Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 73
Чуваки из украинской и белорусской группировок наверное чувствуют себя героями - поднасрали миллионам гражданских, в том числе и своим соотечественникам. В следующий раз можно Мосгортранс ломануть, или Детский сад №7.
Неспортивно как-то, да?
Есть десяток интересных структур начинающихся со слова Рос или Мин, но почему-то хакеры выбирают чисто гражданские структуры типа Ростелекома или Аэрофлота. Видимо да, кишка тонковата.
Куда смогли, туда и влезли пока.
Есть десяток интересных структур начинающихся со слова Рос
И тут же
Ростелекома
Всё сходится.
Давайте реально, сейчас никому нет до этого дела. Есть крупные, можно сказать стратегические узлы, которые осложняют жизнь всем, притом не только гражданским - по ним и пытаются долбить. Это же не первый случай и не первая компания. Ранее так же влетал ВГТРК.
Плюс они прямо говорят, что они туда внедрились и долго планировали, а так же то, что это просто демонстрация и типа мы уже много где. Правда это или нет - хз. Но абсолютно очевидно, что тот же аэрофлот, да и много кто ещё, должны были за 3 года как-то подготовится уже, а они, судя по всему, даже не почесались.
Видимо через какое-то время мы узнаем и других "не почесавшихся".
Ну и в целом ваши слова удивляют. Вы ожидаете чего, джентельменской дуэли? Что должны делать те группировки? Приехать на коне, объявить Casus Belli, снять перчатку, кинуть в оппонента, предложить ему выбрать оружие, потом отсчитать 10 шагов и стрелять? У вас риторика оторванная от реальности. Нет, такого не будет.
Если вы ещё не поняли, это не спорт, не посиделки в пивнушке, не челледж в тиктоке. И очень странно этому удивляться - нужно только готовится.
В нашей стране начиная с определенного масштаба нет чисто гражданских структур.
Наверное потому, что эти все Рос и Мин не очень то кому то нужны и в случае их недоступности для большинства обычных граждан это всё пройдет стороной. Большинство таких целевых атак как раз направлено не на то, чтобы уничтожить крупные корпорации (они все равно на своих клиентах всё отобьют), а чтобы вызвать резонанс и недовольства (правда граждане у нас всё реже вспоминают пословицу "Не чисто там, где убирают, а там, где не мусорят").
Ещё и называют себя партизанами. Что-то вроде "30.Waffen-Grenadier-Division der SS"(Белорусская дивизия СС, если кто не в курсе) было бы исторически более верным.
Танки/самолёты и т.п. с другой стороны поднасрали 40 миллионам людей - или это другое?
Если хотя бы половина из того, что эти хакеры говорят - правда, то кейс интересный и разгребать долго.
https://www.by.cpartisans.org/post/kiberudar-po-ajeroflotu-rf
В 21 веке, после почти 75 лет существования ИТ такого быть не должно. Я не знаю какое оборудование и какое ПО использует Аэрофлот, но точно не то что обеспечивает надежную безопасность данных и функциональности. Что-нибудь из open source, непроверенное и не протестированое на предмет защищенности.
Все герои, пока их не начнут ломать две военизированные хакерские группировки.
Эти военнизированные хакерские группировки могут ломать только определенный спектр программого обеспечения (ПО) и на определенной хардверной платформе - х86.
Есть другой спектр, функционально полноценный, ПО не на платфлрме х86, да и на х86 возможно тоже есть, который никакая хакерская группировка, сколько бы у ней не было автоматов Калашникова, ничего бы сделать не смогла.
Аэрофлот этому не придавал должного значения поэтому и попался. Попадаются кстати, с завидной регулярностью, и другие инфраструктурные для России ИТ (СберБанк, ГосУслуги, Ростелеком). Это уже диагноз.
