4 июня СДЭК предварительно подтвердил, что сбой в его работе связан с внешним воздействием. 6 июня совет директоров компании соберется, чтобы обсудить данные внутреннего расследования.
Желаем ИТ-команде СДЭК скорейшего восстановления работы в полном объеме.
Официальные итоги расследования мы узнаем еще не скоро, если их вообще опубликуют. Но когда происходит публичный инцидент таких масштабов — обсуждения неизбежны. Важно не превращать их в бестолковый хайп и не надевать белое пальто — мол если бы они сделали то-то и то-то — такого бы не было.
Нужно делать правильные выводы из ситуации и уже сейчас подумать, а что мы можем сделать для того, чтобы уменьшить вероятность таких инцидентов в наших компаниях.
Именно этому и посвящен наш текст.
Статистика по отрасли и наш опыт в практической безопасности позволяют предполагать, что если это был взлом — он произошел по одному из двух сценариев.
Первый возможный сценарий взлома — фишинг
Хакеры из группировки Head Mare утверждают, что взломали СДЭК через программу-шифровальщика. Но как этот шифровальщик попал в компанию?
По статистике, первичный доступ к инфраструктуре злоумышленники чаще всего получают через фишинговые письма.
В исследовании F.A.C.C.T. «Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024» различные виды фишинга используются в 82% инцидентов.
Как происходит типичная фишинговая атака:
-
Кому-то из сотрудников или руководства компании приходит письмо с темой, которая должна максимально их заинтересовать.
В случае со СДЭКом это могло быть письмо с вопросом «Где моя посылка?!», коммерческим предложением и другими темами, связанными с логистикой. Главное для мошенников — надавить на эмоции, заставить сотрудника действовать быстро и необдуманно.
Сотрудник триггерится на эмоции или срочность, нажимает на вложение. Вредоносные файлы могут спрятать в обычный док в формате pdf или docx или разместить по ссылке в письме (и нет, сразу их там не будет, чтобы ваши средства защиты ничего не заподозрили).
Шифровальщик запускается, хакеры получают удаленный доступ к компьютеру сотрудника.
Дальше в зависимости от доступа сотрудника хакеры или повышают привилегии и двигаются по сети или сразу попадают в компьютер администратора с достаточным уровнем привилегий и доступом к виртуальным машинам и системам хранения данных.
Вот как это выглядит в виде схемы:
Как защититься от фишинговых атак. Мы специально взяли один из самых сложных вариантов фишингового письма — с вложением в формате pdf. Вроде бы переходить по ссылкам не просят, вложение выглядит как обычный документ. При этом шифровальщик может доставляться даже через такие документы.
В письмах важно смотреть не только на вложение или потенциально опасную ссылку. Вот алгоритм действий:
Научитесь обращать внимание на эмоции, которые вызывает у вас письмо или сообщение в чате. Если вас торопят или пугают, очень вероятно, что это мошенники (или токсичные коллеги, но работать ли вам в такой компании — решайте сами).
В первую очередь погружаемся в контекст и проверяем, а было ли первое письмо, где у сотрудника запрашивали коммерческое предложение. Допустим, мошенники хорошо подготовились и первое письмо тоже написали.
Проверяем название компании и электронный адрес, с которого пришло письмо. В нашем случае оно не совпадает — имя компании UrbanEdge Group, адрес заканчивается на urbanedge-groupp.com. Это уже явный признак фишинга.
На всякий случай можно зайти на официальный сайт компании и в разделе контакты посмотреть, как заканчиваются корпоративные электронные адреса. Если это фишинг, они не совпадут.
Эти действия желательно довести до автоматизма — конечно, никто не будет каждое письмо в почте рассматривать под лупой и проверять несколькими способами. Но правда в том, что обычно достаточно заметить что-то одно, чтобы дальше развить свое сомнение и проверить адресата.
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы. А при любых подозрениях — отправляли письмо команде безопасности.
