Никогда не писала на Афтершоке о своем профессиональном опыте, хотя иногда комментировала статьи коллег. Но то, что произошло в моей жизни три с небольшим недели назад, стало поводом для написания этой статьи. Постараюсь максимально не использовать компьютерные термины и слэнги, чтобы текст был понятен читателям без специального образования.
Я не буду агитировать за использование российского программного обеспечения: слава Богу это сейчас государственная политика. Но вместе с тем в государственных и корпоративных автоматизированных системах сейчас все еще используется Windows. И это понятно - переход на российские решения требует и времени и денег.
В моей компании мы уже семь лет ведем разработки только на Линуксе (сейчас Астра Линуксе). Но остались унаследованные системы на Windows, которые еще используются у клиентов. По этой причине мы их поддерживаем. Работу ведем на собственных серверах, которые по старинке управляются Windows. На них развернута сеть виртуальных серверов под российской Астра Линукс. Также есть несколько унаследованных виртуальных серверов на Windows - они нужны для поддержки эксплуатируемых у клиентов систем. Все это защищено ключами Минцифры, антивирусами и компонентами информационной безопасности.
Так вот, в печальный понедельник 20 ноября у нас произошел компьютерный сбой, с которым я ранее в своей практике не встречалась. Вредоносная программа захватила управление системой компании, назначив себе высшие административные права. Мы спохватились вовремя - выдернули провода и отключили все рабочие станции, а также Интернет. Эти кардинальные меры позволили нам не навредить через Интернет другим, прежде всего нашим клиентам, и обезопасить рабочие станции, на которых (по старинке) ведется разработка.
Итак, в захваченной вредоносной программой компьютерной сети осталось 6 серверов и компьютер системного администратора. Не буду подробно рассказывать о том, как мы справились с ситуацией, потому что не для этого пишу статью. Скажу только, что в основном сейчас все восстановлено и продолжается штатная работа.
Но хочу рассказать о самой вредоносной программе - она начала стирать все, до чего могла дотянуться. Виртуальные сервера Windows были уничтожены полностью вместе с серверами гарантированных копий данных. А вот с российским Астра Линуксом этот "монстр" не справился: вредоносная программа смогла захватить управление только дисками серверов, на которых размещались российские виртуальные сервера. Я наблюдала за действиями этого монстра - это достаточно интеллектуальная вредоносная программа. Она собрала данные о системе и запланировала свои действия так, чтобы причинить максимальный вред. Из этого я делаю вывод о том, что этот монстр занимает значительный размер памяти.
И еще. Время от времени этот монстр посылал нам послания на английском языке с матом (английским) с проклятиями к россиянам и нашему Президенту. Такие некрасивые и гадкие тексты.
Но меня мучает один вопрос: как она к нам проникла через все компоненты информационной безопасности? Я не верю в человеческий фактор. Объем программы большой, а значит и не через почту. И остается только одно - это вредоносная ЗАКЛАДКА самой Windows, которая была активирована по команде из вне.
От коллег знаю о том, что за прошедший месяц подобные сбой произошли в некоторых государственных и корпоративных системах.
После этого ужаса мы работаем над переходом на систему управления, включая виртуальные сервера, под Линуксом. Именно в этой части опыта в России немного, но мы будем очень стараться и перейдем в ближайший квартал или два.
Microsoft ушел из России, но вероятно каждый сталкивался с тем, что даже на домашнем компьютере Windows периодически и очень настойчиво предлагает установить обновления через Интернет. Могу вам только сказать - ОСТЕРЕГАЙТЕСЬ обновлений.
И для себя решила - пробовать с Нового года и свои рабочие станции переводить на Линукс. Даже если первое время это и будет неудобно и напряжно.
Комментарии
А кто-то из ваших работников не мог воткнуть флэшку или ХДД?
Я уже писала, что исключаю человеческий фактор. И в этом случае эта "гадость" оказалась бы на одной из рабочих станций - а ее там нет.
Предположение - мать всех проколов.
Я бы все же исследовал этот фактор одним из первых. Мало ли, на кого и какие рычаги давления смогли найти, чем шантажировать или мотивировать. Посмотрите, сколько терактов на железных дорогах. IT инфраструктура ничем не отличается.
Именно так. Работа для первого отдела.
Запрет флешек на программном уровне - проще простого. Везде есть
В нормальных местах гнезда ещё и заклеивают одноразовыми пломбами-наклейками.
СЗЗ?!
Мы вот такие используем
Очень неплохие результаты несмотря на простоту устройства.
Правда ценник - ого!
был..
сначала "оттуда" все свои компы с таким поставляли - мне понравилось и я на остальные заказал.. много..
но всё равно не хватило - и буквально месяц назад связываюсь с теми-же поставщиками у которых брал - есть на складе но в Россию не поставляем.. пичалька , придется детскому садику казахскому иль турецкому заказывать..
Пояс
верностибезопасности, получается.и как это поможет?
Программный запрет вызовет программный обход запрета.
Запрет должен обеспечиваться отечественным продуктом. Тогда есть не плохой шанс, что все будет нормально.