Недавно аналогично взломали крупного ретейлера Marks & Spencer - они приостановили работу до сентября. Это тоже диагноз? Я ещё раз повторюсь - почитать хабр тут все мега безопасники 9000 лвл, видимо сотрудники из СДЭК, Аэрофлот, Сбербанк и Госуслуги тут не сидят.
Любой взлом ИТ в наше время это диагноз. Диагноз службе ИТ безопасности той структуры которую взломали. И тем разработчикам, которые используют дырявое ПО в таких социальнозначимых структурах как Аэрофлот. А их нынче не счесть.
они приостановили работу до сентября
Что приостанавливали прием онлайн заказов нашел. А вот чтоб приостановили работу до сентября так и не осилил найти. Подскажите источник, пожалуйста!
А расскажи, пожалуйста, где Сбербанк взломали?
Про исключительность платформы х86 это уж хватили.
Про какую "исключительность" идет речь? Я не понял.
Эти военнизированные хакерские группировки могут ломать только определенный спектр программого обеспечения (ПО) и на определенной хардверной платформе - х86.
Вот это.
Ну и причем здесь исключительность. Я просто сказал что хакеры могут ломать (смотря ещё что и как) только платформу х86. Платформу ИБМ МФ они ломать не могут и более того её не знают. Или знают и знают что сломать её невозможно.
Да, если хоти это есть исключительность х86. А еще исключительность х86 для России состоит в том что все бэкэнды в России построены на х86. За исключением немногих, не известно каких. Может даже быть и так что в Аэрофлоте есть ИБМ МФ. Who knows.
Я вас уверяю, что IBM RISC немало. Наверняка, попадаются еще не выведенные из эксплуатации SPARK и Itanium. У модных пацанов - arm.
IBM RISC это AIX, т.е. Unix, т.е. Linux.
Качественное отличие и преимущество имеют только ИБМ МФ. z Series, System Z, или просто Z. И то только с использованием ОС z/OS.
Если такие и есть в России то они используются для перенесенных с ЕС ЭВМ программам, которые еще не смогли переписать на какую-нибудь Java, или .NET.
AIX не Linux, оно отличается весьма концептуально. А ломают и AIX, и z/OS, просто на сайте митры посмотрите.
Ничего про взломы z/OS на Митре не нашел. Поиска по их сайту нет, и Гугл ничем не порадовал.
Так что пока будем считать что Вы просто пошутили так.
вариант, что про их взломы не слышно, потому что они как неуловимый джо, не рассматривается? а сломать можно всё при желании и необходимости, вопрос времени и средств.
Это не правильный вариант ответа. Т.е. вообще не ответ. Вам предлаются все просторы интернета для поиска информации про взлом z/OS, а вы отделываетесь шуткой. Извините, но это не профессионально, если конечно для вас важно это.
Взлом мэйнфрэйма очень даже мог бы быть интересным для хакеров. На МФ до сих пор обрабатывается много важной информации. Вот порой пишут про взлом Пентагона. А что там взламывали? Сервера х86, но не мэйнфрэймы Пентагона.
Несколько лет назад была найдена уязвимость процессоров с out-of-order execution и это коснулось процессора ИБМ МФ. ИБМ издал бюллетень на эту тему и принял соответствующие меры. Были извещены все пользователи на подписке об этом. Я 26 лет подписан на такие извещения у ИБМ и ни разу не бвло про взлом z/OS.
... самоудалил.
да на здоровье, нагуглилось сходу, долго искать не пришлось: https://www.bmc.com/blogs/are-mainframes-your-weakest-link/
и это не говоря о том, что далеко не все случаи взлома попадают в новости, а только самые громкие
Ну вот видите, получилось, а говорили "неумовимый Джо".
Молодец, только это все не про z/OS секьюрити в реальной жизни, а лабораторный опыт сделаный в условиях доступа на уровне, которого ни какой юзер ни из какой юзерной программы не получит хоть убейся.
