Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 149
Ну хоть кто-то рассказал нам, в чем дело. А то сидим, гадаем в соседней ветке
Почему-то в этом случае уже не заверяют про "ПД в безопасности". Неужели таки будет первый штраф?
Вы только что увидели, как на бизнес-языке написать "у нас лапки" и "мы умеем в HA, но так получилось".
Полагаю, прокуратура должна контролировать оба факта:
кто атаковал
кто не доделал критичный сервис на настоящую отказоустойчивость
причем, наличие ответа на один из этих вопросов не освобождает от ответственности персоналии по второму. Причем, наверное, надо раз и навсегда принять, что атака почти всегда возможна, просто цена и сложность её меняется - но и при наличии атаки нужна ответственность за схему реагирования на неё.
А тут, как вижу, пошли по логике "раз это были хакеры, то компания не виновата, пассажиры посидят". А что там еще было потеряно или украдено - вообще забыли указать точно. Ну а что, хакеры же, они такие, на них что угодно списать можно от них жди самого гадкого!
А причём тут отказоустойчивость, если хакеры имели доступ ко всей инфре из внутренней сети? Ну размажь ты хоть на 3 AZ и кучу ДЦ инфру - все виртуалки удаляются махом из одной консоли виртуализации. По имеющейся информации, он потёрли виртуалки в 3 основных точках: Шереметьево, Мелькисарово и все офисные, включая Exchange и 2 AD сайта. При этом другие АД сайты не затронуты и "регистрация на большинство рейсов продолжается в штатном режиме, идет регистрация и посадка. "
Это значит, что сегментация сети имела место быть, и виртуалки в других локациях управляются отдельно.
А вот если вы про DR план - то да, это другая история, должен быть механизм быстрого восстановлена до базового функционала для отправки и приема самолетов, регистрации пассажиров. И судя по всему, его нет для отдельно взятой локации Шереметьево.
должен быть механизм быстрого восстановления
Восстановление сразу обычно никогда не происходит. Сначала происходит отключение периметра от внешнего контура и начинается расследование. Только после обнаружения дыры и подтверждения, что не оставили бэкдоров для ещё одного проникновения -- начинается долгий и мучительный круглосуточный этап восстановления.
В случае сервисов критически важной инфраструктуры - происходит (энергетика, транспорт и тд). И выполняется это самостоятельным решением, которое не использует контур компании. Например, используются standalone linux сервера с самострельными базами для печати билетов / посадочных, данные в эти сервера загружаются вручную путем мануальных выгрузок или даже по ftp/scp как в старые добрые времена SAP удаленный синхронизовали.
На моей памяти было немало критических аутедежей в компаниях 50000+ сотрудников, когда полностью был недоступен внутренний конкур, но бизнес-процессы для клиентов в ограниченном виде были восстановлены в течение нескольких часов (SAP + Oracle + веб сервисы в dmz)
Ну как же не оставили бэкдоров?)) Там целый год сидели в сети, соот-но все бэкапы за год с бэкдорами (я не думаю что дольше хранили), если и их тоже не потёрли)))))
Конечно нет, это же государственная компания. Максимум, уволят того чувака, который не менял пароль с 2022 года
История с хронопеем ничему не научила.
Надеюсь, что это станет еще одним поводом к пониманию, что все эти миллиардные «бюджеты на ИБ» в крупных компаниях, вокруг которых кормится куча различных горе-интеграторов с пачками глянцевых буклетов и пестрым мерчем не имеют ничего общего с реальным обеспечением безопасности инфраструктуры.
Ага, к понимаю "заблокировать еще какой-нибудь сервис".
надо было проводной интернет тоже блокировать, тогда бы хакеры не подключились
Чего мелочиться - надо организовывать полеты как делали 60 лет назад - бумажка, ручка, печатная машинка, в лучшем случае телетайп. Да, медленно, да дорого, зато можно сделать на 100% отечественной базе, и в принципе не поддается взлому извне взлому изнутри вполне поддается.
Из вечного:
"Из-за отсутствия гвоздя подкова была потеряна."
"Из-за потерянной подковы лошадь стала хромать."
"Из-за хромой лошади гонец не смог вовремя доставить донесение."
