Про истерику вокруг вируса, если эта поделка, сделанная из позавчерашних опубликованных анбшных эксплоитов вызвала такую реакцию... то что же будет приключись настоящая кибератака. Впрочем похоже шумиху вместе с журналюгами раздувает новый вид мошенников - продавцы антивирусов, консультанты по информационной безопасности и прочий около компьютерный сброд. Не исключаю и тупо маркетинговую провокацию... Тем более провернуть ее было очень легко - состояние ИТ в гос компаниях отвратительное. Есть огромная масса организационных и технических решений, которые исключают подобные ситуации, но у них есть огромный жирный минус тормозящий процесс построения надежного российского цифрового чучхе. То что они слишком дешевые и слишком эффективные.
Помнится как то уже прикалывался над энергокомпаниями закупившими у америкосов же на миллиарды антивирусов...
Дешевле было охранника приставить к каждому сотруднику.
Что то поменялось за три года с той заметки? Нет. Поэтому скептически отношусь и к смартгриду, интернету вещей и прочему цифровому барахлу в энергетике, там где толк от него только айти прадаванам, ну и нашим стратегическим "партнерам".
Например осталась практически незамеченной новость о том, как в ПО столь любимого интерравой General Electrics были найдены дыры, позволяющие погасить генерацию по всему миру:
https://www.theregister.co.uk/2017/04/27/ge_rushing_patches_to_grid_syst...
Updated General Electric is pushing patches for protection relay bugs that, if exploited, could open up transmission systems to a grid-scale attack.
The company hasn't published much by way of detail, but spoke to Reuters after this Black Hat abstract was published (the talk will be delivered to the July conference in Les Vegas).
The three New York University researchers say they cracked the homebrew encryption in the ancient GE Multilin systems. The abstract is light on detail, but it appears the researchers found a hardcoded password: “we completely broke the home brew encryption algorithm used by these protection and management devices to authenticate users and allow privileged operations. Knowledge of the passcode enables an attacker to completely pwn the device and disconnect sectors of the power grid at will, locking operators out to prolong the attack”.
GE told Reuters the bug is in units dating from the 1990s (a time when, The Register notes, “homebrew” encryption was the norm, rather than known bad practice).
Намекал про это г. за год до того как ЧАСТИЧНО опубличили тему в заметке Если Американское правительство скажет General Electric отключить наши газовые турбины, то они их отключат - ну и чего?
Ничего. С мобильными ОС тоже самое - позорище с sailfish'ом (https://romansmirnov.org/?mode=blog_view&id=526) из этой же серии.
На подходе построенный по ломаемым и даже похоже уже взломанным алгоритмам блокчейн биткоин и прочее..
В общем граждане - будьте бдительны, ну а власти из этой истории надеюсь сделают ПРАВИЛЬНЫЕ выводы, сводящиеся не только к увеличению "бюджетов".
Обновление:
Этот великий и ужасный вирус собрал всего 10 тысяч долларов ( можно в режиме реального времени наблюдать за биткоин кошельками ) :
на 2017.05.13 21:31MSK
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn - 3,45
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw - 6,8
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - 4,8
Комментарии
Ну та это сектантское, линух тут ни при чём.
Ещё как причём! Это их половая ориентация..
интересный вы кадр? обидили вас чем-то или просто что-то фрейдисткое, не шмогли?
программы не боги пишут.
Секта линуксо-дрочеров с вами не согласится..
гм... аргументированно, пожалуйста, а то и тот же андроид это линукс, в некотором роде.
видать в чем-то Вас обидили или Вы не смогли в чем-то разобраться.
Да ладно, железо само не починится от Линукс :)
А зачем ему ломаться? Сейчас даже девки не ломаются.
Пакет Яровой это наша защита. Вы или не понимаете или просто враг. Гнать на пакет это все равно что жаловаться, что у нас границы закрыты и все желающие без виз не могут к нам ездить когда захотят, прям безобразие и гайки, тоталитарный режим.
Похоже на троллинг.