Не знаю нужен ли подробный разбор этой чуши, думаю что нет, думаю достаточно что я, действующий системный программист с првами SPACIAL говорю никакой юзер ни из какой юзерной программы не получит SPECIAL хоть убейся.
Авторам этого фэйка я бы сказал где и как они врут. Более того я про такие фэйки знаю уже много лет.
Собственно чушь начинается с первого же шага их процедуры:
Escalate their privileges from a normal user to an administrator/super user with z/OS special and operations access
Как это они сделали не объяснили, а это возможно только с правами SPECIAL. А если уже SPECIAL есть то зачем его давать "простому" юзеру. Флаг в руки и круши все вокруг что под руки попало. Шаги 2 и 3, имея SPECIAL, смысла не имеют поскольку SPECIAL может дать себе OPERATIONS и все двери ко всем файлам открываются. Шаги 2 и 3 приведены для создание иллюзия работы понятной не мэйнфрэймщикам. Собственно не мэйнфрэймщикам этот материал и адресован. Любой мэйнфрэймщик прочитав просто ухмыльнется и пойдет дальше. Делинтантизм. Ребята почитали мануалы и решили "блеснуть", не дав себе труда объяснить как это они получили SPECIAL, потому что объяснить это не возможно. Этого нет.
P.S. Там на странице есть линк для получения белойбумаги:
Minimize z/OS® Vulnerability
Prevent mainframe data breaches with these 11 guidelines
The traditionally underprotected enterprise mainframe offers a rich target for hackers. In this white paper, you’ll learn about 11 steps you can take to strengthen z/OS® security and compliance—and safeguard your critical business data.
Я не стал скачивать это, не захотел давать им анкету с мои бинес мылом, а мой персональный они раскусили. У меня был аккаунт BMC, но давно, когда у нас были их продукты, давно уже нет. В принципе BMC нормальный вендор и разработчик ПО для z/OS. Жаль что они позволяют всякую чушь на своем сайте.
С другой стороны, ну что я мог бы найти в этой белойбумаге того что мне и так известно. Банальности там какие-нибудь написаны. Я сам такую бумагу мог бы написать и продолжить шаги 12, 13, 14....
Вы сначала используете термин x86, а теперь оказывается, что вы говорите про мейнфреймы. Это странная дискуссия.
Видимо, вы что-то знаете про мейнфреймы. Это, конечно, круто, но их объективно мало и все меньше. И кибер безопасность можно обеспечить на чем угодно.
Я использую оба термина: х86 и ИБМ МФ. Из контекста, если вдуматься, всегда понятно что я имею в виду в каждый конкретный момент. Если не ясно, то можно у меня же уточнить - я всегда отвечаю на вопросы, на любые.
Да, видимо я что-то знаю про мэйнфрэймы отработав с ними более 40 лет и работая в данный момент. Мэйнфрэймов мало только в России, во всех странах BRICS мэйнфрэймы есть и к ним относятся серьезно. В ответственных ИТ, в их бэкэнда, базах данных, используются МФ именно потому чтобы не иметь таких сюрпризов как у Аэрофлота.
А что Вы знаете про мейнфреймы?
Да кибербезопасность можно обеспечить на чем угодно, и честно говоря, я не верю в хакерную версию обрушения ИТ Аэрофлота. все это не более чем PR. Что то было сделано самим ИТ-шниками Аэрофлота. И вот здесь как раз обнаруживается большая разница между безопасностью на МФ и на х86. На х86 нет защиты от внутренних "хакеров". А на МФ есть. "Хотите, расскажу" (копирайт одного из росиийских блогеров по лайфхакам).
SPARC
Scalable Processor ARChitecture
Извините, но это чушь, что хакеры могут ломать только x86.
жыырный вброс. Как вам свежая уязвимость в шарепоинте? Он же не опенсурс, проверенный, защищенный, но через него взломали госорганы США. А уязвимости в fortinet, cisco как, достаточно проверенные и защищенные, чтобы вы про них не вспоминали?
