IT в России и мире в реалиях мирового кризиса

Цитата: Брянский от 26.06.2017 10:12:33Про нарков это вы к месту - дилеры активно используют  телеграмм для сбыто своего дерьма
И вот объясните  - а нахера нормальному человеку, не террористу, не педерасту ни вору и взяточнику нужен мессенждер с крипстойким шифрованием?!
НА-ХЕ-РА?!
Объясните?!
От своей бабы шифроваться?

От хакеров и прочих мошенников, которые могут достаточно легко перехватить информацию без шифрования. Другое дело, что наличие дешифратора у спецслужб мошенникам никак жизнь не облегчит.

Цитата: dmitriк62 от 26.06.2017 12:11:44Это рекламная кампания.
"Общаясь в интернете, Вы, конечно, заметили, что спецслужбы Вас подслушивают. Как же быть?! Телеграм! Его 100500-битное шифрование неподвластно ФСБ!"
Так что вряд ли закроют Телеграм.

Не только ФСБ, но и АНБ и пр. Ход хороший, да.

Цитата: Шмухер от 26.06.2017 12:45:30Более-менее серьёзные дяди,

Умеют передавать информацию по небезопасным каналам, дабы не привлекать к себе лишнего внимания, тащемта. Телеграм нужен для переписок с лядьми, и понтов, как тут многие уже подметили. По части руления буратинами последнее, возможно, и полезно. Стильно, модно, молодежно, жеппку щекочет. Но практического смысла не имеет. Отловить всех этих деятелей совсем несложно, т.к. никакой телеграм не заменит обученного пользователя и не прикроет его косяки. И сияют эти деятели, любители ютупчиков с твитерами, как новогодние елки, образно говоря. Кратко: "спецслужбам мешает телеграм (или любой другой е2е мессенджер)" - байка, пиар, или бизнес. Т.е. лажа.

Цитата: DarkRaider от 23.06.2017 21:52:05Нет, с Мегафоном это никак не связано. Там причины намного более грустные, никакие внешние враги не делают столько вреда для себя, как сам Мегафон. Та же тенденция и в других крупных компаниях связанных с IT.  
Вот тут процесс описан подробно.

Если сюда присовокупить эту статью Некомпетентность, как стратегия выживания то получится картина практически любой современной крупной конторы.

Понятно, опять на карман скулоёбу наступили. А ничего что в стране у всех с 13 года зарплаты особо не растут? А премии годовые мало где с 91 года?
 Вывод по истории один - не готов меняться - нах.. с пляжа, ну а то что потом чё и случиться, так это конечно без Пупкина не обошлись.  ;-) 

Цитата: mark.76 от 27.06.2017 08:36:33Понятно, опять на карман скулоёбу наступили. А ничего что в стране у всех с 13 года зарплаты особо не растут? А премии годовые мало где с 91 года?
 Вывод по истории один - не готов меняться - нах.. с пляжа, ну а то что потом чё и случиться, так это конечно без Пупкина не обошлись.  ;-)

Во, либо супер-пупер грамотный манагер нашелся, либо "спец консалтинга"..
1. Зарплаты росли.
2. Премии были.
3. В статье все правильно написано. Таких консалтеров гнать нада нах... И еще черное клеймо ставить.
И что бы они несли финансовую ответственность.

Если живешь за счет техники, первое (и самое главное) - нужен штат инженеров. Дабы работало бесперебойно. А тут наоборот - набирают офисных дармоедов, уменьшают штат тех, на ком реально зарабатывают.

В СССР специально делался акцент на подготовке инженерного состава. Они должны больше зарабатывать.
К сожалению, сейчас в тренде офисный планктон. Который сам по себе, чаще всего, никто и звать никак. Или мохнатая папина рука.

Цитата: small__virus от 27.06.2017 10:15:53Во, либо супер-пупер грамотный манагер нашелся, либо "спец консалтинга"..
1. Зарплаты росли.
2. Премии были.
3. В статье все правильно написано. Таких консалтеров гнать нада нах... И еще черное клеймо ставить.
И что бы они несли финансовую ответственность.

Если живешь за счет техники, первое (и самое главное) - нужен штат инженеров. Дабы работало бесперебойно. А тут наоборот - набирают офисных дармоедов, уменьшают штат тех, на ком реально зарабатывают.