Вот еще несколько правил, чтобы имитированные атаки работали эффективно:
Назначайте имитированные атаки не реже, чем один раз в месяц.
Используйте разные дни и время для отправки.
Назначайте только новые шаблоны атак на сотрудников.
Выбирайте актуальные для роли и должности сценарии и анализируйте реальные атаки, чтобы не упустить важные сценарии.
Повышайте сложность атак в зависимости от опыта сотрудников.
Второй возможный сценарий — взлом через активы на внешней поверхности атаки
Поверхность атаки компании — это все активы компании, которые могут быть за пределами ее инфраструктуры и которые хакер может использовать для проведения атаки.
Часто команды ИТ и безопасности под поверхностью атаки понимают известную инфраструктуру компании, так называемый периметр:
А вот как выглядит поверхность атаки на самом деле:
В поверхность атаки входит:
Инфраструктура, в том числе та, о которой не знает ИТ и команда безопасности. Домены и поддомены, веб-сервисы, IP-адреса, SSL-сертификаты, в том числе тестовые среды и облачные хостинги.
Пример атаки через инфраструктуру. Администратор не убрал за VPN и оставил в паблике RDP → Хакеры взяли логин и пароль сотрудника из очередной утечки → Попали в инфраструктуру.
Рабочие сервисы, которые используют сотрудники, чтобы хранить данные или общаться:
Разработка — Гитхаб, Гитлаб.
Таск-трекеры — Трелло, Джира, Ноушен.
Файлообменники — Гугл Драйв, Яндекс Диск, Дропбокс.
Документы — Гугл-доки, Гугл-таблицы.
Сервисы HR — HH, Хабр Карьера.
Пример атаки через рабочий сервис. Разработчик опубликовал секреты в открытом репозитории на Гитхабе → Злоумышленник обнаружил репозиторий с секретами в процессе разведки → Получил доступ к API-ключам, паролям учетных записей, токенам аутентификации и другим данным.
Сотрудники. Оставляют цифровой след, публикуют персональные данные клиентов и собственные учетные записи от корпоративных систем.
Пример атаки через цифровой след сотрудника. Сотрудник использовал рабочую почту и такой же пароль для авторизации в публичном сервисе → Злоумышленник взломал сервис и украл пароли → Учетная запись сотрудника используется для первичного доступа и развития атаки на корпоративные системы и данные.
Как вы понимаете, чем больше компания — тем больше ее поверхность атаки, потому что в ней работает больше людей и они используют больше инструментов.
СДЭК — компания с огромной инфраструктурой, в ней работает 50 000 сотрудников. А еще у СДЭКа много подрядчиков, у которых тоже может быть доступ к инфраструктуре.
Высока вероятность, что кто-то из сотрудников или подрядчиков своими действиями мог создать поверхность атаки, о которой не знала команда ИТ или ИБ — например, выложил в открытый доступ документ с кредами или не убрал из паблика тестовый сервис, через который могли проникнуть злоумышленники.
По данным свежего исследования IBM, в 84% инцидентов первоначальный вектор атаки с доступом в критическую инфраструктуру можно было устранить, если бы в компаниях пользовались лучшими практиками ИБ, которые начинаются с управления активами.
Управление уязвимостями, проверка уровней защищенностей, принцип минимальных привилегий — важные практики, которые будут работать, только если хорошо работает управление активами и мы точно знаем свою поверхность атаки.
Вот еще один наглядный график — как растет количество уязвимостей, эксплойтов и уязвимостей нулевого дня с 1988 года:
На графике видно, что количество уязвимостей растет практически по экспоненте, и забытый актив через короткое время почти всегда становится уязвимым.
Как защититься от таких атак. Тут короткой рекомендацией не обойтись, попробуем собрать базовую инструкцию:
Сначала нужно собрать в одном месте все технические и человеческие активы компании. Буквально по списку — вот у нас есть Гитхаб, у X сотрудников есть к нему доступ и так далее.
