27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc.

Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Возможно, обновление от 17-го мая было неожиданным для атакующих. Но они снова загрузили уязвимость в обновление от 18-го мая, тем не менее большинство пользователей M.E.Doc уже обновились «вчерашним» патчем, и первая атака прошла не особо заметно.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.



Timestamp показывает, что троянский модуль был создан 15 мая.



Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева.

Основной класс бэкдора — MeCom, который расположен в пространстве имен ZvitPublishedObjects.Server, как это указано на картинке 3.


Класс MeCom с троянским кодом в ILSpy .NET Decompiler.

Методы класса MeCom вызываются из метода IsNewUpdate в пространстве имен UpdaterUtils и ZvitPublishedObjects.Server. Сам метод IsNewUpdate вызывается периодически, чтобы проверять доступны ли новые обновления. Зараженный модуль от 15 мая работает немного иначе и содержит меньше функций, чем модуль от 22 июня.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.


Код, который собирает ЕДРПОУ.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних серверов как контрольных центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.


HTTP-запрос от трояснкого модуля, который содержит ЕДРПОУ в cookie.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.


Код бэкдора, который добавляет cookie в запрос.

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.


Код трояна, который расшифровывает список инструкций для выполнения на зараженной машине.

Таблица возможных команд:

Command назначение

0 – RunCmd Выполнить shell команду
1 – DumpData декодировать Base64 данные и сохранить их в файл
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Можно отметить, что именно команда номер 5, названная автором зловреда как «AutoPayload», полностью подходит под то, каким образом изначально распространялся DiskCoder.C на зеро-пациентах (первых зараженных машинах).


Метод AutoPayload, который использовался для выполнения шифровальщика DiskCoder.C.

Выводы

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными?

Отдельная благодарность моим коллегам Frederic Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Вполне даже тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько компаний — кто-то как автор, кто-то как независимый аудитор.

Совершенно очевидно, что подобный диалог нужен, и ПО, которое используется настолько широко, должно проходить сертификацию как ПО национального значения.

Update:
www.securitylab.ru/news/487160.php — файлы действительно можно расшифровать. Автора NoPetya требуют денег, и в качестве доказательства расшифровали отправленный им файл.

www.securitylab.ru/news/487159.php — С bitcoin кошелька авторов вредоноса были сняты деньги.

Update2:
blog.talosintelligence.com/2017/07/the-medoc-connection.html
Очень полезная статья на английском, где проводили исследование с подтверждениями о том, что сервер обновлений Медка действительно был сломан, и скорее всего зараза распространялась не из его офиса, а с поддельного сервера обновлений. Пруфы в виде скриншотов логов прилагаются.
Поделиться с друзьями
-->

Комментарии (332)


  1. tangro
    05.07.2017 00:51
    +21

    Статья написана так, как-будто сервера M.E.Doc взломали (причём сразу все — и с кодом, и билд-сервера, и сервера обновлений), всунули в код вирус, собрали, выкатили в релиз и так 4 раза.

    К чему такие дикие теории, если сам M.E.Doc — детище беглого министра доходов и сборов Клименко (времён Януковича), который со своим шефом нынче в России, но, конечно, полностью контролирует созданную им контору. Никто их не ломал, они сами всё это и написали. Ну или отдали контроль и не вмешивались в процесс.

    Бритва Оккама, знаете ли.


    1. saboteur_kiev
      05.07.2017 01:01
      +21

      Написали сами, или один конкретный внедренный сотрудник, который получал за это отдельное вознаграждение, или один конкретный сотрудник, который был уволен, но при этом у него остались доступы — это все повод для обсуждений.

      Самому медку распространять все со своего официального сервера обновлений — как минимум глупо… Он со всей украины имеет больше, чем ненадежные 300$ на биткоин.

      А вот то, что у них все плохо с безопасностью и руками — это известно. Достаточно того, что
      1) обновления распространяются без цифровой подписи.
      2) некоторые обновления глючат, а техподдержка Медка советует запускать их в таком случае от имени администратора
      3) сам медок — сверхпопулярен не потому, что он хорош, а от безысходности — практически нет конкуренции, никто не хочет лезть в бухгалтерию, которая меняется постоянно


      1. SolarW
        05.07.2017 08:46
        +13

        И не только запускать от имени администратора.
        На одном из форумов человек приводит диалог с чатом поддержки Медка:
        _________________________________
        Вот переписка в чате медка, 17 мая

        Тамара
        Здравствуйте!

        09:11
        Вы
        Здравствуйте,
        При попытке загрузить обновление

        ezvit.10.01.179-10.01.180.exe

        скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.

        Malware Name: Trojan:Win32/Azden.A!cl
        Number of infections: 2
        Last detection time(UTC time): 5/17/2017 11:59:04 AM

        Соответственно мы не можем получить последние обновления для M.E.DOC
        Заранее спасибо за быстрый ответ

        09:12
        Тамара
        В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту

        09:12
        Вы
        Извините, но мы не можем отключить антивирус.

        09:19
        Тамара
        или я могу Вам выслать обновление на электронную почту

        09:21
        Вы
        Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.

        09:29
        Тамара
        На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
        _________________________________


      1. keydet
        05.07.2017 17:57

        Самому медку распространять все со своего официального сервера обновлений — как минимум глупо… Он со всей украины имеет больше, чем ненадежные 300$ на биткоин


        Учитывая связи Клименко, самому медку с очень высокой вероятностью могла капать ещё неплохая доплата от российских спецслужб.


    1. sstakk
      05.07.2017 09:42
      +8

      Тру, как говорилось когдато.
      Я бы еще добавил что программа не «получила популярность», а во времена Януковича ее насаждал всем. Только Медок мог гарантировать получение налоговой отчетности вовремя. Любая другая альтернатива может и подходила, но сравнительно часто налоговая не получала отчет. После чего сразу писался штраф. И врядли это было случайно :)


      1. vyrkmod
        05.07.2017 12:25
        -1

        Кого-то мне это напоминает, только в другом государстве. «Переняли опыт», не иначе.


      1. agugnin
        05.07.2017 19:19

        Как минимум одна альтернатива, есть, которой я сам пользуюсь — это приложение Sonata в бесплатном режиме как модуль отправки + бесплатно распространяемое ПО opz для генерации отчетности. Ни разу не было проблем с доставкой отчетности через эту связку.


        1. sstakk
          06.07.2017 15:36
          +1

          Это сейчас все альтенативы работают. Но так было не всегда


    1. botva0
      05.07.2017 12:24
      +2

      ну про клименко это перегиб. медком пользовались, когда он еще назывался бес-звит-плюс и про клименко никто не слышал. просто в свое время эта контора бесплатно создала для налоговой систему электронной корреспонденции и получила за это эксклюзивные права на продвижение в массы своего софта. хотя, про бесплатно не уверен, но факт в том, что софт существовал еще до клименко.
      тут другой вопрос, где теперь искать нескомпрометированную библиотеку ZvitPublishedObjects.dll, чтобы хоть как-то пользоваться медком.


      1. saboteur_kiev
        05.07.2017 12:30

        Можно поискать чистые обновления за даты, указанные в статье, и посмотреть есть ли в этих обновлениях библиотека. Но опять таки — сервера обновлений Медок и вообще все их присутствие в инете лежит, ибо скорее всего конфисковано на расследование, на телефоны они вряд ли отвечают. Официальной поддержки в ближайшие дни не ждать.
        Ближайшие аналоги — соната и арт-звит, но они не так удобны, во-вторых это нужно каждому бухгалтеру привыкать к новому софту, в-третьих у многих была интеграция 1С и Медок, а 1С с другим работает плохо — опять таки ручная работа.

        Ну и напоследок — среднестатистический бухгалтер — в силу своей деятельности более опытный пользователь, чем среднестатистический офисный сотрудник.

        Но это все равно не то, что подразумевается под опытным пользователем ПК в ИТ-мире…


        1. botva0
          05.07.2017 13:41

          предпоследняя 188 версия чистая и я ее нашел. прикол в том, что медок проверяет интеграцию библиотек и не запускается с библиотекой от другой версии.
          как выход ставить 188 и откатываться на сохраненные базы. при этом потеряются квитанции и отчеты с 20 июня. хотя их можно вытащить с почтового сервера.
          отчеты уходят и даже возвращаются квитанции, тут ведь серверы медка не нужны, обмен информацией происходит по почте. как временный аварийный вариант подойдет.


          1. SolarW
            05.07.2017 15:22

            Вроде 189-й билд с библиотекой от 188 запускается?


            1. botva0
              05.07.2017 22:28

              Не запускается.


              1. compdemon
                06.07.2017 17:41

                У меня — запускается.
                Копировал и ZvitPublishedObjects.dll и ZvitPublishedObjects.dll.config от 188 релиза в 189 — пока не ругается.


                1. botva0
                  07.07.2017 14:10

                  Не верю, тем более, что конфиг не менялся с 2012 года. Так что или библиотека у Вас от другого релиза, или релиз другой, или оно вообще не работает.
                  Даже сам медок предлагает конвертировать базу из 189 к 188 релизу. Правда, особо не делятся информацией, требуют удаленный доступ и делают сами. Но перетащить базу из 189 версии в структуру 188 — не велика проблема. В принципе, вопросов уже нет, на 188 все работает после конвертации базы.


          1. ICELedyanoj
            06.07.2017 04:32

            Стандартное для .Net поведение


            1. lostmsu
              06.07.2017 19:24

              Если речь про привязку к strong name, её можно исправить с помощью binding redirect.


          1. mayorovp
            06.07.2017 10:11

            А он сам проверяет — или рантайм .NET это делает? Если второе, то можно же прописать bindingRedirect в конфиге.


    1. ieshevyakov
      05.07.2017 12:44
      -6

      Конечно! Сам Путин взломал!


    1. SolarW
      05.07.2017 13:55
      +1

      https://tsn.ua/ukrayina/m-e-doc-pidtverdila-rozpovsyudzhennya-virusu-petya-a-cherez-yihnye-po-ymovirna-nova-kiberataka-956212.html — судя по последним новостям примерно так все и было, Интеллект-сервис поменял свою точку зрения на 180 градусов и уже согласен что это они всех заразили.


      1. icetinte
        05.07.2017 17:19
        +4

        Так ведь теперь можно все свалить на русских, оправдав собственную безалаберность.


  1. impetus
    05.07.2017 02:20
    +6

    По сути смогли сунуть зловреда в стране практически всем. И страна легко, в общем, отделалась. Даже простоя в 1 день всей экономике не получилось — выходной был, за который IT-службы успели более-менее всё восстановить. Финансовая, энергетическая, транспортная, телекоммуникационная инфраструктуры — практически не пострадали, глобальных сбоев с толпами застрявших (привет Хитроу) или разморозившихся зимой отопительных систем масштаба города — не было. Домны не погасли, НПЗ не взорвались, метро работало, вода в кране была. Не столь уж давние блэк-ауты (не будем уточнять где) доставили неприятностей значительно больше. Т.е. даже при таком <...> состоянии с безопасностью и администрированием — IT-составляющая хозяйства/экономики/цивилизации оказалась не столь уж уязвимой к «случайно залетевшему дятлу».

    Теперь важно — какие будут (орг)выводы.


    1. throttle
      05.07.2017 03:28
      +13

      Верных выводов будут единицы.
      В масс-медиа будут закатывать истерики про русский след, и оправдывать этим любые новые санкции.
      В коммерческих структурах — большей частью никаких выводов. Ну, обновы накатят, может.
      У меня на глазах пример — производство простояло 1,5 суток — ну подумаешь, склады вымылись. Восстановили — и хорошо. Зачем вкладывать бабло в обучение людей, в системы защиты? И так норм.
      Это все печально, конечно.