"Из-за недоставленного донесения войско было разбито, и в итоге была проиграна война."
Короче, с бесцифрой от Натальи Ивановны тоже есть нюанс.
Надеюсь
Проблема в том, что глянец и пёстро-буклетность — это органичная часть всей среды эффективного менеджмента™, а не какое-то внезапное исключение из неё. Надеяться, конечно, можно, но как говорится — а толку.
Не в защиту конкретно Аэрофлота, но "что создано человеком им же может быть и разрушено". Как мне видится, абсолютно непробиваемых систем не существует.
Надеюсь, что это станет еще одним поводом к пониманию
Как бы это ни стало поводом к огораживанию суверенного сегмента сети Интернет.
При всем желании, client-facing сервисы придется оставить доступными снаружи. Клиенты из любой точки мира должны иметь возможность купить/вернуть/отредактировать свои билеты онлайн. Плюс не забывайте про интеграции, все данные по билетам в риалтайме выгружаются через api к партнерами по всему миру.
Но в любом случае, такого уровня взломы делают не через api или дырку в веб-морде. У хакеров был доступ в корпоративную сеть, а само собой у Аэрофлота, как у любой крупной компании, фронт находится в DMZ и через него очень мало вероятно добраться до AD контроллеров, которые и были потерты вместе с файл серверами.
client-facing сервисы придется оставить доступными снаружи
Это да, но при желании, кажется, это реализуемо, хоть и с сильно урезанным функционалом.
Зачем? Они и сейчас ограничены. Летел недавно из Киргизии Аэрофлотом, на их официальный сайт не пускает с IP Киргизии. Пришлось покупать у агрегаторов, ну либо пришлось бы искать российский VPN
Да воткнули им в сеть левый шлюз, какая нибудь апельсинка/малинка с 4g модемом под столом, а там исследуй наздоровье.
Вы наверное забыли, или не знаете историю про РЖД и сапсан...)
Я хоть не являюсь сотрудником интегратора, но не стал бы делать выводов пока неизвестна точка входа в инфраструктуру.
К примеру было уже проникновение в РЖД в спокойный времена. Так что тут дело не в глянцевых буклетах, а в людях принимающих решения. У таких организаций денег на профессионалов хватает, осталось только ими распорядиться.
Профессионал денег не откатит со своей з/п, а покупка “Супер SIEM/DLP/IPS системы «сертифицированной» органами» за 100500, построить ЦОД под это дело, оплатить пару лет командировки аустаф команды для «внедрения» и «обучения» и т.д. Это же целый процесс на года с огромным потоком финансов. А профессионалы в штате это скукота и не серьезно. А если эту поделку поломают в итоге, то можно всегда вести философские рассуждения о том, что «все что создано людьми, можно сломать» и «идеальных систем не бывает» и т.д. И под это дело можно иксануть бюджет и внедрить еще одну систему и построить еще один ЦОД, а там уже и пенсия не далеко.
Могли бы и как терроризм провести. С последующей физической нейтрализацией причастных. А по 272 семь лет максималочка, через 4 года можно выйти по УДО.
И как ты собрался хакеров за границей ловить? Им плевать на законы РФ. Как США заманивать на свою территорию, чтобы арестовать?
Хватит носиться уже с терроризмом, ну правда. Взлом инфраструктуры никак под него не подпадает.
По сути подобный взлом и есть акт терроризма.
Лучше уж сразу "контрреволюционная деятельность"
терроризм - акт устрашения с целью запугивания населения или правительства. как-то не очень подходит
Акт с попыткой давления на правительство. Под определение подходит.
Акт с попыткой давления на правительство
Тогда под такое расплывчатое понятие подходит все, что угодно, даже выдвижение на выборы (и голосование на них - чем не давление). В качестве примера про настоящих террористов и определений: еще недавно талибы в новостях упоминались только как террористическое радикальное исламистское движение «Талибан» (запрещено в РФ), а теперь нет, хотя насильственные действия против населения не исчезли из репертуара талибов. Кроме того, «Талибан» не особо мешает другим террористам, например афганским иг-хорасанов (те уроды, которые устроили теракт в Крокусе). Но захотели убрать талибов из списка и убрали, а почему - понятие размытое, хотят добавляют, не хотят убирают, хотя сущность и действия объектов применений понятия - практически не изменяется.