В СССР специально делался акцент на подготовке инженерного состава. Они должны больше зарабатывать.
К сожалению, сейчас в тренде офисный планктон. Который сам по себе, чаще всего, никто и звать никак. Или мохнатая папина рука.

Любая IT-компания живет втюхиванием своих проектов клиентам-заказчикам. На стороне заказчика сидят такие же мохнорукие манагеры, и чтобы втюхать им проект нужно уметь говорить с ними на одном птичьем языке. Инженерам с их правдой-маткой это не под силу. Лучше всего продают те кто знают о проекте лишь в объеме рекламного буклета. Они искренне верят что всё так и есть как там для них написано и потому выглядят искренними в глазах заказчика. А инженеры знают слишком много  о предмете и искренне врать не способны, потому  продавать у них плохо получается.

Цитата: Поверонов от 27.06.2017 10:27:50Любая IT-компания живет втюхиванием своих проектов клиентам-заказчикам. На стороне заказчика сидят такие же мохнорукие манагеры, и чтобы втюхать им проект нужно уметь говорить с ними на одном птичьем языке. Инженерам с их правдой-маткой это не под силу. Лучше всего продают те кто знают о проекте лишь в объеме рекламного буклета. Они искренне верят что всё так и есть как там для них написано и потому выглядят искренними в глазах заказчика. А инженеры знают слишком много  о предмете и искренне врать не способны, потому  продавать у них плохо получается.

А вот и не соглашусь - тот кто действительно разбирается продаст лучшее решение  и лучшим оно будет для обеих сторон по затратам на обслуживание. 
 Враньё это разовая продажа. 

Цитата: ахмадинежад от 27.06.2017 15:49:12у вируса имя занятное - Петя

 Понятно , что это очередная атака . И если в прошлой - обнаружили редкий китайский диалект  , что отрицало участие России (как и 1С не было в списке ) .....то Petya явно указывает на нас. Пошли ва-банк что-ли ?
 

Цитата: Nesterok от 27.06.2017 15:37:18Предположительно, пострадали и другие крупные компании.
Все компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-Добыча» и управлении «Башнефти») заражены вирусом-шифровальщиком, рассказали «Ведомостям» два источника, близких к «Башнефти»

Бред тотальный. Или далеко не все компьютеры, или это не WannaCry от слова совсем. Или там IT в полном составе несуществует уже пара месяцев как Правда ли, что Рабинович выиграл в спортлото Волгу?

Цитата: qurvax от 27.06.2017 16:12:51Бред тотальный. Или далеко не все компьютеры, или это не WannaCry от слова совсем. Или там IT в полном составе несуществует уже пара месяцев как Правда ли, что Рабинович выиграл в спортлото Волгу?

х.з. может выиграл, может проиграл. Тем не менее, многие, "обжегшись на молоке, дуют на воду". Посмотрим к чему это приведет. Причины и следствия. Однако выбор целей весьма занятен. Сначала правоохранительные органы и транспорт (WannaCry), теперь нефтеносные компании и фин.сектор (где-то в новостях было). Может еще кто под раздачу попал. 
Тем не менее, подобные атаки и последующая "истерия" приводят к мысли о том, что снова (наверное на короткое время) возникнет спрос на IT-шников. И если мыслить позитивно, то можно надеяться, что наконец-то "руководство" (понятие абстрактное такое, как облако ванили) начнет задумываться. Ну, я искренне на это надеюсь. 

Цитата: Поверонов от 27.06.2017 16:56:01Там же не говорилось что инженеры вообще не нужны. После того как проект продан заказчику инженеры должны вытянуть его до работоспособного уровня.

 В нынешней парадигме норма для 99% рынка. Вот только успешные действуют строго наоборот - не вытягивают, а выходят с обоснованными техническими предложениями.

Цитата: BOLD от 28.06.2017 08:11:55А принцип действия вируса Petya, никому не напоминает ...

Не напоминает.

Поскольку всем понятно, что никто ничего платить не будет, то налицо раскручивание пирамиды криптовалют. Смотрите какие защищённые - никаких государств можно не бояться. 
 