      1. saboteur_kiev
        05.07.2017 03:31
        +2

        Я бы очень хотел, чтобы выводы привели к диалогу властей и руководителей топовых ИТ компаний.
        Даже предложения уже были. Многие ИТ компании готовы разрабатывать софт даже не за сверхприбыль, а практически по себестоимости, для репутации.

        Потому что если будет как обычно — власти примут решение основываясь на своих представлениях о том, как все работает (или пообщавшись со знакомым эникейщиком васей)…


        1. cattheblack
          05.07.2017 09:26
          +2

          или пообщавшись со знакомым эникейщиком васей

          Петей же!


          1. saboteur_kiev
            05.07.2017 09:38

            Петя с Петей? =)


        1. throttle
          05.07.2017 11:03
          +3

          власти примут решение основываясь на своих представлениях

          Скорее, власти примут решение, основываясь на своих интересах.


      1. SolarW
        05.07.2017 09:40

        Похоже история получила продолжение.
        Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…

        Специальные агенты департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Об этом сообщил министр внутренних дел Арсен Аваков на своей странице в Facebook.

        «Пик атаки планировался на 16.00 (вторника, 4 июля – ред.). Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc», – написал глава МВД Украины.
        По словам Авакова, атака была остановлена.

        «Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации. Спасибо спецагентам за службу!» – добавил министр.


        1. SolarW
          05.07.2017 10:00
          +1

          http://korrespondent.net/ukraine/events/3866213-prekraschen-vtoroi-etap-kyberataky-Petya-avakov — полная версия новости, чуть больше данных.


        1. throttle
          05.07.2017 11:09
          +5

          Там около нуля информации.
          Ну, изъяли сервера в связи со следственными действиями — это да, это факт.
          Все, что они там обнаружили, чему воспрепятствовали — это информация, что называется, с их слов. Многие ведь верят.
          Только ленивый не использует такой инфоповод в своих корыстных целях.


          1. SolarW
            05.07.2017 13:00
            +1

            Я поэтому и написал:

            Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…


        1. mazy
          05.07.2017 15:52

          Вопрос почему не изъяли сразу после первой волны для расследования…


          1. SolarW
            05.07.2017 16:02
            -1

            https://tsn.ua/ukrayina/policiya-viluchila-serveri-kompaniyi-m-e-doc-cherez-rozsliduvannya-kiberataki-955888.html — ну так они сказали что не виноваты «мамой клянус!» :-)
            Вроде как все проверили т.д.


          1. doubtitall
            07.07.2017 16:52

            Они пригласили спецов поковыряться в «живой» на тот момент системе.

            As part of Cisco’s global response to this event, two incident response specialists from the Advanced Services group arrived in Ukraine on the evening of June 29th.


    1. Fomos
      05.07.2017 09:34

      Беда в том что только более или менее восстановить, до сих пор около 10 компаний в моем городе испытывают проблемы. Некоторые не могут принят заказ на поставку продукта, некоторые не могут создать договор так как программа не работает.


      1. yefrem
        05.07.2017 10:59
        +1

        football.ua лежит до сих пор. Его брат korrespondent.net восстановился только пару дней назад и подглючивает. В интернете уже теории о рейдерском захвате были ибо непонятно, что вообще можно делать столько времени. Видимо пропали исходники, иначе я этого объяснить не могу.


        1. SolarW
          05.07.2017 11:10
          +7

          Учитывая количество бреда генерируемого корреспондентом и постоянные срачи в комментариях к новостям — я надеялся что он дольше подлежит :-)
          А насчёт долго — подозреваю что меняли админов :-)


          1. yefrem
            05.07.2017 13:04

            тем не менее, это крупные сайты по украинским меркам и мне интересно, чисто технически, как можно было до такого докатиться


          1. sHaggY_caT
            05.07.2017 17:07

            А насчёт долго — подозреваю что меняли админов :-)


            Лучше бы платформу поменяли, до сих пор Windows:

            HEAD http://korrespondent.net
            200 OK
            Cache-Control: private
            Date: Wed, 05 Jul 2017 14:06:16 GMT
            Server: Microsoft-IIS/8.0
            Content-Length: 152052
            Content-Type: text/html; charset=utf-8
            Client-Date: Wed, 05 Jul 2017 14:06:16 GMT
            Client-Peer: 193.29.200.159:80
            Client-Response-Num: 1
            Set-Cookie: dcw=44; domain=.korrespondent.net; expires=Thu, 05-Jul-2018 14:06:16 GMT; path=/
            


            1. saboteur_kiev
              05.07.2017 17:15

              А вдруг там что-то на ASPX?


              1. sHaggY_caT
                05.07.2017 17:25

                Очевидно да, там что-то на ASPX :)
                Вот и падает вебсайт(!) одновременно с бухгалтерией (ещё и бэкапов наверняка нет...)


      1. ilya-s
        05.07.2017 13:44
        +2

        Переселенцам с восточных областей остановили выплаты пособий ссылаясь на то, что даные уничтожены вирусом.


        1. sHaggY_caT
          05.07.2017 17:08
          -3

          LOL, как вообще критичная инфраструктура может использовать Windows :(?


          1. mayorovp
            05.07.2017 17:57

            А что не так с Windows, если лишние порты закрыть?


            1. sHaggY_caT
              05.07.2017 19:27
              -3

              Технический дизайн не тот :)

              Например, общепринятая практика писать софт так, что он не только требует админских прав, но и всё своё складывает в %programfiles%\$program_name, практика что-то хранить в %APPDATA% встречается редко.

              В итоге софт может писать в ту же папку (а то и в весь %programfiles%!), куда установлен, только что бы менять свои настройки

              Приносится какая-то библиотека самой софтиной, и… не обновляется никогда! При том, что разработчик её написал не сам, и конечно дырки в ней не закрывает. В Linux, например, пакеты зависят от библиотек, которые устанавливаются независимо от приложений (это ещё и место на диске и в RAM кстати экономит)

              Это проблема изначальная проблема в ДНК — есть вроде какие-то технологии — и раздельное хранение бинарников с библиотеками — для того же дотнета библиотеки поставляются независимо от программного продукта, и UAC вроде есть, и даже какая-то имплементация аналога SELinux, но всё это так же невозможно удобно использовать, как и powershell в сравнении с bash. Всё равно единственный удобный способ использования этой экосистемы такой, что ботнеты из разу в раз распространяются, ну а Windows эксперты нам рассказывают байки о том, что а вот когда Linux станет популярнее, тогда… Да вот стал, уже под 2%, а на серверах и в cloud computing уже давно куда популярнее, а что-то там такого никогда не случается.

              Мало написать красивые технологии. Должен быть технический дизайн ОС и вообще экосистемы такой, что бы все использовали эти красивые, правильные, и безопасные технологии

              P.S. Ах да, чуть не забыла — знаете почему все отключают апдейты? По тому, что майкрософт решила сделать по своему, и в Windows файл блокируется при его открытии, в отличие от UNIX систем. Это ошибка в ДНК, которая приводит к тому, что нельзя апдейтится и пользоваться компьютером одновременно.


              1. mayorovp
                05.07.2017 19:43

                Вот только свое приложение всегда можно написать по уму, так же как и допустить в нем все перечисленные вами ошибки. И от операционной системы это не зависит.


                1. sHaggY_caT
                  05.07.2017 19:48
                  -2

                  Вот только свое приложение всегда можно написать по уму,


                  Нельзя. Смотрите, какой длинный список когнитивных искажений у представителей homo sapiens. Я себе не доверяю, и другим себе доверять тоже не советую.

                  И от операционной системы это не зависит.


                  Зависит. Линуксовый говнософт не подвержен описанным выше проблемам, он обычно просто не работает, лол


                  1. mayorovp
                    05.07.2017 19:51

                    Линуксовый говнософт не подвержен описанным выше проблемам, он обычно просто не работает, лол

                    Это просто означает, что вам нужно будет сначала починить чужой софт, чтобы потом запустить его под рутом. Иначе не сможете сдать отчет в налоговую...


                    1. sHaggY_caT
                      05.07.2017 19:56

                      Это просто означает, что вам нужно будет сначала починить чужой софт, чтобы потом запустить его под рутом. Иначе не сможете сдать отчет в налоговую…


                      нет, на этой платформе такой проблемы нет. На ней есть, например, Docker контейнеры, уже повсеместно распространённые. На Windows даже что-то такое тоже есть, но как обычно в таком виде, что это никто не использует.

                      Чинение чужого софта обычно заключается — если повезло — в создании симлинков на те библиотеки, с которыми приложение слинковано, или если не повезло, в написании патча (если есть исходники, на линуксовый говнософт они обычно есть)

                      Понимаете, тут просто не принято писать софт так, что бы он создавал под себя отдельную папку в /usr/bin/ и гадил туда же своими настройками. Так никто не пишет, даже начинающие кодеры!
                      И файлы не блокируются если открыты — такой дизайн ОС. И установщики для программ самих себя редко встречаются, обычно используется менеджер пакетов ОС или pip какой-нибудь, такой дизайн.


                      1. mayorovp
                        05.07.2017 19:57
                        +1

                        Тут вот как раз сегодня перевели статью о том, как замечательно развивается Докер: https://habrahabr.ru/post/332450/


                        1. sHaggY_caT
                          05.07.2017 20:05

                          У меня другой опыт. Впрочем, я Докер обычно не использую где HighLoad, а использую на своей рабочей станции, на станциях разработчиков, и для Continious Integration (автосборка образов с последним релизом софта, прогон тестов в Jenkins итд)


              1. DistortNeo
                05.07.2017 20:05
                +3

                > Например, общепринятая практика писать софт так, что он не только требует админских прав, но и всё своё складывает в %programfiles%$program_name, практика что-то хранить в %APPDATA% встречается редко.

                Проснитесь, эти времена уже давно прошли. Единственная программа (помимо инсталляторов), которой нужны админские права — это файловый менеджер, когда нужно порыться в тех же %programfiles%.

                > В итоге софт может писать в ту же папку (а то и в весь %programfiles%!), куда установлен, только что бы менять свои настройки

                Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo.

                > В Linux, например, пакеты зависят от библиотек, которые устанавливаются независимо от приложений (это ещё и место на диске и в RAM кстати экономит)

                Только при условии, что эта библиотека из официального репозитория и не требуется её строго определённая версия, например, когда программа зависит от конкретных багов в библиотеке.

                Шаг в сторону — и уже проблемы. Иногда лучше, когда нестандартная библиотека является частью пакета, иначе его установка может оказаться весьма нетривиальной задачей.

                >… но всё это так же невозможно удобно использовать, как и powershell в сравнении с bash

                У вас однобокий взгляд со стороны разработчика. Пользователей в мире гораздо больше, чем разработчиков, и проблемы разработчиков им неведомы. А ограничивать пользование ПК для непродвинутых пользователей — это бред.


                1. sHaggY_caT
                  05.07.2017 20:13
                  -2

                  Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo.


                  Такой традиции нет

                  Проснитесь, эти времена уже давно прошли. Единственная программа (помимо инсталляторов), которой нужны админские права — это файловый менеджер, когда нужно порыться в тех же %programfiles%.


                  Ага, конечно, такого софта нет, да только в новости как раз про такой софт и рассказывают.
                  + у меня в виртуалках с виндой постоянно у разных заказчиков были какие-то говноприложения для бизнеса написанные в незапамятные времена на Delphy, и бизнес от них отказаться не может. Догадываетесь, как они написаны?