Подпадает, если погибают люди. Самолеты все сели без проблем, потому что у персонала есть инструкции, как действовать, если отказали компы, вплоть до выхода на поле для размахивания флажками.
Аэропорты, вокзалы, энергетика и т.д. обязаны быть защищены на лучшем из уровней. А не с этими приколами как у ржд с микротами или вот сейчас аэрофлот. Просто напомню как щемили парня, который указал на косяки по иб в ржд
Вообще могли бы по такой логике:
«совершение... иных действий» — «под иными действиями, устрашающими население и создающими опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в статье 205 УК РФ следует понимать действия, сопоставимые по последствиям со взрывом или поджогом»;
«устрашающих население» — «устрашающими население могут быть признаны такие действия, которые по своему характеру способны вызвать страх у людей за свою жизнь и здоровье, безопасность близких, сохранность имущества и т.п.»;
«причинения значительного имущественного ущерба» — сами хакеры написали, что ущерб на десятки миллионов долларов;
«в целях дестабилизации деятельности органов власти... либо воздействия на принятие ими решений» — тоже сами написали;
«совершенные группой лиц по предварительному сговору или организованной группой» — опять-таки сами написали.
Так что для террористического акта достаточно только притянуть взлом к «иным действиям».
угу... как насчет "специфической" энергогенерации... идиотов везде хватает, причем с удивительно постоянным процентным соотнешением..
да никто не боится такого. ни сроков ни расстрелов.
С последующей физической нейтрализацией причастных
<sarcasm>Ага. Очень сообразное невозможности вовремя улететь наказание</sarcasm>
А чиновников, которые небо закрывают последнее время через день и точно так же не дают людям вовремя улететь вы, наверное, тоже предлагаете по этой статье осудить и того, да?
Для этого их сначала установить надо.
До 2014-го ФСБ могли позвонить в СБУ и поинтересоваться, что за перец сидит за таким-то IP. А сейчас даже пробовать не будут, по понятным причинам.
Так что могут проводить как угодно - всё равно исполнители не будут установлены, а Зеленского наверное уже по всем возможным статьям в РФ осудили.
Безусловно будут ликвидированы, так же и высший генералитет Украины.
СДЭК: Перезагрузка
А вот в 1988 году у меня на компьютере Правец-16 я приделал переключатель ТВ1-4 'Enable_Write_Drive_C:' и в обычном режиме эксплуатации он был выключен. Я один такой умный? На современных серверах есть такое ?
Ну, современная операционка без многочисленных записей на диск - и загрузиться-то не сможет. По крайней мере - без изрядных плясок с бубном
Есть - называется холодное хранение данных.
Я не про данные, я про защиту компьютера от вирусов, от хакеров. На любом авто и даже на велосипедах есть ЖЕЛЕЗНЫЙ ключ, и надо его иметь чтобы просто поехать. А тут сервера открыты всему миру. Неужели так сложно сделать три диска и три железных включателя: Разрешение записи файлов ОС, Разрешение записи файлов конфигурации ОС, Разрешение записи файлов пользователей. Почему до сих пор у файлов ОС нет аттрибута 'ReadOnly' , 'AppendOnly' которые включаются один раз в НАВСЕГДА? Почему на MB нет железной кнопки 'Update BIOS'. Почему нет железного выключателя Ethernet, USB и т.д. Можно же ведь простыми механическими и организационными средствами очень сильно усложнить жизнь хакерам, идиотам и ошибкам ПО. Ну и конечно не используйте ОС которые дают всем и всё. Всё так просто на самом деле.
Возможно, не совсем понял ваш комментарий, но вот, например, на своём личном пк не могу менять файлы ОС из-под своей учетки
Да, потенциально есть эксплойты и т.п. но в некоторых организациях они даже не нужны - пользователи там сидят практически из-под рута
И какой будет толк от указанных "включителей"? Они никак не защитят от большинства атак на веб-сервисы например.
В 1988 году на вверенной мне компьютерной сети: - не было вирусов - не было утечек данных - не было потери данных - не было простоев внешнего производственного оборудования - не было нарушений информационной безопасности и т.п.