Дальше проводим инвентаризацию — вся ли информация актуальна, кто уволился, есть ли у нас инструкции, как работать с гугл-доками и прочими публичным сервисами.
Назначаем сотрудников, ответственных за конкретные активы — тимлид Паша отвечает за Гитхаб, менеджер Вася за Яндекс Диск и так далее. Эти сотрудники следят за доступами и исправляют проблемы по рекомендациям команды ИБ.
Специалист по ИБ мониторит изменения и закрывает потенциальные дыры на всей поверхности атаки.
Когда компания маленькая — можно делать это вручную.
Но если у вас большая компания, много активов и есть подрядчики — вы сами можете не знать, из чего состоит полная поверхность атаки.
В этом случае нужна автоматизация через специальные SaaS-решения. Например, Start EASM помогает управлять поверхностью атаки — собирает информацию об угрозах на внешней поверхности, определяет причину их возникновения и небезопасные действия людей, мониторит изменения, формирует отчеты и контролирует устранение уязвимостей.
Последствия
Вот как отразилась хакерская атака на СДЭКе:
Ущерб от простоя. Эксперты оценивают его от 300 миллионов до 1 миллиарда рублей.
Потеря в оценке стоимости компании. В конце апреля в СМИ появились новости, что основатель СДЭК Леонид Гольдорт ведет переговоры о продаже своей доли — ему принадлежит 55% акций. Из-за крупного сбоя стоимость компании, скорее всего, снизится.
Репутационные потери. Ежедневно через СДЭК совершали более 400 000 отправлений — из-за блокировки работы компании получатели не могли получить ценные документы, лекарства и другие важные вещи. Этот сбой отразился на жизни многих людей.
Лицензия на продукт для обучения и тренировки сотрудников в такой компании, как СДЭК, может стоить порядка 3 миллионов рублей. Лицензия на автоматизированную систему для слежения за внешней поверхностью атак — 800 тысяч рублей.
Это больше чем многие крупные компании закладывают на всю ИБ в целом, но это в сотни раз меньше, чем финансовый вред от ущерба и отсутствие репутационных потерь.
Главное
Скорее всего, СДЭК взломали через фишинг или через уязвимость на внешней поверхности атаки. В обоих способах взлома главная причина инцидента — небезопасные действия людей, сотрудников или подрядчиков.
Чтобы снизить влияние человеческого фактора на бизнес — сотрудников нужно регулярно обучать безопасному поведению и тренировать, а за внешней поверхностью атаки внимательно следить. Исследования подтверждают, что это кратно снижает вероятность подобных инцидентов.
Хакеры не будут тратить много времени на сложную целевую атаку через 0-day-экслойты или что-то подобное — такие атаки очень дорого стоят, и в мире их происходит меньше 3%.
Если ваши сотрудники не повелись на фишинг, а на внешней поверхности не нашлось значимых проблем — хакеры просто забьют и переключатся на кого-нибудь другого.
Комментарии (43)
leon_shtuet
05.06.2024 12:27Столько букф, а решение простое и бесплатное. Если бы у них не было бы Винды на компах, шифровальщики в письмах и фишинговых ссылках просто обломались бы. Все. Не благодарите.
Start_X Автор
05.06.2024 12:27+9Фишинг по классике вообще обходится без ВПО на стадии Initial Access — люди просто отдают свои логины и пароли по ссылке.
Второй сценарий тоже отлично сработает и с Виндой, и с Линуксом, и с любой другой операционкой на серверах и рабочих станциях.
Мы тоже любим Линукс, но, к сожалению, его внедрение везде само по себе проблему не решит.
leon_shtuet
05.06.2024 12:27+2его внедрение везде само по себе проблему не решит.
А никто не говорил, что Линукс, это серебряная пуля. Но 99.99% беды отведет. Успехов вам подцепить шифровальщик под Линукс.
люди просто отдают свои логины и пароли по ссылке.
Все уже
украдпридумано до нас. Для этого существует вход по ключам, 2FA, passkey, Yubico и все такое.Второй сценарий тоже отлично сработает и с Виндой, и с Линуксом, и с любой другой операционкой на серверах и рабочих станциях.