                  Только при условии, что эта библиотека из официального репозитория и не требуется её строго определённая версия, например, когда программа зависит от конкретных багов в библиотеке.


                  Обычно всё собрано с нужными версиями. Если нет, то обычно просто ставится тем же пакетом другая версия библиотеки. Такие дела :(
                  В крайних случаях я иногда для работодателя сама собираю пакетик с библиотекой, и сама потом его мантайню, но такое редко когда нужно :(
                  Сейчас всегда всё есть если не в системном репозитории, то в том же pip

                  У вас однобокий взгляд со стороны разработчика. Пользователей в мире гораздо больше, чем разработчиков, и проблемы разработчиков им неведомы. А ограничивать пользование ПК для непродвинутых пользователей — это бред.


                  не бред :) Всё работает


                  1. DistortNeo
                    05.07.2017 20:34
                    +1

                    > Такой традиции нет

                    Ну так и под винду сейчас не принято так писать.

                    > Ага, конечно, такого софта нет, да только в новости как раз про такой софт и рассказывают.

                    И это печально. Остаётся только надеяться на то, что в будущих версиях винды этот софт в принципе не будет работать, а оставаться на старых версиях будет не вариант из-за отсутствия поддержки оборудования.

                    С другой стороны, буть медок писан под линуксы, я не был бы удивлён, если бы он хотел рута.

                    > Обычно всё собрано с нужными версиями.

                    В чём же тогда заключается экономия по памяти, если каждый пакет будет хотеть свою версию? И как быть с обновлениями? Поддержка рано или поздно закончится, и заказчик будет сидеть со старой версией библиотеки, потому что так решил разработчик.


                    1. sHaggY_caT
                      05.07.2017 21:08
                      +1

                      Ну так и под винду сейчас не принято так писать.


                      Никогда не было принято. Но традиция была, есть, и будет.

                      С другой стороны, буть медок писан под линуксы, я не был бы удивлён, если бы он хотел рута.


                      Не хотел бы, уверяю Вас. Тут говнософт обычно имеет другие проблемы. Скорее, он бы требовал старой версии Ubuntu, древнего RHEL, или что-то подобного, и был бы геморой его поставить, используя compat-библиотеки, на новый дистрибутив (но всё бы быстро решалось упаковкой в Docker)

                      В чём же тогда заключается экономия по памяти, если каждый пакет будет хотеть свою версию?


                      Обычно весь софт, требующий определенную библиотеку, в дистрибутиве собран с этой версией либы. Мантайнеры пишут патчи, если это возможно.
                      Если нет, то поставляют другую версию.

                      Поддержка рано или поздно закончится, и заказчик будет сидеть со старой версией библиотеки,


                      Тут обычно софт с не поддерживаемыми фреймворками просто умирает. Так устроена экосистема.


                  1. saboteur_kiev
                    05.07.2017 21:13

                    > " Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo."

                    >> «Такой традиции нет»

                    то есть «sudo apt-get» всем снится?


                    1. sHaggY_caT
                      05.07.2017 21:30
                      -1

                      то есть «sudo apt-get» всем снится?


                      А оно гадит? Да, кстати, aptitude в Дебианойдах лучше


                  1. vlivyur
                    06.07.2017 09:42

                    Такой традиции нет
                    Если виндового разработчика заставить писать под линукс — будет и не такая традиция.
                    DistortNeo «не принято так писать» не значит что так не пишут. Ещё и не так пишут.


                    1. sHaggY_caT
                      06.07.2017 12:21
                      -2

                      Если виндового разработчика заставить писать под линукс — будет и не такая традиция.


                      Будет неудобно использовать. В Windows удобны не-безопасные сценарии, безопасные вызывают чувство неудобства, а в Linux наоборот. Попробуйте посидеть в X сессии под рутом (некоторые дистрибутивы просто не дают это сделать, но на самом деле легко нагуглить, как это таки сделать), у Вас часть софта даже запускаться не будет!

                      + пользователи сами будут Вас просить использовать пакетный менеджер, а не установщик, итд. В Windows есть замечательный пакетный менеджер msi. Технологически он может быть даже лучше, чем deb. А его никто не юзает! Почему? А по тому, что такой дизайн сообщества, ОС и общепринятая практика (ошибка в ДНК т.е.).
                      В Linux же разработчики построены по-другому…

                      Посмотрите ещё на iOS например, с её джейлами на приложение. Где тут эпидемии? Майкрософт сейчас пытается переломить ситуацию, со своими «плитками» и новыми приложениями, не Win32, но инерция рынка и куча legacy кода с устаревшим дизайном (прежде всего, дизайном самой ОС) не даёт им это сделать.


                      1. mayorovp
                        06.07.2017 13:17

                        Нет, это вы посмотрите на инструкции по установке программ вида wget xxx | sh (и даже sudo sh -c 'wget xxx | sh'). Это — уже существующие инструкции, которыми люди пользуются, потому что это удобно. Являются ли они безопасными?


                        1. sHaggY_caT
                          06.07.2017 13:39

                          которыми люди пользуются, потому что это удобно


                          Не особенно пользуются. Если брать AWS, тут обычно софт ставят Ansible/Puppet/Fabric/Cloudformation, а bash и всё руками — такое разве что на тестовых инстансах


                          1. mayorovp
                            06.07.2017 14:24

                            Linux не ограничивается кластерами серверов в облаке с CI и CD. Его используют еще и владельцы одного-единственного сервера, где все ставится и настраивается руками. Возможно даже что этот сервер одновременно является домашним компьютером. Вот они-то и являются целевой аудиторией таких вот "удобных" скриптов.


                            И если бы не Windows — то таких пользователей Linux было бы на порядок больше.


                            1. sHaggY_caT
                              06.07.2017 14:32
                              -1

                              Его используют еще и владельцы одного-единственного сервера, где все ставится и настраивается руками


                              Вымирающий класс. Если не IT-компания, то они уходят на SaaS приложения, которые поставляют те, у кого много инстансов в публичных/приватных облаках.
                              Если IT компания, то опять же облако как правило просто из-за удобства разработки, так как AGILE

                              Возможно даже что этот сервер одновременно является домашним компьютером. Вот они-то и являются целевой аудиторией таких вот «удобных» скриптов.


                              Не хочу обидеть, но Вы ведь это только что придумали, да? :(


                              1. mayorovp
                                06.07.2017 14:52

                                Можете найти адекватное по цене SaaS-решение для хост-бота для третьего варика?


                                Я знаю одно, но там боты слишком сильно заточены на автохост вместо хоста по требованию (и в процессе этого затачивания были неоднократно переписаны человеком, который не является программистом). К тому же там всего один админ, и он делает все руками, безо всяких Ansible/Puppet/Fabric/Cloudformation и облаков. Кроме того, там цена за одного бота раз в шесть больше чем стоимость простейшего VDS.


                                Кстати, этот самый бот (ghost++) идет в комплекте с устаревшей версией mysql-клиента. И еще он не умеет писать в syslog — только в файл.


                                И да, в конфигурации по умолчанию он хранит реплеи в субдиректории своего места установки. Рядом со своим конфигом. На форумах рекомендуют запускать его от рута. Правда, в отличии от Медока, он не обижается если запустить его от другого пользователя, аккуратно выдав тому права на запись через ACL.


                                Не хочу обидеть, но Вы ведь это только что придумали, да? :(

                                Нет, не придумал. Именно так хостился конкурирующий бот.


                              1. DistortNeo
                                06.07.2017 17:36
                                +1

                                > Вымирающий класс.

                                Ну да, такой же вымирающий класс, как энергетика, основанная на углеводородах. А по факту живее всех живых.

                                > Если не IT-компания, то они уходят на SaaS приложения, которые поставляют те, у кого много инстансов в публичных/приватных облаках.
                                Если IT компания, то опять же облако как правило просто из-за удобства разработки, так как AGILE

                                Не надо проецировать свой опыт на всё, что связано с компьютерами. В вашем мире существуют только разработчики и не существует пользователей, а единственный возможный сценарий использования компьютеров — это облачные технологии для разработки новых облачных технологий.

                                > Не хочу обидеть, но Вы ведь это только что придумали, да? :(

                                Ну вот у меня дома как раз и стоит сервер под линуксом. На нём крутится самба (о ужас, правда?), чтобы обмениваться файлами между локальными компами и смотреть видео с твбокса. Есть Apache, смотрящий во внешний мир с одной из директорий, доступных через самбу, чтобы легко и просто передавать большие файлы через интернет. Есть GIT, OpenVPN, BTSync для автоматической синхронизации. Ну и до кучи просто линукс-машина, где некоторые вещи делать вполне удобно.

                                А теперь давайте убеждайте меня, что я должен отказаться от всего этого и перейти на облачные технологии.


                      1. vlivyur
                        06.07.2017 16:05

                        Неудобно кому? Удобство заказчика это дело даже не десятое, если в ТЗ такого не написано.
                        Замечательность msi сильно переоценена. Некоторые вещи там очень нелогичны. Да и инструментов особо нет.


              1. saboteur_kiev
                05.07.2017 21:11

                «По тому, что майкрософт решила сделать по своему, и в Windows файл блокируется при его открытии, в отличие от UNIX систем.»

                В юникс системах хендлер открывается на inode, а не на имя файла, поэтому имя файла не блочится. Это не ошибка в ДНК, это просто другая архитектура.
                NTFS вообще сама по себе весьма неплохая файловая система с огромным количеством возможностей.
                Например права доступа там гораздо гибче, а в Линукс для temp приходится обходится костылем типа Sticky bit, который больше нигде и не используется.

                А вообще, хейтерство систем не есть гуд. У каждой системы есть свои преимущества и недостатки.


                1. sHaggY_caT
                  05.07.2017 21:32
                  -2

                  В юникс системах хендлер открывается на inode, а не на имя файла, поэтому имя файла не блочится. Это не ошибка в ДНК, это просто другая архитектура.


                  Нет, это именно ошибка в ДНК :) Вот такая архитектура!
                  Видите ли, системные архитекторы тоже делают ошибки…

                  Например права доступа там гораздо гибче


                  Windows-like ACL в линупсах тоже есть, но нет традиции их юзать(то есть, по моей логике я да, должна согласится, что их нет). НО(!) Если нужна изоляция, то используют контейнеры, если нужна безопасность, то SELinux

                  А вообще, хейтерство систем не есть гуд. У каждой системы есть свои преимущества и недостатки.


                  NT хорошая система для рабочей станции не ИТ-ка и как игровая платформа, но плохая как облачный инстанс. А сейчас все сервера мигрируют в облака. Поэтому серверы на NT сейчас делать не стоит, ИМХО


                  1. saboteur_kiev
                    07.07.2017 09:45

                    «NT хорошая система для рабочей станции не ИТ-ка и как игровая платформа»

                    NT никогда не была игровой платформой, поскольку в ней тупо не было поддержки того, что нужно игровым платформам, и начало это появлятся уже в 2000, а нормально стало только в XP версии.

                    По какой-то странной причине, Вы реально считаете, что ваш личный персональный опыт — это мировой опыт каждого пользователя. Но это не так.
                    Традиции Линукс распространяются исключительно на администраторов узкого круга.

                    Огромное количество современных пользователей и брендов, эти традиции не знает, и штампует из линукса Андроиды, прошивки и домашние компы без оглядки на них.

