31 мая, 09:36

Рецензия на интервью про защиту бизнеса от кибератак

Не могу не обсудить прямой эфир, где представители двух ИТ-компаний рассуждают о том, как правильно реагировать на кибератаки. А поскольку к этой теме я имею самое плотное отношение, предлагаю немного подискутировать о сказанном.

Да, я понимаю, что это обычная реклама. Два директора ИТ-компаний решили поговорить о действительно актуальной в последнее время проблеме. Но в интервью, на мой взгляд, прозвучали несколько спорные мысли. Дальше буду приводить тайминг в видео, пересказ сказанного (не слово в слово, а в некоторой упрощённой форме без изменения смысла) и давать небольшой комментарий.

14:33 «Если вас взломали, надо обесточить компьютер, вынуть все жёсткие диски и уже смотреть на другом компьютере их».

Нет, нет и ещё раз нет! Такими действиями можно напрочь убить даже гипотетическую возможность расшифровки своих данных. Прежде всего, необходимо понять: процесс еще идет или уже закончился? Если идёт, то что за процесс? Чем шифруют? Вариантов атаки масса – от банального вредоноса, до работы реального человека посредством удалённого управления. Но в любом случае, любое ПО, которое шифрует диск, во время своей работы где-то хранит ключ шифрования. И нужно сделать все, чтобы этот ключ можно было попытаться достать. Поэтому в первую очередь нужно сделать дамп оперативной памяти. Иногда ключ для расшифровки удавалось найти там. Не всегда, но не сделав этого вы не оставите даже малейшего шанса на дальнейшее восстановление.

Поэтому перед тем, как все погасить, нужно понять, а что же происходит? Откуда и как развивается вектор атаки? И в зависимости от сценария атаки, действовать. Но дамп оперативной памяти должен быть сделан обязательно.

14:53 Если зашифровали, пробовать расшифровать. Есть дешифраторы от антивирусных компаний.

Помните классика?

«Смешались в кучу кони, люди,

И залпы тысячи орудий

Слились в протяжный вой…».

Для начала нужно определиться, а как и чем были зашифрованы файлы. От антивирусных компаний есть дешифраторы для старых версий вредоносного ПО. Но с чего вы решили, что атака реализована через так называемое «ransomeware» (вирус-вымогатель)? Если атака реализована через уязвимость RDP, то совсем не факт, что для шифрации будут использованы «вирусы». В подавляющем большинстве случаев злоумышленник поставит обычное ПО для шифрования и сделает все с его помощью. Если поумнее, то действовать будет немного тоньше. И никаких дешифраторов для этого случая нет. Поэтому понимание вектора атаки – это самое главное, что нужно сделать в первое время после обнаружения инцидента.

16:22 Шифраторы – это маленькие программы, которые антивирусы не принимают за вирусы.

Если говорить именно про вирусы, то они распространяются по следующему алгоритму: вы нажимаете ссылку и скачиваете небольшую программу, которая заточена под одну цель – закачать тело вируса. Тело вируса, если писал его не школьник-индус, будет обладать средствами противодействия обнаружению (обфускация кода, к примеру). Но несмотря на это, если вирус реализуется не посредством «zero day» уязвимости, антивирусы умеют и могут его определять. Другое дело, если шифрация производится злоумышленником вручную – тут на ваш ПК просто ставится легальное ПО и пакостят исключительно им. То есть опять мы приходим к тому, что важно понимать вектор атаки.

12:20 Клиенты заплатили 3000$, потому что база была доработана и не выгодно было ещё раз писать.

Или я некорректно понял, или это за гранью добра и зла. Как может разработчик удалить конфиги? Как может айтишник компании/аутсорсер незабэкапить конфиг базы?! Будем считать, что я просто некорректно понял.

19:15 Пользователь решает. Если он нажал «ДА», никакой антивирус не поможет.

Справедливо только в том случае, если в компании отсутствует администратор/аутсорсер. Если же он есть, то это его прямая обязанность – формирование безопасной и комфортной пользователям IT-экосистемы. Другой вопрос в том, а он вообще компетентен? В состоянии ли ваш ИТ-персонал обеспечить грамотное функционирование сети? Если нет, если при любом некорректном нажатии пользователем на кнопку «ДА» всё ломается и пропадает, пора расставаться со своим специалистом без жалости и сожаления. Заодно сэкономите на его зарплате – в компании будет расходов на чашку риса и кружку чая в день меньше.