Ваш опыт 1988 года, к сожалению, не вполне применим к современным системам.
Скорее всего в 1988 году - не было и постоянного подключения ввереной Вам компьютерной сети к внешнему миру.
У вас, может, и не было, а кого-то примерно в этот период успешно ломал Митник. Не существует на 100% безопасных систем.
Такое невозможно в системах, которые работают 24/7. У вас данные в реальном времени на дисках меняются. Вы можете только сделать резервную копию, которая отстает от реального времени на день, час и более близкий срок, и поместить их в защищенное хранилище. Хранилище организуется таким образом, что через команды удаленного управления данные можно только добавлять (append), но не изменять, и не в коем случае, удалять. Если случается сбой в основной системе, то запрашивается последняя резервная копия из этого хранилища. Режим чистки хранилища настраивается в идеальном случае лично админом и не зависит от внешних факторов.
Я предлагаю сделать замки на двери и окна, а вы предлагаете подогнать экскаватор , чтобы после пожара начать строить новый дом.
Ходит информация, что хакеры сидели 1 год в инфре, тем самым на бекапах могут быть бекдоры.
Да ладно, если только бэкдоры, в текущем варианте им всё равно инфраструктуру с нуля поднимать.
В бэкапах могут быть зашифрованы данные. А если они сидели на этом год, то возможно, что повреждены все существующие бэкапы, даже в холодном хранилище.
Понятно, что сдохнуть компании не дадут, даже если ничего не осталось, но IT-департаменту сейчас не позавидуешь.
На любом авто и даже на велосипедах есть ЖЕЛЕЗНЫЙ ключ
Справедливости ради, в современных автомобилях ключ можно считать программным. Точнее говоря — токеном с радиоинтерфейсом.
И как тумблер на сервере поможет тебе обезопасить сервер?
Какие 3 диска? Ты себе представляешь крупную современную организацию? Тысячи серверов и железных и виртуальных, ТБ и даже ПБ информации. Десятки разных систем, ответственность за которые находятся у разных команд.
Подошел к серверу Администратор, включил тумблер #2, добавил пользователя в систему, запись на диск 2 Настройки ОС, отключил тумблер, спокойно пошел домой.
Подошел Администратор, включил тумблер #1, запись в системные файлы ОС, запустил обновление ОС, перезагрузил сервак, отключил тумблер, спокойно пошел домой.
Дело запахло керосином, подошел Администратор и включил тумблер #3, база данных работает в режиме ReadOnly, Но ОНА блин работает, люди летают на самолетах и поезда ездют, пока СБ ищет дырки и хакеров.
Я предлагаю варианты как усилить безопасность в мире IT, (а не запердоливать ИИ повсюду) ибо сейчас эта проблема стала критической для людей. Вариантов решений на уровне железа и ОС навалом, но я вот не вижу ни одной флешки с ключом "ReadOnly" (раньше были), ни на SSD, ни в домашней сети, ни в корпоративной. Я знаю что 100% решений быть не может, но усложнить жизнь хакерам нам по силам.
Ты либо тролишь, либо вообще не понимаешь как работает инфраструктура.
Какие тумблер ты собрался переключать на 7000 серверов? Ты думаешь они все в одном месте?
Что делать с кубами, с проксами? Толку от твоего переключения, когда у тебя есть root доступы у злоумышленников.
Не будет твоя база работать даже в ReadOnly, если эту базу просто дропнут из под рута.
А если там не проводились проверки бэкапов на возможность восстановиться, то и бекапы за год могут быть покорапчены, либо содержать бекдоры, которые позволят опять дропнуть базу
запись на диск 2 Настройки ОС, отключил тумблер, спокойно пошел домой
Вы же в курсе, что существуют вирусы, которые в принципе не записываются на диск? Да и операционные системы есть (без тумблеров), в которые нельзя добавить пользователя или установить пакет, только по факту переустановить ОС с новым набором пользователей и пакетов (например FedoraCoreOS)
ни в корпоративной
Есть больше одного варианта, как реализовать ReadOnly-хранилище, вопрос только занялся ли этим кто-то.