                    В облака мигрируют не все сервера, а только некоторая часть, которым это удобно. Оторвитесь от сугубо айтишных компаний, и посмотрите суровый энтерпрайз например финансовых систем — очень мало кто даже рассматривает облака как что-то полезное. Проще свой датацентр построить, чем отдавать сенситивити дата в облако. И это самые крупные компании.


                    1. sHaggY_caT
                      08.07.2017 00:14
                      -1

                      NT никогда не была игровой платформой, поскольку в ней тупо не было поддержки того, что нужно игровым платформам, и начало это появлятся уже в 2000, а нормально стало только в XP версии.


                      Была. NT 6.1, например, прекрасная игровая ОС :) Причём во всех инкарнациях, хоть Win 7, хоть 2008 server

                      В облака мигрируют не все сервера, а только некоторая часть, которым это удобно. Оторвитесь от сугубо айтишных компаний, и посмотрите суровый энтерпрайз например финансовых систем — очень мало кто даже рассматривает облака как что-то полезное. Проще свой датацентр построить, чем отдавать сенситивити дата в облако. И это самые крупные компании.


                      а не-итые компании просто отдают массово всё на аутсорс и покупают SaaS'ы. Особенно маленькие не ит-ые компании. Поэтому опять же всё идёт в облака. Такие дела.


                      1. saboteur_kiev
                        08.07.2017 00:31

                        Вот не надо путать семейство NT и название конкретной версии.
                        Ваше хейтерство по отношению к Windows не дает возможности в принципе вести диалог.


                        1. sHaggY_caT
                          08.07.2017 01:45
                          -1

                          Вот не надо путать семейство NT и название конкретной версии.


                          Я предлагаю относится к друг другу с уважением, а то я могу покопаться в Ваших сообщениях, и указать, где именно и что Вы перепутали (например, влезли ни к селу ни к городу со своей Windows Phone, которая вообще совершенно другая ОС, и абсолютно никакого отношения не имеет к Windows NT ветке — я же не критиковала или не хватила Win 9x? А зачем Вы делаете это? Кстати, с Windows Phone можно ещё перепутать WinCE и WinMobile — тоже совершенно другие ОС)

                          Ваше хейтерство по отношению к Windows не дает возможности в принципе вести
                          диалог.


                          Я Windows юзер как игровой платформы — мы летаем с мужем в Elite Dangerous в Windows виртуалке, в которую проброшена видеокарта с хостовой системы.
                          Так же я, бывает, сталкиваюсь по работе с NT-системами, которые Майкрософот брендировала и продаёт по подписке как серверные (2008, 2008R2, 2012 Server, etc) в гостевых системах в OpenStack.

                          Я не хейчу, а пишу объективный анализ. Никто из вас пока ничего обоснованного на последнюю редакцию аргументов не возразил. Дискуссия с вашей стороны заглохла после анализа зараженных Android смартфонов, т.к. он подтвердил мои тезисы.

                          Много ли Вы видели Linux юзеров, отдающих должное технологиям MS, и называющих MSI технологичным, особенно для своего времени, по сравнению с набором костылей в deb пакетах?

                          Как можно называть хейтерством тезис, что все популярные сценарии использования Linux (а так же Android, iOS, etc) безопасны, а популярные и удобные сценарии использования Windows нет?
                          Ну да, понимаю, назвать ситуацию своими именами, и «ошибкой в ДНК» это непозволительный грех!
                          А ведь я всегда и везде писала именно эти тезисы, может быть, в чуть другом виде. Приятно видеть, что Майкрософт делает именно то, что я бы делала на их месте — то, что они добавили магазин в Windows NT шаг в правильном направлении. Я ещё лет 5 назад говорила, что Windows NT проблемна без репозиториев, а-ля линукс и гугл плей
                          Теперь нужно переписать механизм блокировок файлов для Metro приложений и ядра (ну да, отвалится разный низкоуровневый софт), оставив легаси интерфейс,
                          и популярность отключения апдейтов резко упадёт


              1. StallinHrusch
                06.07.2017 02:00
                +3

                Омг, что я сейчас прочитал? Ничего лично, но из того, что вы написали, правды примерно 0%. И про отключают обновления (отключают их может дома кухарки, в любой компании крупнее шавермячной испольцуются доменные политики и там это, часто, не выбор пользователя). Апдейты на пользовательские машины ставятся не из Windows Update, а с копроративного центра обновлений и только тех что одобрили и проверили админы. Админских прав на пользовательских машинах оооочень часто просто нет (так что бред про запись в program files лучше потереть). По тем же причинам невозможно отключить UAC. Исключение могут составлять только IT компании, где большая часть работников далеко не илиоты и им дизненно необходимо иметь админские привелегии время от времени (попробуйте подключиться дебагерром к стороннему процессу с более высокими привелегиями, ага). Но у них хватает мозгов не отключать uac. То что вы описали про "технический дизайн" это чушь откроыенная. Такое может сказать в 2017 очень некомпетентный человек (или дельфин). Да и хватит кривить душой говоря что мол "вооот, в оинуксах такого небыло!!1". Было и совсем недавно (проблемы с самбой помним? А с ssl?) и бывают они регулярно! То что вы их не замечаете — это очень плохой знак. Это значит что вы просто не понимаете природы этих проблем и, случись чего, не в сострянии будете с ними справиться. Удачи.
                P.S. Пардон за опечатки, печатал с телефона с браузера.
                P.S.S. Кще забыл добавить что ни в одной половозрелой компании никто ничего не хранит на локальной машине, кроме хоум-котиков. А на серверах сами понимаете — другие настройки :)


                1. sHaggY_caT
                  06.07.2017 02:25
                  -1

                  Ваш праведный гнев неуместен. В сферических компаниях в вакууме правильные групповые политики, что нельзя даже бинари левые запускать, а в реальных всё как я написала.
                  И постоянно всякие Роснефти (реальные компании! А не те, о которых Вы пишите!) шифруются шифровальщиками и падают от conficker'ов


                  1. StallinHrusch
                    06.07.2017 09:29
                    -1

                    В том то и дело, что если бы у Роснефти стояли убунты и ко, им это врятли помогло бы. Какая разница какая ОС, если используют ее на уровне школьника? Ну вот не стоит у них в приоритете ИБ, зачем? Они же Роснефть, а не РосIT. Им важнее следить за стоимость барреля, чем за документиками на компах серкретарш.


                    1. sHaggY_caT
                      06.07.2017 10:16
                      -1

                      В том то и дело, что если бы у Роснефти стояли убунты и ко, им это врятли помогло бы.


                      Прецеденты массовой зашифровки Убунт в студию :)
                      Понимаете, Линупсы не ломаются в автоматическом режиме (пара прецедентов сбора ботнетов подбором простого рут-пароля только подтверждает правило)

                      Мой аргумент заключается в том, что в винде вроде и есть какие-то современные технологии, позволяющие в лаборатории сделать всё безопасно, но реализованы они через ж*пу, и в реальной эксплуатации именно только винда и является рассадником заразы. Из-за изначальной ошибки в ДНК. Из-за плохой архитектуры и технического дизайна, который никогда не оптимизировался под то, что бы не-безопасные сценарии использования ПК были неудобными.


                      1. BlackGad
                        06.07.2017 11:52

                        Этот пример подойдет?


                        1. sHaggY_caT
                          06.07.2017 11:57

                          А с чего Вы взяли, что это не целенаправленный взлом? Вряд ли тут был такой же сценарий, что пользователи, сидящие за Ubuntu, щелкнули на ссылку в почте, и потом пошло-поехало по локалке, без какого-то участия взломщиков.

                          То, что Linux серверы взламываются людьми, и даже иногда ботами с использованием популярных уязвимостей(с тем же wordpress была история) это известный факт.

                          Так же известный факт, что и backdoor'ы есть, и шифровальщики, итд. Но во всех этих случаях нужен человек, что бы всё это заработало вместе :)


                      1. saboteur_kiev
                        06.07.2017 11:58
                        +3

                        У вас какое-то совершенно неадекватное хейтерство Windows.
                        Обе системы пошли разными путями, и судя по тому, что обе системы лидируют на рынке в разных областях, у каждой были свои причины это делать.

                        Если взять Линукс, то его очень активно ломают массово и масштабно, это просто традиция такая, как вы говорите.
                        Пруфы?

                        https://habrahabr.ru/post/253013/
                        https://habrahabr.ru/company/eset/blog/317420/
                        https://geektimes.ru/post/253392/

                        Поэтому реально, нет смысла наезжать на ОС — современная Windows (да в принципе даже начиная с ранних версий NT или лучше Win XP sp3) вполне грамотная и состоявшаяся операционка, совсем непохожая на win9x.

                        Другое дело, что свобода у программистов гораздо больше, рекомендации MS выполняют далеко не все программисты, а пользователей, которые используют Windows в качестве домашнего компа и для игрушек на порядки больше, чем Линукс, который изначально брал вектор на сервера и ОС для опытных пользователей.


                        1. sHaggY_caT
                          06.07.2017 12:08

                          Особенно доставляет,

                          https://habrahabr.ru/post/253013/
                          https://habrahabr.ru/company/eset/blog/317420/
                          https://geektimes.ru/post/253392/


                          Что Ваши ссылки про роутеры :) Вы бы ещё заразу в гугл плее, поражающую Android привели как свидетельство уязвимости Linux (и пофиг, что не GNU/Linux, а Android/Linux)

                          То, что вендоры роутеров, особенно китайских, не в состоянии сделать нормальный дистрибутив, известный факт. Почему они не ставят OpenWRT/LEDE тот же самый, для меня загадка.

                          Давайте ссылку в студию с массовой автоматической зашифровкой домашних убунт

                          Обе системы пошли разными путями, и судя по тому, что обе системы лидируют на рынке в разных областях, у каждой были свои причины это делать.


                          Тут понимаете в чём дело — MS сейчас на нисходящей траектории. Корпоративные серверы съезжают в облака, а тут MS в числе догоняющих, и ещё более отстающих(что AWS, что Опенстек, что Kubernetes выглядят куда интереснее Azure в обоих вариантах, и в ДЦ Майкрософта и у себя, для локальной установки)

                          Сейчас Windows сервер не моден. Моден совсем другой стек. Не .NET, для стартапа, а Django или рельсы. Не групповые политики, а Ansible/Puppet/CloudFormation/Fabric, не Hyper-V, а KVM или вообще Docker.

                          MS хороша по-прежнему как игровая платформа(мы с мужем сами юзаем Windows в виртуальных машинах, с проброшенной в них дискретной видео картой). Но это чемодан без ручки. Этот рынок не растёт, поэтому Майкрософт в опасности, такие дела.


                          1. BlackGad
                            06.07.2017 13:26

                            Если уязвимость на уровне ядра, значит БОЛЬШИНСТВО дистрибутивов можно сломать через нее. Вот еще пример. Вы после этого считаете что подобных уязвимостей в линуксе нет?) Я же считаю, что их просто еще не нашли/обнародовали.

                            Пока система используется не массово — писать зловреды к ней не выгодно. Как только система стает массовой — начинается R&D заинтересованных лиц.

                            Не существует сложных и совершенных систем одновременно. На данный момент Windows это священная корова зловредописателей, так как этой ОС пользуется большинство, в том числе наивных и не образованных в ИТ сфере людей.


                            1. sHaggY_caT
                              06.07.2017 13:41

                              Пока система используется не массово — писать зловреды к ней не выгодно. Как только система стает массовой — начинается R&D заинтересованных лиц.


