Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.
Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5).
Что случилось? И о развитии ситуации под катом.
То, о чем все кибер эксперты, включая меня, говорили днями и ночами! Украина не защищена от кибератак, но сейчас не об этом.
Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.
На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Не отрицаю что некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Ситуация динамически развивается и мы будем освещать. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…
Теперь о технических деталях
Первые версии Petya были обнаружены существенно ранее. Однако на сегодняшний день в сети свирепствует новая модификация Petya. Пока что известно, что «Новый Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, егу друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске (не всегда). Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.
В интренете уже были попытки написания дешифровщиков которые подходят только к старым версиям Petya.
Однако, их работоспособность не подтверждена.
Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, «паническое нажатие кнопки выкл» я бы назвал это так.
Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM) (спасибо 4eyes за уточнение), с отключением от интернета при любых обстоятельствах.
Личные предположения:
Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.
Инструменты:
На сайте мы создадим раздел Petya and Misha Decrypt, где будем выкладывать все найденные инструменты для дешифровки, которые самостоятельно проверять не успеваем. Просим остальных экспертов и специалистов в области информационной безопасности присылать информацию в личные сообщения для эффективной коммуникации. Так же смотрите UPD №6 и UPD №7
UPD1: Дешифровальщиков пока нет, те что выложены в интернете (тут), подходят только к старым версиям. Внимание дешифратора на данный момент не существует!
UPD2: Сайт министерства внутренних дел Украины отключен. Силовики переходят в экстренный режим.
UPD3: Прошу не считать за рекламу, кто пострадал от атаки, пришлите образцы зашифрованных файлов или самого шифровальщика на почту info@protectmaster.org для разработки дешифровальщика. Мы в свою очередь готовы предоставить информацию любым ИБ компаниям по данному кейсу.
UPD4: Крупные супермаркеты харькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):
UPD5: Список сайтов и структур, подвергшихся кибератаке:
Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК
UPD 6 :
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit
Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно вот тут на сайте Microsoft.
UPD7: Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)
Вы можете скачать актуальный патч от MicroSoft и еще один.
UPD8: В сети уже появился бот, который мониторит выкупы за дешифрование файлов, зараженных Petya
UPD9: Согласно информации из фейсбука Киберполиции Украины и ряда крупных ИБ компаний, а так же MicroSoft, одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)
Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам
UPD11: MicroSoft наконец то выложили все детали и разбор вируса Petya на своем сайте с рекомендациями и патчами.
Комментарии (496)
POS_troi
27.06.2017 16:39+21и «ПриватБанк»
Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )
А так, врятли эта атака есть действие одного дня, по любому подготовка уже длится не один месяц (внешние уязвимости, соц.инжинеринг, инсайд), просто «Петя» ждал команды, сегодня её получил.
Отличное, показательное, выступление вирусни — он отлично показал уровень соблюдения АйТи безопасности в гос. учреждениях и не хило так ударил по самолюбию всяких АйТи «Директоров» из разряда «Сыночек, главбуха».
Ничего не имею против автора, но если он на это нарвался то где-то что-то было сделано не так — наверное первое, это, компания, пользующаяся аутсорсом, с таким количеством компов.
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
Fanta
27.06.2017 16:56+7P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
ну ересь же. Есть примеры ПК на разных ОС (7-10) с последними апдейтами которые молча взяли ребутнулись и попросили 300уе.
POS_troi
27.06.2017 17:01-8А причём тут версия оси до обхода блокировок?
Да и вообще, что такое «с последними апдейтами»? В принципе нет такого понятия как «последний апдейт», ну разве что у вас Win98.
Да и апдейты для того-же ванкрая прикрывают внешние пути проникновении но никак не «изнутри».
В общем смотрите на проблему шире, эта проблема комплексная а не о том стоят апдейты и варез или нет.
SirEdvin
27.06.2017 17:18+12Да и вообще, что такое «с последними апдейтами»?
Это когда заходишь в обновления и там ничего не пишут.
POS_troi
27.06.2017 18:49-6И в чём гарантия?
То что там ничего не написанно то это не значит что все обновы стоят.
Этот вопрос можно решить только посмотрев лог обнов и сравнить номера с билютенями.SirEdvin
27.06.2017 20:41-7О, спасибо за коммит в копилку агрументов о том, почему Windows — это зло.
POS_troi
27.06.2017 20:45-2А для этого нужны аргументы?
Вообще ничего не имею против винды, нормальная ось но нужно за ней ухаживать и проблем не будет вообще.
Linux то-же можно настроить так что будет дырявый как друшлак, особенно если обновлять софт раз в надцать лет.SirEdvin
27.06.2017 20:48-1Ну, основной аргумент, который я слышу относиться к "юзерфрендли" винде и тому, что она вроде как куда проще linux.
А получается, что я даже не могу убедится, что у меня последние обновления стоят)
VEG
27.06.2017 21:04Любой механизм может сломаться. Если Windows Update сломался по каким-то причинам — актуальные обновки может и не показать. Но это применимо и к любому другому механизму обновления. Стопроцентных гарантий вам никто не даст.
SirEdvin
27.06.2017 21:29+3Как я понял, тут порочность еще в основном механизме обновлений.
Скажем, в Ubuntu есть версия пакета. В один момент можно точно сказать, какая версия пакета стоит и последняя ли она.
В случае с Windows различные апдейты могут пропадать, собиратся в коммулятивные обновления и прочее. В итоге, выяснить если ли у вас конкретный апдейт или нет становится проблематично. Тут дело даже не в глюках, а в самом методе работы.
Jef239
27.06.2017 22:00Увы, в Ubuntu проблема та же. Нужное вам обновление могло просто не попасть из PPA автора программы в репозитарий Ubuntu.
В Winddows с этим проще — микрософт одновременно выпускает обновления для всех версий. В Linux частая ситуация, что в какие-то дистрибутивы обновление попало, а для каких-то нужно качать из PPA.
А как только вы используете PPA — у вас получается несколько «последних» версий. И приходится выяснять, какая из них более последняя. Иногда лучшей версий является вовсе не PPA автора.SirEdvin
27.06.2017 22:29Для какого софта? Вроде почти весь повсеместно используемые софт или имеет свои ppa, которые всегда актуальные, или последняя актуальная версия довольно быстро появляется в ubuntu ppa.
Если же вы говорите про приложение, которое использует довольно маленькое число людей, то на windows у вас даже не будет автоматических обновлений.
Если вспомните про какие-то питоновские пакеты, например, jupyter — то их можно ставить и обновлять через pip, например, так же как для nodejs — npm, для ruby — gem и так далее. Такие проблемы и на винде тоже будут.
Jef239
28.06.2017 00:50+1Да очень много для какого. Софт из ppa бывает несовместим с дистрибутивом, а софт из дистрибутива — не иметь нужный фич.
Как пример — OpenOCD. Версия из Debian stable — не работает с нашими STM32, от автора — тоже. А то, что работает — какое-то сильное левое и последних обновлений не содержит.
А если вы переходите на buildroot — все ещё веселее.
1) Есть ядро от производителя чипа. С патчами для данного чипа и багами.
2) Есть ванильное ядро, но патчи от производителя туда без бубна не ставятся.
3) Есть нечто смешанное — и не ванильное и не от производителя, но работает.
И тут прилетает необходимость срочно закрыть дыру. И начинаются пляски с бубном и подпиливание патча напильником.
Ну в общем это все примерно одинаково в любой ОС.
RussianNeuroMancer
28.06.2017 01:02+2А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности? Если вас не устраивает скорость, с которой они выкладывают обновления (к слову, делают они это быстрее, чем Microsoft) никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев) и распространить в своей организации удобным вам способом (aptly, ansible, etc.)
Jef239
28.06.2017 01:51+2А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности?
Мягко говоря — сказки. То есть это верно только для хомячков. как только вам нужен софт посвежеее — приходится ставиться из PPA. Или вообще из левого источника.
Уже приводил пример — OpenOCD для наших плат берется не с Debian/Stable, и не с сайта авторов, а из левого источника, где оно к нашим STM32 адаптировано.
И обновляется оно там — редко. А основная ветка про наши платы не знает. И так — постоянно. Как только на linux начинаешь серьезно работать — вот такая вот петрушка.
А для безопасности важно то, что заражается. Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
Никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев)
Между прочим, linux — это не только ubunta для хомячков. Можете посмотреть у себя дома — у вас 5-10 машин с линуксом (мобильник, телевизор, роутер, медиаконвертор и так далее) и на всех кроме десктопа — линукс, но далеко не ubunta. Если уж говорить о маcсовом дистрибутиве — это прежде всего buildroot (если можно этот зоопарк назвать дистрибутивом).
А там вообще горе горькое. Ибо ванильное ядро не встает на плату. Нужны патчи от производителя кристалла и от производителя платы. И если в ядре свежая дыра — значит самому, ручками накатывать нужный патч. ну и напильником его подтачивать.
Ну в общем попробуйте ради прикола понять, какое у вас ядро в мобильнике работает. Какие патчи там наложены, какие нет. И из сорцов попытайтесь его обновить. Вот когда вы это сделаете — тогда и поймете, что в линуксе — не легче, чем в винде.
solver
28.06.2017 02:11+2Вы уверены, что свежая версия OpenOCD критически важна для безопасности системы?
Jef239
28.06.2017 02:38+1Как только будет атака именно на неё — станет важна. Или вы считаете что такая атака невозможна? А пока жаренный петух не клюнет — не важна.
Увы, аналогичного софта — много. Начиная с того же скайпа, который мне пришлось пару лет отнюдь не из репозитариев ставить (на ubuntu между прочим). Или вам и атака на скайп кажется фантастикой?
0xd34df00d
28.06.2017 05:20+1Когда на роутеры и фоторамки можно будет ставить Windows, тогда будет уместно приводить их в пример. А пока что давайте ограничимся настольными машинами.
Я за PPA не скажу, но в этой моей генте с оверлеями довольно легко понять, где и какая последняя версия.
Jef239
28.06.2017 06:07+1Да ставилась на них WinCE, но… Ну в общем на кастомное устройство проще и дешевле поставить линукс. Так что он заслуженно почти монополист.
А ограничиваться мы будем тем, что заражается. Роутеры и фоторамки — вполне себе заражаются.0xd34df00d
28.06.2017 19:24А ограничиваться мы будем тем, что заражается. Роутеры и фоторамки — вполне себе заражаются.
Это было бы разумно при обсуждении дырявости систем, но не при обсуждении user-friendliness интерфейсов обновления систем и программ.
Jef239
28.06.2017 19:45Нельзя обсуждать то, чего нет. Давайте подождем 50 лет до появления в Windos единого механизма обновления для всех программ, а уж потом — будем обсуждать, хорош ли он.
0xd34df00d
28.06.2017 19:46Тогда я вообще не понимаю, что мы тут дружно обсуждаем.
Впрочем, хрен бы с ним, можно было бы ограничиться обсуждением обновлений системных компонентов.
RussianNeuroMancer
28.06.2017 12:06+2> Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
Я не понимаю, это ирония такая, или вы это правда серьёзно?Jef239
28.06.2017 16:59-1С сетью он общается (например для отладки приложения в GDB), запускается под рутом (чтобы доступ к физическим устройствам иметь), в чем проблема для него эксплойт сделать?
Руки у вирусописателей не дошли, вот и вся проблема.
kafeman
28.06.2017 18:44+1запускается под рутом
Почему бы сразу сразу SSH с паролем qwerty наружу не выставить? А вообще, речь вроде шла о безопасности самой системы. Атаковать ваше внешнее устройство, как вы описали ниже — да, скорее всего выйдет. Но не думаю, что за озвученную вами цифру $10k кто-то реально будет этим заморачиваться.Jef239
28.06.2017 18:56И внешнее, и саму систему, где идет сборка из исходников и прошивка. При цене сорцов в миллион долларов — почему бы не потратиться на промышленный шпионаж? Скажем тем же китайцам.
В порядке паранойи мы и стоимость распиливания кристалла и считывания из ПЗУ электронным микроскопом рассматривали. Тому же SAMSUNG вполне по плечу такое. Дорого, да и Корея не Китай, но при некой цене — будет выгодно.
0xd34df00d
28.06.2017 19:25-1запускается под рутом (чтобы доступ к физическим устройствам иметь)
Расскажите там кому-нибудь про возможность выставлять права на файлы в /dev.
kafeman
28.06.2017 16:12Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
При правильных конфигах не будет.Jef239
28.06.2017 16:24-1подскажите, где же их взять?
kafeman
28.06.2017 16:38Сесть и написать? Сейчас почти в любом Linux-дистрибутиве из коробки есть SELinux или AppArmor. Пускай всякие «Пети» хоть обшифруются, навредить у них никак не выйдет.
Jef239
28.06.2017 17:04-3Ну попробуйте, напишите… :-)))
Собственно суть атаки такая.
1) Через инет подключаемся к OpenOCD (имитируем GDB).
2) Считываем прошивку из устройства.
3) Извлекаем из неё ключи.
4a) Имеем возможность атаковать любое устройство из серии
4б) Имеем возможность спиратить прошивку.
Устройство — это то, что через OpenOCD отлаживается или прошивается.
Ну и чем ваши правила тут помогут?
Вполне реальная атака, при бюджете в 10 тысяч долларов — ничего нереального не вижу. Китайцам вполне доступно.RussianNeuroMancer
01.07.2017 23:19Выставлять OpenOCD голой жопой в интернет по-видимому настолько же разумно, насколько разумно делать то же самое с SMB в Windows. Зачем так поступать?
Jef239
01.07.2017 23:45-1Для выполнения основной цели — удаленной прошивки устройства. :-)
ну как пример командировки в Москву: в 5-30 выехали из Питера, в 19-30 вернулись. В Москве всего 7 часов, из них 2 на дорогу.
И если что случится, то нужно, чтобы коллега (он у себя дома в Питере) исправил срочно. В этой ситуации — в инет выставляется все.
Ну а если время есть — то, да, через vpn-туннели. Но это только если есть время.
P.S. Увы, генеральский эффект никто не отменял. на испытаниях иногда ломается и то, что не должно было никогда сломаться.RussianNeuroMancer
02.07.2017 13:09> Но это только если есть время.
Это ваши проблемы, а не проблемы с обновлениями в Linux. И, действительно, почему не подготавливаете оборудование заранее?Jef239
02.07.2017 13:56-2Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности. ssh-доступ есть, но иногда его не хватает.
Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Увы. В linux или мэйнстрим — и на конкретном железе не работает. Или патчи для конкретного железа — и никаких обновлений.
Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили? Heartbleed на вашем мобильнике закрыт? А на мобильнике вашей жены. родителей и друзей?
А что на домашнем руотере? Когда последний раз обновления ставили? И есть ли на него обновления вообще? Heartbleed на роутере закрыт?RussianNeuroMancer
02.07.2017 17:53+2> Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили?
Вчера новую прошивку накатил.
> Heartbleed на вашем мобильнике закрыт?
Закрыт.
> А на мобильнике вашей жены. родителей и друзей?
Тоже закрыт.
> А что на домашнем руотере?
Тоже.
> Когда последний раз обновления ставили?
Когда обновлял клиент OpenVPN.
> И есть ли на него обновления вообще?
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).
> Heartbleed на роутере закрыт?
Закрыт.
> Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Ну а вы не используйте платы, которые не поддерживаются в апстриме. Есть и x86-платы на AMD APU, на BayTrail/CherryTrail, есть и ARM-платы, например на Allwinner, на Broadcom (RPi) плюс nVidia делают какие-то телодвижения в верном направлении (но по ценам даже x86 дешевле, чем ARM от nVidia). На все это можно накатить хоть LTS-ветку, хоть свежайший stable, хоть релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение.
Если вы, или ваше руководство, выбираете экономить, и фирма приобретает платы для которых нет обновлений, если лично вы экономите и приобретаете смартфоны и роутеры поддержки которых прямо сейчас нет в апстриме — это ваши проблемы, а не проблемы Linux.
> Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности.
Опять же, это ваши проблемы с планированием, а не проблемы с обновлениями в Linux.Jef239
02.07.2017 19:07Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).
И насколько часто у вас обновления на роутеры приходят? Вы туда что, OpenWRT залили?
Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Ну а вы не используйте платы, которые не поддерживаются в апстриме.
Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
например на Allwinner,
И сколько лет поставки они гарантируют? Мы используем Renesas с гарантиями поставки 10-20 лет.
Посмотрел линейки AllWinner . Ни одного подходящего проца нету. Нам нужно 5-10 UART, double FPU и cortex-M (лучше M7). то есть даже если отвлечься от того, что они не дают гарантий поставок, то технически — все равно эти машинки нам не подходят.
Если вы, или ваше руководство, выбираете экономить,
Наоборот. Renesas — самый крупный в мире производитель мирококонтролеров. Это и есть upstream, а не allwinder с долями процентов.
Проблема в том, что на апстреме SoС — у линукса очень плохо с поддержкой. Хорошо лишь на пользовательских побрякушках. И то — лишь 2-3 года, пока они работают (а на большее эти ваши allwinder не рассчитаны). А нам нужно, чтобы поддержка была на 10-20 лет. И запчасти 10-20 лет производились.
Ну в общем это как в автомобильной микроэлектронике.
Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
С потребительской электроникой все замечательно, когда она вам для игрушек нужна. И меняете вы её раз в 1-2 года. А если вам нужно жорогое устройство для работы, а не для игры, и вы не планируете его менять 10-20 лет — с поддержкой все ужасно.
Так что экономить — это брать как раз ваш дешевый Allwinder, который 20 лет просто не протянет.
Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха (это мировой лидер в своем сегменте — преобразователей интерфейсов). Обновления есть только на самые популярные машинки и выходят они пару раз в год.
Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.RussianNeuroMancer
02.07.2017 20:16-1> И насколько часто у вас обновления на роутеры приходят?
В trunk-ветке — каждый день.
> Вы туда что, OpenWRT залили?
Да.
> Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Не CyanogenMod, а LineageOS.
> Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
> Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…
> Мы используем Renesas с гарантиями поставки 10-20 лет.
> Renesas — самый крупный в мире производитель мирококонтролеров.
> Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
> Это и есть upstream, а не allwinder с долями процентов.
Это шутка или вы действительно использовали этот термин неправильно?
> Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Давайте разбираться, понимаете ли вы, про что речь, а то я не первый раз беседую с сеньорами embedded-девелоперами, и уже заметил что с пониманием поддержкой в апстриме у вашей братии большие сложности.
Про запчасти мы сейчас не говорим, так как контекст беседы это security-фиксы. Итак, что означает словосочетание «поддержка в апстриме»?
А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме? Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают. В принципе не исключено, что уровень поддержки плат Renesas тот же, что например у AMD и Intel, я этому не удивлюсь. Но вопрос в том, а проверяли ли вы это?
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.
> Это и есть upstream, а не allwinder с долями процентов.
> Ваши Allwinder
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel? (помимо того, что вы упомянули, что вам нужен Cortex-M, но не упомянули, почему именно Cortex-M). И, пожалуйста, не нужно делать поспешных выводов, лишь бы поскорее выдать ответное сообщение. Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.Jef239
03.07.2017 04:41Ну что же, назовите модели роутеров, на которые производитель оперативно дает обновления ядра. И назовите модели мобильников на android с регулярными обновлениями ядра. Ваша попытка подмены понятий — не прошла. Да есть
маргинальныегиковые проекты, которые пытаются предоставить оперативные обновления. Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
В trunk-ветке — каждый день.
Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
Не CyanogenMod, а LineageOS.
Ну что же, скажите, на какой версии ядра базируется последняя прошивка? И когда эта версия вышла? Мне просто лень самому копать. По тому, что успел увидеть — на 4.8, которая в upstream просто не поддерживается, Но могуи ошибиться, так что жду честного ответа от вас.
Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года. Когда это исправление попадет в OpenWRT и когда — в LineageOS? Через месяц? Через полгода? Через год? А я взял первое попавшее CVE, исправленное в ванильном ядре.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…
Пока что я вижу, что у вас — не лучше, чем у всех. То есть весьма плохо. Или вы себе купили роутер и мобильник без поддержки в upstream?
Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
Итак, что означает словосочетание «поддержка в апстриме»?
Вся беда в том, что в ядре периодически бывают мелкие революции и интерфейсы, которыми драйверы общаются с ядром, немного меняются. Если для платы есть девелопер на ставке у компании — драйвера обновляются нормально, с тестированием. Если нету — правка идет довольно формально.