Подошел к серверу Администратор, включил тумблер #2,
Вы текущие скорости обмена информации представляете? За время переключения тумблера на их серверах в админы можно всё население РФ записать.
А главное, что админ должен уподобиться герою старой рекламы, который не заплатил налоги. В Аэрофлоте работают тысячи человек. И всем им нужно, по регламенту, менять пароли.
Дело запахло керосином, подошел Администратор и включил тумблер #3, база данных работает в режиме ReadOnly,
И мы получили текущую ситуацию. Не достаточно иметь RO базу. Сотрудникам должна начисляться зарплата, в складской системе должны выписываться ЗИПы, должно закупаться и списываться питание, должно проводиться ТО, должны проводиться документы о заправке...
И если до этого она была RW, то её вполне можно зашифровать до такой степени, что RO будет уже не на чем включать.
Я предлагаю варианты как усилить безопасность в мире IT,
Вы предлагаете методы, которые стали не актуальными 30 лет назад (если не раньше).
Это всё равно что предлагать стреножить электромобиль. Ну, а чего, мой дед лошадей стреноживал, ни одну не украли, значит и электромобиль от угона спасёт.
В РФ есть защищённые системы. В том же Росатоме. Тупо сеть физически отделённая от интернета. Вот она взломостойкая (и то, с оговорками).
А сети, доступ к которым может получить девочка на стойке регистрации в любом уголке РФ, априори невозможно защитить на 100%.
у человеков дивная изобретательность для обеспечения ленивости и удобства, как правило кончается клейкой бумажкой на мониторе с паролем, ну или прям на клаве нацарапанно...
как только "орг меры безопасности" вылазят в визуальную область, они перестают быть безопасностью...
Есть дистрибутивы, которые работают с защищённых от записи дисков. Такое годится например для роутеров. Но возникает проблема с обновлениями. Для каждого обновления пакетов или настроек нужно менять диск. Ну или выкачивать настройки и софт по сети.
Это не годится например для БД, гипервизоров, файлопомоек... Что-то можно запускать in-memory, но далеко не всё.
Ваш переключатель работал в программном, а не в аппаратном режиме. При реальном взломе его можно обойти. Можно даже этого не делать (раз уж на drive_C всё равно ничего не пишется), а повредить диск с данными. Сам же зловред будет жить в оперативе и распространяться с одного заражённого компа на другой по сети, без записи на диск.
Ваша сеть в 88-м году не падала только по причине её жёсткой изоляции от остального мира. Был бы интернет в то время - взлом был бы вопросом времени.
За сколько сисадмин продаст все свои пароли и доступы к серверам на своей работе?
Если, скажем, за 1млн.руб. то стоимость всей системы безопасности его предприятия не должна превышать миллион. Всё что свыше это деньги в никуда, бесполезные траты.
Простая арифметика.
Если это человек не из числа "украл выпил в тюрьму", то сумма не маленькая. По сути это вообще крест на жизни, уехать в другую страну не получится, так как депортируют обратно
сумма не маленькая
всего-то $10к, далеко не убежишь
Похоже я двояко выразился. Своим сообщением хотел ответить на вопрос
За сколько сисадмин продаст все свои пароли и доступы к серверам на своей работе?
Миллион это примерная зп за год. Условный сисадмин продавая пароли, теряет все свои будущие зп, это точно больше миллиона.
а больше вывезти и не получится =)
На свете есть такая штука, как разделение привилегий. В больших компаниях (окей, нормальных больших компаниях) нет никакого единого админа, который сможет сдать доступ ко всей инфре. Там каждый упирается в доступы, контролируемые смежными командами/админами/подразделениями. Да и вычислить таких затейников не так сложно, как вам кажется.
тут половина посетителей работают в крупных компания и прекрасно знают чего стоят сказки про разделение привилегий, продуманная система безопасности и пр.
Если только нет единой системы, где хранятся логины/пароли/роли.
Например, AD. Если получить к нему админский доступ, то можно получить доступ ко всему.