                              Линупсов под 2% на десктопах. Это давно уже больше, чем Windows компьютеров на момент первых эпидемий. Так что это всё отговорки :(


                              1. BlackGad
                                06.07.2017 13:42

                                А каков был возраст системы Windows во время первых эпидемий? :)


                                1. sHaggY_caT
                                  06.07.2017 13:46
                                  -1

                                  Подверженность чумкам никак не связана с возрастом Windows.
                                  В Win9x просто не было безопасных технологий, а WinNT они появились, но такие, что использовать их неудобно, поэтому ничего не поменялось.

                                  Я думаю, Microsoft это понимает, поэтому форсит всех переходить на Metro/плитки, по тому, что там как раз всё будет сделано изначально нормально, в отличие от уродца-Win32, но катастрофически не успевает, т.к. у конкурентов это всё уже есть, и у них слишком большая фора


                                  1. BlackGad
                                    06.07.2017 14:13

                                    Я вам больше скажу, подверженность чумкам никак не связана даже с типом операционной системы. На ЛЮБУЮ систему можно найти штамм вируса, который свое грязное дело сделает, причем система здесь — это как организмы, так и программы, механизмы.

                                    Когда заинтересованным лицам будет выгодно, сломают абсолютно любой софт или систему.

                                    As part of its Vault 7 series, WikiLeaks has previously revealed similar documents showing how CIA performs various man-in-the-middle (MitM) attacks and hacks mobile phones and Samsung smart TVs


                                    Просто ЦРУ было это выгодно, и их ресурсы были направлены на поиск уязвимостей. То есть, когда с пользователей линукса, таких же наивных и не образованных в сфере ИТ, можно будет заиметь денег (не 1-2% от общей массы) будут и вирусы пачками, которые используют древние баги.
                                    Так же, как это произошло с Android.
                                    Так же, как это произошло с IOS.
                                    Так же как это произошло с MacOS.

                                    Вот вам моя точка зрения от более авторитетного источника.
                                    Conclusion

                                    People generally assume when they are using Macs they are relatively safe from malware. This has been a generally true statement, but this belief is becoming less and less true by the day, as evidenced by the increasing diversity in mac malware along with this name family. While this piece of Mac malware may not be the most stealthy program, it is feature rich and it goes to show that as OS X continues to grow in market share and we can expect malware authors to invest greater amounts of time in producing malware for this platform.


                                    1. sHaggY_caT
                                      06.07.2017 14:21
                                      -1

                                      росто ЦРУ было это выгодно, и их ресурсы были направлены на поиск уязвимостей. То есть, когда с пользователей линукса, таких же наивных и не образованных в сфере ИТ, можно будет заиметь денег (не 1-2% от общей массы) будут и вирусы пачками, которые используют древние баги.


                                      Linux юзеры это IT-ки очень часто, а у них в среднем доход значительно выше медианы

                                      Так же, как это произошло с Android.


                                      Проблема Android в том, что куча вендоров перестаёт обновлять телефоны, пока они ещё актуальны :(
                                      Если бы за выпуск обновлений отвечало Google, проблемы бы не было.

                                      Так же, как это произошло с IOS.


                                      По сути дела, ничего с iOS не произошло. Android и iOS девайсов кстати куда больше, чем Windows компьютеров, но массовые эпидемии только про WinNT платформу, почему так?


                                      1. BlackGad
                                        06.07.2017 14:56

                                        Welcome to real world :)
                                        В реальном мире вот таких если бы вагон и тележка :)

                                        Проблема Android в том, что куча вендоров перестаёт обновлять телефоны, пока они ещё актуальны :(
                                        Если бы за выпуск обновлений отвечало Google, проблемы бы не было.


                                        1. sHaggY_caT
                                          06.07.2017 15:12
                                          -1

                                          В реальном мире вот таких если бы вагон и тележка :)


                                          Если вовремя обновлять телефон, то этой проблемы нет. Что большинство людей и делает, и телефонов куда больше, чем инсталляций Windows
                                          Тем не менее, что не новость, то про «Петю» на Windows NT, а не про вирусню на Android.
                                          Android не идеален, но он и не подвержен чумкам в случае усредненного юзера-представителя среднего класса(а у нищих и нет смысла вымогать деньги).


                                          1. BlackGad
                                            06.07.2017 15:23

                                            Если вовремя обновлять телефон


                                            Я об этом


                                            1. sHaggY_caT
                                              06.07.2017 15:27
                                              -1

                                              Ну так все так и делают, кто из среднего класса. Редко что телефоны покупает на десять лет.
                                              Все меняют за год-два, поэтому и чумок не бывает — ни вымогать не получится (раз в пять лет смартфоны меняют только бедные — что с них взять?), ни майнить/ddos'ть — не получится с дешёвого телефона с дешёвым тарифом интернета, итд


                                              1. BlackGad
                                                06.07.2017 15:46

                                                Вы пытаетесь проецировать свое поведение на всех, но так как ваш разум подсказывает что ВСЕ такими быть не могут — вы ОСТАЛЬНЫХ выключаете с группы, в которую причисляете себя (средний класс).

                                                Каждое ЕСЛИ — это ваш когнитивный диссонанс. Вы, как и каждый, имеете представление об устройстве мира, основанное на вашем опыте, и вы пытаетесь поведение ВСЕХ подогнать под устройство ВАШЕГО мира. Так вот каждое ЕСЛИ — это защита этого мира, исключение из правил, который явно не соответсвует вашему шаблону.
                                                Само по себе это ни хорошо, ни плохо, но вы пытаетесь убедить других, что кроме вашего восприятия мира, других не существует.

                                                Весь опус выше написан дабы показать что существует мир моей бабушки, мамы, ребенка, которые знать не знают что такое ОБНОВЛЕНИЕ телефона. При чем они успешно используют устройства с зеленым роботом.
                                                Как вы уже писали выше — смартфоны не обновляются производителями, не обновляются по незнанию пользователей. И все они работают на одной версии ядра системы, в которой могут быть уязвимости. Именно этим(фрагментацией клиента) и пользуются вирусописатели. И пока с линуксом работают в основном более образованные в сфере ИТ пользователи, которых по определению меньше, никто не будет вкладывать деньги в разработку вымогателей для этой несущественной аудитории (1-2%).

                                                Вопрос, почему же обыкновенных пользователей среди линукс систем так мало, уже совсем другого плана :)


                                                1. sHaggY_caT
                                                  06.07.2017 16:09
                                                  -2

                                                  Слушайте, но чумок-то как не было, так и нет на Android
                                                  Редкие случаи связаны с очень старыми телефонами. И, например, я своей маме регулярно покупаю новые Android телефоны. И не только я. Кто-то и дорогие iPhone покупает.

                                                  Т.е. смотрите — целевая группа атаки для Android систем крайне малочисленная группа людей, кто телефоны не обновляет, но при этом богат (т.е. купившие флагманы, но потом резко переставшие их покупать, но не экономящие на мобильном интернете).

                                                  Типовой человек с типовым сценарием использования не подвержен. В частности, и китайские телефоны не средний класс тоже часто покупает новые — и так же раз в пару лет.

                                                  А вектор атаки в случае Windows юзеров направлен на большинство пользователей. Что ни новость, то новой чумке именно на NT платформе. Новости про другие платформы, даже более популярные, такие как Android и iOS, встречаются на порядки реже.

                                                  Т.е. опять же мой тезис — что типовые и самые удобные сценарии использования Windows не оптимизированы под безопасность пользователя, в отличие от всех других систем, т.е. ошибка в ДНК.

                                                  Каждое ЕСЛИ — это ваш когнитивный диссонанс


                                                  Нет никаких «если» — есть строго установленные факты, что эпидемии NT систем случаются постоянно. Чаще чем эпидемии любых систем, хоть менее популярного Linux, хоть более популярного Android


                                                  1. BlackGad
                                                    06.07.2017 16:30
                                                    -1

                                                    Т.е. смотрите — целевая группа атаки для Android систем крайне малочисленная группа людей, кто телефоны не обновляет

                                                    Графики показывают что это не так.

                                                    но при этом богат (т.е. купившие флагманы, но потом резко переставшие их покупать, но не экономящие на мобильном интернете).

                                                    Опять же нет :) если моей маме напишут, что её телефон заблокирован, все фоточки зашифрованы и нужно заплатить 1 бакс для дешифровки — она пойдет и заплатит. Она крайне не богатая пенсионерка, но фотки для нее важны, а спрашивать у меня она постесняется, так как сама сможет разобратся взрослая уже… Еще и сына по мелочам беспокоить не будет, итак у него проблем хватает… И еще ОЧЕНЬ много отговорок для самой себя.

                                                    Это 1 конкретный пример, у большинства моих знакомых, которые не связаны с ИТ будет своя история и мотивы, и многие просто заплатят, так как ценят информацию с телефона больше чем оплата дешифровки.

                                                    Кстати что для вас чума?
                                                    10млн устройств это чума?
                                                    Или 18млн устройств?

                                                    Это лишь вершина айсберга, сколько устройств уже сейчас инфецированны — не знает никто. Это же касается не только Андроида, но и пользователей Mac, Linux, Windows


                                                    1. sHaggY_caT
                                                      06.07.2017 16:49

                                                      Опять же нет :) если моей маме напишут, что её телефон заблокирован, все фоточки зашифрованы и нужно заплатить 1 бакс для дешифровки — она пойдет и заплатит. Она крайне не богатая пенсионерка, но фотки для нее важны, а спрашивать у меня она постесняется, так как сама сможет разобратся взрослая уже… Еще и сына по мелочам беспокоить не будет, итак у него проблем хватает… И еще ОЧЕНЬ много отговорок для самой себя.


                                                      У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT, и только один человек на Android (у него как раз Galaxy S2, и не с cyanogenmod'ом, обновляевшимся, а со стоком)

                                                      Графики показывают что это не так.


                                                      Что именно не так?

                                                      Кстати что для вас чума?


                                                      Вот в Африке сейчас разная чума (не прям чумная палочка, но своей гадости хватает), а в развитых странах нет.
                                                      Ваш доход в случае с Android прямо коррелирует с количеством уязвимостей вашего смартфона. В случае с Windows это не так.

                                                      Тоже самое, что со средневековьем. В средневековье болели все, и бедные, и богатые, и благополучные, и нет. Просто такой дизайн общества был, что люди не мылись, считали клопов наказанием божьим, а кошек прислужницами дьявола.

                                                      1-в-1 как с Windows. Windows отдаёт по факту на аутсорс распространение приложений, не занимаясь этим как другие платформы, вот мы и получаем кривое написание приложений, и вообще очень сильный отрицательный буст к безопасности.

                                                      Когда(если!) плитки вытеснят обычные приложения под Windows, то все эти Пети благополучно закончатся.


                                                      1. vvatest
                                                        06.07.2017 17:06

                                                        У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT, и только один человек на Android (у него как раз Galaxy S2, и не с cyanogenmod'ом, обновляевшимся, а со стоком)

                                                        Я никогда не ловил вирус ни на одной из своих машин с операционками от MS, начиная от MS-DOS 6.22. Несмотря на их общепризнанную дырявость.
                                                        У меня множество знакомых (никак не связанных с IT) ловили вирусы на Android. Просто потому, что они не понимают что это за штука такая и зачем: «безопасное поведение». Перекидывают друг другу APK по bluetooth, по инструкции с «доверенного» сайта рутают телефон — обычно такие сценарии. И это подтверждает мое личное убеждение: безопасность системы — в голове и поведении пользователя, дизайн системы вторичен. И массовый «обычный пользователь», который не умеет вести себя безопасно, словит вирусов и на Linux когда (если) на него пересядет. До тех пор пока массово он сидит не на нем — нет и шифровальщиков. Начал массово садится на Android — развился сегмент разработчиков дряни и для него.