А вообще, я просто убежден, что даже если все вышеописанное по второму методу, оказалось дискредитированным, без
засланного казачкинсайда, такой взлом осуществить нереально. Слишком много нюансов надо знать. Так что тут однозначно была не лажа, а ложа. Диверсия значит.
SuperTEHb
05.06.2024 12:27+1Слышал историю как шифровальщик успешно запустился и отработал под Вайном. Байка это или нет проверять не стал.
leon_shtuet
05.06.2024 12:27+3успешно запустился
Сам "запустился". Албанский вирус. ;) И что он бы там пошифровал?
Даже если это и правда, Вайн еще иметь надо на компе, чтобы зловред "запустился".
c0r3dump
05.06.2024 12:27+1Это вполне возможно, и даже вроде авторы вайна предупреждали. Если все нужные api доступны, диск тоже для записи доступен - почему бы ему не сработать, тем более ни дефендера ни иных средств защиты.
nixtonixto
05.06.2024 12:27+4Но 99.99% беды отведет. Успехов вам подцепить шифровальщик под Линукс.
Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей. То есть целевая аудитория злоумышленников сидит в других ОС. У Андроида всё в порядке с вирусами, а он по сути тот же Линукс.
leon_shtuet
05.06.2024 12:27Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей.
Этот аргумент приводят с начала времен. Вот вам не все ли равно, почему его мало. Главное, что мало, ничтожно мало и именно из-за особеностей ОС. И возможности распространения и нанесения ущерба, сопостовимого с Форточным, именно из-за особеностей ОС, в Линуксе очень слабые.
У Андроида всё в порядке с вирусами, а он по сути тот же Линукс.
А человек, по сути та же обезьяна, но почему-то есть болезни и вирусы, которые для человека смертельные, а обезьянам пофиг. И наоборот.
nixtonixto
05.06.2024 12:27Хотите сказать, что в Линуксе полностью отсутствуют критические уязвимости? Если существует хотя бы одна уязвимость - всё, при желании её найдут и вас взломают.
leon_shtuet
05.06.2024 12:27Хотите сказать, что в Линуксе полностью отсутствуют критические уязвимости?
Нет, не хочу такого сказать и с этим не спорю. Спорю с теми, кто защищает Винду в аспекте легкости подцепления зловредов(по разным причинам), а жизнь показывает явно обратное.
Если существует хотя бы одна уязвимость - всё, при желании её найдут и вас взломают.
Вот когда убьют, тогда и приходите.Одного желания недостаточно. Есть цена взлома, по отношению к достигнутому профиту.nixtonixto
05.06.2024 12:27+1Есть цена взлома, по отношению к достигнутому профиту.
Вот вы и повторили то, что я ответил в первом сообщении. Вы путаете безопасность (миллиарды пользователей, миллионы злоумышленников и независимый аудит подтвердили, что Вин/Мак в целом безопасны) с иллюзией безопасности (а вы попробуйте найти зловред на нашу ОС, которой пользуются 3% юзеров). Эта иллюзия очень опасна, и если бы условный СДЭК перешёл на неё - то и взлом мог бы произойти гораздо раньше и дешевле для злоумышленников.
Если кто-то пользуется самописной ОС, на которую нет вирусов - потому что ею пользуется только один человек - это же не значит, что эта ОС самая безопасная в мире? (Я вас не минусую)
edo1h
05.06.2024 12:27У Андроида всё в порядке с вирусами, а он по сути тот же Линукс
Серьёзно, вы хоть раз видели своими глазами?