AD контролирует далеко не всё. Видел системы, где сегменты разных ролей "не знали о существовании" сегментов других ролей (СКУД не знал о линии фасовки, а линия фасовки не знала о терминалах отгрузки и т.п.). Я там как раз собирал для этой системы "Брахму", читающего данные из всех сегментов, и изобретал методы предотвращения компрометации доступных сегментов при компрометации "Брахмы". Правда, это была не госкомпания, и не совсем российская, так что не стану утверждать, что так - везде...
Красиво сказано, только вот кто эти доступы между всеми командами/админами/подразделениями будет распределять и/или координировать? Ой, ВНЕЗАПНО этот человек сможет получить все доступы если захочет.
Ой, ВНЕЗАПНО этот человек сможет получить все доступы если захочет.
Действительно. Давайте сразу гендиректора компании в подсобке запрем, чтобы он указ выдать злодеям все доступы не раздал по подразделениям.
Версия с тем, чтобы для того, чтобы новому пользователю можно выдать роль нужно было не менее N аппрувов не сработает?
Всегда где то будет дырка. Это нормально, жизнь, нужна эшелонированная оборона. Утек пароль - заверещал мониторинг о нештатном логине админа, о том, что он полез куда то не туда и так далее. И эти штуки контроля (PAM, etc.) вполне могут работать независимо от основных систем. Просто это стоит денег и нужны люди, а отдачи нет, cost center в терминах эффективных манагеров. Проще забить болт :). Риск менеджмент в АФ был скорее всего сделан на отшибись.
Так не должно быть доступа к администрированию серверов с удалёнки. Извне только покупка билетов.
Там ведущего админа БД неделю назад искали с вилкой 150-200.
Стоимость одного джавелина больше $150k, т.е. 12 миллионов рублей - ЗП такого сотрудника за 5 лет? В рамках армейского бюджета скупить можно весь IT-отдел.
Другой вопрос, что не все продаются просто за деньги. И каждая вербовка - риск раскрытия всей схемы.
А главное - нафига, если можно тупо найти уязвимое звено в самой инфраструктуре? Ту же жиру и конфлюенс легально сейчас не обновить, а доступные на торрентах версии дырявые как решето. Спорим на каком-то домене 4-5-го уровня она была?
"Кто поставил сапоги на пульт?!?"
/на злобных хацкеров удобно всё списывать
//запрет заходить на почту особенно прекрасен ))
Буквально недавняя новость - https://www.cnews.ru/news/line/2025-06-04_bastion_i_aeroflot_budut
Спустя несколько дней - еще один контрактор - https://safe.cnews.ru/news/line/2025-06-19_pao_aeroflot_i_bizone_obedinyat
- Может уже тогда они обнаружили что они под атакой и запросили помощь
- Может это неудачное подписание договора и "месть"
- Может один подрядчик решил поднасрать другому
А прикиньте что будет когда они на свои самокрутки перейдут (российское по).
Вы так говорите, как будто какой-то Васян от скуки на летних каникулах со своего телефона у бабушки в деревне весь Аэрофлот положил. Провернуть такое - это целая спецоперация, долгая и дорогая. При желании так можно сделать почти с любой компанией, и не только в России.
Интересно, а что случилось, что провернули не на ком-нибудь, а на самой крупной, стратегически важной государственной авиакомпании №1 на рынке? При ответе на этот вопрос внезапно получается, что случилось ровно то, что заслужили...
Эмм, за последний месяц лежал аскон (сапр системы), лежал новабев (винлаб), не так давно сдэк, так что поворачиваю на всех на ком могут, и не только в РФ.
Так что ответ на ваш вопрос - нашли дыру вот что случилось, в целом да, ровно то что заслужили, раз допустили дыру.
Или вы что то иное ввиду имеете?
Нет, скорее, а что случилось на государственном уровне в 2022-м, 2014-м, 2012-м? Вот за это и получают все, причастные или не причастные. Последних жалко, а первые - заслужили.
В случае с Аэрофлотом - получили более чем причастные. Я не зря подчеркнул важность авиакомпании.
Чисто ради интереса - а что Аэрофлот такого сделал в 2022, 2014 и 2012?
АА, я понял что за сову на глобус вы натягиваете, тогда может подскажете, а что случилось в великобритании, когда положили Royal Mail и The Guardian, в германии, с атакой на ABB, Саудовской аравии с Saudi Aramco ?