Давайте проверим. Раз уж вы такой любитель AllWinner, то давайте на нем. Ну вот хоть как-то подходящая плата F1C600. Дайте ссылочку на рекомендуемое ядро и работает ли на нем последнее ванильное ядро 4.12? На 99% уверен, что 4.12 на нём лишь формально работает. Наверняка куча багов с портами и так далее. А нормальная поддержка — где-то в 3.10 или 3.18.
Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
Про запчасти мы сейчас не говорим,
Говорим-говорим. Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается. Энтузиастов мало, основная поддержка драйверов идет за счет девелоперов состоящих в штате производителя. сняли плату с производства — перестали оплачивать девелоперу её поддержку.
Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают.
А оперативно ни у кого не получается. Всегда есть десяток проблем, которые устранены в версии вендора, но ещё не исправлены в upstream. Или новые баги, внесенные в upstream, но отсутствующие в версии вендора. Atmel тоже в upstram комитит, но намного лучше пользоваться их собственной версией.
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.
Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер. У него интерфейсов довольно мало, причем большинство — стандартные.
Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel?
- Очень плохая производительность на ватт энергопотребления.
- Куцые возможности по вводу-выводу, особенно по USART.
- Нет российских аналогов, то есть двойного применения не сделаешь.
В идеале нам бы 1 ватт потребляемой мощности, 10 мегов ОЗУ на кристалле, 8 UART, FPU двойной точности, 400 МГц. Идеала нет, но 4 из 5 — бывают. Ну вот, например — STM32H753BI или R7S721000VLFP
не упомянули, почему именно Cortex-M
Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.
Вы опять пытаетесь запретить нам разрабатывать платы? Что за дурное желание запретить чужой бизнес? Ну не годятся нам готовые платы. Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует. Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Не согласны — ну что же, приведите пример вендора с ванильным ядром 4.12. А у вас на компе какое ядро? Смотрю на debian 9 -ядро 3.4.113. Актуальное, но — не последнее и не ванильное.
Jef239
03.07.2017 09:38-1… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке. Да-да, бинарник драйвера 20летней давности — вполне работает. Это не 100%, есть исключения вроде видеоподсистемы, но для простой перифериии — именно так.
Соответственно в windows вендорам нужно только написать и откомпилировать драйвера. С чем они и справляются.
В linux иная модель. Драйвер, даже загружаемый, должен быть откомпилирован с текущим ядром. Поэтому вендору нужно поддерживать исходный код драйвера в актуальном состоянии. А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Так что вина тут не вендоров, а архитектуры системы.
Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.RussianNeuroMancer
04.07.2017 01:04> А у вас на компе какое ядро?
См. выше: https://habrahabr.ru/post/331762/#comment_10294382
> релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение
> Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года.
Так-так-так, что же там, интересно-интересно… а, вот что: «When a kerberos 5 ticket is being decoded so that it can be loaded into an rxrpc-type key...» Я конечно дико извиняюсь, но с каких пор ядра для смартфонов и роутеров собирают с CONFIG_AF_RXRPC?
> Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления.
> Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
> Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
> В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует.
Раз вы не в теме, то придётся поверить:
https://www.opennet.ru/opennews/art.shtml?num=44368
https://www.opennet.ru/opennews/art.shtml?num=46513
> Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Аж любопытно, полезете проверять, или таки правда лень.
> Мне просто лень самому копать. По тому, что успел увидеть — на 4.8
Видимо не там смотрели: https://android.googlesource.com/kernel/common/+/android-4.9
> Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
По памяти — Nexus 4 и Nexus 7, и точно было что-то ещё, но сходу не вспомню. По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).
> Раз уж вы такой любитель AllWinner
Мимо, я любитель x86-железок, не в последнюю очередь в связи с тем, что на них с обсуждаемым нами вопросом всё обычно гораздо проще (но не всегда, например не с Intel Clover Trail) а в первую потому что на всём не-x86 мрак с 3D-драйверами (разве что кроме Tegra, и то только до EOL).
> Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
И на платах Renesas с их родными ядрами тонна багов — можно прямо брать полный changelog между 3.18 и 4.12 и в каждую строчку пальцем тыкать :)
Да и вам чего время тратить — чтобы узнать какие проблемы есть в 4.12 сразу смотрите, что исправлено в linux-next.
> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучил? (Помимо Intel Clover Trail и nVidia Tegra до X1, которые изначально не поддерживались.)
> А оперативно ни у кого не получается.
Да, но пока изменения идут в апстрим можно собирать из обновляющихся бранчей, вот например бранч для Intel Edison уже обновили до 4.12: https://github.com/andy-shev/linux/tree/eds (не смотря на сворачивание проекта Intel Edison).
Вендор не предоставил вам такой бранч? Ну или пинайте, чтобы предоставили, или накатывайте избранные патчи.
> Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер.
О, а давайте к словам поцепляемся. А планшет это устройство? А планшет с клавиатурой? А тот же самый планшет с неотцепляемой клавиатурой, типа Irbis NB11/14/41/44, Prestigio Smartbook 116/141, 4Good Light AM500?
Или наоборот, а планшет с ноутбучной начинкой, типа Dell 9250 или Chuwi Hi13 — это устройство, или не устройство?
А LTE-модем это устройство? А если внутри него Android в полный рост, как в Yota Swift / Yota Many / Yota Ruby?
А как быть со смарт-часами? Кажется, что устройство, но с 512 МБ ОЗУ и 4 ГБ флеша — хоть Debian ставь.
И так далее. ИМХО, границы размыты до такой степени, что на них можно с чистой совестью забить, что я давно и сделал.
> У него интерфейсов довольно мало, причем большинство — стандартные.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?
> Acer 5920G
> Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
https://launchpad.net/ubuntu/xenial/+source/linux/+changelog
Но нет ни одной причины, по которой 4.12 не заработало бы.
> Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Ну-ка, что там в diff-ах: http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.12/
А в diff-ах там только конфиг да сборка пакетов.
> Очень плохая производительность на ватт энергопотребления.
> Куцые возможности по вводу-выводу, особенно по USART.
> Нет российских аналогов, то есть двойного применения не сделаешь.
Отлично, вот это по делу. Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
По UART — смотрели датащиты SoC или спеки плат? В частности, у BayTrail/CherryTrail в спеках два HSUART и один UART, в то время как на платах фактически встречается 4 UART (и возможно больше, не углублялся). Почему бы не использовать переходники c mPCIe? Есть платы с парой mPCIe, есть переходники с mPCIe на четыре UART.
> Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее. Да и с потреблением у BayTrail/CherryTrail на практике значительно лучше, чем принято думать о x86-решениях. Посмотрим, чем порадует AMD в APU G-серии на базе Ryzen.
> > Внимательно изучите
> Вы опять пытаетесь запретить нам
Привет
> Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.
> Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
> Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
А дома-то ещё на Семёрке сидите, или уже обновились?
> А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности. Я вот не пойму, у Renesas деньжат не хватает, или в чем там беда? И, опять же, «А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме?» — так что там с этими платами?RussianNeuroMancer
04.07.2017 10:25> По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).
Поправка: имел ввиду объем флеша.
Jef239
07.07.2017 03:11Прошу прощения, был в командировке, времени на треп не было.
релиз-кандидат 4.12, который например стоит на планшете
Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
Раз вы не в теме, то придётся поверить
Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.
на всём не-x86 мрак с 3D-драйверами
А кому они нужны для работы на ARM??? Игрушки разве что писать.
> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучи
Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
О, а давайте к словам поцепляемся. А планшет это устройство?
Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?
С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART. Вся беда в том, что подсистема UART — часть подсистемы терминалов. Да ещё каждый драйвер — на десяток (иногда сотню) микросхем с похожим протоколом. Так что проблемы с конкретной реализацией UART — бывают часто. Ну скажем не 1 сбойный байт в сутки на RS485, а на порядок больше. Это при передаче примерно гигабайта в сутки. Ну так принято — RS485 настраивает до 1 ошибки в сутки при передаче на 115200.
Кстати, I2S — что за зверь? Может I2C?
Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200? Так что нам нужен безрадиаторный процессор с энергопотреблением в полватта. Общее энергопотребление всей платы, включая 3 GPS-приемника — до 2х ватт. Но мы бы не отказались ещё уменьшить энергопотребление. При этих полватта на процессор — это 856 DMIPS (чуть быстрее Intel Pentium Pro).
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее.
Поэтому мы постепенно отказываемся от linux.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.
Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса. Собственно проблема в том, что драйверы в linux являются частью ядра.
С одной стороны это дает возможность постоянно менять интерфейсы драйвера с ядром, оперативно добавлять возможности сразу во всю подсистему и так далее. С другой стороны — фиксированный интерфейс и бинарные версии драйверов — стабильнее. Тот драйвер, что я компилил для windows NT — работает до сих пор, в любой новой винде.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности.
Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.
Так что увы, чем дальше — тем больше линукс становится системой для китайского барахла. :-(((
saboteur_kiev
04.07.2017 18:43-1«В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке.»
Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает мой старенький принтер/сканер/любимый девайс?
Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.
Вина тут именно архитектуры и MS, которые отказываются от поддержки старых версий ОС (по вполне разумным причинам), и вендоры вслед за MS перестают выпускать драйвера под более старые версии OS, а для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.DistortNeo
04.07.2017 20:18И виной тому — использование системо-зависимых API и недокументированных функций, а также систем защиты кода, активно использующих грязные хаки.
Нормально написанный под WinXP 32-битный драйвер USB-устройств должен работать и в 64-битной десятке.
sergarcada
05.07.2017 08:56+1Драйвера не выпускают, но иногда хватает изменений в файле .inf, чтобы устройство определилось и заработало. Подключал так старый принтер HP 1000 к win7_x64 и звуковую карту audigy к win10_x64.
Jef239
06.07.2017 13:58Вы не понимаете весь ужас в linux. Вот есть у меня 4хпортовая PCI-плата. Она не заводится в ubuntui з-за несколько неверных адресов портов. Я могу исправить это в драйвере. НО! При каждом обновлении ядра мне придется заново вносить правку и компилировать ядро из исходников. Это при каждом обновлении ядра, которых чуть ли не сотня для LTS-системы.
Десяток раз в год!
На windows тот драйвер. где я правил сорцы — работает со времен windows NT 4. И бинарник тот же.
Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает
Не вижу кучи воплей сейчас. Они были во времена, когда существовали 3 варианта драйверов — win 3.1, winт 95, win NT. В linux вопить бесполезно — на кучу оборудования драйверов просто нет.
мой старенький принтер/сканер/любимый девайс?
на принтер и сканер очень любят вместо драйвера сделайть комбайн на сотню мегабайт — драйвер + сервис + приложение + сайт для заказха расходников… Ну в общем нажал на кнопку на сканере — получил документ в ворд, уже переведенный в текст. И вот такие комбайны — да, плохо переносят смену версии.
НО! У вас на виндоус переставал работать драйвер из-за обновления ядра? Ну хоть раз было такое?
Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.
Рекомендую ознакомится с блогом PSV-Studio, например с этой статьей.
Эта проблема одинакова для всех систем. Единственное — в linux принято писать программы сразу переносимыми на разные архитектуры, включая 64 битные и архитектуры с другим порядком байтов в слове. Если писать сразу переносимо — расходы на перенос меньше, да и размазаны на всю стадию написания кода.
для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.
Если речь про устройство с драйвером для windows 3.1 или windows 95 — вы правы. Если есть драйвер для windows XP и ваша система 32битная — то шансы, что удастся заставить его заработать в Vista, win 7/8/10 — достаточно большие. А на 64битную систему — да, 32битный драйвер не встанет. И из комбайна — придется выдирать именно драйвер.mayorovp
06.07.2017 14:09Ядро-то зачем пересобирать? Достаточно же собирать только драйвер
Jef239
06.07.2017 16:15А что ещё делать, если драйвер включен в ядро? Чтобы сделать его загружаемым — тоже нужно перекомпилить ядро при каждом обновлении. Это же не windows, чтобы все драйвера (кроме небольшой горстки) были загружаемыми.
mayorovp
06.07.2017 16:23Если это такой важный драйвер, что включен в ядро — почему не написать про эти порты разработчикам драйвера?
Jef239
07.07.2017 00:18Это не важный для драйвер для компа, но это драйвер COM-порта, Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,
Более того, это не просто драйвер COM-порта, это драйвер 8250/16450/16550/16650/16750/16850. Иными словами, это драйвер с древней историей, используемый на сотне разновидностях микросхем. И любая правка — должна проверяться на всем этом зоопарке.
А писать разработчикам — бесполезно. И не только потому, что ради профессиональной (то есть редкой) платы они не рискнут испортить поведение на китайской (то есть популярной) комплектухе.
Гораздо важнее, что у меня Ubuntu 14.04 LTS. Ядро там вроде 3.13. И ставить туда новое, не тестированное разработчиками ubuntu, ядро — я не буду.
И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре
Сколько это займет? Думаю от 3 до 5 лет, не меньше.
А причиной — неудачный дизайн linux. Если бы драйверы не были бы частью ядра (как в windows), достаточно было один раз исправить ошибку и скомпилировать драйвер.
А необходимость бэкпортировать любое исправление ошибок в драйверах в старые версии приводит к тому, что в linux хорошо поддерживаются лишь дешевая китайская комплектуха. Чем профессиональней плата — тем меньше шансов, что она будет работать под linux.mayorovp
07.07.2017 07:02Вот вы сами пишите:
Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,
Причем тут неудачный дизайн linux?
Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?
Jef239
07.07.2017 18:55Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?
1) Давно видели комп с встроенным ком-портом? "In the book PC 97 Hardware Design Guide, Microsoft deprecated support for the RS-232 compatible serial port of the original IBM PC design"
2) На тех персоналках, где есть комп-порт, вы хоть раз его использовали как главную консоль?
3) А для промышленных машинок — все равно свое ядро компилится. Ибо хватает редкой периферии.
Это был ответ на вопрос, почему зашитый в ядро драйвер сом-порта — атавизм.
Причем тут неудачный дизайн linux?
При хорошем дизайне все драйвера выгружаемые/отключаемые. Включая скомпиленные в ядро. Посмотрите, как стартует виндоус. Вначале видеоподсистема встроенyая и простейшая, потом встроенный видеодрайвер отключается и загружается уже драйвер конкретной видеоплаты.
Ещё раз. Основная проблема дизайна linux — отсутствие бинарной совместимости драйверов. Все остальное — уже печальные следствия.
С другой стороны, в windows не менее 18 типов драйверов, что тоже сложно назвать хорошим дизайном.
RussianNeuroMancer
07.07.2017 09:45+1Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie (вы видимо не слышали о том, что Stretch уже в stable, что в некотором роде равноценно 16.04). Может даже надумаете чего.
Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.
Бида-бида, у кучи драйверов в ядре вообще по одному мейнетру, а многие уже годами не обновлялись (ну, необходимости не было) — как вы будете теперь жить с этим знанием?
А кому они нужны для работы на ARM??? Игрушки разве что писать.
Нихрена себе, IVI в автомобиле это стало быть игрушки, причём я даже знаю какой жанр — гоночки. О других примерах сами догадаетесь?
Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.
Это с каких пор мейнтеры подсистем ядра начали принимать патчи без их тестирования, позвольте поинтересоваться?
Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.
Хорошо, что всё просто и понятно, но что там насчет планшета с клавиатурой? Без клавиатуры специализированный компьютер, а с чехлом-клавиатурой — внезапно универсальное устройство?
С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART.
То есть UART у вас на платах Renesas отвалился на апстримном ядре?
Кстати, I2S — что за зверь? Может I2C?
Может набрать I2S в Гугле и кликнуть по первой строчке? Например.
Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200?
Думаю, что либо ваши проекты это только квадракоптеры, либо вы в зависимости от моего вопроса, будете приводить любой пример, лишь бы не соглашаться :)
Ну серьёзно, у вас что, на всех проектах требования по производительности на ватт как при проектировании квадрокоптеров? Что за цирк, а?
Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.
Поддержка железа Renesas в Linux — очень плоха, так?
Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса.
Так и осталась неизвестной версия ОС у вас дома — седьмая или десятая.
Не вижу кучи воплей сейчас.
Железо, тем не менее, никуда не делось, и драйвера к нему так и не обновили. Частично вопрос постепенно решается тем что люди избавляются от старого железа (продают на eBay/Avito/etc. тем, кто согласен пользоваться им на Win7, то есть тем, кто не будет вопить; я сам так делал) и обзаводятся новым, и частично тем, что в Win10 подставляют костыли под старые драйвера, например спустя два года после выхода Win10 были добавлены костыли для видеодрайверов Intel Clover Trail 2013 года.
И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре
По второму пункту — достаточно написать патч так, чтобы код отрабатывал только на конкретном устройстве.
Пункт 3 явно занял бы меньше времени, чем вы уже потратили на пересборку вышедших ядер.
Вместо 4а и 4б можно договориться с разработчиками из Canonical о бэкпортировании патча, делал это неоднократно.
Jef239
27.06.2017 21:54+1Так все равно, винда или linux. Если у вас обновления идут с корпоративного сервера, куда их выборочно копирует главный админ, то на обоих системах вы не знаете, все ли у вас обновления или нет.
На линуксе чуть хуже, потому что обновления ещё разные на разных дистрибутивах. То есть на винде, перестроивши обновления на сервера микрософта вместо собственного корпоративного зеркала — вы получите все обновления. А линуксе — только те, что успели войти в ваш дистрибутив.
Причина проблем в том, что на обоих системах обновления бывают не совсем корректными. Помните историю, как обновление яндекс-диска удаляло файлы? Ну и аналогичный rm -rf /usr в линуксовском обновлении?
Так что в крупных организациях вроде банков обновления ставятся не сразу, а лишь после проверки. И не из инета, а из корпоративного хранилища. Отсюда и проблемы с актуальностью.solver
27.06.2017 23:06+1Вообще-то говорилось не про сам факт актуальности, а про возможность его проверки.
В линуксе, не важно что и откуда я ставил, из каких PPA или сам собирал. Т.к. у каждой библиотки есть версия и всегда можно очень легко узнать какая версия актуальная и какая стоит в системе. Сравнить и в результате понять что происходит.
Как мне в винде понять, актуальная у меня версия в системе стоит или на машине win update сломался? только анализ логов установки глазками?
Об этом и речь собственно…Jef239
28.06.2017 00:42-3Как будто в linux версия линейна и всегда увеличивается… У автора есть несколько веток — актуальная ночная сборка, альфа, бета, пара стабильных, версия с long поддержкой. К этому добавляется правки от авторов дистрибутива. Какие патчи у них наложены, какие-то нет. В итоге в тяжелом случае — изучать историю коммитов и смотреть, наложен ли нужный патч.
Особенная веселуха — с версиями ядра, особенно со старыми с long поддержкой. А уж если ядро на специфичную плату, которым вендор занимается раз в полгода…
В винде нету такого зоосада версий. А логи можно посмотреть и скриптом и тем же grepом.
В винде проблема в ином — централизованное обновление — оно только на саму винду. А у каждого приложения — свой механизм обновлений. Или вообще — без механизма — следите за сайтом и скачивайте ручками.solver
28.06.2017 02:36+7Вы походу свой личный манимирок с микроплатами переносите на весь мир…
Какие нафиг специфичные платы?
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего. Майки официально отказались публиковать подробную информацию об обновленниях. Про версии я уже молчу…Jef239
28.06.2017 02:54-3Блажен, кто верует, легко ему на свете…
Роутер дома есть? Умный телевизор? Мобильник? Медиаконвертор? Умные часы? Фоторамка? Мобильник на андроиде? У каждого дома — десяток устройств на линуксе. Причем большинство — на очень старых ядрах, вроде 2.6.39.58.
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
Можно. Теоретически. Можно теоретически и свежий патч самому на ядро 2.6.39.58 накатить. Вот только шансы, что заработает — минимальны.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего.
Извините, но это сказки! Ну вот вам то самое обновление KB4012212
Идете в раздел «File information», там в подраздел «Windows 7 and Windows Server 2008 R2 file information» и там видите список файлов с версиями.
На винде просто зоопарк версий на два порядка меньше.
zedroid
28.06.2017 07:42+2Как человек работающий с embedded linux: «Как я Вас понимаю». И просто по человечески желаю не сталкиваться с baytrail на linux. Вот там полный мрак, один официальный патч может включать поддержку дисплея и ломать драйвер тачскрина одновременно.
CodeRush
28.06.2017 08:21+1Это вы там еще прошивку не видели… Я до сих пор по ночам вздрагиваю, хотя уже больше года прошло с тех пор, как с линейкой Atom я больше не работаю.