19:30 Чисто заработок. Пишут программу для этого. Вкладывают туда ресурсы и получают обратно деньгами.

Про различные векторы атаки я уже не буду говорить. Рынок (а это именно рынок) киберпреступлений сейчас функционирует несколько иначе. Во-первых, там давно настало разделение труда. Пишут одни, продают другие, обслуживают третьи. Сейчас киберпреступления работают по принципу «MaaS» - Malware-as-a-Service. Да да, всё как в нормальном бизнесе: любой желающий может зайти в даркнет и прикупить себе доступ к ботнету, получить все инструкции и распространять вредоносы из личного кабинета. 21 век, как-никак. Времена писателей-распространителей давно прошли. Теперь это рынок с миллиардными оборотами.

Но насколько я понял, к обсуждаемой теме это не имеет никакого отношения. Большинство пострадавших вреди местного бизнеса страдают не от вирусных атак, их долбят через неграмотную настройку инфраструктуры живые люди, физически заходящие на сервер.

19:45 Не каждый вирус имеет backdoor, не всегда хакер может подключиться.

Выше я уже сказал, что рынок киберпреступлений стал технологичным. атака всегда многоуровневая. И любое распространённое вирусное ПО перед тем, как приступить к работе, связывается с сервером управления. Оттуда вирус получает ключ шифрования, оттуда приходят команды, оттуда потом придёт тот самый ключ расшифровки (если заплатите). Да, все это происходит в автоматическом режиме, но возможность попасть на ПК жертвы есть всегда. Если хотите проверить, просто загрузите вирус в sandbox («песочница») и проанализируйте поведение – очень увлекательное занятие, всем рекомендую!

20:41 Когда база данных с финансами, и, плюс, бэкапы все исчезли.

Смотрели мульт про волка, который «Щас спою!»? Вот если где-то происходит описанная ситуация, что «бэкапы исчезли», то вот вам инструкция, что сделать с системным администратором/аутсорсером:

Ситуации, когда бэкап уничтожен быть не может по определению бэкапа. И тут нечего обсуждать.

23:10 Это все проблемы малого бизнеса. Средний и крупный бизнес все делает заранее.

Да ну! В любом бизнесе работают примерно одинаковые люди. С одинаковой степенью жадности, с одинаковым уровнем образования и компетенций. И уровень зарплат тут вообще никак не влияет на результат. Поэтому и крупный бизнес выхватывает по самую макушку. Просто знает об этих случаях небольшое число людей. А прецедентов достаточно.

25:00 Сначала сами не знали, но постепенно, за годы, пришло.

Придёт, когда вы сами разберете несколько инцидентов. С восстановлением удалённых логов, с постройкой таймлайнов, с полным анализом инцидента. В следующем посте я подробно и с картинками распишу, как можно проводить экспресс-анализ атакованной системы. Нужно это для более глубокого понимания, что в дальнейшем предпринять, чтобы подобные ситуации не повторялись.

29:16 Можно пробовать дешифраторы, но там порядка 100 лет может уйти.

Речь про ПО по перебору паролей (брутфорсу). Дешифратор – это специализированный софт по расшифровке файлов, зашифрованных конкретным ПО. Расшифровка происходит быстро, потому что уже известен либо ключ, либо алгоритм формирования ключа. Пишутся они, как правило, следующим образом: интерпол или другая силовая структура вычисляет серверы управления вирусами и приходит в дата-центр со спецназом. Изъятые серверы передают вирусным аналитикам, они анализируют алгоритмы, по которым управляющие серверы формировали ключи, и на основе этой информации пишут дешифратор. То, о чем говорится в интервью, несколько другой софт. Кстати, если вы стали жертвой атаки какого-то массового вируса, не спешите удалять зашифрованные данные. Есть вероятность, что через какое-то время под ваш вирус появится дешифратор.

30:20 Бэкапы надо делать правильно.

Вот тут соглашусь. Бэкапы действительно надо делать правильно.

30:35 Воткнули жесткий диск, сделали бэкап, убрали в сейф. Через пару дней еще раз сделали, спрятали. Лучше каждый день.

« –Доктор, а как не подхватить сифилис со 100%-ной вероятностью?