Шифровальщиков под Линукс мало не потому, что это особенность ОС, а потому, что в нём работают рекордные 3% пользователей
… и 97% серверов. А как раз за зашифрованные серверы можно получить жирный выкуп
nixtonixto
05.06.2024 12:27Некорректно сравнивать сервер и ПК. Если на ПК пользователю разрешено всё, то на сервере - запрещено всё, кроме разрешённого. Поэтому социальная инженерия на серверах не работает.
c0r3dump
05.06.2024 12:27Так речь же о корпоративных пк и атаках на организации вроде, там обычно политики безопасности и разрешено совсем не все.
nixtonixto
05.06.2024 12:27+1А сотрудники этой корпорации гуглят обход блокировок, чтобы у них на рабочем компьютере открывался вк. И находят.
c0r3dump
05.06.2024 12:27+1Но ведь серверов много и данные на них важные есть, однако о проблеме с серверными шифровальщиками под линукс и массовых заражениях ими мы пока не слышим, почему?
leon_shtuet
05.06.2024 12:27Ох, как вас отколбасило, как чертей от ладана, что на мой коммент аж 8 минусов понаставили. Что, неприятно правду матку читать.
net_racoon
05.06.2024 12:27+2А что должно помешать шифровальщику получить доступ к вашим файлов по Линуксом?
SUNsung
05.06.2024 12:27+3Мне вот другое интересно - неужели СДЭК настолько маленький стартап, что точка входа покрывает всю инфраструктуру?
Лично у меня в практике на проекте нагрузки на порядок меньше, но взлом отдельной ноды или даже глобальной админки не сильно повлияет на всю распределенную архитектуру.
Мне как создателю такой системы нужно пару дней что бы правильно все настроить для такого тотального шифрования. И это при условии что есть все доступы и я знаю всю систему в целом потому нет проблем с рассылкой и обходов фаерволов.
И то с бекапов все запустится в течении часа максимум. А даже если я повлияю на часовые бекапы и смогу как то внедрить скрипт на суточные бекапы, то все равно есть "холодные ноды" которые при потери связи со всей инфраструктурой автоматом запускаются и к ним уже можно "долить" самые актуальные бекапы (отдельная система только на чтение, сегмент бекапов в которые можно только дописывать, но не перезаписывать, система разворачивается так же только на чтение и спользуется для зеркалирования на боевой кластер который уже будет чтение-запись)
unknownuser11
05.06.2024 12:27+1Между взломом и уничтожением может проходить несколько месяцев. За это время хакеры и структуру сети изучат, и учетки с компами админов захватят.
Nelman86
05.06.2024 12:27Сдается мне, что они сами свою систему положили. А история с шифровальщиком придумана, чтобы скрыть свои кривые руки.
Но этого только мое предположение.
c0r3dump
05.06.2024 12:27А с бд как рашаете вопрос? Получил доступ к ноде записью в бд - вот и всю базу можно, разве нет?
R0bur
05.06.2024 12:27+2В письмах важно смотреть не только на вложение или потенциально опасную ссылку. Вот алгоритм действий:
...
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы.Мне кажется, что эти требования сможет выполнить либо Штирлиц, либо профессиональный психолог. Но ожидать всего перечисленного от офисного работника - это перебор. У него ведь есть основные рабочие задачи. А от описанных регулярных тренировок у нормального человека вскоре начнёт дёргаться глаз.
dTi
05.06.2024 12:27Ну банально не открывать письма с 0z0n и MVide0 можно научить:)
R0bur
05.06.2024 12:27+2Можно, но без толку. Символы-заменители из таблицы Unicode на глаз не отличит даже эксперт. А выполнение всей процедуры по предложенному автором статьи списку просто остановит работу. Можно, конечно, возложить почётную обязанность по предварительной проверке входящей почты на департамент ИБ, но мне кажется, что они будут не в восторге. Хотя толковый сотрудник найдёт повод для этого повод:
Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы. А при любых подозрениях — отправляли письмо команде безопасности.
Наивно полагать, что рядовой сотрудник выявит фишинговое письмо, которое пропустили современные хорошо настроенные технические средства защиты. Но с точки зрения назначения виновного вменить ему в обязанность такую проверку надо обязательно.
just-a-dev
05.06.2024 12:27+4Описанный сценарий с фишингом, какой-то ну очень сказочный для злоумышленника. Потому что в реальности файлы с вредоносами детектятся антивирусами, внешние ссылки - закрываются вайтлистингом. Автор предлагает вместо этого проводить регулярные тренировки - весьма дорогое и бесполезное удовольствие.