RussianNeuroMancer
01.07.2017 23:30Патчи для BayTrail почти полностью в апстриме, то что еще не вошло я собираю отсюда: https://github.com/jwrdegoede/linux-sunxi
В случае проблем с разработчиком можно выйти на связь: https://github.com/jwrdegoede/linux-sunxi/commit/250d55e3d35d0baba97e6087d7e7629868745f8a
У некоторых планшетов степень работоспособности близка к 100%: http://4pda.ru/forum/index.php?showtopic=650808&view=findpost&p=60617335
combonik
27.06.2017 17:17Критические данные «ПриватБанка» не пострадали пока, однако это не говорит о том, что отдельно взятые компьютеры банка были успешно зашифрованы.
fly_style
27.06.2017 18:24Приват на убунте сидит и в ус не дует.
yefrem
27.06.2017 19:16Вроде как терминалы пострадали
extempl
27.06.2017 19:22Кстати да, терминалы и банкоматы у них тоже на убунте?
yefrem
27.06.2017 19:31раньше точно были на винде, сейчас не знаю. Сегодня знакомая не смогла передать деньги по причине отказа терминала, так что возможно они на винде. Сам не видел, что именно с ним было.
Fomos
28.06.2017 14:04+1буквально недавно они обновили ПО терминалов, там сейчас точно не винда… дебиан что ле
Alexsandr_SE
28.06.2017 11:35+2Что бы была безопасность нужны затраты. Затраты на бекапы, ПО… Защититься от прохождения вирусни через медок вообще проблемно, а помнится гоструктуры у нас работают в режиме экономии и не получают денег на безопасность, а многие так и вообще домашние компы иной раз приносят на работу т.к. там нет своих (хлам 10-20 летней давности не в счет).
LynXzp
30.06.2017 13:08Не скажу за все, но работают и отдельно получают деньги на безопасность, особенно после выхода закона о защите персональных данных, но на деле (не буду тыкать пальцем в организацию) в IT отделе работает 3 сынка и один админ, на которого в случае факапа все сливается (там даже СБУ разборки устроила, и админу даже повезло — они его обелили).
olnet
28.06.2017 14:04Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )
Но банкоматы Привата вчера вечером не работали)))
dion
27.06.2017 16:57+10Такое ощущение что статья написана домохозяйкой для домохозяек. Про это было написано больше года назад
Мало того, как было замечено выше "попытки написать дешифровщик" закончились год назад.
Даже если предположить, что это результат скрещивания какого-нибудь WannaCry со "старым петей", так называемые "критические объекты" уже давно должны были сделать выводы.
Это всего лишь перепись псевдоадминов, которые смотрят Youtube вместо того чтобы делать то, за что им платят зря плату.
combonik
27.06.2017 17:18Это проблема низких зарплат гос сектора. Однако в этом конкретном случае страдают и те, кто хорошо защищен.
x67
28.06.2017 13:36+2Каким-бы крутым не был админ, от 0day уязвимостей полностью защититься невозможно. Можно минимизировать ущерб, снизить риски, однако на восстановление работоспособности все равно нужно время. Ну и как правильно заметил автор, с большими требованиями пропорционально должна расти зарплата.
throttle
27.06.2017 17:02Кто-то достоверно знает, как оно по сети расползается?
Внутрь с письмом, допустим, попало — а дальше как? Самба?tangro
27.06.2017 17:10Говорят, вот так: https://www.exploit-db.com/docs/41896.pdf
sergarcada
28.06.2017 08:08+7Говорят, вот так: https://www.exploit-db.com/docs/41896.pdf
… и ссылка на зараженный файл — на, на себе проверь. </шутка, извините не удержался:>
VioletGiraffe
27.06.2017 17:06Я правильно предполагаю, что через NAT / роутер оно не пройдёт?
POS_troi
27.06.2017 17:07+2нет, если не пробрасывали порты уязвимых сервисов и в самом роутере нет дыр. (но дырявые роутеры не новость) :)
LynXzp
28.06.2017 04:00И если не ходите по ссылкам, и не открываете прикрепленные файлы.
Frankenstine
30.06.2017 12:54Тем не менее у нас заразился комп, служащий сервером сетевого Medoc'ка. Единственный пострадавший комп из всей сетки.
LynXzp
30.06.2017 13:17Инересно, решил поискать что такое вообще Medoc. Но нашел что-то поинтереснее:
У Microsoft заявили, що через MEDoc сталася масована кібератака. Українська кіберполіція також підозрює MEDoc у поширенні віруса-здирника.
Они открещиваются и говорят что их обновление было без вируса. Помню когда был вирус заражающий Delphi и все скомпилированные программы шли уже зараженными. Там масштабность тоже не знала границ, благо вирус был не злобный. Но это был звоночек.saboteur_kiev
30.06.2017 20:00Я могу высказать свое подозрение, например что клиент MEDoc просто открывает vpn к своему серверу для передачи данных обновлений и других данных по шифрованному каналу, что звучит неплохо.
Но при этом он попадает к этому серверу в локалку, из которой к нему по уязвимой самбе может прилететь неПетя.
Вообще, со стороны MEDoc было бы хорошо написать свой официальный ответ с разбором полетов. Только чтобы техник ответил, а не менеджер по рекламе.
ONEGiN
27.06.2017 17:16Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445,
combonik
27.06.2017 17:20Это полумера, векторов атаки явно больше чем просто порты, как с WannaCry просто закрыть порты и накатить патч пока не получается.
POS_troi
27.06.2017 17:32+6И не получится. Ванкрай был банальным вирусняком который нагнул всех любителей дарить самбу в мир.
Тут просматривается явная подготовка и скорее всего заражение происходило далеко не один месяц но без активации.
Если-бы это было всё также как и с ванкраем то все эти системы отгребли бы ещё при самом ванкрае — когда он пришёлся по 445 порту всея интернета.
В общем как вы понимаете, я не могу поверить что данные события из разряда «ну так вот получилось», чувствуется подготовка. А если и действительно спонтанная атака с такими масштабами разрушений, то я очень боюсь за будущее ОйТи нашего государства.Spiritschaser
30.06.2017 10:11+1> всех любителей дарить самбу в мир.
Справедливости ради, оказалось, что это дефолтное поведение виндового фаервола на режиме «публичные сети». Чего от этого режима никак не ожидаешь. И чтобы его изменить, нужно залезать в настройки правил фаервола, которые позапутаннее iptables.POS_troi
30.06.2017 13:25-1Так-то оно так но в случае с ВанКраем эти порты нужно было выставить в мир или специально или тупо пожадничать на роутер и втыкнуть кабель прямо в комп.
Ruslan_aia
27.06.2017 17:36Образец вредоноса бы выложил кто-то. Можно в виде снимка с машины, или как он там доставляется (письмо, ссылка, котик.jpg.scr)
Timarlay
27.06.2017 18:04-1Верну в рабочее состояние серваки и пошарю по старому образу, вдруг что есть (или на почте)
LynXzp
28.06.2017 04:14Тут сказано на какой сайт зайти чтобы заразится:
http://1337.verylegit.link/gat.dUZ3772mobiads.gif.exe
(Прошу не минусовать тех кто боятся этой ссылки, выкладывая ее я преследовал скрытую цель, но не заражения)
Timarlay
27.06.2017 17:42Сами столкнулись сейчас с такой бедой 4 сервака лягло. Предварительно думаем что через почту заразились локальные пк менеджеров(через почтовую переписку с поставщиками, так как они тоже оказались заражены), далее файловый сервер ну и дальше и удаленка с бд. Если кто найдет решение делитесь.
simplix
27.06.2017 17:42+2У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.
simplix
27.06.2017 19:21+2Почему-то автор на ПМ не отвечает, так что пишу публично — ссылки на обновления бесполезны, они закрывают уязвимость от WannaCry, но не от Пети. Последний заражает даже обновлённые машины.
simplix
02.07.2017 00:44Считаю необходимым дополнить сообщение, когда методы распространения заразы стали известны. На тот момент мне не было известно (и даже допустимо), что заражение пришло через Медок, так что это могла быть не новая уязвимость, а грамотное использование старой. Проанализировав все факты становится понятно, что всё началось именно с Медка, затем червь с помощью Mimikatz смог извлечь некоторые другие пароли попасть даже туда, куда можно попасть только со знанием паролей. Также он просканировал сеть и заразил несколько машин, которые избежали обновлений (жёсткого контроля пользователей по определённым причинам нет), и допускаю что часть могла запустить вложение из почты. Выводы сделаны, гайки буду закручивать сильнее.
Teomit
27.06.2017 19:44+1Заражение могло пройти ранее, до того как вы поставили обновления в связи с новостью про Wannacry. Просто вирус спал всё это время.
combonik
27.06.2017 19:45Да, есть информация что вирусе была прописана дата «старта» 11 утра 27.06.17 поэтому нужно уточнять когда именно компьютер заразился.
simplix
27.06.2017 19:46Это исключено, кроме установки обновлений лично проверял их, чтобы всё было чисто.
hurtavy
27.06.2017 17:58+7Пострадала не только Украина же! А как же российские Роснефть, Башнефть и прочие?
Lapayx
27.06.2017 18:06+4Беларусь тоже немного задела напасть
ОАО «Бобруйский машиностроительный завод».
Из оффициальных новостных новостных источников
Alyoshka1976
27.06.2017 18:06+3Так после перезагрузки происходит перезапись MBR или передается управление на уже переписанную MBR?
Если первое, то зачем такие сложности, почему сразу не перезаписывает? А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?4eyes
27.06.2017 19:02+2Здесь перепутали ACPI S3 Sleep (suspend to RAM), когда лампочка мигает, и комп включается за пару секунд, с S4 (Suspend to disk или Hibernate) — когда лампочка не мигает.
В S4 после запуска выполняется обычная загрузка POST -> MBR -> Windows и уже Windows сам восстанавливает с диска свое состояние. С случае переписи MBR не восстановит, естественно.
Если включен Hybrid Sleep — то комп уходит в S3, с подстраховкой в виде S4 на случай если уборщица выдернет вилку из розетки.
gunya
27.06.2017 19:15+2> А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Включение компьютера из состояния гибернации ничем не отличается от холодного включения, MBR используется. Загрузчик Windows сам определяет, нужно ли делать холодный старт или восстанавливать образ ОП.
Frankenstine
30.06.2017 13:04+1У нас майкрософтовский антивирус увидел заражение бут сектора и «вылечил» его. Биткойны в результате не вымагались. Но пользовательские файлы всё же зашифровались. Примерно с пол часа прошло, пока я со всем этим ковырялся-разбирался, и вдруг возникло штатное предупреждение о перезагрузке через минуту с отсчётом времени. Посмотрев в журнал винды, перезагрузка была запрошена explorer.exe и поддержана wininit.exe, причина не указана.
Ten
27.06.2017 18:07По UPD6. Это ведь от WannaCry заплаты?
Xaliuss
27.06.2017 19:36Мартовские апдейты, которые закрывали ту уязвимость. В комментариях видел, что последние апдейты тоже уязвимы, но пока однозначного ответа на вопрос нет. У этого вируса рассылки по внешним сетям нет, начальное заражение по почте, а локальные сети работают чуть иначе.
AllanStark
27.06.2017 19:36Уязвимы последние версии ОС со всеми последними апдетами вплоть по сегодня (Defender).
brickerino
27.06.2017 19:36Да, EternalBlue закрывает. Но текущая дыра не в этом. Пролезает и сквозь последние патчи.
combonik
27.06.2017 19:36По тестам не всегда. Иногда да, а иногда патч помогает, пытаемся понять почему так.
Xaliuss
27.06.2017 19:44Литреев пишет, что возможно в Petya используется новая уязвимость 0-day, и некоторые другие специалисты с ним согласны.
brickerino
27.06.2017 20:01Мне кажется очевидно, что нужно всерьез рассматривать свежие уязвимости, потому что распространение повальное.
Ten
27.06.2017 18:27-1"Так, похоже, что компьютеры европейских компаний поразил вирус типа Win32/Diskcoder.Petya.C, а вернее, его модификация. Он повреждает запись MBR, но, похоже, не трогает сами данные. Распространяется через уязвимость в SMB, но это не единственный способ распространения.
Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом."
t.me/alexlitreev_channel
alkresin
27.06.2017 18:28+3Если, как написано, «это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows,...», то что за патчи предлагается ставить?
Ten
27.06.2017 18:33-1"Мне написал технический директор ESET Israel и подтвердил, что это новая модификация Petya."
t.me/alexlitreev_channel
AllanStark
27.06.2017 18:45+4По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.simplix
27.06.2017 19:18Откуда известно, что именно SMB?
AllanStark
27.06.2017 19:24+1Пока только догадки, исходя из скорости распространения внутри локальной сети.
simplix
27.06.2017 19:55Есть предположение, что он попал с обновлением Медка, а потом распространился по SMB через новую уязвимость.
max0220
27.06.2017 19:14Вопрос на счет UPD 6
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
Именно по такому адресу должен быть файлы?
Нашел у себя
C:\Windows\INF\PERFLIB\0000\perfc.dat
C:\Windows\INF\PERFLIB\0409\perfc.dat
C:\Windows\INF\PERFLIB\0419\perfc.dat
Это то же или это не опасно?Alyoshka1976
27.06.2017 19:35+2Эти файлы относятся к счетчикам производительности (409/419 — коды языков).
Вот цитата о файлах perfXxxxx.dat в System32:
«Perfc009.dat and Perfh009.dat: These file system files reflect the current state of the performance registry.
Perfd009.dat and Perfi009.dat: These file system files reflect the initial state of the performance registry.»
А perfX.dat без цифр в INF IMHO исходные версии этих файлов.
norchik
27.06.2017 19:15кто подкинет вирус… хочу потестить на виртуале как распостраняеться
vlreshet
28.06.2017 10:22Вполне возможно что на виртуалке он не запустится. Вирусы уже давно научились детектить «песочницы»
Xaliuss
28.06.2017 10:24Видел сообщения, о том что виртуалки страдали. С учетом атаки по таймеру песочница была не опасна для первоначального обнаружения, а после срабатывания было поздно.
Dymvel
27.06.2017 19:15Вопрос:
«Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat».
Как данный файл связан с шифровальщиком?
Он должен быть именно по этому пути (не в поддиректориях)?
DieSlogan
27.06.2017 19:30-1Я что-то не понял или WannaCry людей ничему не научил или вирус использует новую уязвимость?
disputant
27.06.2017 19:34«Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows»
Вот поясните, предлагают ставить обновления (см. список выше) — еще в марте они были. Так что, их MS не предлагали к автоматическому обновлению?
Пересмотрел все свои обновления — там KB4012212 ни в каких списках нет…
P.S. Кстати, ставить? не ставить? а то с этим пожаром просто стремно что ни попадя на машину тянуть :)combonik
27.06.2017 19:35Смотрите UPD 6 и UPD 7
Charg
27.06.2017 22:52Ну я посмотрел, и? Вы в статье утверждаете что упоминаемые компании имеют последние обновления. Последние обновления включают в себя те обновления, ссылки на которые приведены в upd6 и 7, и тем не менее оказались заражены.
Что-то не сходится…
Karsonito
27.06.2017 22:12KB4012212 — это Security Only патч
проверьте у себя KB4012215. это Monthly Rollup включающий также исправления ошибокCharg
27.06.2017 23:13Дополню — это мартовские (или апрельские) патчи. Если в этот месяц обновления произведены не были — сейчас ставится более свежий (майский или июньский) патчи, с другими номерами, но которые включают в себя всё то что было в KB4012212\KB4012215
Efficeon
28.06.2017 14:03Ещё немного дополню: Monthly Rollup включает в себя все предыдущие Monthly Rollup-ы, т.е. в системе только последний. А Security-only Update в каждом месяце свой, он не кумулятивный, и соответственно сколько месяцев — столько Security-only Update-ов (за исключением месяцев, когда их не было выпущено Microsoft).
По смыслу в системе или обновляется Monthly Rollup, или накапливаются Security-only Update-ы.
Spectre
27.06.2017 19:42+2есть любопытные совпадения, в моем окружении все заразились после обновления программы Medoc
combonik
27.06.2017 19:44Можно подробнее и с фактами?
Xaliuss
27.06.2017 19:49О Medoc пока подтверждения нет. Это от того специалиста, который одним из первых про Medoc сообщал. Ранее уже в мае через Medoc вирус попадал, так что подозрения есть.
Spectre
27.06.2017 19:58+1есть штук 6 сообщений с утра, компании от мелких до среднекрупных, в 3 случаях зараза появилась ровно после обновления медка. Самому лично возможности посмотреть нет, несколько лет уже отошёл от администрирования, если будут какие-то ещё интересные факты отпишу. Одесса
arhatiy
28.06.2017 14:03+1 после обновления МеДок. Но по сетке не расползлось, возможно сработали патчи Майкрософт.
dklm
27.06.2017 23:20я два сервера медка обновил еще вчера, и еще несколько серверов сегодня утром, весь домен лег после часу дня, можно сказать что все виндовс машины умерли одновременно… Также умерли предприятия где нету серверов медка…
Puxta4ok
27.06.2017 19:43Кто-то может мне объяснить, если он шифрует только MBR, в чем собственно проблема? Восстановить MBR и погнали? Или где я ошибаюсь?
Alyoshka1976
27.06.2017 19:46Скорее всего, автор поста хотел сказать «шифрует диски с MBR», иначе, конечно, баловство какое-то :-)
AllanStark
27.06.2017 19:49Не помогает восстановление загрузочной записи… Просто видна unknown партиция вместо системной и все.
Пробовали штатными средствами bootrec
n0ne
27.06.2017 19:52Ещё всякие папки, типа WIndows, Programm files, Documents and settings, etc тоже шифруются, становятся размером 0 и датой создания 1 января 1970. Странно то, что один диск С нормально подмонтировался, хотя бы смог посмотреть, что случилось, а с другой машины не подмонтировался даже…
да и вообще не понимаю, по какой логике заражались машины…Puxta4ok
27.06.2017 20:22А известно в какой момент шифруются файлы? В фоне вместе с mbr или после перезагрузки?
Fangelion
27.06.2017 20:26после перезагрузки работает миша. Он шифрует файлы. Это все тот же Petya, и работает он все так же, только более продвинут
Krakoruk
27.06.2017 20:42Т.е. вариант решения — восстановить MBR без попытки старта ОС?
Fangelion
27.06.2017 20:52у нас чел восстановил разделы через partition wizard. Но, говорит, что на винтах файлы пошифрованы. Больше вытянуть из него не удалось, он ушел в себя, может позже появится еще.
Комп с десяткой, десятка установлена 21 числа, апдейты накатили. Данные зашифрованы.
Krakoruk
27.06.2017 21:00Спасибо. Значит шифрование файлов производится еще ДО перезагрузки :(
Frankenstine
30.06.2017 13:12Однозначно до. У нас антивирус отловил заражение бут сектора, но файлы при этом уже оказались зашифрованы (вируса, непосредственно шифровавшего, не обнаружил — возможно он был только в оперативной памяти).
Alexsandr_SE
28.06.2017 11:57Похоже несколько модификаций, случай о котором знаю только шифрование mbr, но не факт, что так во всех случаях.
AlexGryn
27.06.2017 19:55+3Данные md5 и общие сведения от IBM X-Force:
https://exchange.xforce.ibmcloud.com/collection/Petya-Ransomware-Campaign-9c4316058c7a4c50931d135e62d55d89
Disen
27.06.2017 20:05-8Пострадали и довольно хорошо защищенные компании.
Уа-ха-ха! Это Вы про те, что MS17-010 не могут закрыть? Думаю, если копнуть чуть-чуть, то в таких «хорошо защищенных» ms08-067 есть.
shpektaras
27.06.2017 20:09-1Эта история еще раз подтверждает, что монополия одной системы — зло. Причем в любой сфере, не только в ІТ.
Ведь если в организациях (к примеру) 50% машин было бы на винде, а другие 50% на юникс-лайк системах, упала бы только половина машин, а не все.Jef239
27.06.2017 20:13-1Думаете нереально зацепить Windows-машины через подсистему linux? Ну или linxu-машины через wine. Отличие в том, что wine стоит не у всех, а вот lunux-подсистема — на большинстве Win 10 есть.
Xaliuss
27.06.2017 20:14+3А стоимость обслуживания при этом могла бы удвоиться, даже не учитывая особенно совместимость. Делать 2 системы на разных принципах для одной задачи в одной структуре имеет смысл крайне редко — космос, авиация, оборона, возможно ещё что-то критическое. Во всех остальных случаях небольшое повышение надежности в некоторых сценариях (и понижение в других) приведет к серьёзному увеличению затрат труда и средств.
shpektaras
27.06.2017 20:31Если бы вы мне сказали эту мысль вчера, я бы пожалуй с вами согласился. Но сегодня — нет.