– Значит записывайте: надеваете презерватив, потом загипсовываете всё, потом еще один презерватив, обматываете шарфом, еще презерватив, обмазываете всю конструкцию битумом и когда высохнет, сверху еще три презерватива. А, и самое главное забыл: никаких половых контактов!».

Нет, описанный метод имеет место быть, но уже давно придуманы более технологичные способы. А бэкапить КАЖДЫЙ ДЕНЬ базу и убирать диск в сейф – путь подхватить нервный тик на оба глаза.

Ну и если вас атакуют подкованные ребята, они проведут разведку перед тем, как начать пакостить. И все ваши бэкапы тоже будут попорчены во время их заливки на переносной жесткий диск.

34:00 Ставим сервер, который зеркалирует основной сервер.

Способ хорош для повышения стабильности работы, но не для защиты от атак. Если в локальную сеть предприятия попали и закрепились, мало что может спасти при несвоевременном обнаружении злоумышленника.

41:50 Взломали сервер видеонаблюдения.

Видеонаблюдение вообще интересная тема, заслуживающая отдельного внимания. Там все еще сложнее, чем с обычными сетями. Но если взломали, то:

ну, вы поняли.

44:30 Я бы рекомендовал использование VPN как в телефоне, так и на работе.

А вот я бы таких рекомендаций не давал без предметного изучения каждой конкретной инфраструктуры. VPN хороший инструмент, но его использование ни разу не панацея от всего. К тому же, как функционал VPN защитит смартфон?

52:10 Есть твой рабочий стол – занимайся работой. Не надо шнырять по Интернету.

А ещё лучше, выкинуть эти мерзкие «компы», поставить счёты и печатные машинки. Диды работали, и мы смогём повторить! Ну серьёзно, что это за совет от IT-специалиста? Задача «айтишника» так реализовать инфраструктуру, что там будет комфортно и безопасно всем: от него самого, до самого твердолобого пользователя. В этом и заключается работа. Пользователи, они же как дети: всегда норовят сделать какую-нибудь «гадость». При чём не со зла, а от непонимания. Именно поэтому в каждой инфраструктуре необходимо предусматривать «защиту от дурака» и жесткие ограничения на те действия, которые запрещены.

Резюмируя все вышесказанное: парни молодцы. Делают нужное дело. В своих вопросах, уверен, разбираются хорошо. Всё написанное мною выше прошу воспринимать исключительно как желание поделиться информацией.

Просмотров за день: 0
Просмотров всего: 80

метки: .


Поделиться:

Как правило в наличиях "дыр" в операционных системах и уязвимостях виноваты сами сотрудники,например те же доски trello с данными которые вдруг вылазят на публичный просмотр,при правильном запросе можно найти там много интересного и даже пароли от админок,или не посоленные хеши которые элементарно определяются по радужным таблицам.

Тут возникает вопрос,что мешает сисадмину или IT специалисту посолить эти самые хеши,усложнив задачу взломщику против инъекций MySQL? Использовать двухфакторную индентификацию,сквозное шифрование сообщений,шифрование диска по принципу PGP, установить автоматическое создание снимка всей системы и бэкапить ее на отдельный носитель или облако,разложить токены в системе для определения IP взломщика,элементарно провести инструкцию среди персонала о противодействии социальной инженерии?

Использовать линукс системы вместо дырявой windows. ( если только на фирме не используются специфические программы заточенные исключительно под Windows )

Только дурак или мамкин хакер будет проводить атаку из своего дома или симки приобретенной на свое имя,симки покупают левые без учета своих данных,оформленные на какого нибудь бомжа,после атаки выбрасывают, с ноута атакуют из общественного места с виртуальной машины,максимально шифруя свой адрес и систему,установив тот же parent OS и постоянно перемещаются

--
Человек не может стать по-настоящему свободным, пока существует в тупиковой парадигме «раб — хозяин»

От Незыгаря:

Интервью Туровский- Незыгарь (@russica2).

НЕЗЫГАРЬ: Русское хакерство -это скорее идеологическая (робингудовская) субкультура, субъкультура самоутверждения или это удачные парни, просто не дружащие с законом и с моралью общества?
Как всегда у русских - они народные герои или разбойники?
Для вас как автора русский хакер скорее положительный или отрицательный герой?