Объясните мне кто-нибудь механизм проникновения этого вируса в систему. Судя по тому, что я понял, нужно, чтобы незащищённый и непропатченый компьютер с виндой торчал напрямую в интернет и имел внешний IP. Только после этого вирус может проникнуть во внутреннюю сеть. Или он как-то через брендмауер и нат пролезает?
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomwar...
Attack vector
A ransomware threat does not normally spread so rapidly. Threats like WannaCrypt typically leverage social engineering or emails as primary attack vector, relying on users downloading and executing a malicious payload. However, in this unique case, the ransomware perpetrators incorporated publicly-available exploit code for the patched SMB EternalBlue vulnerability, CVE-2017-0145, which can be triggered by sending a specially crafted packet to a targeted SMBv1 server, was fixed in security bulletin MS17-010, released on March 14, 2017.
WannaCrypt’s spreading mechanism is borrowed from well-known public SMB exploits, which armed this regular ransomware with worm-like functionalities, creating an entry vector in machines still unpatched even after the fix had become available.
The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.
We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
Ну, т.е. этот вирус нужно по-любому сначала как-то в сеть запустить, и только потом он начинает распространяться через уязвимость. Через брендмауэр он сам никак не проходит.
Не. Вирус сканирует IPшники на наличие открытого 445 порта. Если порт открыт вирус отправляет некую последовательность пакетов, вызывает переполнение буфера (?) и получает возможность исполнить на удаленном компьютере любой (!) код ))) Например скачать сам вирус, запустить его от имени админа и начать шифровать файло )))
Фактически, чтобы стать жертвой достаточно поставить венду и подключить комп к интернету. (т.е. 95% юзеров на планете)
445 порт и служба на нем висящая включены по умолчанию.
Это раньше нужно было скачать письмо, кликнуть, иметь не обновленный антивирь. Сейчас достаточно просто включить компустер)))
Вчера ребята выкладывали видео, как свежепоставленная венда заражается через 2 минуты (!) после подключения к инету.
Небольшим спасением есть если ваш комп подключен после маршрутизатора (например кабель провайдера подключен к точке доступа, а комп к ней по ви-фи или кабельком, т.к. обычно проброс портов из локальной сети на роутере выключен (а если вы подключены через роутер, то у вас как бы уже мини локальная сеть, пусть и из 2 узлов, роутера и ноутбука ))) т.е. на компе порт слушается, но наружу жопка не высунута, т.к. на роутере это не настроено.
А вообще:
Сомневаюсь, что у 95% пользователей компьютер подключен к интернету напрямую, минуя роутер. Это как раз, скорее, исключение. В любом случае, такое исключено в корпоративной среде. Как вирус попал в сеть того же МВД и СК?
Через секретаря, которая получая кучу спама, открыла вложение в письме - вот и понеслась. Это обычный шифровальщик. Таких уже было вагон и маленькая тележка.
патч вышел 14-го марта. Так что "непропатченный" в данном случае равно "почти любой". После пробоя по почте начинается горизонтальное заражение по SMB - внутри локалки
Вирус появился в Феврале. У злоумышленников 3 недели было по любому.
Есть те у кого 445 торчит наружу для удаленного доступа или еще чего. Им не повезло сразу, даже почту качать не надо )))
Вообщем то да.
Как это работает можно почитать здесь:
https://habrahabr.ru/company/pentestit/blog/327490/
вирусов там нет :)
Ну и кроме того как варианты:
1) Открытый юзером зараженный документ, приложенный к почте,
2) Посещение юзером зараженного веб-сайта.
модемы с ведройдами и ойфонами запретили?
мы, у нас в концерне, запретили, еще более 3-х лет назад, и регулярные проверки и ректальные работы над руководителями подразделений вполне смогли выправить ситуацию в большей части негламурных, технических (корпоратив, экономико-правовые направления и снабженцы это немного другие существа) подразделений.
А всё потому, что видите ли статистика идет - куда лезет какой-либо идиот в рабочее время. и онЕ видите-ли стесняется, да и на компах в сети доступа в сети общего доступа (сиречь интернет) - на линухах. форумы, в большей части дела фигня, а вот онлайн-игры, видео и прочие трехбуквенные направления...
Вчера, в пятницу, не работали серверы (или не серверы) ИФНС.