Я думаю вы согласитесь, что убытки компаний, подвергшись атаке, будут огромны (и через простой, и через потерю данных). А вот если бы была возможность держать в организации парк машин с разными системами, тогда потери были бы в разы меньше. Конечно, тогда нужно, чтобы каждая система могла на одном уровне покрывать все потребности в работе, чего сейчас на десктопе трудно добиться, к сожалению. В этом и проблема.Fangelion
27.06.2017 20:34одно хорошо, в украине завтра выходной, не у всех, но все же у большинства компаний, и они восстановят работосопосбность. А вот с данными у всех будет по-разному.
shpektaras
27.06.2017 20:40+1хорошо для всех, кроме сисадминов, которым завтра в выходной придется работать :-)
EvilFox
27.06.2017 21:15Если они делают бэкпапы, убытки компании не столь большие (а если восстановление автоматизировано то и вовсе ничтожны) — взяли и развернули образ на день назад. Ну а критически важные данные можно запасать и почаще. Запасать естественно на комп с другой ОС.
shpektaras
27.06.2017 21:21+2Если они делают бэкпапы, убытки компании не столь большие
Убытки за потерю данных — да. Но вот простой дня работы целой компании обойдется недешево.
Pakos
28.06.2017 11:37Стоимость разработки обычно побольше стоимости восстановления из бекапов и накатки образов на отформатированные диски. Простой, конечно, но он не идёт ни в какой сравнение с повторением той же системы на другой платформе (тем более хранилище всё равно одно), а проектировать изначально 2 системы — от одного предложения руководство посчитает идиотом (за просто так потратить вдвое больше ресурсов). Простой даже в несколько дней будет гарантированно дешевле.
shpektaras
28.06.2017 13:02Простой даже в несколько дней будет гарантированно дешевле.
Вы уверены? Убытки уже оценивают в миллиарды гривен. Я сильно сомневаюсь, что при возможности нормальной взаимозаменяемости Windows другой ОС’ью в рабочей среде, поддержка стоила бы дороже всех этих убытков (и да, Приватбанк — хороший пример). Но нормальной взаимозаменяемости на десктопе нет, потому что тут монополия Windows.
Такая ситуация была бы невозможна в сфере мобильных ОС, ведь тут Android вполне себе конкурентная система для iOS и наоборот. То же самое в сфере браузеров — хром, фаерфокс и т. д.
И хоть меня продолжают минусовать, я все равно уверен, что любая монополия — зло. А если кто-то считает иначе, вспомните, что было с вэбом в эпоху монополии Internet Explorer.Pakos
28.06.2017 13:11+1Убытки одной компании? Значит создание полной копии системы для такой компании будет явно не дешевле. И не только создания — удваивается сопровождение, развивать и дорабатывать нужно тоже параллельно, учитывая что вторая система в роли догоняющей и ей за месяцы надо пройти путь в годы предыдущей, а потом ещё и наверстать эти месяцы (что увеличивает цену разработки), то ситуация ещё ухудшается. А добивают пользователи, которых нужно обучать работать с двумя системами и тонкий клиент — это не всегда выход. Более того — иногда просто невозможно перейти на другую систему (потому как написать свою часть должны производитель железа. смежники, госструктуры), тут не всегда как с рашн консул — пасибл, бат вери экспенсив, тут зачастую импасибл.
shpektaras
28.06.2017 14:14Я с вами согласен. Ситуация, которую вы описали — это следствие монополии, ни больше ни меньше.
Приведу пример с браузерами. Вспомните эпоху монополии Internet Explorer — тогда тоже все сидели на нем. Ну и сайты верстались исключительно под IE, ибо 90% рынка. В итоге любая критическая уязвимость либо баг в IE (потенциально) мог запросто сломать весь вэб.
Но потом на сцену вышли фаерфокс, хром, другие браузеры, монополия была сломана и сайты уже перестали делаться под один браузер. И сейчас, если в одном из браузеров найдется критическая уязвимость либо баг, упадет только часть вэб-клиентов, но не сломается все.Jef239
28.06.2017 14:35Ноль проблем, покажите пример. Все домашние роутеры на *nix, причем в 99% — это linux. Пожалуйста, сделайте прошивку для популярных роутеров под windows. :-) Что-то вроде DD-WRT, только с windows.
P.S. Если вы понимаете, почему это нереально, то легко поймете почему и в остальных местах засилье одной системы.shpektaras
28.06.2017 15:02+1причем в 99% — это linux
Уверены? Я могу ошибаться, но (насколько я осведомлен) в сетевом оборудовании огромный процент прошивок на bsd и прочих юниксах. Я надеюсь, вы понимаете, что linux != bsd/unix, хоть это и одно семейство ОС.
Так что тут как раз-таки монополии нет, есть много продуктов от разных производителей. И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.Lampus
28.06.2017 15:55У меня дома лежит пачка старых роутеров и ADSL модемов.
Что-то отличное от Linux встречается очень редко.
Могу вспомнить разве что VxWorks и ZyNOS. Всё-таки ядро Linux — это весьма хороший framework для написания драйверов, плюс там очень много поддерживаемых «плюшек» (сетевых протоколов, алгоритмов шифрования и прочего). А тут важен параметр Time To Market, поэтому в большинстве случаев берут именно его, ибо цена доработки под свою железку минимальна.
А с WinCE и Platform Builder мне пришлось немного пострадать, не могу сказать что мне понравилось.
Jef239
28.06.2017 16:11-1Насколько я знаю, аналога BusyBox для FreeBSD нет. А это означает, что для FreeBSD потребуется больший объем flash-памяти, чем для linux.
FreeBSD — это прежде всего сервера, магистральное оборудование и так далее. А вот в домашних роутерах считается каждая копейка, потраченная на железо. Поэтому там засилье linux.
И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.
А если это что-то типа Heartbleed, то оно затронет не только все linux-машины, а и вообще все *nix. Любуйтесь на описание OpenSSL:
Доступна для большинства UNIX-подобных операционных систем (включая Solaris/OpenSolaris, Linux, Mac OS X, QNX4[3], QNX6 и четырёх операционных систем BSD с открытым исходным кодом), а также для OpenVMS и Microsoft Windows.
mayorovp
28.06.2017 16:44http://portsmon.freebsd.org/portoverview.py?category=sysutils&portname=busybox
PS насколько я знаю, у Cisco своя ОС, у Juniper — форк FreeBSD, у Microtik — linux, у D-Link — тоже Linux. Проект OpenWRT делается на основе Linux, проект FreeNAS — на основе FreeBSD.
Jef239
28.06.2017 17:09И кто из «домашние роутеры»? :-) Это не Cisco, ни Juniper, ни FreeNAS. То есть — остается практически чистый linux.
P.S. За инфу про порт BusyBox — спасибо.
Pakos
29.06.2017 09:12Браузер намного проще подобных систем, взять хотя бы документированный стандарт. Тут уже была история о реверсе процессов нефтеперерабатывающего завода, могу сказать что это ещё хороший вариант.
Jef239
28.06.2017 14:40Ну есть вариант — все система в инете. А пользователи работают с сайтом и им все равно, в какой системе запущен chrome. Но это довольно узкая ниша. Если уж делать — то не ради двух систем на десктопе, а ради планшетов и мобильников.
Pakos
29.06.2017 09:11Нет варианта, это бесполезно как WiFi-чайник — он в себя воду не нальёт, так и тут — оборудование должно быть рядом, у него должны быть драйвера (а работа из браузера — ещё то извращение, пробовали), переделка оборудования — это нужен месяц простоя. Банки могут, многие другие — нет.
Jef239
29.06.2017 15:09Ну чем дальше — тем больше переносится в браузер. Лет 15 назад я бы не поверил, что можно в браузере смотреть PDF (в смысле без плагинов, просто читалка на JS). Оказалось — можно. И так далее… Непроизводительно все на JS писать, но… потихоньку очень многое офисное на портируется.
Pakos
29.06.2017 15:31И с железом умудряются работать — нативная dll, Джава-аплет для вызова нативной dll, только это для небольшого класса устройств, выглядит полным извращением и работает через пень-колоду.И, как видно, нифига не кроссплатформенно. Не считая того что даже это кто-то должен создать.
saboteur_kiev
29.06.2017 18:26+1Если бы популярной была другая ОС, в другой ОС тоже бывают уязвимости.
Например, давайте вспомним, на какой ОС появился первый интернет червь, использующий уязвимость, и какая ОС в то время была самая популярная в сети.
Fangelion
27.06.2017 20:26у нас упала половина машин, остальные успели вручную отключить от локалки, а потом и вовсе потушить на всякий. Но да, офис парализован. Хотя варианта с *никс нет, специфика((
shpektaras
27.06.2017 20:37Хотя варианта с *никс нет, специфика((
В этом, собственно, и проблема — трудно заменить винду, потому она всюду стоит. А раз всюду стоит, то и случилось что случилось. Была бы возможность нормальной взаимозаменяемости систем для работы — было бы тогда несколько систем и организация бы не была заблокирована.
OlegProton
27.06.2017 20:26-12С Mac-а очень интересно наблюдается за происходящей паникой…
EvilFox
27.06.2017 21:26+5https://nakedsecurity.sophos.com/2012/06/14/mac-malware-apple-marketing-message/
На маках уже давно есть ботнеты. Если компов на маках станет много и они проникнут широко в компании, ими тоже заинтересуются. Всё упирается в выгоду.
Charg
27.06.2017 23:18+12Дело не в том что мак такой защищенный и классный (это не так), дело в том что мак это неуловимый Джо.
OlegProton
30.06.2017 11:35Потому что их мало?
sergarcada
30.06.2017 12:19Скорее, потому что маки не используются в серверах, банкоматах и тому подобных системах.
Isopropil
27.06.2017 20:34-12Эх… Ну им не впервой. Переустановят кактус, и продолжат дальше его грызть.
cepro
27.06.2017 20:43Windows 10 Pro 1607 x64 — обновление KB4013429 не устанавливается — пишет «обновление не применимо к вашему компьютеру».
В списке обновлений (смотрел через «Панель управления / Программы и компоненты / Просмотр установленных обновлений») KB4013429 отсутствует. ((
Если компьютер автоматически обновляется, почему этого обновления в системе нет?
И почему скаченное не устанавливается?VEG
27.06.2017 20:57+1Скорее всего у вас уже установлено кумулятивное обновление безопасности, которое Microsoft выпускает каждый месяц. Номер у него каждый раз разный.
antonksa
27.06.2017 20:59Потому что скаченное от слова катить, а не качать. Вот оно и скатилось а не скачалось.
ruzhovt
27.06.2017 21:08+1Elevates process privileges using the tokens SeShutdownPrivilege, SeDebugPrivilege, and SeTcpPrivilege
schtasks /Create /sc once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /sT 09:65
Three confirmed Petya samples with at least two using a fake Microsoft Digital Certificate
IRIS confirmed Petya is using ETERNALBLUEFanta
27.06.2017 21:11+1что такое 09:65 ?
KaIsLikeAWind
27.06.2017 21:13время запуска задачи планировщика
ruzhovt
27.06.2017 21:15+1Меня тоже смущает время 65 минут… пока не понимаю почему там 65 )
https://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx
/ST starttime
A value that specifies the start time to run the task. The time format is HH:mm (24-hour time). For example, 14:30 specifies 2:30PM. The default is the current time is /ST is not specified. This option is required wit the /SC ONCE argument.
anten
27.06.2017 21:12Вопрос по этому пункту:
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
есть такой файл. файл на windows server 2008 r2. сервер не перегружали. пока работает. в сети были зараженные компьютеры, отправил на переустановку системы. что можно предпринять?
IMPERlAL
27.06.2017 21:38+2А M.E.Doc используется? Просто чтобы знать, участвует он в этом или нет.
anten
28.06.2017 13:27используется. и сейчас в памяти его агент висит. файл «perfc» теперь почему-то без расширения.
Escsun
28.06.2017 14:39+1Local kill-switch — create file «C:\Windows\perfc»
https://twitter.com/ptsecurity/status/879779327579086848
И на эту тему, там более подробно описывают техническую сторону вируса:
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
Frankenstine
30.06.2017 13:23Хоть они и отпираются до сих пор, но нутром чую — именно через медок и пришло заражение.
iG0Lka
27.06.2017 22:31он точно лежит в c:\windows?
есть родные виндовые файлы perfc.dat лежащие в других каталогах.
для страховки можете скопировать родной файл perfc.dat в каталог c:\windows и после этого удалить всех пользователей из его прав, добавить пользователя «Все» и сделать ему запрет на все права.
Sergey_datex
27.06.2017 22:12+1В тех компах что нам сегодня привезли — MeDOC используется.
В mbr баннер, но то ерунда. MFT частично шифрована на всех дисках, по остаткам MFT собираю файловую — файлы тоже часть зашифрована (почти все doc, xls, pdf), часть нет (чудом одна база 1С 7.7 DBF), jpg.
Whitesunset
27.06.2017 22:17Мониторинг кошелька вымогателей онлайн.
Если есть подтвержденная информация о других кошельках — дополняйте.
iG0Lka
27.06.2017 22:22у пользователей создался файл «rundll32.exe»
в каком каталоге?
создавался файл perfc.bat
опять же — в каком каталоге?
спрашиваю потому, что можно заранее скопировать родной файл винды и сделать запрет на полный доступ для «Все»
dklm
27.06.2017 22:47+3
Потеряль сегодня весь домен(ws2008r2+w7+xp), выжыли только тонкие клиенты на линуксе и сервера на линуксе.
Стоял каспер, стояли все обновления от микрософта по 20тое мая, развернуты политики APPLocker и Software restriction policy. печаль…
П.С.
делайте резервные копии, и периодически их проверяйте.
П.П.С.
Зашифровало только диски С.simplix
28.06.2017 01:09Медок на сервере стоял? Клиентские машины были обновлены тоже по 20 мая? Если была хоть одна машина с июньскими обновлениями — она тоже пострадала?
dklm
28.06.2017 08:10Медок был сетевой — стоял на vm с вин xp, обновления на медок я ставил на несколько серверов еще за день до этого, и еще несколько серверов обновил до 9 утра, а все погибло после часа дня.
К сожалению, к установке через wsus июльских обновлений я еще не приступал.
У меня выжыло две vm (ws2008r2 и xp) и один ноутбук(w7), ноутбук просто отключили от сети, когда стало понятно что происходит.
Также умерли несколько тестовых vm которые были вне домена ws2008r2, а несколько тестовых ws2012R2 не доменных и без обновлений — выжили =\
brammator
28.06.2017 08:47К сожалению, к установке через wsus июльских обновлений я еще не приступал.
Прошу прощения, июньских или июльских?
Spewow
28.06.2017 07:321.Каспер при подключении к KNS блокировал эту атаку по поведенческому признаку. Сейчас уже добавили классическую сигнатуру. Было соединение с KNS?
2.AppLocker работал по белым или чёрным спискам?
3. SRP работал по всем учеткам или для адмиских было сделано исключение в настройках?dklm
28.06.2017 08:021 — сервер каспера умер — думаю одним из первых, обновления скачивал раз в 2 часа…
2 — AppLocker был только на терминальніх серверах, разрешался запуск по и скриптов из стандартных каталогов и несколько не стандартных.
3 — адмны были в исключениях, SRP актуален только для win7 и xp,
большая часть пользователей работает на терминальных серверах, а правами администратора на vm с ролью домен контролеров обладает только 3 человека… и тем не менее все зашифровало )))Spewow
28.06.2017 09:012.3 Разрешение по путям в данной атаке не работает, исполняемый файл запускался с высокими правами как раз из системных каталогов. Сработало бы если бы включён контроль запрета всех неизвестных exe.
1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.
realscorp
28.06.2017 11:18делайте резервные копии, и периодически их проверяйте.
А вы делали? Вы прям данные все потеряли, или только работоспособность машин? SRP как настроен был?
Понимаю, прям сейчас вам, наверное, не до того, но отпишитесь, пожалуйста, как появится время.dklm
28.06.2017 23:16+1Делал =) все что было в расписании будет востановлено (vmware data recovery 2.*)
какимто чудом не задело почтовые базы — для почтового сервера я востановил только системный диск.
Акронис диск директор способен заставить работать пораженные пк, восстанавливает разметку диска, и диском от винды нужно востановить mbr. но данные пользователей зашиврованы на дисках с и д… =\.
dklm
28.06.2017 23:25+1SRP работали только на клиентских ПК и разрешали запуск ПО и скриптов только из «стандарных каталогов».
на терминальных серверах работали политики APPLocker, тоже разрешали запуск из «стандартных каталогов».
Isopropil
27.06.2017 23:01-6Киберполиция… Шиндошс… Ну, я не удивлюсь новости, что управление по борьбе с наркотиками перестало функционировать, т.к. скололось героином.
VladOnOff
27.06.2017 23:03+722.05.2017
… Подобные выводы – однозначно ошибочные, ведь разработчик «M.E.Doc», как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого нами были заключены договоры с крупными антивирусными компаниями...
27.06.2017
Внимание!
На наши сервера осуществляется вирусная атака.
Хех.mayorovp
28.06.2017 08:59Что-то цитаты не гуглятся...
Xaliuss
28.06.2017 09:12+2Самое смешное, что первое сообщение есть , а второе вчера вечером на официальном сайте было, а сегодня ссылка (Вниманию пользователей!) ведет на совершенно другой документ. Видимо точно частично виноваты.
quwy
27.06.2017 23:37Если эксплуатируется просто уязвимость в SMB, то должна быть эпидемия в домовых сетях. Есть подверждения?
Fangelion
27.06.2017 23:51Да, реже, но случаи были, особенно если нет промежуточного роутера с натом. У нас, когда на фирме выключили все железо, люди начали звонить домой и предупреждать. Некоторые домашние не успели выдернуть шнур из сети. У нас все это пришлось в примерно 15:30 по Киевскому времени.
IMPERlAL
28.06.2017 00:07Этому подверглись только работники фирмы у которых компы были связанны с рабочей сетью? Или есть рядовые пользователи?
Fangelion
28.06.2017 00:09+1рядовые. У нас вообще сеть дальше здания не высовывалась, теоретически была локальной, но на практике видимо нет, какой-то комп одновременно торчал и в инете.
SpiritOfVox
28.06.2017 11:52В домовых сетях обычно (кроме редких буратин) наглухо забиты все порты относящиеся к SMB.
DistortNeo
28.06.2017 16:11Ну да. Если раньше большая внутренняя локальная сеть была в порядке вещей, то сейчас такого больше нет.
SpiritOfVox
28.06.2017 18:03Насколько мне известно её не стало уже очень давно т.к. и ранее были всевозможные проблемы от корпоративной технологии в провайдерской сети. Там же большой трафик идёт при поиске ресурсов, у людей крали файлы и т.п. В общем виндовые шары в провайдерской сети не нужны, они не для этого был придуманы.
RidgeA
27.06.2017 23:41Объясните, пожалуйста, следующее.
Из прочитанного я сделал следующий вывод.
Вирус работает в 2 этапа:
— на первом этапе заменяется MBR
— на втором шифруются данные в разделах.
Если я все правильно понял, то вопрос в следующем — на свежих ПК и ОС в основном, если не ошибаюсь используется GPT разметка — подвержены ли риску такие ПК?AllanStark
27.06.2017 23:42Да
RidgeA
27.06.2017 23:54спасибо, а можно подробнее?
http2
28.06.2017 00:11-15- Новость как бальзам на душу.
- Решето.
- О, мелкомягкие выпустили даже обнову на мою любимую XP, спасибо им. :)
- Шифрует только диск Ц? Млин, а в чем проблем? Переустанавливайте систему, делов-то.
Jasson
28.06.2017 13:41Не все так просто, если у Вас было несколько разделов то установочная тулза видит только один общий раздец.
lingvo
28.06.2017 00:25Народ а подскажите, что делать в такой ситуации — сервер на Windows Server 2003. Там 1С работает через терминалку + Me.doc + файлопомойка. После информации об атаке, сервер был выключен вручную сегодня вечером, также как и интернет в офисе. Все локальные компьютеры на 7-ке до конца рабочего дня работали.
Теперь боимся включать все обратно. Как лучше поступить?SpiritOfVox
28.06.2017 00:35Начните с того чтобы сделать бекап (не на самом сервере, конечно) сервера и всего до чего руки дотянутся.
Fangelion
28.06.2017 00:39+5Сделать бэкапы из-под *nix или live-cd
Отключить от локалки все машинки.