Как я понимаю уязвимость эта есть ненадлежащее отношение к вопросам безопасности и оставление дырок ( зачем из вообще создавать):
The attack typically begins with the exploitation of the “spinstall0.aspx” endpoint, allowing attackers to upload configuration data to remote servers.
И вот что рекоммендуется:
Given the rapid weaponization of these vulnerabilities, security teams must prioritize SharePoint infrastructure hardening and consider implementing additional access controls to mitigate potential compromise attempts.
Говоря по русски рекомендуется выполнять очевидные меры по безопасности - закрывать доступ к высокоавторизованным программам.
В z/OS, например, по умолчанию авторизация к программам с высоким доступом закрыта, и открыть ее можно только явно. Кроме того все программы выполняются с идентификатором пользователя и в пределах той авторизации и доступа который есть у пользователя. Даже если например каждому может быть известна команда VARY XCF...,^
V XCF,systemname,{OFFLINE|OFF}[,RETAIN={YES|NO}][,FORCE][,REIPL][,SADMP]
, в результате выполнения которой система <systemname> будет остановленна (OFFLINE), но не всякий кто имеет доступ к этой системе сможет ее выполнить, и более того не всякий пользоваетель будет иметь доступ к той среде в которой эта команда вообще может быть исполненная, но даже если пользоваетель имеет доступ к среде выполнения таких комманд, чтобы наприммер иметь возможность команды DISPLAY TIME, то конкретно к вышеуказанной команде VARY XCF дотупа не будет. А что бы его получить надо что-то добавить к системе секьюрити z/OS - RACF - что может быть сделано только если имеется авторизация RACF SPECIAL, которой обычно ни у кого нет. (У меня есть). Это очень вкраце, для комментариев.
Вот так примерно должна быть устрjена настоящая система безопасности, в которой даже уязвимость вроде этой в SharePoint не нанесет никакго ущерба.
Как я понимаю имеется в виду что SharePoint сервер выполняется с высоким уровнем авторизации и в нем открыты двери для установки программ, которые знают как использовать его уровень авторизации в нежелательных целях. Но этого просто не должно быть изначально вместо того чтобы издавать чуть не каждый день новые и новые патчи и писать бюллетни.
А уязвимости в fortinet, cisco как, достаточно проверенные и защищенные, чтобы вы про них не вспоминали?
Я в принципе знаю что платформа Windows изначально уязвима и всё программное обеспечение под этой системой тоже сплошная уязвимость. Безопасность достигается главным образом защитой от доступа к серверам, что не защищает от доступа через дырки в самих приложениях, которые как правило выполняются на высочайшем уровне доступа в системе (поправьте если я не прав) таких как упомянутый SharePoint и других.
Что до open source то там вообще может быть все что угодно.
Оборудование и ПО, что opensouce, что от супер-пупер наших вендоров (по сути перекрашенный opensource) просто так "по дефолту" ничего не защищает. Тут больше решает квалификация сотрудников, политика руководства нанимать таких сотрудников и давать им карты в руки.
Звучит как приговор. Но есть системы где по умолчанию все закрыто и надо открывать по мере надобности. И главное есть такая возмость.
А вот на х86 что в Виндах что в Линуксах это как правило выливается в требовании каждого приложения, хоть от Микрософт, хоть оренсоурса, иметь доступ на уровне админ. А потому что не Виндовз ни Линукс не предлагают гибкие механизмы контроля доступа. Или они очень громоздкие и не практичные. В итоге, на практике, все упрощается до состояния уязвимости.
the hackers also implied that they had obtained the personal password of Aeroflot’s CEO, claiming it had not been changed since 2022.
Успешное проникновение во многом стало возможно благодаря тому, что некоторые сотрудники компании пренебрегают элементарной безопасностью паролей. Так гендиректор Аэрофлота Сергей Александровский не менял пароль аж с 2022 г.