                                                        1. sHaggY_caT
                                                          06.07.2017 17:12
                                                          -1

                                                          Перекидывают друг другу APK по bluetooth,


                                                          LOL, это же слишком сложно, Вы что? Как раз типовой юзер так делать не будет. Он умеет только с гугл плея ставить.
                                                          Это как раз в тему, что в других ОС небезопасное поведение является неудобным.
                                                          Даже я не буду перекидывать apk по bluetooth(именно по тому, что геморно!), я его залью через adb shell на телефон по wifi, с компьютера, т.к. там хоть клавиатура нормальная есть на компе.


                                                          1. vvatest
                                                            06.07.2017 17:33

                                                            Это делают дети в школе в первом классе. Реально. Мне неудобно, им норм.


                                                            1. sHaggY_caT
                                                              06.07.2017 17:50
                                                              -1

                                                              Это делают дети в школе в первом классе. Реально. Мне неудобно, им норм.


                                                              Тем не менее, из моего круга общения так никто не делает. Зато почти все ставят приложения в Windows через гугл (и поиск кряка)

                                                              Обратите внимание на Steam и GoG. Как там всё удобно сделано — Майкрософт не осилила, вместо них это сделали сторонние компании. И игровое пиратство пошло на спад, и распространяемая с играми гадость тоже.
                                                              Плитки должны сделать тоже самое с обычными приложениями для мира Windows. Но смогут ли, это вопрос. Мне кажется, плиточная Windows просто проиграет конкуренцию другим ОС.


                                                              1. BlackGad
                                                                06.07.2017 18:12

                                                                Обратите внимание на Steam и GoG. Как там всё удобно сделано — Майкрософт не осилила, вместо них это сделали сторонние компании. И игровое пиратство пошло на спад, и распространяемая с играми гадость тоже.
                                                                Плитки должны сделать тоже самое с обычными приложениями для мира Windows. Но смогут ли, это вопрос. Мне кажется, плиточная Windows просто проиграет конкуренцию другим ОС.


                                                                Хм, был Internet Explorer, сейчас антивирус, вы предлагаете еще и магазин приложений?) В виду своей распространенности антимонопольщики их съедят.


                                                                1. sHaggY_caT
                                                                  06.07.2017 18:46

                                                                  вы предлагаете еще и магазин приложений?)


                                                                  Так он уже есть, Вы видели Win10?


                                                      1. saboteur_kiev
                                                        07.07.2017 12:11

                                                        «У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT»
                                                        Все эти знакомые — продвинутые айтишники? Но вы же утверждаете, что продвинутые айтишники сидят на Линукс? Что же не так?

                                                        «Когда(если!) плитки вытеснят обычные приложения под Windows, то все эти Пети благополучно закончатся.»
                                                        Плитки вообще никак не связаны с безопасностью или еще чем-то, кроме интерфейса, который связан с тем, что MS попыталась сделать единую систему для десктопов и мобильных устройств, чтобы одна и таже версия ПО запускалась и на PC и на планшете и на телефоне.


                                                        1. sHaggY_caT
                                                          08.07.2017 00:10
                                                          -1

                                                          Плитки вообще никак не связаны с безопасностью или еще чем-то,


                                                          Напротив, связаны — Metro приложения ставятся из магазина, а туда всякий траш не понятно как написанный не попадает. Те, кто туда пишут, форсятся майкрософтом писать код хотя бы минимально нормально, единообразным образом, используя единообразные API, итд. Тот же медок, даже если бы был написан под Metro, туда бы просто не пустили :)

                                                          Можно ожидать, что когда(если?) Metro приложения вытеснят дома и в корпоративной среде old-style софт, количество эпидемий Windows NT семейства, какую бы торговую марку оно к тому моменту не носило (майкрософт вроде обещает перейти на роллинг и больше не релизить новых торговых названий, вроде теперь всегда будет Win10?) пойдёт на спад.

                                                          Хотя другие ошибки в ДНК, вроде механизма блокировок файлов, останутся, и всё равно до конца проблема, ИМХО, не решится.


                                                          1. saboteur_kiev
                                                            08.07.2017 00:34

                                                            Metro приложения просто пишутся как метро, их никто не обязывает ставиться из магазина. Просто в магазин другие не попадают, потому что как я уже говорил раньше, некоторое время назад MS взяли курс на единую систему для всех устройств — и десктопов и мобильных. А на мобильные устройтсва — только из магазина.
                                                            В корпоративной среде Metro в принципе не вытеснят приложения. В вашем облачном мире вы как-то не улавливаете вектор энтерпрайза, это только для пользователей.
                                                            Ну и да, наверное нет смысла с вами общаться на эту тему — вы слишком по-хейтерски относитесь ко всему, что не Линукс и не Linux-way.


                                                            1. sHaggY_caT
                                                              08.07.2017 01:50
                                                              -1

                                                              В корпоративной среде Metro в принципе не вытеснят приложения. В вашем облачном мире вы как-то не улавливаете вектор энтерпрайза, это только для пользователей.


                                                              Полноте Вам! Энтерпрайз это не отдельный мир, а мир стартапов -5-6 лет назад.
                                                              Они всегда начинают использовать те же технологии, что и лидеры, просто с лагом

                                                              Ну и да, наверное нет смысла с вами общаться на эту тему — вы слишком по-хейтерски относитесь ко всему, что не Линукс и не Linux-way.


                                                              Нет, просто аргументы закончились, переходим на оппонента (что я там якобы что-то перепутала, а теперь что я якобы что-то хейчу. Так всегда бывает, когда возразить по сути нечего)


                                                              1. saboteur_kiev
                                                                08.07.2017 11:15

                                                                «Полноте Вам! Энтерпрайз это не отдельный мир, а мир стартапов -5-6 лет назад.
                                                                Они всегда начинают использовать те же технологии, что и лидеры, просто с лагом»
                                                                Вы очень ошибаетесь. Многие вещи, подходящие небольшим стартапам, вообще не подходят для финансового энтерпрайза и крупного энтерпрайза.

                                                                «Использовать те же технологии, что и лидер» — это фраза обманка. Новые технологии используют не стартапы-лидеры, а просто лидеры, которые могут быть как энтерпрайз, так и стартапы, так и просто обычные компании, если им это выгодно и удобно.


                                                                1. sHaggY_caT
                                                                  08.07.2017 12:03
                                                                  -1

                                                                  «Использовать те же технологии, что и лидер» — это фраза обманка. Новые технологии используют не стартапы-лидеры, а просто лидеры, которые могут быть как энтерпрайз, так и стартапы, так и просто обычные компании, если им это выгодно и удобно.


                                                                  Стартапы-лидеры вырастают до энтерпрайза, перестают развиваться, а технологии 2-3летней давности у них остаются

                                                                  Многие вещи, подходящие небольшим стартапам, вообще не подходят для финансового энтерпрайза и крупного энтерпрайза.


                                                                  Поэтому и облака :) Приложения, написанные на них, очень scale. Их и придумали, что бы пережить проблемы роста.
                                                                  (на всякий случай напоминаю, что cloud это не только публичные облака, но и private cloud это тоже оно)


                                                        1. sHaggY_caT
                                                          08.07.2017 00:18
                                                          -1

                                                          Все эти знакомые — продвинутые айтишники?


                                                          нет, что Вы! У меня главное хобби любительская астрономия, + просто есть подруги походить, пошопиться скажем.


                                                    1. sHaggY_caT
                                                      06.07.2017 16:56
                                                      -1

                                                      Кстати что для вас чума?
                                                      10млн устройств это чума?
                                                      Или 18млн устройств?


                                                      Карта из Вашего PDF доставляет :) Вы сами-то открывали? Китай самый фиолетовый — так там Google Play нет. Индия тоже так себе, так там мобильный интернет тоже не фонтан, как и вообще развитие инфраструктуры.

                                                      Карта как раз подтверждает мои тезисы.

                                                      Россия чуть фиолетовее нормы имхо из-за того, что соотечественники любят пиратский, ломанный софт, тоже что-то ставя не из Google Play или тем более F-Droid, но это не важно имхо


                                                      1. BlackGad
                                                        06.07.2017 17:24
                                                        -1

                                                        Проведите кореляцию на количество зараженных от общего количества населения страны. Там не плотность, а количество.


                                                        1. sHaggY_caT
                                                          06.07.2017 17:48

                                                          А Вы сами проверяли? Таки китай и индия впереди США и на один разряд на душу населения у них больше инфицированных устройств (кстати, в Индии ещё больше, чем в Китае. Вероятно, наличие хорошего доступа к инету важнее доступности Google Play, наверное, китайские андроидовские репозитории )

                                                          Даже больше того, предлагаю Вам самостоятельно взять поправку на распространённость смартфонов в США, Китае, Индии, и посмотреть, как ещё больше скорректируются цифры пагубным образом для тех, у кого нет удобного и более безопасного способа распространения приложений


                                                          1. BlackGad
                                                            06.07.2017 18:10

                                                            я не о той кореляции.

                                                            Страна | Население, млн | Заражений | Плотность | Google play 
                                                            ------------------------------------------------------------------
                                                            Китай  | 1371           | 1606384   | 853,5     | Нет 
                                                            Индия  | 1311           | 1352772   | 969,1     | Есть 
                                                            США    | 321,4          | 286800    | 1120,6    | Есть 
                                                            


                                                            Но кажется я перестал понимать что именно вы пытаетесь доказать :) прошу прощения


                                                            1. sHaggY_caT
                                                              06.07.2017 18:41

                                                              Я о том, что уровень проникновения смартфонов разный.

                                                              моя табличка, с поправкой на распространнённость смартфонов, сорри, что не так красиво отформатированная:

                                                              Страна  | распространённость инфицированных смартфонов
                                                              США     |  0.127%
                                                              Индия   | 0.446%
                                                              Китай   | 0.224%
                                                              
                                                              


                                                              Я довольна дискуссией, кажется, я получила из неё новую информацию — судя по всему, наличие централизованных репозиториев не самого идеального качества важнее качества интернета, и поэтому Китай впереди Индии по безопасности Android устройств.

                                                              Хотя, может, тут есть и другое объяснение — китай богаче, и китайцы чаще покупают новые телефоны (с новыми версиями, с меньшим числом уязвимостей).

                                                              Нужно делать подробное исследование, и смотреть срезы по ВВП на душу населения и по проникновению LTE


                                                              1. sHaggY_caT
                                                                06.07.2017 18:57

                                                                О, кстати, Вы смотрели количество абсолютных юзеров в smartphone penetration? Там множество развитых стран, которые в топ-20 инфицированных не попали (наличие России и Украины в топерах и там и там объяснимо высоким уровнем образования, не характерного для их GDP per capita, и сильной пиратской культурой)


                                              1. saboteur_kiev
                                                07.07.2017 10:14

                                                «Все меняют за год-два, „
                                                Я не понимаю, почему вы личный опыт проецируете на весь мир.

                                                Я айтишник, доход выше медианы. Один телефон жил у меня 5 лет, другой 7, третий 8, сейчас вот второй или третий год — вообще не планирую его менять. Телефон на windows, ни вирусов, ни глюков — очень надежная машинка. Достаточно топовая даже по текущим меркам.

                                                По какой причине вы выкидываете “непродвинутых пользователей», непонятно. Именно они составляют большинство населения и соответственно потребителей, а не «айтишники».