Там в защищенных версиях Астра Линукса обновление идет с электронными подписями обеих сторон и проверкой контрольных сумм.
Проводок — кусь.
И всё.
какой проводок, если разъём непосредственно на материнке впаян?
Практика показывает, что оно совсем не так тривиально, как представляется некоторым (по мотивам личного опыта *выборочной* верификации базы ада с добытыми в процессе… нюансами).
А что флегки единственный способ занести малвэр? Ха ха ха
нет конечно. способов масса.
но линукс тоже можно положить. через BVP, например, доступ поулчить, а там дальше хоть пач Бармина применяй ;-).
Разделяю Ваше мнение. Особенно в свете того, что у "небратьев" IT сфера по-моему развита несколько лучше. Там программирование и связанное с этим - едва не единственный доступный вариант, чтобы "выбиться в люди", и этим занимаются очень многие. В том числе работая удалённо на крупные IT-компании. Поэтому вариант, что кто-то из сотрудников, имеющих доступ к системе, принёс вирус на условной флешке, стоит отрабатывать в первую очередь. А какие у него были мотивы - шантаж извне или корысть, второстепенно.
Винда давно уже исследована и переисследована нашими спецами (в том числе из НПО Криста), закладок и портов для утечек в ней пруд пруди как явных, так и скрытых. При чём, чем новее версия винды, тем их (закладок) больше. То есть в 7й винде, насколько я помню около 12 дырок, то в 10й винде уже около 30ти дыр через которые можно сливать инфу о пользователе и его местоположении (не по геолокации конечно, я про местоположение в сети). Собственно почему и пытаются запилить свою операционку, хоть и на базе Линукса, хоть он тоже не без дырочек.
Мы провели необходимые исследования - сработала закладка операционной системы, установленная на компьютер штатными средствами вместе с ОС.
Из утянутого с торента образа винды ?
И где вы Елена Гордеева
изложили результаты ваших исследований, с подробным описанием закладки?
Ведь это очень важно.
Если закладка действительно существует, то под угрозой все российские компьютеры с Windows.
Мы исследовали конкретную ситуацию - это не научная аналитика. И да, по моему мнению, под угрозой все компьютеры с Windows в России.
И что вы сделали с результатами исследований?
Передали ли специалистам Лабаратории Касперского или Dr Web?
Опубликовали в специализированных изданиях, чтобы все заинтересованные специалисты могли с ними ознакомиться и предотвратить деструктивную работу "закладки"?
Повторюсь, я не претендую на научную аналитику, тем более на оформление результатов и их передачу третьим лицам.
А вот это совершенно не понятно.
Вопрос то серьезный. Речь идет о безопасности использования операционной системы в масштабах страны. А вы не хотите поделиться результатами.
Очень странная. Можно даже сказать безответственная позиция с вашей стороны
Понимаю. Я написала эту статью с целью проиллюстрировать поведение Windows в критичной ситуации. И как смогла, так и поделилась личным опытом. А серьезные исследования в масштабах страны должны организовываться Минцифры.
Тон этого вашего комментария
в корне отличается от содержания публикации в целом.
В публикации вы делаете однозначный вывод - вредоносная ЗАКЛАДКА самой Windows
а в вашем нынешнем комментарии это превращается
Так что же было на самом деле: закладка или "поведение" ?
Я в конце заголовка поставила знак вопроса. Это говорит о том, что я допускаю в поднятой теме неопределенность.
Но мое оценочное мнение - да, в операционной системе Windows есть закладки.
Это один из приемов изложения(и вам Елена Гордеева , как писательнице(вы сами себя так охарактеризовали) он должен быть хорошо известен): в заголовке ставится проблема, а в тексте она раскрывается с обоснованием
вы так и поступили:
в заголовке спросили
а в тексте однозначно ответили
а в комментарии еще раз подтвердили
только вот снова маленькая нестыковочка
теперь вы говорите: мое оценочное мнение
А в предыдущем комментарии было мнение другое, причем мнение коллектива. И однозначное - закладка
Так что же на самом деле произошло в компании, от имени которой вы написали публикацию
Нет, я поставила вопрос и в общем смысле его не снимаю. Мое оценочное мнение - это далеко не истина в последней инстанции.
Но я действительно за последние 2 года написала два романа - как теперь понимаю: они достаточно объемные. Сейчас пишу третий.
Вы бы поосторожнее высказывались.
Ведь вас найти не сложно. И вчинить иск тоже легко. А иск может быть значительным
Оценочное мнение не является основанием для иска в России.
Э, правовая безграмотность
и вообще читайте https://ya.ru/search/?text=%D1%8E%D1%80%D0%B8%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F+%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%8C+%D0%B7%D0%B0+%D0%BE%D1%86%D0%B5%D0%BD%D0%BE%D1%87%D0%BD%D0%BE%D0%B5+%D0%BC%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5&lr=20728&search_source=yaru_desktop_common&search_domain=yaru
Возможно, я поговорю со своим юристом. У меня нет юридического образования.