В 21 веке иметь аутентификацию на основе паролей это отстой высшей пробы.
Кстаи даже получение паролей высшего руководства и вообще любых не ИТ-шных сотрудников не может (не должно) открывать доступ непосредственно к БД с тем чтобы ее можно было скачать и затереть. Это возможно только имея доступ на уровне администратора. Что они смогли получить доступ на уровне администратора? Или их CEO имеет привелегию админ? И эти функции (администрирование) тоже защищено только паролями? Это нонсенс.
Если Аэрофлот будет хранить молчание по поводу что привело к такому печальному исходу, то они никогда не добьются необходимого качества защиты их ИТ. Потому что возможно хакеры врут, преувеличивывают глубину проникновения в аэрофлотовскую ИТ.
Такие вещи должны публично инвестигироваться и раскрываться также как аварии с самолетами. Это не значит что должны публиковаться пароли или приватные сертификаты, но общая схема ИТ безопасности может быть показана. В ИТ нет секретов в схемах безопасности, они все известны. Только одно объяснение я предположу это то что стыдно показывать что безопасности то не было на самом дел. Тогда да, остается только молчать.
Посмотрим.
Имея логин/пароль гендира, могли завести тикет на поднятие прав для этого аккаунта, или для специально созданного нового юзера.
Не может быть. Гендиректор точно не занимается изданием тикетов на права в ИТ. А если занимается то это дырка в системе безопасности. Чем выше по иерархии сотрудник тем меньше у него/неё должно быть прав в ИТ. Это закон ИБ. Админ права должно быть у штучных аккаунтов и доступ к ним должен быть защищен больше чем паролем. Есть много способов для этого. И использоваться эти аккаунты могут только либо за файрволом, либо через VPN. Тикакие хакеры (даже военнизированные) не смогут взломать нормально сконфигурированный VPN.
Рассказывали мне давно в Минтрансе Белорусии у министра стоял терминал ЕС 7927 с клавиатурой закрытой пластиной с несколькими отверстиями под палец на тех клавишах, котороые только и были нужны министру. 5-6 клавиш. Ну может 10.
Тикеты на поднятие прав или для новых юзеров не исполняются немедленно, а проходят необходимые стадии согласования.
Кроме того, логин/пароль, даже если они известны, не могут быть использованы с любого компьютера. Для это как минимум нужен компьютер самого гендира, где должен быть секьюрити сертификат подписанный СА сектификатом аэрофлотовского (в данном случае) сайта.
У хакеров был комп (лаптоп) гендира? Или они получили сертификат подписанный службой безопасности Аэрофлота? Тогда это уже совсем другая история далекая от ИТ, и ИБ. И ей заниматься были должны совсем другие чем ИТ-шники люди.
У хакеров по скрину был доступ в AD - там пароль/права кому угодно можно было поменять.
В одном комментарии вы говорите, что авторизация по паролям устарела, а тут про какие-то СА сертификаты пишете - у вас раздвоение или случайно из первого аккаунта не вышли?
У хакеров по скрину был доступ в AD - там пароль/права кому угодно можно было поменять.
Да доступ к AD это конечно жесть еще та. Только вот не известно доподлинно с какого AD взят этот скрин, а если и с Аэрофлотовского то не известно кем и почему. Может это инсайдер из ИБ Аэрофлота сделал этот скрин и отослал хакерам.
Так или иначе доступ к AD обычно и нормально иметь только внутри периметра ИТ. Из публика доступа к AD быть не должно. Более того доступ к AD защищается не только паролем. И круг тех кто имеет доступ к AD весь узок, гендир в него точно не входит. Это если говорить про нормальную ИБ.
Я вообще сейчас думаю что если что-то криминальное и случилось то сделано это аэрофлотовским админом купленным может даже не хакерами. А хакерам просто дали возможность пропиариться и отвести подозрения от истинного(-ных) исполнительтелей.
