Цитата: alexsan156 от 08.09.2017 22:40:00Два игрока выдавливают третьего. "Боливар не выдержит троих двоих". А отсюда может быть интересный вывод - перераздутый рынок ЮСА схлопывается. И еще вывод - одной ЮСА дело может не ограничится.
Любите ли, камрад, слушать щебетание птичек? А я вот страдаю такой слабостью - люблю, знаете ли, послушать, как птахи малые песенки поют. Прям в любое время суток слушать готов... Вот залетела ко мне птаха малая, калибри называется. А они, птахи малые по имени калибри, потребляют исключительно нектар, напиток богов. Вот сели мы с птахой этой, нектаром угощаемся, чирикаем о своём, о птичьем...
- А что это за история приключилась с Эквифаксом?
- Крупная утечка. Не ошибусь, если скажу, что самая крупная за всю историю.
- А чё так? Бабла пожалели на защиту?
- Да не, там бабло лилось рекой, а системы защиты такие, что тебе и не снилось в вашем универе... У них много чего интересного стояло... Не в этом дело.
- А ваши-то уже обсуждают, небось?
- Нет, ещё рано. В открытых источниках нет ничего о самом методе, а закрытые не обсуждают у нас. Хотя кое-что уже понятно.
- Так что, извне ломанули? Натурально хакнули?
- Не-а, там такие файерволы со сканерами, что не пролезешь. И система работала в нормальном режиме всё время, пока они инфу теряли... В общем, за стенку мы спокойны, там всё гарантировано. Ломали изнутри.
- Извини, не вкурил. Это как?
- Слабый элемент - не софт и не железо защитное, а человек. Человеческий, понимаешь ли, фактор.
- Снова не вкурил. Шпиона заслали, что ли?
- Нет, никого не засылали... Ну если без деталей, то кто-то из сотрудников притащил вирус на файле и поставил его изнутри.
- Слушай, нектар что ли крепковат или я туповат... Совсем не догоняю. А антивирусники и сканы всякие где были? В отпуске?
- Не, нектар - самое то.
Ну если коротенечко, то примерно так. Вся система их внутренней сети полностью закрыта снаружи. Тестируется регулярно и практически непрерывно. Как только нашли баг или калитку, сразу закрыли, и даже им ничего не сообщается, кроме общего отчёта раз в сутки. Внутри все документы сканируются, флэшку просто так не вставишь и уж подавно не откроешь. Всё - по коду доступа, сканирование содержимого и все другие дела... В общем, вирус писали одноразовый, антивирусникам ещё неизвестен пока, и не уверен, что его занесут в базы. Его поюзали в Эквифаксе, и он, скорее всего больше не всплывёт.
- Что, думаешь заранее готовились и целили именно в Эквифакс?
- На 100% уже уверены. Вирус писался скриптом, скрипт был самопишущийся с многоуровневым кодированием, а первый уровень сидел в виде безобидного макроса в документе.
- Отстал я что-то от прогресса. Многоуровневое кодирование - это как?
- Ну в макросе сидит безобидный на вид скрипт, которые цифры превращает в буквы. Антивирусник его никак не распознаёт, потому как такие примочки - стандартные для архивации и разархивации документов. Все майкрософтовские документы, да и пидиэфы теперь с такими макросами. Так вот, этот скрипт при сканировании не возбуждает антивирусник никак. Но когда юзер кликнет на этот док, скрипт заработает при открытии документа и некий ряд цифр превратит в буковки. Буковки окажутся другим скриптом, это уже второй уровень. Этот второй скрипт, пока юзер таращится в содержимое документа, превратит другой ряд цифр в другие буквы. Из тех буковок снова сложится скрипт, ну и так далее раз 10, а то и больше. Самым последним оказался самопишущийся скрипт. Тот сам себя пишет, а когда дописывается, то получается скрипт, который пишет уже вирус.
- Мать моя женщина... А я-то по наивности думал, что пидиэфы - безопасные...