Просканировать машинки на предмет признаков зловреда.
Создать C:\Windows\perfc
Навернуть самые свежие нужные апдейты.
Повесить мониторинг входящих файлов извне на какой-нить линуксовый сервер на предмет опасных сигнатур.
Перекрыть ненужные порты извне на роутере
Подключить машинки к локалке
Yngvie
28.06.2017 00:45Думаю можно загрузиться с live CD какого нибудь антивируса. Windows Defender Offline не поддерживает 2003 сервер кажется, но может стоит попробовать решения от Avira или Bit Defender?
Сам планирую завтра запустить live CD и проверить что осталось на диске.
simplix
28.06.2017 00:52+2Дополнение к моим сообщениям выше:
1) Развернул резервные копии на утро 27 июня, в них нет трояна, подозрение на заранее установленный зловред и часовую бомбу снимается.
2) На одном из серверов не зашифровался диск D (при этом везде C зашифрован и у него «неизвестная ФС»), однако большинство самих файлов зашифрованы без смены имён. Это видно по дате и при сравнении с файлами в бекапе.
3) На одном из серверов Медка не было вообще, при этом стояли последние обновления и были урезаны права пользователям. Так что оно распространяется не только Медком, предположение о 0-day остаётся в силе, хотя публичного подтверждения ещё нет.
4) На другой организации из всей локальной сети пострадал один рядовой компьютер и там был Медок.
PaulAtreides
28.06.2017 03:22+6Внутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем.
Karsonito
29.06.2017 12:21У Вас на всех машинах была админская учетка с одинаковым паролем? Если да, то Mimikatz самое вероятное объяснение
Pochemuk
29.06.2017 13:39А как тогда зловред пробирается на контроллеры AD? Ведь на PDC и BDC учетные записи локальных администраторов блокируются?
Или они с учетками доменных админов на них попадают?
Daimos
29.06.2017 14:15+1Mimikatz достает пароли ВСЕХ учеток, залогиненных в системе — и доменные естественно тоже.
Только что тестировал на WIndows 10 1703 Enterprise — легко и непринужденно достала пароль доменного админа на простой машине.
Но включение этого админа в группу Protected Users в AD уровня 2012R2 решает проблему вроде бы и пароль в открытом виде Mmikatz уже не смогла достать.Pochemuk
29.06.2017 14:18Увы, у нас и PDC и BDC на Win2K3…
Daimos
29.06.2017 14:25+1И что? Не вижу проблем поставить пару новых виртуалок и перенести роли AD на них, потом понизить старые сервера из контроллеров домена до роли простых серверов и повысить уровень домена.
Или продолжать и дальше сидеть на пороховой бочке, когда в любой момент может повториться та же ситуация с похожим вирусом.
Что для конторы ценеее — один новый сервак или информация? Если не было бэкапов — то это почти смерть конторе будет, когда ляжет ВСЯ проделанная работа.
IGHOR
28.06.2017 01:09-2Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.SpiritOfVox
28.06.2017 01:40+1А как же сетевые диски? А прочие сетевые радости типа почты, мессенджера и т.п.?
IGHOR
28.06.2017 01:57-4Можно смело перейти с SMB на FTP, чем больше не стандартных методов выполнения стандартных задач, тем меньше шансов попасть под сценарий вируса.
О блокировке почты и меседжеров я не говорил, интернет можно вообще не ограничивать, так как фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
Ограничить надо только видимость локальных машин между собой, ну и проброс портов на внешние ІР адреса под запретом.Jef239
28.06.2017 02:04фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
А в этот раз не защитили. УВЫ.IGHOR
28.06.2017 02:14Защититься от неизвестного эксплойта сетевого протокола невозможно.
А от фишинговой атаки подозрительными файлами проще.
Почему вы считаете что блокировать зловреду прямой доступ к портам всех 1000+ локальных машин бесполезно?Jef239
28.06.2017 02:34Если зловред не использует этот канал — то бесполезно. А информации о том, что идет распространение по локалке — нету. Скорее всего зловред из вложения с атакует localhost.
Дело в том, что после WannaCry все у себя SMB V1 в локалке отключили. А вот с loachost он скорее всего остался открыт.IGHOR
28.06.2017 03:09Если зловред не использует этот канал — то бесполезно
Не сегодня так завтра…
Безопасный софт (какой бы ни был, ось или сервер протокола) не тот, в котором нет дыр, а тот в котором их никогда не найдут ©.
При наличии дыр, а вероятность, что их можно найти всегда есть, в будущем блокировка портов может снизить диапазон заражения.
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.Jef239
28.06.2017 03:58Безопасность через неясность — это ложная безопасность. Не так уж и сложно сканировать порты. Блокировка серверов вредит конторскому софту. В итоге ущерба работе наносится больше, чем ущерб от вирусов.
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.
А если атака с сервера?IGHOR
28.06.2017 04:48Я уже третий раз вам говорю что ни разу не упоминал блокировку доступа к серверам ни к интернету.
И третий раз вам скажу что имел ввиду ограничение доступа к портам между локальными компьютерами в корпоративной сети.
И отвечу на ваш вопрос. Между сервером и клиентской машиной не должно быть ни больше ни меньше открытых портов чем используются в поставленных задачах.
Между софтом терминала и сервером не должно быть никаких коммуникаций кроме запросов через внутреннее API, будь то обновление софта, либо запрос данных.
Согласитесь, вероятность найти эксплойт в неизвестном API меньше чем в протоколах ОС.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?Jef239
28.06.2017 05:42Раз вы не поняли мой вопрос, придется разжевать на уровне чайника. Терминалы и банкоматы, бигборды не заражаются сами. Ну разве что с ноута обслуживающего персонала. Сетка у них отдельная. Так что если заразились — то как раз с сервера. С вероятностью 95% — по тем самым API, по которым они работают и обновляются.
Это как раз пример, опровергающий ваши теории.
Что касается уровня грамотности, то рекомендую глянуть на табличку. Боюсь, что вы не в курсе, что банкоматы до сих пор работают на Windows XP Embeded, соответственно у них лишь один вариант самбы — тот самый уязвимый SMB 1.0.
Так что вариантов два. Или закрываете самбу и ножками в сопровождении охранников с автоматами обходите банкоматы и проверяете у них логи. Или — скачиваете логи по этой самой уязвимой самбе. Третий вариант (свой самописный протокол) не прокатывает ровно потому. что ПО банкоматов сертифицировано.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
Ну это ваш уровень понимания, как что работает в корпоративной сети. :-)
Ответ простой — не надо усложнять жизнь пользователям. Ни своим, ни внешним. Банкомат должен чиниться быстро, а не ждать две недели, пока вы дотопаете до него ножками.
А задача борьбы с вирусами — она вторичная. В большинстве случаев ущерб от вирусов — меньше ущерба от таково вот любителя закрывать все и вся, как вы.IGHOR
28.06.2017 05:51Я в курсе, что банкоматы до сих пор работают на Windows XP, при том не все на Embeded версии.
Те терминалы которые мне удалось изучить, обновляются безопасно, с проверкой сертификатов. Даже обычные пополнялки.
По умолчанию используют сеть VPN по 3G, при том порты по VPN все доступны.
Никто к ним не подключает ноутбуки обслуживающего персонала.
И банальным блоком портов могли избежать заражения WannaCry например.Jef239
28.06.2017 06:10-1Вы не видите в своих словах взаимоисключающий параграфов? :-) Проснетесь — перечитайте. Или вы можете удаленно посмотреть и наладить банкомат (а для этого нужна самба) или бегать с ноутом.
Jef239
28.06.2017 05:49-1Ещё в порядке ликбеза. Вы в курсе, что доступ к удапённым принтерами идет по самбе? Обычно — принтер один на 5-10 машин. То есть в сетке из 1000 машин будет 100-200 серверов печати. Ну и так далее… Если надо — сделаю ликбез.
Так что в итоге примерно треть машин в сетке — в той или иной степени серверы. И доступ к ним идет по самбе.
С точки зрения ущерба для инфраструктуры — не так важно, заражено 100% машин, или заражено 30%, но самых важных. И то и другое — критическая ситуация.
То есть ваш способ — просто не подходит для большинства конторских сетей.IGHOR
28.06.2017 05:59Учитывая срок жизни принтеров, скорее всего большенство обновились и обзавелись Ethernet/Wi-Fi без хост-компьютеров.
Я вашу точку зрения услышал, спасибо за общение.
Думаю не стоит больше продолжать плодить ветки комментариев.Jef239
28.06.2017 06:12-3Да я тоже не вижу смысла больше спорить. Одно могу сказать — какое счастье, что я не работаю там, где вы админите сетку. Что у меня на ноуте — стандартный софт со стандартной настройкой, а не нечто, работающее лишь в корпоративной сети по нестандартным портам.
Alexsandr_SE
28.06.2017 12:18Сроки жизни принтеров? HP 5L только недавно убрали. Как там, без хост компьютера заработает?
Spewow
28.06.2017 07:50+4Централизация ресурсов.
1.Поднимается сервер печати и все принтеры заводятся на него.
2.Клиентские пк печатают через сервер печати, а не напрямую через соседа.
3. Сеть отстраиваем на разрешение серверных ресурсов ( печать и прочее) и изоляцию клиентов друг от друга.
Получаем и учёт принтеров и безопасность.Jef239
28.06.2017 10:24Ключевой вопрос — как вы собираетесь принтеры к серверу печати подключить? Пробросить USB через ethernet? А цена конверторов?
Перечитайте внимательно, что я написал. Там прямо подразумевалось, что принтеры — не входят сами в сеть, а подключены к локальным серверам печати.
А для сетевых принтеров — все хорошо, кроме единой точки отказа. Пропала сеть от комнаты к центральному офису — и всё, печатать нельзя. Хотя принтер и в той же комнате стоит.
Jef239
28.06.2017 11:18Мне лично больше нравиться обратная идея. Вместо одного домена на тысячи машин — много мелких доменов по десятку машин. И считаем все вне домена — опасным. Примерно так было устроено на Северстали лет 15 назад.
Преимущества — внутри домена ничего не мешает работать, а максимальный урон от вируса — отдельные домены. При этом критичные машины, то есть управляющие производством, находятся в отдельных доменах и очень слабо связаны со всеми остальными. Вплоть до полной изоляции отдельных критичных доменов.
А у вас зараженный сервер печати заражает всю огромную сетку.Shaz
28.06.2017 12:27+21 отдел = 1 vlan, свои принтеры\сервера печати, шары и тд. Понимаю что не панацея, но изолировать зараженные ПК становится всеже проще.
SpiritOfVox
28.06.2017 12:46Если вы изолируете отделы, то лишаетесь общих каталогов и возможности централизованно управлять печатью. Сейчас модно на больших предприятиях делать анализ того что печатают и всё такое прочее.
Shaz
28.06.2017 13:05Изоляция отделов\групп и т.д. друг от друга никак не повлияют на централизованный сбор информации и управление печатью. Да будет сложнее организовать доступ к общим ресурсам, но не что-то я сомневаюсь что всем нужно иметь доступ ко всем ресурсам, так что это тоже решаемо.
Jef239
28.06.2017 13:05Моды разные бывают. Например есть мода разбивать большое предприятие на кучу мелких независимых фирм. Или считать прибыль отдельно по отделам.
Централизация создает единые точки отказа. И заставляет поддерживать избыточную надежность. Один критичный процесс заставляет поддерживает всю централизованную инфраструктуру в высоконадежном состоянии. То есть с дублированием и троированием.
Кроме того, централизация — это единая точка распространения зловредов по всей системе.
Если вам высокая надежность не нужна — централизируйте. А если у вас от падения сервера может зависнуть работа тысячи магазинов по всей стране или крупного завода — децентрализация позволяет спать спокойно. Потому что падение сервера — это максимум один участок одного стана в одном цеху. А не простой всего завода длиной 10 километров.
Jef239
28.06.2017 02:09+2Вся беда антивирусов в том, что они защищают по сигнатурам, от заранее известной заразы. Если в атаче пришел PDF или DOCX с неизвестной заразой — антивирус промолчит. Задача фаервола — защищать от проникновения извне. Если атака идет от 127.0.0.1 — фаервол обычно молчит.
А распространение дальше — тем же путем, через почту на адреса из адресной книги.
Ну и никаких внешних проявлений до часа «Ч», это тоже большую роль сыграло. То есть заражение было сильно раньше деструктивных действий.IGHOR
28.06.2017 02:10-1Фишинговая атака исполняется долго, да и могли прочитать новости и перестать запускать что-либо.
В случае если все порты открыты, то заражение 1000+ машин будет осуществлено за 10 минут.Jef239
28.06.2017 02:40А она и исполнялась долго. Просто вирус спал до часа Ч. А потом — активизировался одновременно на всех машинах.
Все от целей организаторов атаки зависит. В данном случае в приоритете видимо была скрытность заражения.
SpiritOfVox
28.06.2017 12:01Антивирусы и рады бы работать не по сигнатурам, но нет такой возможности уже очень давно. Они пытаются, но пока ни у кого нет результатов.
Jef239
28.06.2017 12:13А те, у кого есть результаты, классическими антивирусами не называются. :-) Как примеры — Outpost Security Suite и AVZ.
Вполне достаточно системы, которая автоматически (outpost) или вручную контролирует автозапуск. Ну и пользователя, который не жмет просто так на кнопку «разрешить».
Как минимум я эти двумя отлавливал вирусы, не известные ни вебу, ни касперу.SpiritOfVox
28.06.2017 12:26Outpost судя по всему приставился после покупки Яндексом. AVZ возможно и актуальна для домашних пользователей, хотя судя по вики наработки перешли касперскому, вот только корпоративным не помогла даже политика ограничения запускаемых приложений встроенная в Windows.
Насколько помню у Outpost постоянно появлялись кучи уведомлений типа «приложение хочет это и то, разрешить?» и откуда даже относительно опытному пользователю догадаться можно ли это разрешить или нет?Jef239
28.06.2017 12:51AVZ — это программа, показывающая, что живет в системе. Для принятия решений по её данным нужен или очень грамотный пользователь (вирусный аналитик) или серверная часть с эвристикой и ИИ. Бесплатная технология анализа есть на virusinfo.info.
Outpost действительно загнулся, но есть Comodo Internet Security.
Насчет кучи уведомлений — вы правы. И для AVZ и для Outpost и для Comodo недостаточно быть «относительно опытным пользователем». Или понимать устройство windows — или действовать по принципам для домохозяйки:
— Если я устанавливаю софт — разрешить все.
— Если в первый раз запускаю — разрешить все.
— В противном случае — не разрешать ничего. Или звать специалиста.
Ну и на первом запуске — потоптаться по всем функциям.
Не знаю, у меня как-то не было вопросов, почему приложение хочет то или это. На мой взгляд — все логично. Да и сами вопросы — лишь при установке нового софта. Но это у меня больше 30 лет стажа и из них больше 20 лет с виндой.
Jef239
28.06.2017 01:57Вирус через массовую рассылку зараженных PDF распространялся. Крупная компания без электронной почты?? Такого я ещё не видел.
IGHOR
28.06.2017 01:59Почитайте еще раз, я не говорил о ограничениях доступа в интернет, только между локальными машинами.
Пусть заразится один через PDF файл, с изоляцией портов не сможет использовать никакие эксплойты, чтобы заражать других по локальной сети.Jef239
28.06.2017 02:02-2Почему? Что мешает зараженной машине разослать PDF по всей адресной книге?
IGHOR
28.06.2017 02:09+3Текущий сценарий:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин и заразил все через эксплойты сетевых протоколов в течении 10 минут
Сценарий если внутри сети все порты заблокированы:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин, а порты то закрыты, и заразились на 1000+ машин меньшеJef239
28.06.2017 02:15+1Откуда информация от текущем сценарии? я ориентируюсь на анализ СБУ. Ну и на свои мысли, как бы я делал такую атаку.
Вот перевод:По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных.IGHOR
28.06.2017 02:27+1Есть вероятность что многие машины еще не обновили.
Еще ходят слухи что все это работает похожим образом как WannaCry, и работает на последних обновлениях Windows 10. Так что у меня только слухи и подсчет вероятностей возможного сценария.
Блокировка портов внутри локальной сети обосновано безопаснее, так как в будущем могут найти похожие эксплойты.
Возможно все эти компьютеры уже были заражены до WannaCry, потом обновлены, но у хакеров остался доступ, а только теперь запустили сеть.
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.Jef239
28.06.2017 03:00+1А безопаснее всего — вообще машины не включать. :-) Блокировать порты, нужные для работы — почти то же самое, что выключить машины. Если у вас есть SQL-сервер, то как к нему клиенты обращаться будут? Телепатически? Ах через сеть… Раз через сеть — значит может быть и атака. SQL, Файлопомойка, локальный документооборот… ну в общем много чего требует локальной сети. А значит — и находится под угрозой.
УВЫ, крупное предприятие — это не домовая сеть для хомячков. :-)
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
Думаете цифры продаж таких решений липовые? :-))) Начиная с некого размера сети автоматизированное слежение за аномалиями трафика становится выгодным.IGHOR
28.06.2017 03:07+1Я ни разу не говорил о блокировке серверов, я имел ввиду ограничения только между компьютерами в локальной сети.
Задача хорошего админа создать нестандартное окружение сети и установка на офисные машины нестандартного софта, в котором будет сложно составить сценарий заражения вирусом.
Все порты включая порт SQL сервера должны быть нестандартными, зачем делать жизнь зловредов легче?Jef239
28.06.2017 04:00-1А что сервера не в локальной сети? А где? Только в интернете? :-)))
Нестандартные порты затрудняют жизнь прежде всего стандартному софту. И не сильно мешают навороченным троянам, умеющим сканировать порты.IGHOR
28.06.2017 04:58+1Для админа, что обслуживает 1000+ машин, не должно быть проблемой автоматизировать настройку всего, включая нестандартные порты в софте.
Если вы не понимаете в чем суть моих комментариев, то прошу задавать прямые вопросы без сарказма.Jef239
28.06.2017 05:21«Автоматическая настройка всего» — это нечто вроде коммунизма или живого дед-мороза. Ну в общем не бывает. 20-30 программ — да, можно автоматизировать развертывание. А если их под тысячу — уже опаньки. Все сильно зависит от однородности софта в парке машин.
К сожалению, я суть как раз понимаю. Потому и возмущаюсь.
Вы хотите максимально затруднить жизнь пользователям, чтобы максимально облегчить её себе, любимому. А страдает прежде всего бизнес. Тот самый бизнес, который вы обслуживаете.IGHOR
28.06.2017 05:42+3Ваше право со мной не соглашаться.
И вместо множества вопросов лучше бы изложили свою точку зрения сразу.
Думаю вы переоцениваете профессиональность вирусов.
В свое время 95% вирусов, что инфицировались через флешки, можно было нейтрализовать банальным созданием папки autorun.inf
Это само собой не тот уровень, но если вирус должен занимать в два раза больше кода, чтобы сканировать порты, идентифицировать протоколы и тд., а даст он только +5% больше заражений, то скорее всего этот код писать не будут.
Суть всего что я написал в том, что любая защита — это борьба с вероятностью взлома, которую можно и нужно понижать любыми способами.
Это само собой не облегчает жизнь админам, но бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.Jef239
28.06.2017 06:02бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
Ошибаетесь. При обоих сценариях — вы не правы.
Сценарий 1. Государственная атака на Украину. Ну скажем со стороны ДНР. В этом случае перед атакой была проведена разведка и написан софт, преодолевающий существующий уровень защиты. Был бы уровень защиты другим — значит и софт был умнее.
Сценарий 2. Атака частного лица ради денег. Тут страдают слабейшие. Если их не оказывается — вирус модернизируется пока пострадавшие не станет так много, что они обеспечат нужный поток денег.
Так что в обоих сценариях — никакие принятые повсеместно меры защиты не помогут. Поможет быть в числе 5-10% наиболее защищенных из списка потенциальных жертв. Тогда есть шансы, что затронут лишь 90% менее защищенных.
Но стоит ли это понижения производительности бизнеса в полтора-два раза — это большой вопрос. На мой взгляд — не стоит.
Лучше уж IDS поставить. И доступ к интернету через proxy сделать.
bogolt
28.06.2017 10:54Получается что как в анекдоте про льва. Не нужно бежать быстрее льва — нужно бежать быстрее других убегающих.
encyclopedist
28.06.2017 03:05+5- Поражены оказались и безголовые сервера, на которых не было никогда никаких вложений.
- Выше люди сообщают что восстановились из вчерашних бэкапов и там никаких следов нет.
- Также сообщают что были поражены компьютеры с только недавно установленной системой.