Мы фактически в условиях войны. Профилактика кибербезопасности - это сфера интересов безопасности общества и государства, игнорирование которых уже пару лет как по закону является уголовно наказуемым. Вы справились с вторжением вражеского малвара - честь вам и хвала. Но оставлять весь остальной российский АйТи рынок с голой... дыркой, из-за какой-то непонятно ложной скромности - может вам дорого обойтись в плане встречи с этим самым законодательством и деятельностью исполняющих его компетентных органов.
Я понимаю если вы уже с ними столнкулись, дали подписку, но молчать не можете и поэтому делитесь тем, что в рамки этой подписки не входит. Ну так сразу и скажите. А то вот это "не претендую" при том что вы "в бизнесе 30 лет" - выглядит странно.
Да, мы сейчас уже окончательно справились. Я с понедельника лично перехожу на Астра Линукс Орел - если чего-то хочешь достичь в компании: начинай с себя.
Я по функциональной позиции менеджер и аналитик, поэтому то, что я могла описать, то есть то, чему сама была свидетелем, я здесь подробно описала. Постаралась резюмировать в комментарии к статье, который написала спустя 3 дня после опубликования статьи.
Пожалуйста, перечитайте комментарий.
А по аналитике скажу следующее. Вывод о закладках я сделала на основе собственного эмпирического опыта. И написала, что это мое оценочное мнение (в том числе на основе интуиции). Для аналитики нужен опыт с несколькими событиями, но у меня (слава Богу) его нет.
Винда, конечно, дырявая и человеческий факт вы зря полностью исключаете, но вот это
Как бы намекает, что ваша система изначально была подключена к Интернет и открыта для атак.
Уязвимости «нулевого дня» события редкие, но не единичные, а если вы где-то подзадержались с обновлением - тем более. На линуксе они тоже бывают, кстати, хоть и реже. Опять же, раз все началось с виртуалок - уязвимость вообще могла быть в гипервизоре например. В общем, теперь, надеюсь, отселите винду в отдельную подсеть, желательно изолированную от интернет и никогда не будете ходить туда под именем и паролем главного сетевого администратора, ну и всякие другие выводы сделаете. Так что отделались малой кровью, можно сказать. Но валить всё на заложенную уязвимость винды не строит - по описанию не похоже что вы настолько крупная дичь, чтобы ради вас палить серьезные закладки. Были бы вы Иранской ядерной программой - тогда да.
Винда дырява. Как и любой софт, не писанный лично вами. Процитирую самого Кена Томпсона, думаю многие знают, практически отца всех Юникс систем, в том числе и Линукс
Лично я бы коду, написанному мною не доверял.
В России сейчас планомерно отказываются от Windows и переходят на российскую операционную систему - Астра Линукс или эквивалент.
Я с Вами согласна, что под раздачу конкретно мы (небольшая компания 25 человек) попали случайно.
ФИНЦЕРТ, Лаборатория Касперского получили отчеты?
Работая в одном мегакрупном госбанке, мы тоже были наслышаны как нельзя тыкать свои флешки.
но вот я, простой монтажник Скс в тот момент, имел доступ в любой кабинет банка, единственное место где за нами как то наблюдали, да и то в первые полчаса, это депозитарий. Серверная, кабинет начальника службы безопасности, вру, все было у нас в полном доступе.
как то пропал хуавеевский модем бесшовного вай Фая, и это там, где сидит охрана банка, в подвале, не помню как зовётся, по моему киц.
пытались спереть на нас, но у них был завхоз, бывший нач службы безопасности, который тащил все. И ему намекнули, ну у вас ведь наверняка сеть пишет логи, можно узнать в какое время модем дернули с сети, свяжитесь с Москвой, а далее дело техники, посмотреть кто входил в помещении.
после этого претензии пропали, и модем по моему нашёлся.
я это к тому, исключать ничего нельзя, правильно Алекс ты говоришь, имеет место воздействие с самой компании.
Я подумала над Вашими словами. Мне кажется, что отличается - как правило в современной ИТ-инфраструктуре в качестве основного компонента выступает операционная система Windows. Она и является потенциальной угрозой. Астра Линукс и системы на ней в процессе этой ужасной атаки повреждены не были.
опыт подсказывает, что самая большая компьютерная уязвимость - это пользователь.
Я считаю, искать проникновение "этой гадости" нужно с этой стороны. По крайней мере - исключать эту версию несколько самонадеянно.
Во-во!
Опыт показывает, что умные SA тянут трофейные образы с торентов, ставят хитрые прошивки с 4pda, а потом удивляются злобным вирусам.
Вот у нас у каждого ноутбук. Мы берем их также в командировки. Наши сис админы недавно выяснили, винда 10 научилась обходить запрет на обновления. То есть если взял ноут с собой и где-то подклбчился к друшой сети (ну там почту прочитать или еще чего) то винда впаривает тебе обновления без твоего ведома и желания.
Вот второй комп у меня на работе постоянно (с собой не беру) на нем нет обновлений, сервер отсекает.
А в любом другом случае, как только комп подлючил к другой сети, винда тут же тебе обновление вгоняет.
Страницы