- А тож! Ну если ты не в Эквифаксе работаешь, то твои пидиэфы - точно безопасные.
Вот и там был документ с таким скриптом среди макросов.
- И что, нет способов такую матрёшку выловить?
- Способы есть, когда док с макросами попадает в систему извне. Его гоняют, пока не пройдут до написания вируса, тогда уже антивирусник его убивает. А вот если принести на флешке и со всеми кодами доступа такой док вкачать в систему, то вариантов не будет - вирус сработает.
- И чё, кто-то рискнул работой, а то и здоровьем, и притащил на флешке такую хрень в систему эквифакса?
- Ну как один из вариантов За много лимонов мог рискнуть... Если организаторы не поскупились на подкуп. А они, видимо, не поскупились.
- Слушай, а что, есть другие варианты?
- Да, могли документ по почте прислать. Тут тоже не обойтись без доверенного чела внутри системы. Если готовились долго, то письмо пришло достоверное, нужный чел его открыл, документик закачал и поехали... Хотя мы не исключаем такой вариант - аттачмент к почте в нормальном режиме просканировали бы так же, как и любой другой файл, идущий извне. Но - только в нормальном режиме, если получатель не скипнул нужные сканы при загрузке приложенного документа. А если отключил, то стандартный скан вряд ли вскроет скрипт, у которого больше 8 уровней шифрования. Хотя скипнутые сканы в лог попали, такое вскроют быстро.
- Охренеть просто и не встать... Так получается, что по любому - только кто-то из их людей?
- Да, и вот это - самый интересное в этой истории. Это - что-то новенькое в психологии хакерства. Конторы такого урвоня пока не ломали.
- Слушай, а как долго такой вирус готовить? Месяц?
- Да фигня война, за неделю моно управиться и сделать дюжину уровней шифрования с ещё кое-какими примочками. Дело не в программировании... А вот подобрать ключики к нужному человеку - это дело сложное и времени требует. Тут уже психология начинает работать. Иногда бывает, что случайно в баре вылавливают или в каком гольф-клубе. Чел, махая клюшкой или рюмкой, проболтается, где работает, и тут же попадает в разработку. Либо заранее фоткают всех сотрудников, потом выискиваю данные по всем базам, находят самого подходящего, и начинают его работать... Прикольно иногда бывает, как в шпионском романе каком-нибудь задрипаном - девиц подсылают, на наркоту подсаживают...
- Да, интересно девки пляшут... И сколько по времени такая обработка идёт?
- Ну полгода - год, смотря какой чел, какие данные на него, чем страдает, девицы, там, или деньги любит, или кокс...
- Да уж... Получается, по-любому хакнули отсюда...
- Да, на 100%. С челом надо было работать визуально, да и деньги передавали скорее всего не переводом на счёт в банке. Не удивлюсь, если нал где-то лежит, золотишко, недвига или что ещё.
- Как думаешь, про русских хакеров опять запоют?
- Не, ну это не сервер демов. Тут дело круче. Первого, кто запоёт, сразу уроют. Ну сам суди - если русские хакеры (гы-гы-гы) ломают самую закрытую систему извне, то чего стоит защита любого банка или того же уолл-стрита?
Так что русских хакеров не будет. Всё будет тихо и цивильно, чела вычислят, потрясут, а потом - в авто разобъётся где-нибудь в Скалистых горах.
- А в Китай сбежать? или как Сноуден?
- Гы, самому-то не смешно? Тот чувак где угодно косточкой куриной подавится до смерти, да ещё для верности и повесится раза три... Вообще вопрос о том, на что расчитывал этот чел, ооочень интересен, но об этом пока рано говорить. Или поздно уже - нектар совсем кончился, давай, на боковую пора.
Как-то так вот получается. Интересно девки в Эквифаксе сплясали.
Записано почти дословно с щебета двух колибри где-то на просторах Америки.
Во многия мудрости - многия печали.