                                                1. sHaggY_caT
                                                  07.07.2017 10:34

                                                  Я айтишник, доход выше медианы. Один телефон жил у меня 5 лет, другой 7, третий 8, сейчас вот второй или третий год — вообще не планирую его менять. Телефон на windows, ни вирусов, ни глюков — очень надежная машинка. Достаточно топовая даже по текущим меркам.


                                                  Я не одобряю то, что в мире андроид индустрия форсит менять телефон каждые пару лет.
                                                  К слову, у меня всегда были телефоны с кастомной прошивкой на базе Cyanogenmod'а, по тому, что раньше в Android не было возможности снимать права с уже установленных приложений, а в Cyanogenmod это можно было делать всегда. Так же права с приложений можно снимать с помощью Xposed, но оно работает неудобно — часто после обновления Xposed не может понять, что это тоже самое приложение и применить старые политики.
                                                  Поэтому я тоже могла не обновлять телефоны из-за того, что они сняты с поддержки производителем. Но речь не обо мне, айтишники слишком специальный случай, поэтому раньше про это не писала.

                                                  Но речь не об этом. Речь о том, что в развитых странах — а Россия, и, увы, Украина таковыми не являются — нормально менять телефоны достаточно часто(впрочем и в России даже после краха рубля почти все мои знакомые так же меняют телефоны раз в пару лет, просто перешли на китайские бренды)

                                                  И вектор атаки не направлен на средний класс, и богатых людей. В принципе и на бедных не направлен, т.к. с них взять нечего. Напомню, что в случае с Windows, как и со средневековыми эпидемиями, вектор атаки направлен на всех(как минимум всех непродвинутых юзеров независимо от их социального статуса).
                                                  При стандартных сценариях использования, которые удобны (т.е. поставить приложение из Гугл плея, а не apk — обычный юзер такого не умеет), Android достаточно безопасная ОС, в отличие от Win NT, для которой стандартный сценарий гуглинг приложений, а потом часто и вообще кряков к ним.
                                                  То, что установка не-приложений в Windows отдана на аутсорс, одна из тех самых ошибок в ДНК, о которых эта ветка комментариев.

                                                  Посмотрите мои цифры внизу, у нас был спор с таблицей и выкладкой цифр. В Индии с плохим интернетом апдейты приложений (гугл например часто просто удаляет вирусы с телефонов пользователей, когда их находит в Гугл плее) ожидаемо уровень инфицированности оказался выше.
                                                  А некоторые развитые страны, которые в топерах по абсолютному числу пользователей Android, вообще не попали в топ20 инфицированных Android устройств.

                                                  Ну и аргумент про то, что якобы Win NT атакуют по тому, что он популярнее Linux, а Linux не атакуют по тому, что он якобы не популярный (хотя я уже писала, что абсолютное число Linux юзеров уже давно больше абсолютного числа Windows машин на момент начала массовых эпидемий на Windows...) полностью разбивается тем, что новый телефон с Android, и хорошим мобильным инетом, с подключением к Google Play, и стандартными сценариями использования достаточно (в среднем!) безопасное устройство. Таких массовых эпидемий нет. А ведь с корпоративных и домашних юзеров смартфонов запросто тоже можно было бы вымогать деньги.


                                                  1. sHaggY_caT
                                                    07.07.2017 10:38

                                                    То, что установка не-приложений в Windows отдана на аутсорс, одна из тех самых ошибок в ДНК, о которых эта ветка комментариев.


                                                    Опечатка, не-метро приложений


                                                  1. saboteur_kiev
                                                    07.07.2017 11:56

                                                    «При стандартных сценариях использования, которые удобны (т.е. поставить приложение из Гугл плея, а не apk — обычный юзер такого не умеет), Android достаточно безопасная ОС, в отличие от Win NT, для которой стандартный „

                                                    Простите, но вы совсем запутались. Стандартный сценарий для WinPhone — ставить приложения из Windows Store. Я, продвинутый айтишник, и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.
                                                    Это совершенно безопасный сценарий.
                                                    И опять таки, использовать фразу Windows NT не есть корректно. С Windows NT началась линейка современной винды, но само название относится все-таки к конкретной версии, время которой было в середине — конце девяностых. Современная система, особенно если мы говорим про телефоны — windows 8 и windows 10. Отличий более чем.


                                                    1. sHaggY_caT
                                                      07.07.2017 23:35

                                                      Простите, но вы совсем запутались. Стандартный сценарий для WinPhone — ставить приложения из Windows Store. Я, продвинутый айтишник, и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.


                                                      Про WinPhone в этой ветке писали только и исключительно Вы. Я только про Win NT

                                                      и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.


                                                      Вы читали мою дискуссию? Просто Вы сейчас подтверждаете мои же аргументы.

                                                      И опять таки, использовать фразу Windows NT не есть корректно.


                                                      Нет, вполне корректно, гуглите. Почему я про Вашу предпочитаемую платформу знаю факты, которые не знаете Вы? Гуглите «Windows NT 10.0», к слову это настоящее название операционной системы

                                                      с трейд марками (спрятаны под спойлером)
                                                      Содержимое спойлераWindows 10 Home
                                                      Windows 10 Pro
                                                      Windows 10 Pro Education
                                                      Windows 10 Enterprise
                                                      Windows 10 Enterprise LTSB
                                                      Windows 10 Education
                                                      Windows 10 Mobile
                                                      Windows 10 Mobile Enterprise
                                                      Windows 10 IoT Core
                                                      Windows 10 IoT Enterprise
                                                      Windows 10 IoT Mobile Enterprise

                                                      Windows Server 2016 Essentials
                                                      Windows Server 2016 Standard
                                                      Windows Server 2016 Datacenter


                                                      1. saboteur_kiev
                                                        08.07.2017 01:05

                                                        Вы сильно путаете то, как выпускают Линукс — отдельно ядро, отдельно дистрибутив, и поэтому указание внутренней версии ядра имеет большое значение.
                                                        И внутреннее «рабочее» название версии и название конечного продукта. Не нужно называть версию виндовс через NT чего-то там, это не Линукс.
                                                        Весь продукт пишет одна компания, нет «разных» дистрибутивов, с разными условиями распространения от разных брендов.

                                                        Очень интересно, что вы интересуетесь минусами, но на самом деле я не могу ставить минуса, карма не та, так что снова промах.


                                                        1. sHaggY_caT
                                                          08.07.2017 01:54

                                                          И внутреннее «рабочее» название версии и название конечного продукта. Не нужно называть версию виндовс через NT чего-то там, это не Линукс.


                                                          А я именно о внутренних, рабочих версиях. Торговое название не имеет значения :)

                                                          В общем, это всем понятно, что имеется ввиду под NT, кроме почему-то Вас. Тут куча людей в комментариях использует схожую терминологию, например, Win 9x вместо маркетинговых названий «Win 95, Win98, WinMe», итд

                                                          Очень интересно, что вы интересуетесь минусами, но на самом деле я не могу ставить минуса, карма не та, так что снова промах.


                                                          ОК, я не буду её портить. Я думаю, тут ещё многие участники дискуссии пользовались клонами — с R&C холиварили, а с реального аккаунта минусовали.

                                                          И да, я же не скажу для Вас откровение, что так называемый Win server несложным тюнингом превращается в игровую машину?
                                                          Там-то всех значимых отличий это несколько графических панелек для установки нужных ролей, их бэкэнды и чуть другие сетевые настройки и лимиты (которые в Win XP как минимум тоже можно хакнуть, думаю, что в Win7 и Win10 тоже)


                              1. suslovas
                                06.07.2017 13:57

                                А доля Windows 89%, вот и подумайте где охват будет больше, и зачем тратить время на 2% если за это же время можно охватить 89% рынка. И смотреть надо не в абсолютных числах, а именно в долях рынка


                                1. sHaggY_caT
                                  06.07.2017 13:59

                                  Ну вот в долях рынка, шифровальщики, майнеры, DDoS'ры тоже конкурируют с друг другом — часто удаляют конкурирующее вредоносное ПО после повторого заражения.
                                  У многих 0.01% или меньше. Им было бы выгодно заразить другую платформу, где нет конкурентов, ан нет.

                                  Дело именно в ДНК. Помните как в DOS, каждая программа сама выводила видео и звук, а ОС это не умела?
                                  Вот так и Windows, вроде и есть чоко инсталл(в десятке), и MSI, уже кучу лет, а никто это не использует, и каждая программа сама себя ставит (как правило криво)
                                  В случае Metro приложений изначально есть репозиторий, как в линуксе, андроиде, iOS, итд


                                  1. suslovas
                                    06.07.2017 14:06

                                    Ну конкуренция между вирусами явно не главная проблема для вирусо-писателей, и надо понимать, что найти жертву среди 89% рынка среди которых много неопытных пользователей гораздо проще даже не смотря на конкуренцию. Плюс не забывайте, что 2% суммарно у всех сборок, а у каждой отдельной сборки этот показатель еще ниже. А вирус написанный под убунту не факт, что заработает на Сусе


                                    1. sHaggY_caT
                                      06.07.2017 14:08

                                      Ну конкуренция между вирусами явно не главная проблема для вирусо-писателей,


                                      Тогда почему они борятся с друг другом(удаляют итд) и даже публикуют ключи для дешифровки того, что натворил конкурент?

                                      А вирус написанный под убунту не факт, что заработает на Сусе


                                      Именно :)

                                      Как и уязвимость в роли Ansible только сработает в с одной жертвой…


                                      1. suslovas
                                        06.07.2017 14:10

                                        Не главная — не значит, что ее нет. Но те вирусы, которые начинают войну друг с другом уже имеют зараженный парк больше, чем если бы они каким-то чудом захватили ВСЕ машины на линукс.


                                        1. sHaggY_caT
                                          06.07.2017 14:13

                                          А вирус написанный под убунту не факт, что заработает на Сусе

                                          Ну вот смотрите, этот тезис как раз и работает на то, что экосистема у Linux и технический дизайн менее подверженен чумкам, чем экосистема Windows. О чём мы спорим, если Вы начинаете подтверждать мои тезисы?

                                          Мой тезис, что Win10/Metro тоже безопасная платформа(удобные сценарии использования безопасны), как и Linux, iOS, итд, но не Win32/NT — на практике она не лучше Win32/Win9x.
                                          Но Metro никому не нужно…


                                          1. suslovas
                                            06.07.2017 14:21

                                            Я ваших тезисов не подтверждал, разнообразный зоопарк сборок линукс — это не плюс платформы а лишняя головная боль для администратора и пользователя и уж тем более разработчика. Не знаю на сколько вин10 безопасная платформа, но данным вирусом она тоже шифровалась на ура.


                                            1. sHaggY_caT
                                              06.07.2017 14:24

                                              Я ваших тезисов не подтверждал,


                                              Подтвердили — зоопарк это свойство экосистемы? Да. Оно усложняет жизнь вирусописателям, как и централизованная установка подписываемых пакетов, как и не сидячка под рутом? Да!

                                              а лишняя головная боль для администратора и пользователя и уж тем более разработчика.


                                              Вообще-то это головная боль мантайнера. А админы кстати не нужны, их сейчас массово заменяют на DevOps. А в Ansible/Puppet различия между дистрибутивами это просто языковые конструкции, хорошо документированные.

                                              Не знаю на сколько вин10 безопасная платформа, но данным вирусом она тоже шифровалась на ура.