При обращении за ничтожно мелкой информацией ответ получен не был с формулировкой инспектора "не работает система по всей России".
При личном запросе на сайте ФНС невозможно было получить ИНН физлица, в частности.
Причем, система просто "висела", тогда как в нормальном варианте висит плакатик о проведении регламентных работ.
Хозяевам Билла Гейтса не нравятся не обновляемые компы. Видимо оттуда и ноги у вируса выросли.
Разные гипотезы бродят. Одна из них, что подняв панику, решили отрубить американскому кровавому ЦРУ удобную лазейку повсюду. Но ведь и другие дыры есть.
+100 вам в карму
К госдолгу штатовскому подбираются.... Раз и нетути долга.Хакеры,панимашь.но вы держитесь...
Роман, а что вы хотели от бизнесменов-продаванов? Программное решение дело десятое, главное втюхать красивую картинку юзеру
кстати, данный вирус был случайно остановлен. История (англ)
да, но то, что они зарегистрировали домен и логика вируса перестала работать, не означает, что авторы вируса не смогут поправит эту логику в коде и пустить его заново по кругу
Несомненно. Однако стимул поставить патчи уже пришёл. Вторая реинкрнация не будет столь ядовитой. Дело в том, что шум есть, народ запуган. Факт того, что заражение остановлено, известен не всем. Потому народ будет патчиться и патчиться - по инерции.
с другой стороны, в том "тулките от АНБ"и другие варианты, вроде, были
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Китай. Автозаправка.
банер на китайском кстати
у немцев был на английском
локализация уже однако
Так и есть. Вирус то был заточен под пользователей из разных стран, с переводом сообщений на разных языках.
Она, что тоже письмо по почте получила (;-) ?
Почта здесь вообще не участвует
Вирус сканирует специальный открытый порт на компах с дырявой виндой.
Бензин зашифрован!
А через него заразится, бензобак, бензонасос и зашифруется двигатель. =)
Это репетиция такая... Даже Рено заводы останавливал от этого червя...
Осенью что-нибудь новое запустят.
Провокация Майкрософт для лиц отказавшихся от тех поддержки и обновления до новой версии. Стрижка баранов продолжается
Категорически согласен со всем вышесказанным. Так и есть.
А Интеграторы и всякого рода Продаваны не упустят возможность воспользоваться этой ситуацией.
Вы ид*от. Заработки этой темы - миллионы баксов в день.
Это не "поделка" (как вы ее презрительно называете, потому что мозгов нет и вы понятия не имеете о ее возможностях), а крайне серьезная вещь, и далее мы еще массу вещей услышим о последствиях выбросах анбшных сплойтов.
Какие продаваны? По моему ясно как белый день что это ЦРУ делает. Сначала слили коды в интернет - помните месяц назад что-ли? Мол хакеры взломали АНБэшные коды. Это типа "алиби". А теперь проверка на прочность. А про кошелек биткоинов тоже смешно....
Вот они эти откаты за шантаж. Конечно в энергокомпаниях идиоты, ага щаз. Эти компании с антивирусами смогли убедить что вирусы у них действенные, вот и всё. А кошелек это так, ширмочка для нас простачков.
Вот тут только интересно с ведома Трампа это делается или нет? Там "башен" тоже хватает и ЦРУ на ножах с Трампом....
Exploit-ы обычно маленькие, иногда достаточно дезассемблировать или декомпилировать, и не надо ни сорсов, ни труда 100500 программистов, чтобы разобраться что к чему.
Сделать это в состоянии не так уж много людей в отрасли.
Да, вы правы. Только если эксп уже готов. Если нет - то разобраться несколько сложнее будет...
Ну что вы за бред несете? :)
АНБ не будет заморачиваться такой херней. Они миллиарды на организацию уязвимостей не для того потратили, чтобы потом их так бездарно спустить.
И стоимость биткоина резко упала.
Пишу везде, где всплывает эта тема, и тут напишу свое решение:
Ставится линукс, под него винда под qemu-kvm с пробросом железа (падение производительности - 2% по сравнению с работой на голом железе). Винда ставится на LVM раздел и после изначальной настройки/обновления - скидывается образ.