Петр Алексеевич под псевдонимом Petya.A просит денег



Слежу за развитием событий по Петьке, в этом посте соберу компиляцию информации.

Много источников, основная техническая информация - от комментариев сисадминов во всяческих обсуждалках, официальные источники различных новостных агенств.

Как оно работает когда заражение произошло:

Переписывает MBR , регистрирует плановый рестарт от пользователя SYSTEM (это "настоящий" админ в Windows - аналог root в других системах). Перезагрузка не сразу - до оной идет распространение вируса, но об этом - ниже. При перезагрузке - выдает на экран ложную картинку checkdisk-а, начинает шифровать. Шифрует раздел целиком. Ну и рисует требование выкупа - 300$. Данные на всяческих внешних дисках и сетевых шарах - не ширует по понятным причинам. 
Если MBR перезаписать не удалось (нет прав например) - идет шифрация файлов во время работы оси. Причем - шифрует в первую очередь всяческие .doc, .pdf файлики и прочую потенциально важную информацию. Элегантно - старается нанести максимальный ущерб за минимальное время. Про избирательную шифрацию - на основе информации про разобранный под микроскопом диск с недошедшим до конца процессом.
Ограничение прав пользователей - работает частично. Где-то помогло уменьшить ущерб, где-то защитило, где-то не помогло вообще.

Распространение.

Тут самое интересное, ибо распространяется оно по нескольким каналам.
Это не time-bomb, как я подумал сначала - есть сообщения, что системы, восстановленные из резервных копий, на утро 27-го чисты. 

Старт.
Старт - шикарен! Судя по всему - сломали сервера M.E.doc или медок. Это программа предоставления всяческой там электронной отчетности в различные гос ведомства Украины. Вирус запихнули в обновление медка на сайте производителя, а такие важные штуки как медок - стоят на серверах организаций и обновляются автоматически. Отсюда - массовое заражение серверов множеста Украинских предприятий со старта через автообновление медка с сайта производителя. Информация пока не получила официального подтверждения, но по множеству сообщений от различных пострадавших - лично я уверен на 95% - есть подтверждение в блоге microsoft.

После попадания в сеть - рассылка инфицированных .pdf, .docx файликов по списку рассылки. Именно по этому каналу оно разбегается в сети, инфицируя новые предприятия и компьютеры обычных пользователей. Зацепило Россию, Беларусь, европу, есть уже случаи заражения в США. Возможно есть и другие каналы распространения.

И самое вкусное! - расползание по локальной сети. Используется эксплойт уязвимости smb1 протокола Windows. Весенний WannaCry фикс (MS17-010) не работает - мелкософт не закрыл дырку до конца судя по всему. Антивирусы его - не видят, самые свежие обновления Windows - не помогают. 
smb1 дыра - только один из способов и старые заплатки таки помогають (если верить Microsoft  ). Вот только оно делает всё очень красиво, используя инфраструктуру мелкософта по полной!
Достаем логин-пароль пользователя напрямую из памяти. Утилита, достающая оные из памяти, известна с 2012 года. Кому интересно - гуглим Mimikatz.
Сканируем сеть на предмет открытых папок, копируем себя и запускаем на удаленной машине через PSEXEC, используя полученные пароли.
Если нам фортануло, и мы попали на доменный контроллер - вместо сканирования - получаем список адресов всех подсетей и компов из DHCP напрямую (в этом случае уже можно говорить, что к нам пришло нечто с большой буквы П)!
Плюс к тому - оно пытается вытащить данные других пользователей с локального хранилища и использовать их.
Плюс к тому - для активных соединений оно использует дупликат используемого токена вместо логин/пароля...
И если хоть на одной машине оно выловит логин-пароль администратора домена - хана всем Windows машинам, в том числе и серверам.

Алгоритм шифрования:
1. Генерируем уникальный AES ключ. 
2. Шифруем под этим ключем. 
3. Ключ - шифруем открытым RSA ключем, вбитым в код вируса, ложим в файлик README.txt в корне.
4. Очищаем память с исходным ключем, применявшимся для шифрации данных на диске.
Дешифратора в ближайшее время ждать не стоит, возможно - он не появится никогда.

Есть "kill switch" - создвем файлик C:\Windows\perfc и всё ок, но метод может скоро перестать работать с появлением новых версий вируса.