Start_X Автор
05.06.2024 12:27+2В идеальном мире (и маркетинговых буклетах антивирусных вендоров) все так и есть.
В реальном мире вредоносная программа, которая детектится антивирусом — это плохая программа и некачественно подготовленная атака. Доступы в компании объема СДЭКа требуются такие, которые почти никогда нельзя определить простым вайтлистом, и у части сотрудников всегда будет возможность ходить куда угодно, а веб-фильтры работают в среднем так же эффективно, как антивирусы.
Результат — 68% инцидентов происходит из-за действий людей, несмотря на то, что хорошие антивирусы есть примерно у всех: https://www.verizon.com/business/resources/reports/dbir/
Нет речи о том, чтобы тренировкой сотрудников заменить антивирусы.
Но в классической триаде «технологии—процессы—люди» важны все три стороны.
Bagatur
05.06.2024 12:27+1Ну, прежде, чем запустить зловред "в массы" злоумышленник прогонит его через virustotal.com, вы про это не слышали? А это совершенно базовые сведения о принципах подготовки атаки. И да, вы явно весьма поверхностно представляете себе, что такое качественно подготовленная целевая атака (APT) и какие средства и процессы требуются для противодействия таким атакам. А это далеко не только вопросы техники. Может, для вас это будет откровением, но ответственным за информационную безопасность в рамках своей деятельности является любой работник организации - более того, об этом говорится в каждом отраслевом стандарте, где идёт речь об ИБ.
Так вот - обучение работников организации базовым принципам ИБ (в том числе - и того, как не попадаться на фишинг) - это одна из базовых задач обеспечения информационной безопасности. Проведение тестирования (в том числе - и имитации того же фишинга) - это неотъемлемая часть обучения. И да, это работает. К сожалению, не в 100% случаев. Как показывает практика проведения таких тестов, 5-10% работников попадаются на фишинг при повторных тестах, даже после повторного обучения. Но с остальными-то это работает! А значит, риск получить "нежданчик" через кого-то из работников становится меньше. Что уже неплохо.
Единственное, что устраивать такие учения раз в месяц - это явный перебор. Раз в квартал - куда ни шло. Не нужно пытаться изо всех работников сформировать "Blue Team".
TigerClaw
05.06.2024 12:27Все же домыслы. Но даже если так при внедрение на случайное рабочее место не должно быть возможности подняться вверх по сети. Не обходимы средства отслеживания вторжения. Честно всякой фигни с заразой много приходит на корпоративную почту и порой она умело выдает себя за что то серьезное, но не проходит и элементарных проверок. Да есть вероятность случайного попадания в точку и стечения обстоятельств. Но даже это бывает в случае ошибок на нескольких уровней. А тут же вообще все легло. К примеру, у меня на работе даже в случае вторжения, не возможно все уничтожить ибо отдельные элементы всей инфраструктуры автономны и имеют каналы взаимодействия через которые так просто не взломать. Ну не хранят же у них админы все пароли в блокноте?
Bagatur
05.06.2024 12:27+1Есть много нюансов при реализации процессов обеспечения ИБ в организации. И многие из них прямо зависят от её руководства. Резоны руководства понятны - ИБ - это исключительно затратная статья, и весьма недешёвая. Рисование риск-моделей, попытки оценить ИБ риски в денежном выражении - это зачастую гадание на кофейной гуще, поскольку универсальных методик оценки рисков нет. А соответственно, - и доказывать руководству, что без "вот этой вот железки и вот этой софтины за пол-миллиона нашей компании может стать очень дурно", не имея возможности точно сказать, что "если не возьмём за пол-миллиона завтра, то через месяц потреяем пять" - это исключительно непростая задача. И, к сожалению, нередки ситуации, когда ИБ-шник постфактум выдаёт тому же руководству сакраментальную фразу "а я предупреждал/обосновывал/запрашивал бюджет" (и хорошо, если подкрепляя свои слова копиями писем, служебных записок и т.п.), поскольку первым "под раздачу" попадает он сам (и да, бывали реплики от руководства "а ты нас плохо убеждал, что это нужно").