- Самое главное: физическое выдергивание сетевого провода спасает от заражения.
Jef239
28.06.2017 04:02А вот это уже аргументы. Вот ещё интересная информация
Внутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем
Fangelion
28.06.2017 08:39И ни слова про medoc, а, судя по разным источникам, это был основной способ распространения вируса. Почта — это второстепенный способ. Я еще не знаю как умудрилась наша сеть поймать этот вирус, ибо заражение было явно через рядовой компьютер и врядли это была почта
PaulAtreides
28.06.2017 11:31пруф вот. Атака шла через локалку с использованием штатных средств — wmi и psexec.
Jef239
28.06.2017 11:47-3Ну и чем тут поможет изоляция клиентов друг от друга? Клиент заражает сервер, а сервер — остальных клиентов. Ну да, капельку дольше, чем заражение peer-to-peer. Но эти секунды — роли не играют.
casperrr
28.06.2017 19:44+2А кто мешает серверу это запретить? Открою секрет, даже контроллеру домена можно без особых последствий запретить исходящие tcp к юзерам. Это проверено, это работает. И так же для массы других серверов, в смысле сервисов. Возможны неприятные исключения, да, но в целом это рабочее решение и оно активно используется. Со времен кидо не было проблем, включая само «время кидо». Имею в виду свою сеть.
Jef239
28.06.2017 19:50-1И как тогда админ удаленно на машины юзеров ходить будет? А удаленное администрирование как пойдет?
Запретить можно все, вопрос в том, не будут ли лекарство хуже болезни.casperrr
28.06.2017 19:57+2А зачем ему ходить на машины юзеров с серверов? Тем более по своим сервисам бесконечно далеких от этих задач?
Разницу не чувствуете? Вы описали правильно схему заражения юзер--->сервер--->>юзеры.
Когда речь идет о машине админа, начальная стадия юзер--->админ невозможна. Админская машина по определению в выделенном сегменте. Из него — можно, в него — ни-ни, только обратный трафик в рамках установленных админом тсп соединений, ицмп-ответы, юдп.
Ну, а безопасность админской машины… Если админ с головой, проблем не будет.
Прописные истины корпоративных сетей.Jef239
28.06.2017 20:03-4А всякие корпоративные политики, скрипты, перемещаемые профили и так далее вы предлагаете с админской машины распространять? Или все-таки с сервера домена? А если с сервера домена — то вот вам и канал для заражения.
casperrr
28.06.2017 20:12+1Э?
Политики — это файлы, которые грузятся с сервера в результате подключения к этому серверу клиента, если речь об АД. Логон и логофф скрипты для юзеров и компов — это тоже ВХОДЯЩИЕ для сервера соединения. Перемещаемые профили… и с ними проблем нет. Бывают случаи, когда исходящие соединения в сторону юзеров от сервера нужны, например всякие воип и медиа заморочки. Ну и разрешите соотв. порты и протоколы (не сталкивался с червями, работающими через SIP, например), а самбу, RPC и прочее закройте. Это все не проблема, проблема, когда в головах предрассудки.Jef239
28.06.2017 20:39-2И как вы предлагаете связывать машины по OPC, когда RPC админы прикрыли?
Ну в общем услужливый дурак опаснее врага. Админ, считающий, что безопасность сети важнее работы предприятия — очень много может наворотить.
Собственно к этому и сводится наш с вами спор. Вы предлагаете меры, а у меня от них волосы дыбом лезут. Потому что в таких условиях — проще наплевать на безопасность и вынести весь нужный софт в интернет. Благо хотя бы на интернет вы не покушаетесь. В смысле проще, чем писать так, чтобы софт мог работать несмотря на ваши ограничения.
Но если у васклиенты только в косынку играюткомпы только офисные — может офисный планктон с его софтом и стерпит.
В качестве кардинального решения — можно сделать все компы на ARM, SPARC, MIPS, соответственно вирусы, рассчитанные на x86 просто не пройдут. Ей богу, это (+перевод на linux) проще, чем пытаться написать систему с теми ограничениями, что вы предлагаете.casperrr
28.06.2017 20:56+1Прежде, чем волосами шевелить, опишите, где и как используется у вас OPC, в каких частях вашей сетии.
Если речь у вас об АСУТП сегменте, где бегает МЭК, живут разные скады и инженерные станции — так это отдельный разговор. Все то, что вам кажется таким страшным зверством в моих предложениях там будет преимущественно на границе этой сети (и даже большее зверство), а внутри будет достаточно высокий уровень доверия, вяжитесь там хоть по NETBEUI в кач-ве транспорта. А вот закрытый, еще раз, медленно, в направлении ОТ СЕРВЕРА к клиентам RPC, от контроллера домена в частности — ни к чему плохому не приводит, уж поверьте мне.
Или вы считаете, что на энергетическом предприятии вот так все и живет с моими «зверствами»? Все не работает и лежит примерно 365 дней в году?
И кстати, юзеры разные бывают. Те, кто не в косынку играет, а режимы технологические ведет… эээ, о каком там домене вы говорите? Какие контроллеры? Хотя, если взять сименс, например, они в своих сетевых дизайнах таки да, рисуют. Свой лес для офиса, соверешенно отдельное АД для одного сегмента технологии (допустим, чисто информационные системы), отдельное — для другого. Но это уже черезчур.
На счет что легче, а что нет, надо просто понимать работу сетевых протоколов, немного потратить времени на изучение профиля трафика в ваших сетях, как офисных, так и технологических, а дальше все будет легко и просто. И спотыкаться никто не будет.Jef239
28.06.2017 22:48-2Вам что ликбез по OPC написать?
OPC используется в двух испостасях
1) Для связи нижнего уровня (датчики, контроллеры) со средним (сервера).
2) Для связи верхнего уровня (SCADA) с тем же средним.
На среднем уровне у нас пара серверов (дублирование) и несколько десятков датчиков НУ. С точки зрения сети — эти датчики — клиентские машины. А с точки зрения технологиии OPC — наоборот, OPC-серверами являются датчики, а серверные машин СУ — клиентами.
Что касается деления на подсети — так это вы, похоже, только сейчас, после моих слов, додумались. Да, делится на подсети с разными правами в разных сетях. Но это противоречит вашей идее о запрете всего и вся, включая нужное.casperrr
28.06.2017 23:19+1Спасибо за ликбез.
Иногда выгодней на подсети не делить, а в рамках больших сетей задавать правила взаимодействия, отсекая ЗАВЕДОМО ненужное, решая попутно массу потенциальных проблем ИБ. Но видно у вас мысленный эксперимент не вытанцовывается никак. Ну да ладно, я вроде уже попрощался. Еще раз всех благ.
casperrr
28.06.2017 21:05И кстати, посмотрите, если найдете, какие-то типовые схемы АСУТП, возможно СТМиС и проч. Там по сути реализованы те же подходы, только не софтверно, а физически. Контуры. Сервера на границе контуров, много сетевух. Нужные сервисы смотрят только в нужные «стороны», многоуровневая сегментация (тему резервирования не трогаем) и в итоге некие точки предоставления данных, веб, допустим, многократно и многуровено изолированные от систем, где возможно что-то запороть и чем-то «порулить». Кто-то даже юзает «диод данных», но этот геммор на любителя.
Где-то это хорошо и правильно. Где-то можно обойтись меньшей кровью и физику заменить логикой и фильтрами. Результат тоже в итоге бывает приятным.Jef239
28.06.2017 22:34-1Контуры — это ровно то, о чем я вам говорил. Много локальных сетей с полным доступом. И гейты между ними.
А ваша идея была — сеть огромного размера, в которой никто ничего сделать не может. Ибо все закрыто. Рай для безопасника и ад для разработчика.casperrr
28.06.2017 22:56+3Не совсем так. Достаточно большие сети, в т.ч. офисного назначения, можно сделать существенно безопасней, если логически, в какой-то мере приблизить их к описанной выше системе контуров, сегментации и т.д.
Вы, возразив против межпользовательской сегментации, не утверждали ведь сперва, что это неудобно, что это мешает. Вы сказали — это не решает проблемы, это бесполезно. Я показываю — это во многом решает проблему, это так же полезно, как контуры в АСУТП.
Тогда вы заявили, что это неудобно, что это сплошное запинание, а не работа. Могу предположить, что вы просто не пробовали. Ведь контуры АСУТП — не запинание? А почему? Потому что они продуманны. И не возникает задач залезать через телеком разрыв из одного контура в другой, ну не нужно это, т.к. все задачи без этого решаются.
Так же и с тем, что я описал, например с контроллером АД и запретом от него исходящих тсп к клиентам. Вы это оцениваете «в уме», на вскидку и ужасаетесь. А я юзаю и доволен как слон. Ни кидо, ни ванна, ни петя меня не задели вот ничуть, хотя вокруг — да, бушевали. И кстати, серверные админы не то что не замечают этих, по вашему диких костылей и преград, даже не догадываются о них. Вот такие жуткие неудобства. И кстати, это в других регионах нашей организации был типичный сценарий. Админ с правами лезет на контроллер по WAN копр. каналам, этакий старший брат. Заражает, далее с контроллера зараза ломится в сети регионального предприятия. У всех площадок — кроме меня. Контроллер заразили, в ЛВС — ноль вирусного трафика, этакая ДМЗ в «сердце» ЛВС, а не на периметре, как обычно. С т.з. дизайна сети это отнюдь не влан на юзера, как у провайдеров. Все средней «крупности». Но описанные фичи — сильно выручают. Уже не один год. Так что не спешите оценивать на вскидку, не распробовав. И да, инфраструктурники, кто серверами рулят, даже не замечают этого. Один или два раза пытались для теста сделать «телнет на порт» с консоли сервера к клиентам, для теста, удивились, что не прошло. Вот и все жуткие потери от подхода. Надо их еще раз оценить, может действительно так жить нельзя?Jef239
28.06.2017 23:06-1Вы, возразив против межпользовательской сегментации,
Очень прошу, не приписывать мне ваши собственные домыслы. Ещё раз повторю свой тезис,
А прописная истина — если можно обойтись без общей сети — лучше обойтись. И делать много мелких сетей. Хотя бы логически, а лучше — физически. Тогда и завод целиком не встанет и можно будет работать (а не спотыкаться на ограничениях).
А возражал я против тезиса IGHOR поддержанного вами:
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.
Изоляция машин в одной сети и разбиение на подсети с разными правами — это очень разные технологии.
На этом предлагаю обсуждение прекратить. Мне неприятно, когда мне приписывают то, что я не говорил.
Spewow
29.06.2017 06:51Схема хорошая, как часть мер. Касательно контролера домена аналогичного можно достичь убрав из админов всех клиентских машин учетку администратора домена. Для обслуживания машин, отдельные учетки саппорта.
Малварь или нарушитель часто сидят и ждут, когда же придёт админ и угоняют учетку.
К сожалению есть сервера которым нужны прямые доступы к клиентам. Те же сервера саппорта или централизованного распространения ПО.casperrr
29.06.2017 07:16+2Конечно, это часть мер и я тоже это упоминал. С контроллерами бывает все плохо, когда они не в твоем подчинении. Про срвера-исключения тоже упоминал. Например это SCCM. Ему надо коннектиться к клиентам, да (оппонент же приводил примеры, которые реально не есть проблема, типа политик и скриптов). Но отсюда никак не следует, что на другие условные 100 серверов можно и нужно забиить, раз один или два мы не можем подвести под эту схему. Для таких серверов должен быть усиленный контроль и усиленные меры другого рода.
casperrr
29.06.2017 07:22+2Ну и конечно, не в каждой сети и не у каждого эти исключения есть, иногда более опасные сценарии и решения можно заменить на менее опасные и т.д.
Когда червь «работает» на основе 0-дай и ему вообще плевать на любые права и прочие формальности, сетевые меры становятся одними из главных и весьма эффективны. Не раз наблюдал, как их вынужденны были временно вводить на лету, разрушая процессы и работу, выбора не было. Уж лучше сеть сразу так построить, что бы большая часть этих мер сразу была заложена, а стиль работы — на эти меры рассчитан. И да, я еще раз скажу — это свойство промсетей, это свойство «корпоратов». Это не домовые сети начала нулевых и пионернеты. Это нормально и это практикуется. И вовсе не синдром вахтера. А как раз «колхозы» и лажатся по поводам, описанным в топике.
realscorp
29.06.2017 10:17+1Не хотите сделать статью по своим методам защиты сети предприятия? Было бы интересно, да и многим бы пригодилось в свете актуальных сегодня угроз.
casperrr
29.06.2017 10:46+1Может быть, не исключено… Несколько лет не был на хабре, надо осмотреться, почитать, что интересного было на эту тему.
mayorovp
28.06.2017 21:35+1Да какая разница какое там направление соединения! Доменные политики и логон-скрипты сами по себе являются возможными каналами заражения.
casperrr
28.06.2017 21:52+1Да, может быть. Поэтому ИБ — вещь комплексная. Все самые шустрые в смысле скорости распространения черви, что были на моей памяти, начиная с мсбласт-а работали по принципу сетевой скан+уязвимость, никак указанные вами механизмы не задействуя. Но это к слову. Тут был выдвинут тезис — изоляция клиентов друг от друга — вещь бестолковая. Я не раз убеждался, что весьма толковая. Была высказана мысль — все равно заражение произойдет в два хода (а не в один), через цепочку пользователь -> заражение сервера -> заражение пользователей. Я показал, что этого в случае классических сетевых червей ВО МНОГИХ случаях (в смысле разных серверов) легко можно избежать. Только и всего.
Jef239
28.06.2017 20:05-3А прописная истина — если можно обойтись без общей сети — лучше обойтись. И делать много мелких сетей. Хотя бы логически, а лучше — физически. Тогда и завод целиком не встанет и можно будет работать (а не спотыкаться на ограничениях).
P.S. Увы, прописи у нас разные. Я вам про заводы, а вы мне про офисы. Вот и получается, что истины разные.casperrr
28.06.2017 20:18-1Я в энергетическом секторе работаю. Турбины знаете ли и все такое. И офис, куда ж без него. И «воздушные зазоры» есть и есть, когда их нет. Свои истины я выяснил примерно как уставы пишутся, не кровью конечно, но пОтом — точно.
mayorovp
28.06.2017 21:39+1Э… скажите, а чем принципиально отличаются две независимые сети от одной из двух сегментов, между которыми запрещено любое прохождение пакетов кроме белого списка?
Почему первое считается рабочим решением, а второе — слишком ограниченным?
casperrr
28.06.2017 21:52-1Ну, есть отличие все же. Не задушенный в зародыше шторм, допустим, в одном L2 сегменте, может положить весь девайс в итоге или их группу, если L2 по ней растянут (и положит), в случае физически раздельных сетей этого можно избежать при правильном дизайне. Но в целом замечание верное.
Возможно, тут момент психологический. Первое решение как-то не представляется, не укладывается в голове в виде слишком мелкого дробления. Ну, две там сетки, офис и технология. А второе как бы намекает на дурную множественность, наделим, надробим. Хотя автор пишет «много мелких сетей» и тогда я уже теряюсь.
Jef239
28.06.2017 22:24-1Да тем, что сегмент у casperrr — это одна машина. Мне в такой ситуации проще свою сеть из 3-5 машин сделать, чем развлекаться с докладными на открытие портов и неделю ждать их прохождения. Да, этот сегмент ляжет. Да, все, не запушенное в GIT пропадает. Но на таком сегменте я могу работать.
А на сегменте в 1 машину — только бумажки строчить.
Увы, беда всех безопасников — они считают, что их задачи важнее работы. Синдром вахтера это называется.casperrr
28.06.2017 22:40+1Это у вас домыслы какие-то. В строго техническом смысле сегменты у меня — от десятка до сотни машин в сегменте, если мы говорим о 802.1q вланах. Иногда, когда это необходимо и удобно — используются Port ACL, иногда IP ACL в точках L3-терминации. Мужики-то в циске и не знают правильных подходов, утверждая, что в классическом дизайне ядро-распределение-доступ секьюрити фичи должны делаться на доступе, край — на агрегации, а на доступе — это PACL в том числе. Подумайте — для чего.
Жуткая «сегментация» получается. Прям до уровня порта. На счет докладных и мучительного ожидания. Я не знаю, что вы там в сетях у себя технологических крутите, для этого есть стенды и выделенное под это оборудование. А в нормальном продакшне все работает без особых сбоев годами, а некоторое оборудование — и без перезагрузок годами. Откуда там взяться этим докладным постоянным на какое-то нездокументированное сетевое взаимодейтсвие — не понятно. Вы тут намекали, что мол у некоторых галимый офис, а у нас тут завод, у нас тут все серьезно. Но не вяжется эта серьезность с остальными утверждениями. Где действительно все серьезно — не жалеют потратить время на то, что бы все продумать, задокументировать, нормально реализовать с этапом тестирования и юзать уже потом до следующей модернизации или замены решения. А вообще, советую вернуться к исходному тезису, что изоляция пользователей друг от друга — вещь бесполезная и еще раз прочитать аргументацию. Ответами на которую были рассуждения в духе «а вот если табуретку подставить и на шкаф еще залезть». Если не убеждает… ну, даже уж и не знаю. Наверное, тогда лучше дискуссию прекратить.Jef239
28.06.2017 22:54Ну вот видите сами. В реальности — у вас совсем не то, что вы описывали. И сегменты есть и RPC ходит. И даже есть отдельные сегменты-стенды, где почти все разрешено.
Все претензии — к вашей теоретической модели с единым сегментом на 1000 машин и запретом всего и вся. Неудобно это. Как минимум — при разработке.
А в реальности — как видно, у вас тоже в все иначе.casperrr
28.06.2017 23:02+2Да, вы видно просто не админ. Сегменты большие, есть такие, где много разрешено. RPC ходит в НУЖНЫХ направлениях. В сегментах на сотни машин взаимодействие между ними полностью запрещено (PACL, IPACL). Большие серверные сегменты. Между большинством серверов, кроме тех случаев, где это необходимо (обеспечивают единый сервис, кластеры и т.д.) — общение запрещено.
Мы как на разных языках разговариваем. Да, я постоянно получаю заявки на отркытие чего либо. Где? На ван каналах. К сосденим площадкам. В инет. Это нормально. В ЛВС заявок нет. Почти нет. Потому что все более-менее продумано и подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
И ничему это не мешает. Файлы люьтся через файлообменники, пир-ту-пир бегает между воип телефонами в спец. сегментах и т.д. ЭТО ПРОЗРАЧНО. А то, что с файлового сервера невозможен коннект в пользовательские сегменты? Вот знаете, кроме меня и нескольких тех. спецов об этом никто и не знает. Это никому не мешает, кроме вирусов, конечно. Это я про описанную вами схему заражения не за секунду, а за две. Не работает она, так-то.Jef239
28.06.2017 23:13Не админ. разработчик. Тот, кому проще сделать свою сетку из трех машин, чем писать докладную. Или отказаться от заказа, узнав про ограничения в корпоративной сети.
Ещё раз. После того как вы стали приписывать мне, то что я не говорил, мне с вами общаться стало неприятно.
Давайте наконец прекратим эту дискуссию. У меня нету цели вас перевоспитывать.
подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
А при разработке — все это запросто бывает нужно. На пару часов, на день. Но нужно.casperrr
28.06.2017 23:15+1Хех, не читая этого коммента я вам уже ответил, как оказывается.
«Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять?»
Перевоспитывать меня не надо. Я для этого староват да и на самовоспитание потратил много времени. Мой результат мне дорого.
Всех благ.
Jef239
28.06.2017 22:58Спор считаю бесполезным, любой может перечитать исходный тезис @ IGHOR и что на самом деле в сети у тех, кто его поддерживает.
casperrr
28.06.2017 23:13Читайте выше. Не охватывается как-то у вас решения, присущие корпоративным сетям, в т.ч. промышленным. И кстати, сужу не по одной своей. Все же просто. ~1000 юзеров офисной направленности? Все, что написал IGHOR верно. Доступ в ЦОДы, серверные сегменты, возможно — в инет. Полная изоляция между собой. АСУТП у вас есть? Через файрволы, шлюзы-посредники и проч. средства стык с ЛВС, допустим, внутри АСУТП несколько иные подходы, это нормально. Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять? Я недоумеваю. Или у вас завод на десять машин? Тогда да, там можно попроще все, наверное. И сервер к ним в сегмент. На неуправляемый свич.
Jef239
29.06.2017 15:36+4А вы просто никогда не видели, что делается пользователя такого вот горе-админа.