В общем, WannaCry 2.0, но в отличие от предшественника - не поделка на коленке, совсем не поделка. Низкоуровневая работа с MBR, избирательная шифрация, разнообразные методы распространения... Работа профессионалов. Не удивлюсь, если увижу еще парочку волн эпидемии.

PS. Отредактировал пост, добавив новые данные.

Наиболее полная КМК информация - в блоге Microsoft:
https://blogs.techne…abilities/

Цитата: Podli от 28.06.2017 12:44:15На появление работающего дешифратора я бы не надеялся - по крайней мере в ближайшие дни.

М-м-м-м... Фейк?

https://www.unian.ne…yuter.html

Цитата: small__virus от 28.06.2017 13:17:16М-м-м-м... Фейк?

https://www.unian.ne…yuter.html

https://www.ptsecuri…tent=Petya
Генерится AES ключ, данные шифруются, дальше AES ключ шифрования - шифруется открытым ключем RSA и выводится в требовании выкупа. Естественно - исходного AES ключа, ипользованного в шифровании, в природе к этому моменту уже не существует. Без закрытого RSA ключа - удачи...
В статье по ссылке - увидел сообщение про бравого чувака, сломавшего шифр вируса еще в 2016 году - т.е. за несколько месяцев до его появления 

Мммм...
Подоспел блог мелкософта...
https://blogs.techne…abilities/

smb1 дыра - только один из способов и старые заплатки таки помогають (если верить Microsoft ). Вот только оно делает всё очень красиво, используя инфраструктуру мелкософта по полной!
Дампим креды залогиненых юзеров из памяти винды. Утилита, достающая креды из памяти, известна с 2012 года. Кому интересно - гуглим Mimikatz.
Сканим сеть на предмет шар, копируем себя и запускаем бинарник на удаленной машине через PSEXEC, используя полученные креды.
Если нам фортануло, и мы попали на доменный контроллер - вместо скана - получаем список адресов всех подсетей из DHCP напрямую (в этом случае уже можно говорить, что к нам пришло нечто с большой буквы П)!
Плюс к тому - оно пытается вытащить креды других пользователей с локального хранилища и использовать их.
Плюс к тому - для активных соединений оно использует дупликат используемого токена вместо логин/пароля...

В итоге - множество различных методов распространения, использующих встроенные в винду функции и активный поиск дыр.

Снимаю шляпу. Большинству уповать остается только на внешнюю защиту. Если к вам что-то такое попало внутрь - поможет только ОЧЕНЬ хорошо задизайненная система информационной безопасности с скурпулезно разработанными правилами, и неукоснительным их исполнениям. Те, к кому это внутрь попало, но сожрало только маленький кусочек - могут смело требовать повышения ЗП плюс хорошую премию сверху - эти деньги они заслужили!

Нажал кнопку ВыКЛ на 11%. Слава богу он mdf и zip не сьел

http://pikabu.ru/sto…mi_5155017

Цитата: venäläinen от 28.06.2017 18:13:54http://pikabu.ru/story/kriptovyimogatel_petya_deneg_ne_poluchit_generiruem_klyuch_razlochki_zhestkogo_diska_sami_5155017

Это старая версия, никакого отношения к тому, что массово разлетелось, не имеющая. Информация по алгоритму шифрования исчерпывающая (подробно рассмотрено в нескольких блогах). Дешифратора ждать придется очень долго и вполне возможно - его не появится.

Цитата: Podli от 28.06.2017 13:25:31https://www.ptsecurity.com/ru-ru/about/news/283092/?utm_source=Site&utm_medium=slider&utm_content=Petya
Генерится AES ключ, данные шифруются, дальше AES ключ шифрования - шифруется открытым ключем RSA и выводится в требовании выкупа. Естественно - исходного AES ключа, ипользованного в шифровании, в природе к этому моменту уже не существует. Без закрытого RSA ключа - удачи...
В статье по ссылке - увидел сообщение про бравого чувака, сломавшего шифр вируса еще в 2016 году - т.е. за несколько месяцев до его появления 

Если RSA не очень длинный (1024 бита, может 2048) - можно его взломать (вычислить закрытую часть по открытой).
Нет информации, какая там блина?