В одном комментарии вы говорите, что авторизация по паролям устарела, а тут про какие-то СА сертификаты пишете - у вас раздвоение или случайно из первого аккаунта не вышли?
Ну если вы говорите "какие-то СА Сертификаты" то боюсь мне не удастся объяснить вам почему, на самом деле идентификация не авторизация, по паролям устарела и как секьюрити сертификаты могут их заменять. Конечно не для всех пользователей, но таких как гендир и других высоких сотрудников, включая ключевых ИТ-шников.
Вы серьёзно не знаете, что у любой УЗ в AD есть права на чтение большинства OU "по умолчанию"? Вообще при всем этом требуемом имортозамещении слушать про AD смешно.
OU как я понимаю часть учетной информации. И что в доступе к этому может быть криминального?
Какое импортозамещения может быть если всё в ИТ России десятилетиями строилось на западных (США) технологиях? Даже в СССР использовались технологии прошедшие проверку и обработку в НИИ, в этих НИИ работали люди досконально знавшие и понивавшие что заимствуется.
Сейчас каждый СберБанк сам себе на уме.
В OU обычно хранятся ПДн сотрудников (чтобы брать оттуда информацию в разные системы), что является основой для атак социальной инженерии.
Видимо кто прининял нормативные акты об импортозамещении не знают о том, какая ситуация была в ИТ в СССР и постсоветском пространстве.
Скорее всего Сбер и подобные крупные организации только себе и могут позволить импортозамещение.
И кто это исполнит? Это как генерал попросит ключи от танка.
Я готов поспорить, что у Безоса нет физической возможности создать заявку на повышение привилегий в ядре инфраструктуры AWS. Его учетка просто тупо не состоит в необходимой для этого группе безопасности. И NOC не может повыситься до привилегий, позволяющих тушить произвольную машину: сценарии у этих учеток не пересекаются.
Почитайте в методиках, что такое "закрепление". Получить УЗ гендира - это возможность применить соц. инженерию, стремящаяся к 100%. Но в любом случае нам все равно правду из расследования рассказывать не будут, если попались определенные лица.
Они год в корп. сети находились, достаточно было получить доступ к БД в режиме чтения, найти хеш пароля админов и тупо брутфорсом перебрать. Если пароль слабый вполне за пару месяцев бы добыли.
"Остальные 206 рейсов из запланированных на сегодня 260-ти планируются к выполнению."
Новость опубликовали в 16.52. Это 206 рейсов за за 7 часов с копейками. При частично не рабочей структуре. Это (7*60+8)/206 = каждые 2 минуты по рейсу. Ну в обычных условиях может так и можно, но когда часть систем не работает. Хотя учитывая что ранее по 3100 рейсов в сутки было, то вполне реально даже в ручном режиме
В РФ с использованием социальной инженерии выманивают миллиарды рублей. Почему все вдруг решили, что данные "хакеры" использовали что-то другое, чтобы попасть во внутреннюю сеть. Собственно в 9 из 10 случаев проблема не в железе или в ПО, проблема в людях. Или кто-то устраивается на работу в структуру и делает это со злым умыслом, или кто-то не понимает, что хранить пароли на рабочем столе такая себе идея.
Алло, Марь Иванна, это Парамон начальник ваших компутеров, ваш компутер заражен, срочно скажите ваш анидеск - уверен в 50% компаних это прокатит. Если еще и заморочиться с голосом и прочими вводными - в 99%.
При чем тут X86, AD, Windows и прочее не понятно. Если у чуваков был год - тут можно было совершенно не спешно изучить любую архитектуру, структуру компании - в общем вполне себе освоиться, не хуже чем на новом месте работы!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Аэрофлот»: авиакомпания осуществляет операционную деятельность, несмотря на произошедший сбой в IT-инфраструктуре