Даниил Туровский: Сложно обобщать (да и вообще лучше никогда так не делать).
Но если попытаться русских хакеров категоризировать, то, кажется, выходит четыре условных направления:

первые (еще с середины 1990-х) изучали уязвимости и взламывали (взламывают) какие-то вещи для фана и приключений — они, конечно, самые симпатичные ребята, потому что такой горящий огонь в глазах ни с чем не спутать;

для других — примерно в начале 2000-х — хакинг открыл доступ к сумасшедшим деньгам, а после к покупке особняков/спорткаров;

третьи — примерно после 2008 года, войны в Грузии — начали подрабатывать на государство, или вообще становились кадровыми сотрудниками спецслужб;

четвертые — близкие по настрою и задору на первых — атаковали государство, российских чиновников.

Для многих из них первым вдохновением, чтобы заняться хакингом, стали несколько голливудских фильмов («Хакеры» и «Военные игры»), «Лабиринт отражений» Сергея Лукьяненко, и книжка «Киберпанки», одного из первого нонфикшн о хакерах, который перевели и бесплатно распространяли на хакерских форумах.

--


Цифровой Криминалист

10 лет работаю в сфере информационной безопасности.
Специализируюсь на поиске цифровых следов, их анализе и ликвидации последствий кибер атак.
Думаете, ваша цифровая жизнь и бизнес под надежным замком? Давайте проверим.

отправить личное сообщение блогеру
Топ авторов за 7 дней все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

Просмотров: 2122

Виталий Злочевский

юрист, риелтор, медиатор

Просмотров: 671

Игорь Волобуев

юрист

Просмотров: 437

Петр Глазунов

директор мебельного ателье

Просмотров: 215

Светослав Ильиных

журналист

Просмотров: 205

Авторы блогов все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

сегодня, 18:21
Светослав Ильиных

журналист

сегодня, 13:19
Петр Глазунов

директор мебельного ателье

вчера, 14:50
Виталий Злочевский

юрист, риелтор, медиатор

вчера, 11:19
Игорь Волобуев

юрист

14 июля, 22:58
Галина Одинцова

Оптимистка. Иногда...

11 июля, 13:46
Алексей Копер

Фотограф-любитель

29 июня, 18:01
Юрий Сергеев
23 июня, 21:06
Наталья Калинина

политический хулиган

5 июня, 21:21
Марина Синельникова

Амурское отделение "Общества "Россия-Япония"

3 июня, 14:21
Светлана Казачинская

не только синоптик

2 июня, 21:49
Роман Кобызов

красный блогер

29 мая, 07:07
Валентин Орлов
23 мая, 22:14
Евгений Волков

юрист-идеалист

23 мая, 08:43
Правила раздела «Блоги»
  1. Настоящие правила обязательны для соблюдения авторами блогов (далее по тексту – Автор), а также посетителями раздела «Блоги».

  2. Раздел «Блоги» на Амур.инфо, расположенный по адресу http://blogs.amur.info, является интернет-площадкой, предназначенной для размещения Авторами информации и сведений, открытых для дискуссий на освещаемые ими вопросы.

  3. Содержание блога Автора определяется им самостоятельно исходя из его убеждений, является выражением субъективного мнения и суждений Автора, при учёте ограничений, установленных настоящими Правилами. Содержимое блога является интеллектуальной собственностью Автора. Автор обязуется в своих блогах соблюдать законодательство Российской Федерации, положения настоящих Правил. Содержание раздела «Блоги» не является продукцией средства массовой информации информационного агентства «Амур.инфо» или иного другого средства массовой информации.

  4. Автору принадлежат права административного доступа к своей странице, позволяющие ему производить управление блогом самостоятельно без участия и премодерации администрации сайта www.amur.info. Право редактирования содержания блога, в том числе комментариев к постам блога, принадлежит Автору и администрации сайта www.amur.info.

  5. Автор гарантирует, что сведения, распространяемые им в блоге, не нарушают авторских, смежных, патентных прав третьих лиц, права на товарный знак и т. д., а также не наносят ущерба чьим-либо чести, достоинству или деловой репутации.