Второй момент. Да, то, что не несёт явных прямых затрат (сегментация сети, патч-менеджмент, парольные политики, харденинг и т.п.) сделать можно, но тут начинаются "волны негодования" начиная с не особо ответственных админов, которым "лениво" и у которых "и так всё работает и нефиг трогать", и заканчивая пользователями, которым "неудобно раз в месяц пароль менять". И в этом случае тоже многое зависит от руководства - есть воля и участие руководства, чтобы организацию обезопасить - значит и результат будет. И админов "построят", и юзеров утихомирят. Ну и да, баланс между "юзабилити" и "секьюрити" будет соблюдён.
dimsoft
05.06.2024 12:27Ну не хранят же у них админы все пароли в блокноте?
А это здравая идея - блокнот с QR кодами(даже может быть одноразовыми) - никакой хакер не взломает :)
Terimoun
05.06.2024 12:27Если нет официальных новостей, то уже не так интересно. В итоге все работает, ну повозмущались люди пару дней на ежедневное "завтра все будет", как-то теперь скучно читать про СДЭК, всякое бывает. Я думаю, что те, кому этот урок был важен, что-то из него уже вынесли.
x-tray
05.06.2024 12:27Главный урок сделать нормальный UX что бы не бесить клиентов и не хотелось вас ломать из тупости операторов которым приходится постоянно звонить
rogerfasol
05.06.2024 12:27Интересная статья для специалистов наверное. Но потом любопытный человек без специального образования лезет в популярный и абсолютно легальный сервис virustotal набивает cdek https://www.virustotal.com/gui/domain/cdek.ru
находит там строчку "2024-05-03 0/ 58 Text STR3ANGER(NATHACK_BD).csv"
Бьются внутри и снаружи безумные сердца.
Может ещё чего найдет. И гуглит и гуглит строчки. И думает это ж сколько еще статей про сдек написать можна.Я конечно так не умею. Думаю купили просто л-п-инфра у загрузинившегося сотрудника. И всё.
Сдек пальцы крестиком за вас. Держитесь, мужчины.
the_homeless_god
05.06.2024 12:27Сериал есть короткий от конторы knowbe4, в одной компании внедряли, простой и понятный, там, в развлекательной форме у них на 10 серий вроде по 5-7 минут, все основы проговаривают, плюс мини-тесты, запомнилась как хорошая штука, в отличии от стандартных тестов под презентацию)
Самое забавное, что мы с нетерпением тогда ждали новых серий) кто не смотрел рекомендую)
GrustniyNos
05.06.2024 12:27Всю рекламку не дочитал, но спрошу. Как все-таки сломали сдек (если сломали)?
Был ли рассмотрен вариант компрометации изнутри - сотрудник сошел с ума и сугсанул например?
SGordon123
А есть гипотезы че так долго из бэкапа восстанавливались , или типа все норм?
ProKn1fe
Ну если учесть восстановление совсем с нуля, то, вроде, не долго.
GDragon
день поднять сетку с 0, новые пароли, новые ключи, новые сертификаты (большим отделом)
день поднять основные сервисы вроде домена и т.д. то же самое, новые пароли, новые ключи (старые с большой вероятностью скомпрометированы)
день поднять сервера с базами
день поднять фронт и подключить к базам + полировка вылезающих проблем
dTi
А откуда инфа, что они вообще восстанавливались из бэкапов? Судя по тому, что номера посылок начались заново и слетел сдэк Id, есть подозрение, что не все было восстановлено.
SGordon123
Про то и речь, что не восстановили видать ...