1) Локальные шары запрещены. Думаете пользователи подорвутся писать вам докладные, что они нужны? Не дождетесь. Пользователи в лучшем случае поставят TeamViewer. В худшем — устроят шару из странички в контактике.
Понятно, что это ещё менее безопасно. Зато — не надо мучаться, писать докладные и ждать неделями ответ админа.
Так устроены любые пользователи. Узнав про запрет — они не будут жаловаться, а обойдут запрет самым быстрым для них путем. А то, что этот путь хуже отмена запрета — это не проблемы пользователей.
2) Северсталь. В нашей системе 4-5 компов. Нужна сеть. Выясняется, что время простановки всех подписей на заявке админу — две недели. Время рассмотрения заявки — два месяца. Время монтажа — полгода.
Соответственно админы идут лесом, за неделю кидается 700 метров оптики и делается своя сетка, неучтенная у админов. Работает это 15 лет без обновлений, вирусов и сбоев.
Передача данных из АСУТП в АСУ — на бумажке. Списали с экрана, напечатали на машинке, подписали и отдали. Если отделу АСУ захочется автоматизировать — пусть сам с админами мучается.
Причем у них там все так. На несколько десятков компов в отделе — только один был в официальной сети. Использовался исключительно для почты и контактиков. Ибо куча админских ограничений. Программы не поставишь, плату связи — не воткнешь.
А все рабочие компы — для админов официально не существуют. Как и сети, их соединяющие.
Боюсь, что и у вас ровно так же. Потому что людская природа — везде одинакова.casperrr
29.06.2017 16:35-2Мы вроде попрощались? Ну да ладно.
Я начинал с эникея давно, когда инет у нас был по >=4 р. за мб (а мобильного не было вовсе да и мобильники были далеко не у всех). Все, что только можно увидеть — я видел и все, что можно знать про ухищрения пользователей — я знаю. Ну или почти все, а чего не знаю — догадываюсь. Подо мной сейчас команда эникеев, которые тоже неплохо осведомлены как в результате «прямого контакта» так и благодаря всяким автоматизированным средствам. Вышестоящая над нами условная «пирамида» власти постоянно трясет нас на предмет отчетов в самых разных разрезах как по серверам, так и по раб. станциям. Они нам снятся уже. Смешно читать конец вашего поста, про админов, для которых львиная доля сети не существует.
1. Локальные шары не нужны. По факту. Большинству пользователей. Для большинства пользователей раб. станция — это тонкий клиент для доступа к удаленным сервисам, провод до ЦОДа и только. Многие тети за 50, поверьте, даже не знают и не поймут вас, что это такое — шара. Зато они виртуозно барабанят в SAPе или 1С. Для снятия стресса можно и в инет. Поискать тур для отпуска. Но есть и действительно нужные задачи. Закупки. Торги. Конкурсы всякие. Отчетность. Соц. сети не приветствуются, но люди пользуются. В итоге все нарушают и все под колпаком, любого можно притянуть. Все это понимают и никто не борзеет в целом. Компромисс и разумное сосуществование. Эксцессы редки.
Про разработчиков я уже писал. Будут у вас в вашей песочнице и шары и RPC и проч. Все, что вы заявите для вашей работы.
ТеамВьювера у офисного планктона не будет. Зарезано как по сетке так и мерами уровня хоста. Разными способоами. Обойти можно все теоретически, но это не тот случай. Слишком накладно становится, нет смысла. Можно получить вполне лигитимный удаленный доступ, если это обоснованно и нужно для работы. Никому руки целовать за это не надо будет.
Устроить шару на внешке можно. И даже некоторые сервисы будут работать. Но мало кто в здравом уме это будет делать. А попадется — лишиться работы, а может и получит юр. преследование. Это никому не надо, поверьте. За работу сейчас держатся. К тому же, если кто-то имеет доступ к чему-то действительно важному, всегда есть способ «унести». Ну, сфоткать в конце-концов экран. Особо важная инфа обычно не весит гигабайты, она компактна. Так что это совсем другой вопрос, он не решается исключительно техническими мерами никогда.
Неделями ответ от админа ждать не надо. Есть сервис деск. Админу и любому другому ит-специалисту там считается время реакции, время выполнения, есть крайние сроки, уставки временные с предупреждениями, начальники получают по почте варнинги и имеют этих самых ит-спецов за проволынивание работ. Просроченная заявка — это вообще ЧП. Собирать много подписей на заявку, включая подписи СБ нужно только на базовые, основополагающие вещи, типа завести учетку в АД при приеме на работу, обеспечить физически раб. место и т.п.
Описанные вами вопросы (типа порт открыть, что-то подкрутить) решаются посредством хелпдеска без волокиты, в рабочем порядке, по результатам экспертной оценки ит-специалиста. Как правило в течении дня, максимум двух, если это действительно надо.
ИТ службе периодически ставится оценка, независимый аудит опрашивает юзеров, анонимно. За плохую оценку итшников имеют. Ну… журят хотя бы :)
2. Ну плохо, что сказать? Только не надо экстраполировать этот опыт на всех. Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено, но все понимают, что по факту это оно, возможно, что будет задержка. Как минимум на то, что даже 5 компов надо нанести на схему, продумать подключение со всеми политиками так, что бы потом раз и навсегда и минимально вмешиваться. Если же речь о стенде, временном размещения «на показать» — нет проблем, мешать вам там ничего не будет.
На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство. Видно, тот еще бардак на предприятии. По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении. Как можно что-то кидать куда-то вот просто так… нет слов. Наверняка и ТБ нарушали, на стремянку поди лазали, может работа на высоте была. В общем — полный сюр. Случись какая травма во время этих работ — подсудное дело для ответсвенных лиц.
Или вы плохо объяснили ваш статус на этом объекте, как вариант.
Итого, вывод — нормальных сетей корпоративных вы не видели или видели, но не рассмотрели толком. Ну, знакомьтесь, мотайте на ус, т.с. Хотя, например, все что я описал — это норма, в целом постоянно муссируется, что вот незрелые мы, не все в порядке в королевстве. Но читая вас, я начинаю т.с. другими глазами смотреть на свою работу. Прямо аж себе завидовать.Jef239
30.06.2017 02:29+1Я начинал с эникея давно, когда инет у нас был по >=4 р. за мб
Ну я так и думал, что вы ещё молодой и зеленый. Когда я начинал — ПЗУ прошивали. Буквально, иголкой с проводом вместо нитки. Впрочем тоже не считаю себя аксакалом рядом с теми, кто работал на БЭСМ-4 и БЭСМ-6.
То, что вы эникей — лишь усугубляет ситуацию с вашей молодостью.
Локальные шары не нужны. По факту. Большинству пользователей
Угу. Они нужны начальнику этих пользователей, когда выясняется, что Вася сломал руку и 2 недели на работу не придет. Тогда в течение 5 минут начальник дает доступ к этой шаре Пете. И ждать " Как правило в течении дня, максимум двух" никто не будет. Ибо результаты, как обычно, нужны вчера.
Если уж админ идиот и зажал все возможности сделать локальную шару — значит Вася СМСкой шлет свой пароль Пете.
А глобальные шары не нужны. При маски-шоу компы с глобальными шарами уносятся первыми. Или сгорают, если такая установка у начальства. Или связь с ними рвется в самый неподходящий момент. Или конкурирующий отдел читает документы в процессе разработки…
Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено,
Юридически это вообще не компы, а «система диагностики стана непрерывной горячей оцинковки и аллюминирования». Кому нужно их компами записывать? Чтобы раз в год горе-эникеи роняли всю систему? А так больше 15 лет проработало, 365 на 24.
Как настроил в 2001 году — так и работает. Без антивирусов, обновлений, на Win2K при 256 мегах ОЗУ. И главное — без эникеев, любящих своими шаловливыми ручками все поломать :-). На named pipe оно сделано, то есть на самбе. Включая дублирование архивов между серверами.
По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении
Эникеев лучше вообще туда не пускать. Максимум — в бытовку. И смотреть пристально, чтобы чего не заломали.
А у нас — все инструктажи по ТБ пройдены, допуски подписаны. Да, работа с напряжением до киловольта, если что на 15 киловольт — это мы уже электриков зовем.
На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство.
Каждый судит по себе.
700 метров оптики, разумеется, кидали не мы, а субподрядчики — хозрасчетная организация с той же Северстали. Наше дело — решить откуда и куда кидать. И сделать проект по ГОСТ (точнее по ГОСТ — это тоже не мы, а родственная организация). У нас — полный официоз всего, что мы делаем. Просто админы при малейших попытках вставить палку в колеса — идут лесом.
Хотя, например, все что я описал — это норма,
Можете тешить себя иллюзиями дальше. Но пока у вас синдром вахтера — все будут ваши глупости просто обходить.
DistortNeo
29.06.2017 19:26+2Угу, могу продолжить.
Есть госпредприятие, связанное с секретностью. Для доступа в интернет существуют специальные компьютеры, не связанные с внутренней сетью, причём флешки в них вставлять нельзя. В остальные комьютеры можно вставлять только разрешённые флешки. Стоит ли говорить о том, что все используют свои флешки, свистки и мобильные телефоны, раздающие интернет?
Аналогично помещение военной части, куда проносить даже мобильные телефоны нельзя. Думаете, это правило соблюдается? Надо работать — люди будут работать с своими ноутбуками и телефонами, а не ждать месяцами разрешений.
В университете мелкие закупки техники делаются за счёт зарплат, а не через систему закупок — получается и быстрее, и дешевле (*). И меньше геморроя с тем, что надо что-то ставить на баланс.
А ещё паутина сетей на ГЗ МГУ и многое-многое-многое. Если нельзя, но очень хочется, то можно.
(*) Особенность грантового финансирования. Плюс низкие налоги на зарплатный фонд и зачастую отсутствие НДФЛ.
Jef239
30.06.2017 01:29+2Надо работать — люди будут работать с своими ноутбуками и телефонами, а не ждать месяцами разрешений.
Да, именно так. А админов, которые не понимают — посылают куда подальше.
Погранчасть ФСБ РФ. Ноут для отладки вносим под курткой, выносим — через дыру в заборе. Все это с полного одобрения капитана судна, где стоит наш прибор.
Потому что ноут, который внесли официально — солился у безопасников уже 3 недели. А у меня вся командировка на 3 дня.
Зато замечательно было второй экземпляр провозить в самолете обратно. Там стенки из 5 миллиметровой стали. Обычно надо развинчивать и объяснять, что не бомба. А тут показываю бумагу за подписью начальника части, там штамп «ФСБ РФ». пропустили сразу — кому хочется в ФСБшные секреты влезать.
Jef239
29.06.2017 15:53+4Забыл описать ситуацию позапрошлой недели. Нужна связь через 3G-4G между базой и ровером. Расстояние — до километра, то есть в одной соте.
Выясняется, что сделать TCP/IP соединение между модемами одного оператора с корпоративными M2M- симками — оперативно невозможно. Ни с белыми ни с серыми адресами — никак. Можно подать заявку и через месяц-два получить ответ — сделают или не сделают.
В итоге соединение от базы из Москвы идет в Питер на сервер, а оттуда = обратно в Москву, на ровер, находящийся в одной соте с базой.
Следующей испытание в Набережных Челнах, соединяться, видимо будем через Англию. Тоже при нахождении в одной соте. Ну чуть выше надежность интернета у сервера в Англии, чем у нашего конторского.
Нравится? Зато не понадобилось писать письмо за подписью гендиректора и ждать месяц разрешит ли админ или нет.
Интересно, что лет 5-6 назад на GPRS ещё было возможно соединяться напрямую (у нас так работало в Сочи). Но с тех пор админы зажали гайки, приходится извращаться.
Так что сказочки, что вы лучше всех знаете, что пользователям нужно — всего лишь проявление вашего синдрома вахтера. А реально ваши ограничения обходят. Причем обход — уменьшает безопасность ваших сетей больше, чем разрешение.casperrr
29.06.2017 17:03-2Вот пристали вы со своим синдромом вахтера. Улыбаюсь. Не в тему, ну не в тему этот образ в данном случае.
Я не вполне понимаю вашу специфику, поэтому категоричен не буду, в отличие от ваших арбузов, выкатываемых на мое поле. Но даже не вполне понимая, интуитивно догадываюсь и в целом, мне так кажется, ситуацию оценить могу. Подобного много, приходится сталкиваться. Ваш подход мне представляется непрофессиональным, мальчишество какое-то. Что значит надо? Когда это надо стало понятно и известно? Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это? На лицо наскок, порыв, полет мысли, как, например, в вашей единственной публикации на хабре. Интересной, замечу, но вот этот подход быстро сделать, на коленке, зато ловко придумано — за версту виден. Мой жизненный опыт подсказывает, что все эти ловкачества, даже если работают какое-то время, как временное решение, дорого потом обходятся. Я вас могу понять только в том случае, если вы руководитель, гешефт которого напрямую зависит от того — сдадим, не сдадим, успеем — нет. Тогда понятно. Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос. А дальше… Дальше пусть искомую находчивость и ловкость проявляют те, кто должен в данном случае. И это правильно. Если они поднапрягутся, найдут прямые контакты и все решат и более того, застолбят это решение, есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась. Вы ткнете в него пальцем и скажете — он все сломал. А он скажет — друзья, а кто вам мешал сделать ПРАВИЛЬНО? Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали. А вы ответите — а нам надо было сразу, а не через… Поверьте, из этих двух сторон вы будете выглядеть бледней. Думаете у меня подобного не возникает, только в других сферах? Опыт показывает, все решаемо или почти все. А иногда надо, ради будущего нормального и правильного функционирования систем где-то чем-то и пожертвовать, а не гнаться за победой любой ценой, типа — не даете прямо, сделаем операцию на глазу через задний проход. Хотя, на вкус и цвет. Если вы жить не можете без того, что бы не устроить везде, где работаете пионернет — это ваше право и ваш выбор. Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?Jef239
30.06.2017 03:29+1Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это?
Если они поднапрягутся, найдут прямые контакты и все решат
Вот это и есть синдром вахтера во всей красе. Найти админа чужой компании (мегафона), выставить ему ящик водки, поваляться в ногах, и слезно попросить, чтобы он сделал то, что его менедежмент обещает:.
M2M (Machine-to-machine) — технология обмена информацией между устройствами через мобильную сеть
На практике — нету у них М2М. Потому что какой-то эникей решил, что это не нужно.
есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась.
Нету надежды. Ибо эникей с синдромом вахтера может и интернет на М2М симке отрубить. Дескать пускай устройство голосом данные передает. Или ввести белые списки серверов, с которыми коннект возможен.
Увы, фантазии у эникеев хватит на все. А наше дело — чтобы все работало не взирая на горе-админов.
Что значит надо? Когда это надо стало понятно и известно?
Да как обычно. Позвонили потенциальные заказчики, попросили демонстрацию. Захотели, чтобы связь между устройствами была не через УКВ-модемы, а через 3G. Ну взяли и сделали. Пару дней на покупку модемов, симок и настройку — и поехали. В 5-30 выехали из Питера, в 9 утра в Москве, в 13-30 закончили, в 19-30 вернулись в Питер. Рутина.
Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали.
А это не наша проблема, а горе-админов мегафона. У них там все звонки клиентов записываются. Тем более — корпоративных клиентов выделенному менеджеру. Федеральных операторов вообще-то четыре. Так что нет проблемы сменить оператора, если он что-то «потеряет». А уж тем более — клиентский договор.
Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос
Предпочитаю таких увольнять. Любой спец в рамках своей компетенции — последняя инстанция. на то он и спец. А если человек любит перекладывать ответственность на другого — пускай идет работать в госконторы, там каких любят.
Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?
Да, у нас карма такая — делать то, что никто другой в стране не может. И в мире — 5-6 фирм.
Подпольно мы не работаем. Всегда и везде — полный официоз и оформление всех разрешений. Просто эникеии и прочие самодуры — идут лесом. Не так уж сложно оптику записать как «систему технологической связи» а не «локальную сеть».
В энергетике, говорите, работаете? Ну вот можете полюбоваться, что мы делали на Норильскэнерго, когда все остальные фирмы в стране отказались (это моя предыдущая работа, как и проект на Северстали).
Могу уточнить (я в норильск сам не ездил, там только мой софт пашет), но 99%, что эникеев там тоже лесом послали. Записали компы как «технологическое оборудование управлением котельной» — и все, эникеи с их самоуправством идут лесом.
Правильно, что вас на производство только под надзором пускают. А то у вас сразу руки зачешутся все переделать. А в итоге — как обычно, сломаете.SpiritOfVox
30.06.2017 13:44+2Тут следует учитывать, что ограничение прямых соединений внутри сети не совсем глупое. Глупо то что нельзя мгновенно где-то в интерфейсе разрешить эти соединения для устройств аккаунта.
Jef239
01.07.2017 02:03Согласен. Глупо, что маркетелоги продают М2М в то время, как эникеи отрубили M2M принципиально.
Ну ладно мы грамотные, мы это досконально выяснили до покупки симок. А остальные? Представляете сколько народу пыталось сделать M2M и обломалось?
Jef239
28.06.2017 22:31А! Вы про то, чем физические сети лучше логических? Они в грозу лучше. :-))) В смысле меньше сгорит от высокого напряжения.
technic93
28.06.2017 14:02Пора уже внедрять политику хотя бы как андроид, а лучше сделать возможность сделать строже и пусть в корпоративном секторе админы все настраивают (если adobe-reader то только на чтение например). Потому что я что то не пойму как он добрался до MBR? Если для этого нужен аналог виндового рута, то что есть еще экплойт для повышения привилегий причем еще и 0день?
Spewow
28.06.2017 07:26+1Правильный подход. Защита строится из отдельных кирпичиков, и хостовая изоляция клиентов это один из них.
apelsyn
28.06.2017 01:35+1Согласно данным СБУ по вирусу Petya.A (состоянием на 21.00 по Киеву), вирус эксплуатирует уязвимость MS17-010
Там есть рекомендации и ссылки на апдейты для всех версий Windows (на украинском)Fangelion
28.06.2017 08:45+1Вот только Петя мутировал. Уже на 19:00 по Киеву было известно о Petya.C который плевать хотел на закрытые дыры, судя по сообщениям, и прекрасно заражал все версии windows
Dmitry_4
28.06.2017 08:48Антивирусы почему бездействуют?
Неужели им более получаса надо, чтобы базы обновить?
Superl3n1n
28.06.2017 09:00Цитата в одном из пабликов
Максимальный репост
Публикуем код для разблокировки. Кто там с Win32/Diskcoder.Petya.C воюет — попробуйте.
Код: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
(Специальное спасибо https://vk.com/popyachsa)
Я конечно понимаю, что Хабр это не ВК. Но вдруг это поможет проблеме.
ICELedyanoj
28.06.2017 09:24+4Я мог бы поверить в единый код в случае с писанным на коленке WannaCry, но создатели Petya.A явно не ламеры, учитывая скорость, способы распространения и низкоуровневые плюшки типа интеграции с MBR.
Включаю Станиславского и не верю.Superl3n1n
28.06.2017 09:30-2К счастью меня миновала (пока) эта атака. Но я тоже хочу внести полезный вклад в борьбу с этим вирусом, по этому стараюсь поделится хоть какой-нибудь полезной (надеюсь) информацией.
questor
28.06.2017 09:50+2Итого, спустя сутки нет достоверной информации о том, как заражались машинки, нет сигнатур у крупнейших антивирусных решений, да и все статьи только на уровне предположений. Есть, скажем очень вероятная гипотеза про медок, но полностью не объясняет. Есть гипотеза про долгую скрытую атаку, но восстановленные из бекапов машины чисты. Противоречивая информация о том, помогают ли апдейты от ванна край, но похоже, что нет. Гипотеза о 0-дей уязвимости объяснит что угодно, можно валить на неё все шишки. А меж тем, вирус уже мутировал в новую версию… Риторический вопрос — что происходит? Где пресс-релизы антивирусных компаний, которые сигнатуры обновляют каждый час? (Вот только одна публикация на Хабре, да и то лишь список пострадавших собирают.) Мне кажется, это весьма серьезный удар по их же имиджу. Печально все в общем.
simplix
28.06.2017 09:56Всё так и есть, до сих пор нет полной картины. Ещё одно предположение — заражение через doc и pdf из почты в терминале, и эти уязвимости должны уметь повышать права.
questor
28.06.2017 10:02+1Этот топик только собрал внимание на Хабре, привлек внимание к проблеме. Технически более качественный пост тут https://m.habrahabr.ru/post/331788/comments/ предлагаю туда и идти, а туи читаь обновления уже утомительно и не так конструктивно. Жду ещё топиков с техническими подробностями!
lingvo
28.06.2017 10:04Сегодня выходной в Украине и никто не работает. Я все свои компьютеры повыключал и жду решения, которое пока неизвестно.
victorbo
28.06.2017 13:43Да, не вы один ждете. Правда, мы уже думаем, за какие компы завтра переводить $300, составляем план возобновления работы сети и прикидываем что менять в конфигурации.