  6. Не подлежат распространению в блогах сведения, содержащие государственную или иную специально охраняемую законами тайну; способствующие разжиганию расовой, национальной, социальной, религиозной нетерпимости или розни; призывающие к захвату власти, насильственному изменению конституционного строя или разрушению целостности Российской Федерации; пропагандирующие культ насилия или жестокости; побуждающие граждан к агрессивным и иным опасным действиям, способным нанести вред здоровью физических лиц или угрожающим их безопасности; содержащие текстовую, зрительную, звуковую информацию, нарушающую общепринятые нормы гуманности и морали путем употребления оскорбительных слов, сравнений, образов или унижающую честь, достоинство и деловую репутацию физических и (или) юридических лиц, а также избирательных объединений; порочащую государственные или религиозные символы Российской Федерации и иных государств, а равно использующую заведомо ложные сведения и умышленно вводящую в заблуждение относительно существующих или не существующих событий, обстоятельств, решений, характеристик.

  7. Не допускается распространение в качестве сообщений/материалов блогов сведений, являющихся предвыборной агитацией, политической рекламой/антирекламой.

  8. В период проведения избирательной кампании по выборам (вне зависимости от территории проведения) не допускается распространение в качестве сообщений/материалов блогов сведений, содержащих любое указание на наименование, символику, действия (бездействия) избирательных объединений, выдвинувших кандидатов, содержащих любое указание на персональные данные, изображения, действия (бездействия) выдвинутых кандидатов, проведение/опубликование результатов опросов общественного мнения, связанных с проводимыми выборами.

  9. В случае однократного нарушения Автором положений настоящего пункта, Администрация сайта www.amur.info производит блокировку блога Автора до дня окончания соответствующей избирательной кампании.

  10. В случае предъявления к администрации сайта  www.amur.info претензий/требований относительно противоправного использования сведений или результатов интеллектуальной деятельности, средств индивидуализации, использованных в блоге Автора, и/или вынесении решений уполномоченными органами государственной власти о наличии в размещаемых сведениях нарушений законодательства Российской Федерации Автор обязуется удовлетворить упомянутые претензии/требования за счет своих сил и средств.

  11. Администрация сайта www.amur.info не берет на себя обязанности, но оставляет за собой право осуществления контроля за содержанием блогов и размещаемых к ним комментариев, в том числе в целях пресечения нарушений законодательства Российской Федерации, положений настоящих Правил.

  12. Осуществление контроля со стороны Администрации сайта www.amur.info предполагает возможность без направления какого-либо уведомления удаления сообщений/материалов блогов и комментариев к ним, редактирования сообщений/материалов блогов и комментариев к ним, блокировки блога в случае неоднократного нарушения Автором положений настоящих Правил.

  13. Автор имеет возможность осуществлять постмодерацию комментариев к блогу. Автор обязан осуществлять контроль за содержанием комментариев к постам его блога и пресекать распространение сведений, предусмотренных п. 5-7 настоящих Правил.

  14. Комментарии к постам блога, не совпадающие с мнением Автора, являющиеся отражением критической позиции оппонента, выражающие критику в отношении позиции Автора, оценочные суждения, удалению не подлежат.

  15. Для участия в дискуссиях в разделе «Блоги» посредством оставления комментариев к постам необходима регистрация на форуме www.amur.info. При комментировании постов обязательными к соблюдению являются настоящие Правила и Правила общения на форуме Амур.инфо.

  16. Предметами дискуссий в разделе «Блоги» являются темы, поднимаемые их авторами. Обсуждение личностей авторов в комментариях к их записям не приветствуется, а в случае явных злоупотреблений пресекается. Не допускается распространение участником дискуссии сведений, предусмотренных п. 5-7 настоящих Правил.

  17. Участникам дискуссии рекомендуется соблюдать правила уважительного общения и внимательно прислушиваться к рекомендациям (указаниям) модераторов.

  18. В случае несоблюдения участником дискуссии настоящих Правил, правил Форума модератором или Автором подлежит применению способ контроля над действиями пользователей. Это  бан, заключающийся в лишении прав пользователя на создание/отправление новых сообщений или создание новых тем на Форуме, на комментирование в блогах. В случае если способ контроля применяется Автором, срок бана составляет 72 часа. В случае если его применил модератор, срок бана определяется им на свое усмотрение. По истечении периода времени бана ограничение автоматически снимается. Повторное применение указанного способа контроля по инициативе Автора может быть осуществлено снова только по истечении суток с момента снятия предыдущего бана.