работать не будет..вот это мы там подугорели собирать конструкцию чтобы оно просто завелось
p.s. а с бекапами и цефом было забавно, бахнули в прод delete from table where true перепутав его с тестом...2 терабайта данных весело усвистело в /dev/null
обновления не ставим потому что от них одни глюки и проблемы
"Не все йогурты одинаково полезны". Если кто-то выпустил обновление, это не еще не повод его савить просто потому что есть. Ситуаций когда фиксится один баг, а появляются три новых я видел, и не раз. Тут только ручной анализ актуальности и непротиворечивости апдейтов поможет.
международная хакерская группа Head Mare
Вот сколько новостей ни читал, что тут, что в других источниках, нигде не пишут, что эти хакеры украинские. В чем проблема написать об этом?
Запрещено, самоцензура.
А как узнали что украинские, принтеры СДЕКа визитки Яроша печатать начали?
Ну откройте их телеграм, вопросы отпадут. Прикреплять пруфы не буду, дабы не ранить местных модераторов.
Открыл и что я там увидел - анонимы называют себя украинскими хакерами. Я вот северокорейский хакер например, попробуйте опровергнуть.
В мою бытность антималварщиком видел разное дерьмо: практика вставки любых строк нужной направленности в малварь, лишь бы подумали, что это вот эта страна, эти хакеры и т.п. возникла давно. Но любой здравомыслящий антималварщик не побежит налево и направо говорить, мол, это украинская, российская, китайская малварь. Во-первых, у тебя нет полной инфы кто это выложил и когда, всей цепочки распространения у тебя тоже нет.
А нынче модное "инфа сотка, это Украина/Байден/Запад" не сделает тебе имя как специалисту в инфобезе - только как пропагандисту по телевизору.
Может быть еще проще - хакеры действительно имеют гражданство разных стран. А возможно, они и у друг друга его не знают.
А нынче модное "инфа сотка, это Украина/Байден/Запад" не сделает тебе имя как специалисту в инфобезе - только как пропагандисту по телевизору.
А что насчет не менее модного "инфа сотка, это Россия/Си/Иран"? Прошу не понять меня неправильно, это не whataboutism и не разжигание политсрача, да и мне, в общем-то, безразличны и национальность хакеров, и их местоположение, и защищать я никого не собираюсь, однако и такие заявления, почти всегда голословные, встречаются весьма регулярно, среди специалистов в инфобезе и даже целых компаний, без особых последствий для репутации.
Ну кстати нет, где-то писали.
мы можем подтвердить, что технический сбой был вызван внешним воздействием.
Hidden text
Мне кажется вы сильно не тем занимаетесь. Сдэку сейчас явно не со своим имиджем надо озадачиваться, а идти на поклон в специальные организации с просьбой создать две специальные комиссии. Одну по анализу произошедшего и постмортему, а вторую по ликвидации последствий. И состоять эти комиссии должны не из телепузиков, а из реальных профессионалов. Потому что масштаб утечки явно огромный. И спецслужбы сопредельного государства не преминут воспользоваться данной проблемой. Нужно обесценить данные утечки. Как это делать я не знаю потому что я не специалист. Здесь всё пойдет в ход даже, если сдэку пришлось бы оплатить замену паспортов и перевыпуск карт всем клиентам системы. Безопасность физиков, пользовавшихся сдек, это перовочередная задача. Например, ни для кого же не является секретом, что для террористов семьи военнослужащих первоочередная цель. Есть ли среди клиентов сдек сво-шники - определенно есть. Специалисты должны работать по теме. А не вот это всё разгребать самостоятельно. Я не верю в уровень компетенции it сотрудников сдэк.
https://www.virustotal.com/gui/domain/cdek.ru
"2024-05-03 0/ 58 Text STR3ANGER(NATHACK_BD).csv"
Понятно, что если заряжать любимую грозу в начале мая, то в третьем акте она должна звездануть.
Может теперь поймёте, что рабочее место администратора и машина с которой надо осуществлять само администрирование должны быть разными. В идеале виртуальными и включаться только для проведения нужных действий.
Но в целом сдэк держитесь, мужики.
Например, ни для кого же не является секретом, что для террористов семьи военнослужащих первоочередная цель.
Вы полагаете, что это гости Петербургского Международного Экономического Форума взломали СДЭК? Ну да, талибы конечно террористы, и они явно хотят убить семьи наших доблестных военнослужащих. Но поскольку они наши гости, то они имеют на это право, видимо. Может затем их и позвали, у меня других предположений нет
В СДЭК подтвердили, что технический сбой в IT-инфрастуктуре компании был вызван внешним воздействием