Ten
28.06.2017 11:23+1Если это можно считать пресс-релизом, то вот от ESET32 https://www.esetnod32.ru/company/press/center/epidemiya-shifratora-win32-diskcoder-c-trojan-rekomendatsii-eset-/
Цитата оттуда: «Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.»
SpiritOfVox
28.06.2017 12:04Восстановленные машины могут быть и не чистыми, просто дата активации была точной и без настройки срабатывать позже неё.
Pochemuk
28.06.2017 12:50+1Еще раз для особо непонятливого:
Каким образом зловред проник в сеть с установленным файерволлом и обновлениями?
Как я понимаю, доступ по SMB извне был закрыт. Уязвимость пропатчена… Т.е. механизм внедрения WannaCry не прокатывал.
Так как тогда?
И еще: есть где детектор уязвимости? Для WannaCry ребята сваяли такой. В комментариях к https://habrahabr.ru/company/cisco/blog/328598/#first_unread есть ссылки.
А для Пети/Миши есть что-то наподобие?
ptsecurity
28.06.2017 22:52Вот наш детектор для Пети и WannaCry:
https://github.com/ptresearch/Pentest-Detections/tree/master/WannaCry_Petya_FastDetect
dmitrye1
28.06.2017 13:20Microsoft Malware Protection Center blog.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.Pochemuk
28.06.2017 13:33… пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
А пароли он откуда для них берет? Каким-то образом подбирает?dmitrye1
28.06.2017 14:21При входе на компьютер MS сохраняет хешик от пароля у себя, в дальнейшим этот же хешик пароля ( а не пароль !) может использоваться для авторизации на других компьютерах домена. Доступ к хешику могут получить только администраторы компьютера и не штатными средствами MS.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
x_shader
28.06.2017 13:46Что происходит с файлами на первом этапе, до перезагрузки?
Не могу понять. По описаниям, — шифрование начинается после перезагрузки во время работы бутафорского «чекдиска». Но, вместе с тем, пишут что файлы еще до перезагрузки оказываются повреждены.XopHeT
28.06.2017 14:02У меня есть 2 версии файла:
1) Версия поврежденная, но не зашифрованная
2) Версия изначальная
Открываю: примерно 50% файла изменены так, что последовательность
25 50 44 46 2D 31 2E 36 0D (%PDF-1.6)
превратилась в
6B 43 C3 11 7F B4 CE 6B C5 (kC?????k?)
остальные 50% файла в изначальном состоянии
Сам пока думаю. Если кому нужно — файлы пришлю для анализа.
Пока только один файл такой нашел. Поищу другие, потом отпишусь.XopHeT
28.06.2017 15:19UPD:
Только один такой файл нашел.
Остальные файлы изменены полностью при чем у измененных полностью еще и размер отличается на 5-17 байт. (У измененного на 50% размеры идентичны)x_shader
28.06.2017 20:20Только вытянул все что можно было. Поднобнее анализировать получится уже завтра. Симптомы примерно такие же. Успел вырубить ноут во время перезагрузки, но часть файлов повреждена.
alex_tlm
28.06.2017 14:02+1Тут как раз понятно, шифруется то, до чего можно добраться без перезагрузки, а остальное уже при эксклюзивном доступе — sql базы и т.д.
x_shader
28.06.2017 20:18Зашифровано (?) было, на глаз, процентов 30 из того, до чего можно было добраться без перезагрузки. Документы, скрипты и т.п. Причем, в директориях с одинаковыми типами файлов часть — не тронута, а часть — попорчена. Так что поведение не вполне очевидно.
jkoss
28.06.2017 13:46Я правильно понял из UPD10, создаём пустой файл 0 байт с именем perfc без расширения?
DOMINATION
28.06.2017 13:48Про «шифрует только диск С» — не правда. Имеется комп где С вообще потерял файловую систему, а Д целый, но 99% файлов зашифрованы.
NoPH8
28.06.2017 13:48У нас на данный момент из парка около 200 машин заразилось две. Обе были на старых необновленных семёрках.
Основной парк — на Win10, WSUS настроен на автоматический апрув для обновлений безопасности. Похоже, что это помогает, и вирус действительно эксплуатирует MS17-010.
Farmadelkin
28.06.2017 13:49У нас стоял антивирус корп уровня на всех машинах, так что все порты точно закрыты и открыть с обычного компа нельзя. В инет через только через прокси с фильтрацией контента, закрыта адресация по ип, стоял opendns c ограниченным контентом. Стоят самые последние обновления для виндовс.
В сети возможно ARP-spoofing, в сети есть выход нат на вайбер.
Пострадали даже хранилище от кластера (закрытая отдельная сеть), куда уж точно никто не мог отправить что то.
В офисе остались живы в основном те компы которые не в АД, (серваки были в АД).
TechnoMag
28.06.2017 13:57-3Мои не пропатченные Windows 7, без единого обновления выходящие в мир через TL-WR740N почему-то еще живы. Обновил Avast уже на следующий день после начала атаки.
Правда 445 порт был закрыт.
Что я делаю не так? Или еще подождать?
Нет, я действительно удивлен.
bitaps_com
28.06.2017 14:01Не смотря на то что есть классификация в антивирусах и даже можно вылечить его, кошелек стабильно пополняется!
https://bitaps.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
уже 3,5 Биткоина. Последняя транзакция 15 минут назад.
paladi
28.06.2017 14:01Словили вчера на ноуте где стоит медок. Лицензия 7-ки про обновленная, лицензия e-set. от него сразу же лег файлопомойка на 2003 сервере (сетевой диск с полными правами для гостя). Остальные сервера на 2008 с ограниченным доступом к сетевым папкам не пострадали.
Данные можно восстановить через R-Data если только увидели сообщение и не началась зашифровка.
На клиентской машине пришлось переустановить винду, на сервер восстановили с бэкапа, предварительно исправив Mbr.
Neptun4uk
28.06.2017 14:01-1О вирусе в обновлении Медка говорят еще с 25 майя 2017. http://www.me-doc.com.ua/forum/viewtopic.php?f=82&t=13781
YK88
28.06.2017 14:01Самое подробное описание, что я видел на сегодня от МакАфи
https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/
Менее подробное от ПозитифТекналаджи
https://www.ptsecurity.com/ru-ru/about/news/283092/
FairyCake
28.06.2017 14:02https://www.ptsecurity.com/ru-ru/about/news/283092/?utm_source=Site&utm_medium=slider&utm_content=Petya
Чуть более подробно про UPD10.
chumaty
28.06.2017 14:02Точно так же у ДокторВеб https://news.drweb.ru/show/?i=11349&lng=ru&c=14 с 27.06.2017 с 16:30 уже обновились.
akm777
28.06.2017 14:02Может поможет в рвзяснениях или подтвержениях: Вчера при атаке нод32 присек за сетевую атаку дллку точное название к сожалению не записал. Но юзал он cve_2017 — 0144 eternalblue. Компьютор в єтоге все равно зашифрован. Я думая атака была на комплексе эксплоитов.
П.с я не итишник я юзер-жертва
shpektaras
28.06.2017 14:51Так как мой предыдущий комментарий про монополию Windows заминусовали, решусь-таки на примере пояснить, что я имею в виду, может кто-то не понял моей мысли.
Представьте себе ситуацию, что на рынке легковых автомобилей есть монополист А с 90% долей рынка. Более того, почти все водители учились управлять автомобилями компании А, и плохо себе представляют как управлять автомобилями марок Б и В. Но и это не самое главное — авторегистраторы, gps-трекеры, автомагнитолы и прочие автомобильные принадлежности других фирм тоже делаются исключительно под марку А, и очень редко — под А, Б и В.
И вот вас назначили менеджером по транспортному обеспечению в какой-то организации. Естественно, даже если вы симпатизируете машинам Б и В, вы будете покупать исключительно автомобили А, або при прочих равных затрат будет менше, персонал знает как их водить, а ваши gps-трекеры работают только с ними.
В один прекрасный день группа вымогателей узнает, что в автомобилях марки А есть критическая уязвимость, с помощью которой автомобиль можно заблокировать. И начинают массово блокировать автомобили, паралельно требуя выкупа от собственников за «разблокировку». У вашей организации за час заблокировали 10% автомобилей, и естественно, вы даете распоряжение вернуть все машини назад в парк и перестать использовать. Транспортное обеспечение вашей организации полностью встало до того момента, пока критическая уязвимость не будет устранена.
Если бы у вас использовались не только автомобили А, но еще и Б и В, работа вашей организации не встала бы полностью, потому что автомобили А бы вы вернули в парк, но Б и В продолжали бы работать. Но у вас автомобили только А, ибо А — монополист и вам пришлось покупать их.
Такое с автомобилями сейчас невозможно потому, что нет монополии одного автопроизводителя. Но такая ситуация возможна на ПК потому, что здесь монополия есть.Aivendil
28.06.2017 15:55Аналогия не совсем верная.
Даже если на рынке есть автомобили А, Б и В, то как менеджер по транспортному обеспечению, вы, скорее всего будете покупать какую-то одну марку(в основной массе). Потому, что так проще организовывать обслуживание и запасы запчастей. Проще и, что важнее, дешевле.
Тем более, что утверждение о монополии МС вообще спорно. В большей части компаний Windows/Linux/Unix сервера встречаются в некоторой пропорции и выполняют те роли, для которых они больше подходят. Проблема в том, что если из нескольких ваших бизнес процессов часть остановлена, то далеко не факт, что остальные могут продолжить работу. А строить систему так, чтобы ИТ обеспечение каждого бизнес процесса дублировалось несколькими гетерогенными ИТ системами очень сложно, дорого и не всегда возможно.Jef239
28.06.2017 16:24Теоретически может помочь виртуализация. Физические сервера — гетерогенны. Виртуальные — есть в вариантах freeBSD и linux. Вообще портирование с linux на freeBSD — не так дорого, как на windows.
Так что если очень надо — можно сделать. Но… часть багов все равно будет общая.
Jef239
28.06.2017 16:21Почему невозможно? Какие бы разные автомобили у вас не были, вы все равно поставите на них одну и ту же противоугонную систему. Через которую ваши автомобили и заблокируют. А две разных противоугонных системы — это практически двойная цена за обслуживание.
saboteur_kiev
29.06.2017 18:47Ваш пример вообще с планеты пони и магии.
Вы не пробовали посчитать во сколько обойдется двойной набор ВСЕХ приложений на разные ОС, которые должны отлично уживаться друг с другом, а не на одной ос почтовый клиент работать как надо, а на другой почтовый клиент не выпущен вообще, поэтому пользователи сидят в неудобной веб-морде.
Содержание двойного набор администраторов для обслуживания разных типов ОС.
В каком проценте делить пользователей и функциональность компании на разные ОС? И насколько компании будет хорошо, если у нее отвалится не 100% машин а 50%? Или каждый внутренний сервис должен быть отказоустойчивым кластером, ноды которого работают на разных ОС.
То есть в любом случае решения для крупных компаний будут единые, и переключиться с одного решения на другое может быть дороже дня простоя.
А в итоге, остается нормальный, адекватный и дешевый способ — резервное копирование и проверка целостности.
Какой бы плохой не был Петя — через месяц мы про них уже и вспоминать особо не будем, как перестали на время вспоминать про Ваннакрай. Дырки заделываются, данные восстановятся или напишутся заново. Понятно что множество людей пострадает. Но вот ваш вариант — ну нереален.shpektaras
30.06.2017 01:33Вы не пробовали посчитать во сколько обойдется двойной набор ВСЕХ приложений на разные ОС
Ну вэб-приложения же как-то делают и чтобы на хроме, и чтобы на фаерфоксе, и даже на ие работали (хотя в 90-е никто и представить не мог, что ие когда-то сметут с трона). И мобильные приложения сразу пишут под Андроид и iOS. Уберите монополию на десктопе — будет то же самое.
В каком проценте делить пользователей и функциональность компании на разные ОС
Это уже от стратегии и менеджмента зависит. Посмотрите на Приватбанк — у них в отделениях работают на линуксе и iOS (да, вы не ослышались, iOS). И ничего — отделения функционируют прекрасно, во время Пети упали терминалы на Windows, но все остальное работало. И как показала практика, стратегия Приватбанка здесь — правильная, а тех, кто завязал всю свою инфраструктуру на одну систему — нет.saboteur_kiev
30.06.2017 20:06Пока «вэб» приложение доберется до браузера, оно должно сперва крутиться на каком-то сервере.
«Уберите монополию» звучит как «давайте заблокируем», а не давайте напишем конкурентноспособный продукт.
В отделениях приватбанка работают и на андроид планшетах.
Что же касается «практика показала», так Приватбанк изначально разворачивал структуру на Линукс, потому что
а) это было дешевле в правовом поле.
б) банк развивался быстро, но он достаточно молод, у него нет множества Legacy хвостов, тянущихся из тех времен, где лицензионные системы никто не считал, Линукс администраторов в стране было меньше 100.
в) Приватбанк ориентировался на цифровой рынок, где Линукс сейчас дефакто более стабилен
Есть банки, которые сидят на Windows и не пострадали.
А вот недавние heartbleed были найдены вообще ОС-независимо.
Но вот вам неймется, вы уверены что только монополия во всем виновата.
jankovsky
28.06.2017 15:55-12Вот к чему приводит неконтролируемый доступ к глобальным сетям и отсутствие идентификации пользователей. Получите, распишитесь.
Jef239
28.06.2017 16:17+2Скажите, в реальной жизни вы будете требовать от преступников обязательного предъявления паспорта перед преступлением? И как, они согласятся сначала предъявить паспорт, а потому уже — воровать, грабить, насиловать, убивать?
Увы, преступники всегда найдут способ обмануть ваши законы. Максимум, что вы получите — это идентификацию жертв.
Что же тогда помешает преступникам убить владельца компа и под его именем выйти в сеть и запустить вирус?
Так что начинайте с надежной идентификации преступников в реальной жизни. Без этого все бесполезно.
Ugrum
28.06.2017 16:30+3Так, немедленно прекратите этот свой неконтролируемый доступ к глобальным сетям, предъявите паспорт, получите направление, распишитесь и незамедлительно проследуйте на идентификацию!
Pochemuk
29.06.2017 14:05В связи с тем, что зловред использует сохраненные пароли локального и доменного админа для доступа к другим компам, встали вопросы:
1. Как средствами GP или другими удалить по сетке учетки доменного админа со всех компов?
Команда NET USER работает только с локальными учетками?
2. Как средствами GP или другими сменить по сетке пароли локальных админов?
Команда NET USER может удалять/добавлять/(де)активировать учетки, но не менять пароли.
У меня не 1000+ машинок, но все равно ноги топтать неохота. Да и пропустить могу кого-то.Daimos
29.06.2017 14:20Поднятие уровня домена до 2012R2.
Включение админов домена в группу Protected users.
https://technet.microsoft.com/en-us/library/dn466518.aspx
Включение через GPO Credential Guard
https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard
1. Как средствами GP или другими удалить по сетке учетки доменного админа со всех компов?
Для чего? У вас уже вирус в сети ходит? Смените пароль и выполните первые 2 пункта.Pochemuk
29.06.2017 14:28Увы, у меня контроллеры домена на Win2K3. И приобретение Win2K12/16 в финансовых планах на ближайшие 2 года не числятся :)
Когда вирус будет бродить по сети — будет поздно метаться :D Но пароль доменного админа сменил сразу.
А что насчет смены пароля локального админа по сети?Daimos
29.06.2017 14:34Смысл менять пароль локального админа? Он легко достается mimikatzom.
Для Win2012R2 сервера AD достаточно персоналки c 4GB оперативы за 300 долларов.
Что мешает проапдейтить Win2003 до 2012R2?
Что у вас за сервера вообще?
У нас 250 пользователей, 500 девайсов, и всего 2 виртуалки DC c 4GB оперативы спокойно справляются.
Владелец бизнеса рискует потерять ВСЕ в один день — спасут только бэкапы, которые после выполнения задания будут вынесены из здания.Pochemuk
29.06.2017 15:01Мешает Федеральный закон ФЗ-44, по которому план закупок на 2018 год уже сверстан, а внесение в него изменений — еще тот геморрой. С кучей заявок, обоснований и утверждений. Так что, либо включать в план закупок 2019 года, либо нижайше бить челом. Притом не только нам перед директором, а директору перед городскими властями, а тем — перед областными. Чтобы выделили дополнительное финансирование.
Спасибо нашему правительству!!!Daimos
29.06.2017 15:08Давайте так — закон, это конечно хорошо — но что, в конторе одни железные серваки и нигде нельзя поднять виртуалки? Как-то слабо верится.
Да даже банально на Win10Ent Hyper-V есть, где можно поднять сервак DC.Pochemuk
29.06.2017 15:23А лицензии? Лицензии на Win2K12 тоже денег стоят. А без лицензии она работает 1 час и выключается :).
Смысл покупать железо или поднимать виртуалки без лицензионных ОСей?
Даже не прорабатывал этот вопрос, честно говоря :) Пока что прекрасно обходились двумя железными контроллерами. Железо еще не совсем старое — лет 7 всего. ОСь с прежних серваков перенеслась без проблем.
Так что даже не знаю, как виртуалки ставятся. Не интересно было…
Единственный опыт был — поднимали XP на VMWare в другой XP, т.к. OPC-сервера разных производителей на одной машине начинали конфликтовать. Намучались с пробросом сетевых интерфейсов. Что-то больше не хочется.Daimos
29.06.2017 15:33+1WinSRV 2012R2 без лицензии работает и не выключается — не выдумывайте.
Original Install Date: 4/19/2016, 3:23:43 PM
System Boot Time: 5/28/2017, 7:02:47 PM
Но все равно без лицензий не хорошо :)
Живите и дальше на пороховой бочке, раз за столько лет не смогли обновить свое железо — значит Вам так надо — точнее никак не надо.
Pochemuk
29.06.2017 16:12Я имел в виду пробную версию с офсайта MS, для установки которой лицензионный ключ не нужен.
А это не «без лицензии», а не активированная.
Кстати, а как она обновы получает в таком случае? Это раз.
А два — если при установке не ввести ключ, то устанавливается триальный срок.
А если ввести дублирующий, то или не прокатит или можно нарваться на неприятности.
Почему не обновляем? Регулярно обновляем. Но под конкретные объяснимые цели: 1С, геоинформационная система, сервера диспетчеризации… Т.е. всё то, с чем руководство поиграться может :). А КД — это трудно объяснимо и совсем непонятно :D
А если честно, то приходится прижиматься. Хотеть можно закупить хоть что, а план составляется в пределах выделенных лимитов :)
И пока КД не посыпятся окончательно, вряд ли под них средства выделят. Раньше в конце года перепадало немного дополнительно. А теперь и этого не будет…Daimos
29.06.2017 16:26Есть ключи для установки — лежат на сайте MS.
https://technet.microsoft.com/en-us/library/jj612867(v=ws.11).aspx
Не активированная система нарушает права использования и не может считаться лицензионной и организация может быть оштрафована.
Pochemuk
29.06.2017 15:05Смысл менять пароль локального админа в том, что сейчас он везде один и тот же.
А если скриптом задать новый с солью, зависящей, например, от сетевого имени компа или даты установки ОСи, то они будут разные на каждом компе.
Pochemuk
30.06.2017 22:56Скажите, это мне одному кажется, что серверы терминалов (удаленных рабочих столов) — бомбы с горящими запалами?
На них тусуются десятки пользователей. От системных ресурсов эти клиенты не отделены как следует. Обычно и доменные администраторы заходят на эти сервера под своей учеткой…
Вопрос времени — когда какой-нибудь терминальный клиент получит соответствующее письмо или перейдет по ссылке :(
Marsikus
Так дешифровщику этому уже год.
combonik
Как выяснилось этот дешифровальщик только для старых версий, Petya существенно модифицировался.
TorkHabr
Est' infa 4to posledniy symantec uspewno udalyaet petyu… Sey4as probuem ponyat tak li eto…
codemake
Но дешифровщик платный — 300 битков :)
XakRU
В настоящее время платить выкуп попросту бесполезно, так как адрес wowsmith123456@posteo.net, по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.
Да и вообще покупка дешифровальщика — сомнительное предприятие.