И после этого винда - расходный материал. Чуть что началась в ней какая-то херня - немедленный редеплой системного раздела (2 минуты, если размер системного раздела 30ГБ и винт - M.2 SSD). Все текущие большие данные (типа установленых игр, скаченых фильмо и прочей херни) - на другом (не системном) разделе, который при редеплое остается. Все ценные документы - на отдельном сервере (в моем случае - в личном облаке на опенстеке). В винду (на несистемный раздел) они синхронизируются через ownCloud (создается профиль для ownCloud с минимумом прав). Любые изменения в них - точно так же синхронизируются назад в облако. В случае удаления или шифрования - в овнклауде есть история изменений)
И, разумеется, даже в этом случае все действия с кредитными карами и прочие ценные пароли - только под линксом. Благо в этом случае даже перезагружаться не надо.
Решение оптимальное - если что-то в винде и зафакапится, то кроме нее самой ничего переставлять не надо будет, а ее переустановка, как я уже сказал - 2 минуты.
Тема это новая, но должны вскоре появиться дистрибутивы, где все это автоматизировано (говорят, что Qubes OS позволяет такое из коробки, но он очень малопопулярный + там вместо kvm стоит xen, а потому он идет нахер, хотя обещают и с kvm сделать со временем)
Ссу хакерам в рот - удачи вам, ребята, повысить привелегии из под квм (да и в этом случае облако придется ломать отдельно). Фактически, это то, как сейчас работает энтерпрайз. Все хостинги, все облака - все работают через виртуализацию. Развитие безопасности в линуксе по сути идет по пути закрытия дырок в этой схеме (селинукс, апармор, и тд).
Кто хочет себе такое - могу скинуть ссылки на гайды, хотя в целом ключевые слова - QEMU-KVM и GPU Passthrough.
Хорошо бы здесь оставить всё, чтобы в личку не бегать. Спасибо, идея интересная.
Только не уверен, что для ресурсоёмких задач падение производительности будет всего 2%...
Я подчеркиваю, что это все - не какой-то хакерский трюк, который выполняют пара человек, а основа современных бизнесов. Любой бизнес, заточеный под обслуживание множества клиентов с предоставлением им возможности запускать свой код, или просто с выделением для них процессорного времени, которым можно злоупотребить (повесить сервер запросом, например), сталкивается с задачей разграничения ресурсов между пользователями и предотвращения ими выхода из своей среды. Это делается либо контейнерами, либо виртуалками. Для винды подходит только второе.
Соответственно, борьба за эффективность ведется давно, всеми производителями, и уже давно в том числе на уровне железа (технологиями типа VT-d). Эти два процента - это реальная цифра оверхеда по тестам для квм, а не моя оценка "на глаз".
Из своего опыта - я ставил на винду Фолаут 4 и гонял его на максимальных настройках под квм. Там были некоторые устранимые баги (вешалось без проброски клавы и мыши), но с производительностью в самой игре все было отлично. Впрочем, в конкретно моем случае производительность была еще немного меньше по причине того, что вместо проброски дика напрямую в виртуалку я пробрасывал туда лвм том. Это гораздо удобнее по ряду причин (например, снапшоты тома, которые можно бекапить в бекграунде, не прекращая работы с диском) и фактически является стандартом в индустрии. Это должно еще давать падение в 5-10% на дисковые операции. Если вы упоротый гентушник, и хотите выжать производительсности по максимуму - пробрасывайте диск и этого не будет.
Если вы когда-то запускали винду под опенбоксом, и думаете, что это что-то подобное, только немножко оптимизированное, то нет - это радикально быстрее.
А из гайдов - вот основной:
https://wiki.archlinux.org/index.php/PCI_passthrough_via_OVMF
От него и надо плясать, воюя с проблемами для своего железа.
Обращаю отдельное внимание, что если вы собираетесь покупать компьютер для проброса, то нужно обязательно смотреть, чтобы материнки и процессор работали с VT-d. Это все таки не серверный сегмент, и использование всего этого в новинку. Многие производители материнок заявляют поддержку, но по факту ее нет. Надо смотреть на список оттестированных материнок.
Страницы