Что там случилось на государственном уровне такого??
Даже если принять вашу сову, то остаётся вопрос, а аэрофлот то каким боком более чем причастен?
Сугубо гражданская компания
Перевозит пассажиров, причём гражданских, даже не грузы
Не политизирована (по крайней мере не замечена в этом)
Не монополист (как ржд), т.е. есть аналоги.
Если логика натягивания вами совы на глобус ещё понятна, хотя и сомнительна, то логика внесения аэрофлота к причастным не прослеживается вообще.
Ну, что там на самом деле положили - нужен анализ, по крикам в телеге сложно судить. И да, положить можно любую компанию. Например эпичный кейс Saudi Aramco Shamoon - Wikipedia
Вот тоже это сильно пугает. Сейчас обязательно надо использовать магмы да кузнечики в определённых областях, а что если там и правда есть дыры для товарища майора?
Тогда с ненулевой вероятностью про эти дыры уже знают все кому не положено и просто ждут максимальной раскатки этих алгоритмов. Ну или просто получают доступ ко всем интимным данным вместе с тов майором
Вот интересно а насколько быстро можно именно вайпнуть все данные на дисках SSD современного сервера ? То же HPE / DELL Же позволит поставить задачу при рtбуте на определенное время разобрать RAID / вайпнуть данные на дисках через тот же ilo ? Ну и до кучи отключить все внешние интерфейсы включая VGA то просто восстановить сервер уйдет порядочно времени. Поставить задачу тем же скриптом и все в определенное время сервера ребутаються и через час данные необратимо потеряны.
С СХД скорее всего сложнее быстро данные затереть.
Зачем стирать, можно шифровать.
а насколько быстро можно именно вайпнуть все данные на дисках SSD
Единицы минут. blkdiscard и данные превращаются в тыкву
И даже blkdiscard не нужен. Современные корпоративные диски и СХД поддерживают технологии самошифрования. И после затирания ключа шифрования - прощай данные...
https://ru.wikipedia.org/wiki/Самошифруемый_диск
https://ru.transcend-info.com/embedded/technology/tcg-opal-specifications
Сделать бэкап суперблока зашифрованного раздела - первая из рекомендаций при работе с криптой типа LUKS и подобными. Так что просто потереть блок с ключами не самая удачная идея с точки зрения уничтожения данных. Дискарднуть проще, а для совсем хардовой темы есть secure erase, по сути тот же дискард но с гарантированным уничтожением данных. Ну и если говорить про всякие умные стораджи то у них к многих тонкий провижнинг и достаточно дропнуть метаданные после чего хрен чего достанешь
В большинстве случаев хакеры просто трут таблицу разделов. Да, данные при этом можно восстановить, но это займет очень много времени при таких объемах. Поэтому, если цель - просто нарушить работу систем, а не выманивать деньги, то одна файловая система (или 1 СХД) - несколько секунд, до минуты. В случае с СХД все немного сложнее.
при правильной подготовке - секунды....
а если долгосрочная "заказуха, микрокод в проце, ждет команды в потоках, а потом чтпок...
вобщем как "говорил" классик.... следуй за деньгой...
Ни хочу ни кого обидеть, но вопрос простой, а у вас в компаниях, все ОК со стороны ИБ? Вы прям уверены что у вас есть все варианты DR планов? Прям каждый квартал учения по синтетика взлома, уничтожения ВМ, отработан как часы процесс восстановления штатной работы ? Аэрофлот конечно сел в лужу, не поспоришь и можно долго писать и тыкать что в современности, в стране дыр столько что всех ниток не хватит заштопать, либо нитки оказываются с гнильцой...
Ну конечно нет. Я, пусть и не в РФ, в теории могу навернуть почти всю инфу мобильного оператора где я работаю и оно будет почти невосстановимо. И я постоянно злорадствую в сторону своего работодателя.
Но тут злорадствование усугубляется строгими требованиями, низкими зарплатами и громкими заявлениями. В критической компании, в стране которая несколько лет в состоянии войны. Это такое типичное "Я же говорил", но на более высоком уровне.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Генпрокуратура РФ: причиной сбоя в работе «Аэрофлота» стала хакерская атака