                                              Там же не было только «плиточных» приложений. До тех пор, пока не исчезнут старые приложения, всё это будет продолжаться


                                              1. suslovas
                                                06.07.2017 14:31

                                                Так, я кажется понял… Вы видимо из тех специалистов ИТ, которые пользователей видиели только в зоопарке за стеклом. Есть такая профдеформация у людей, которые не работают на производствах, а только в ИТ компаниях и модных стартапах. Зоопарк — это негативное свойство экосистемы и отсутствие стандартизации в плюс ну никак нельзя записывать. И у вас все рассуждения строятя вокруг сферического коня в вакуме, а работать приходится в реальных полевых условиях.


                                                1. sHaggY_caT
                                                  06.07.2017 14:37
                                                  -1

                                                  Зоопарк — это негативное свойство экосистемы и отсутствие стандартизации в плюс ну никак нельзя записывать


                                                  Это почему ещё? А внутренняя конкуренция? А большая безопасность? Причём не важно плюс это или минус, важно, что это свойство (эко)системы, которое Вы сами подтвердили, что мешает вирусописателям, т.е. стали работать на мои аргументы.

                                                  Вы видимо из тех специалистов ИТ, которые пользователей видиели только в зоопарке за стеклом.


                                                  В начале карьеры (сейчас я cloud devops) работала в техподдержке крупного хостера, и общалась с тысячами пользователей (не с десятками тысяч, как в коллцентре, но зато вдумчиво закрывала по 50 переписок в день, потом в end-line support по 5-10 сложных проблем в день)


                                                  1. suslovas
                                                    06.07.2017 14:42

                                                    Это почему ещё? А внутренняя конкуренция? А большая безопасность? Причём не важно плюс это или минус, важно, что это свойство (эко)системы, которое Вы сами подтвердили, что мешает вирусописателям, т.е. стали работать на мои аргументы.

                                                    Потому что это мешает не только вирусописателям, но вообще всем. От пользователей до разработчиков.

                                                    В начале карьеры (сейчас я cloud devops) работала в техподдержке крупного хостера, и общалась с тысячами пользователей (не с десятками тысяч, как в коллцентре, но зато вдумчиво закрывала по 50 переписок в день, потом в end-line support по 5-10 сложных проблем в день)


                                                    Ну то есть я угадал, на производстве вы никогда не админили и ситуацию там в глаза не видели. Тогда все понятно. )


                                                    1. sHaggY_caT
                                                      06.07.2017 14:48
                                                      -1

                                                      Потому что это мешает не только вирусописателям, но вообще всем. От пользователей до разработчиков.


                                                      За это отвечают специальные люди — мантайнеры. Они помогают разработчикам и пользователям, а вирусописателям нет. Давайте судить по результату :)?
                                                      Судя по нему, всё замечательно.

                                                      Ну то есть я угадал, на производстве вы никогда не админили и ситуацию там в глаза не видели. Тогда все понятно. )


                                                      Работала operation админом в том же хостере(сотни серверов, постоянно что-то красное в мониторинге и всё такое). В современном мире почти всё, что делает оперейшен администратор можно автоматизировать.

                                                      Сейчас есть целые команды, где есть только SRE/DevOps, как подразновидность разработчиков, но нет админов. Если что-то упало из-за софтовых ошибок, то можно откатится на прошлый спринт. Если нагрузка, то все приложения сейчас пишут так, что бы они горизонтально масштабировались в облаке.


                                                      1. suslovas
                                                        06.07.2017 14:56

                                                        За это отвечают специальные люди — мантайнеры. Они помогают разработчикам и пользователям, а вирусописателям нет.


                                                        Даешь каждому домашнему пользователю личного мантайнера (простите за выражение). Ну ерунду же пишете. В том и прелесть Виндоус систем, что они не требуют лишних сущностей в виде каких-то там мантайнеров(что вообще это значит?)

                                                        Работала operation админом в том же хостере(сотни серверов, постоянно что-то красное в мониторинге и всё такое). В современном мире почти всё, что делает оперейшен администратор можно автоматизировать.

                                                        Сейчас есть целые команды, где есть только SRE/DevOps, как подразновидность разработчиков, но нет админов. Если что-то упало из-за софтовых ошибок, то можно откатится на прошлый спринт. Если нагрузка, то все приложения сейчас пишут так, что бы они горизонтально масштабировались в облаке.


                                                        Простите, но тут у меня уже передозировка вашей терминологии и жаргонизма. Все эти умные иностранные слова отлично, наверно, работают в иностранной компании специализирующейся на ИТ, и абсолютно не работают в суровых российских реалиях, где на завод тысячник есть только 10 админов, 8 из которых эникейщики, а остальные двое что-то умеют, и основной контингент пользователей — это бабушки бухгалтера, которым воообще налпевать на ваши проблемы, а за слово мантайнер они своим гроссбухом тебя еще и по голове огреют, ибо не гоже при старших выражаться. При этом на серверах половина прикладного ПО — это наследие ранних 90, когда на заводе только начинали ставить компьютеры и с тех пор их никто не трогал, а на новое оборудование, а тем более новый заказной софт у завода денег нет, да и зачем, «работает же». И такого производства подавляющее большинство, в этом и приходится жить.


                                                        1. sHaggY_caT
                                                          06.07.2017 15:06

                                                          Даешь каждому домашнему пользователю личного мантайнера (простите за выражение). Ну ерунду же пишете. В том и прелесть Виндоус систем, что они не требуют лишних сущностей в виде каких-то там мантайнеров(что вообще это значит?)


                                                          Ну да, и в DOS тоже не было лишних сучностей — зачем ОС должна отвечать за вывод графики и звука, если это может делать каждая программа отдельно?

                                                          В Windows тоже есть профессия мантайнера и даже DevOps, т.к. обратная совместимость между версиями хромает, просто распространена не так сильно.

                                                          Собственно, по мере распространения Metro приложений, экосистема Windows всё больше будет похожа на экосистему Linux — всё тот же Cloud Computing, всё та же замена админов (заметьте, я не пишу тут про эникейщиков) на SaaS приложения в не-ИТ компаниях, и на DevOps/SRE в IT

                                                          Вангую, что скоро MS выкатит язык программирования для деплоя облачных окружений, т.к. powershell слишком низкоуровневый (нечто вроде Puppet/Ansible)

                                                          и абсолютно не работают в суровых российских реалиях,


                                                          у вас всё тоже самое будет, с отставанием на несколько лет, и более неудобно. Просто завод разместит свою серверную инфраструктуру в каком-нибудь облаке Ростелекома, админов уволят, альтернативы как на западе (где можно выбрать между DO, AWS, rackspace, итд) не будет, но всё равно всё станет работать лучше.
                                                          И Metro приложения тоже будут юзаться, где с Windows не уйдут.


                                                          1. suslovas
                                                            06.07.2017 15:09

                                                            у вас всё тоже самое будет, с отставанием на несколько лет, и более неудобно. Просто завод разместит свою серверную инфраструктуру в каком-нибудь облаке Ростелекома, админов уволят, альтернативы как на западе (где можно выбрать между DO, AWS, rackspace, итд) не будет, но всё равно всё станет работать лучше.


                                                            И снова вы не понимаете реалий российских заводов. Никто никогда не разместит там инфраструктуру в облаках, потому что облако неподконтрольно службе безопаснсоти завода. Наши СБ хотят иметь физический доступ к своим серверам и при этом, что бы этого доступа не было ни у кого другого. Админы и СБ работающие сейчас в Роснефти например ще помнят времена, когда они работали в Юкосе, и помнят те маски-шоу с выносом серверов через стену, и никогда они не отдадут свои данные в облака третьих компаний.


                                                            1. sHaggY_caT
                                                              06.07.2017 15:15

                                                              И снова вы не понимаете реалий российских заводов. Никто никогда не разместит там инфраструктуру в облаках, потому что облако неподконтрольно службе безопаснсоти завода.


                                                              Зато облако Ростелекома подконтрольно гэбне. Гэбня федеральная сильнее гэбни на местах.
                                                              Если же компания крупная, и локальная гэбня у неё сильная, то опять же будет облако, но на весь холдинг. Какая-нибудь Роснефть сделает сервисное подразделение, которое будет обслуживать её, Роснефти, исталяцию OpenStack/Kubernetes/Azure/etc, и пустит админов точно так же под нож.
                                                              Нефть дешевеет, нужно снижать издержки…


                                                              1. suslovas
                                                                06.07.2017 15:18

                                                                Роснефть -это не единая компания, это группа компаний объединенных одной головой. Каждый НПЗ — это отдельное АО, каждое сервисное подразделение в каждом регионе — это отдельное АО или ООО, и у каждого из них возможности, в том числе финансовые, очень разные, и не все из них готовы делиться информацией с соседом. По этому централизованное облако там крайне маловероятно.


                                                                1. sHaggY_caT
                                                                  06.07.2017 15:21

                                                                  . По этому централизованное облако там крайне маловероятно.


                                                                  Договорятся. В крайнем случае, будут шифровать инстансы или bucket'ы. По-одиночке их федеральная гэбня заломает, а вместе они справятся :)


                                                                  1. suslovas
                                                                    06.07.2017 15:24
                                                                    +1

                                                                    У вас уже какие-то буйные антиутопичные фантазии пошли о «гэбне» которая кого-то там заламывать собралась. Думаю продуктивная часть дискусии уже закончилась.


                                                                    1. sHaggY_caT
                                                                      06.07.2017 15:30

                                                                      Посмотрим. Я не очень верю в либеральную революцию, но, может, я и не права, и тот сценарий, на который намекаю, к счастью не случится.


                                                          1. saboteur_kiev
                                                            07.07.2017 10:19

                                                            > В Windows тоже есть профессия мантайнера и даже DevOps,

                                                            Всегда считал, что DevOps это OS-независимая профессия. И наоборот DevOps больше линуксоид, ибо всякие докеры и сервисы чаще работают под *nix или просто кроссплатформенно — есть кроссплатформенные компиляторы, позволяющие под юниксом собирать бинарники для юникса, линукса и windows, чтобы не делать зоопарк из jenkins-нод.

                                                            Могу даже предположить, что тот же bash я знаю лучше вас.


                                                            1. sHaggY_caT
                                                              08.07.2017 00:25

                                                              Всегда считал, что DevOps это OS-независимая профессия.


                                                              Ну Вы же знаете, что DevOps на всяких indeed и линкедин это по-умолчанию чувак, пишущий на Ansible и питон инфраструктуру под AWS и докеры :)?
                                                              И да, без Windows

                                                              И наоборот DevOps больше линуксоид,


                                                              Да

                                                              ибо всякие докеры и сервисы чаще работают под *nix или просто кроссплатформенно


                                                              Не распарсила предложение — первая часть противоречит второй. Как ни странно, все нужные технологии в Windows есть. Есть даже контейнеры, есть свой MAC(хотя про него мало кто знает — я сама год назад не знала, а многие отключают даже UAC), есть Linux подсистема, есть powershell…
                                                              Но всё какое-то тухлое, скучное, неудобное :( В итоге это никто так и не юзает, как и божественный MSI придуманный очень давно.

                                                              Вся экосистема Win NT устроена таким образом, что безопасные и технологичные подходы неудобны. В отличие от Linux.

                                                              — есть кроссплатформенные компиляторы, позволяющие под юниксом собирать бинарники для юникса, линукса и windows, чтобы не делать зоопарк из jenkins-нод.


                                                              Напоминает удаление гланд через пупок, и Вы это знаете


                              1. saboteur_kiev
                                07.07.2017 12:08

                                Вы готовы бросить свою текущую работу, и начать разрабатывать проект, мировая целевая аудитория которого — 2%?
                                Или лучше все же под 98%, и неважно сколько фактически цифр.

                                Например, первый вирусный червь был под *nix, просто потому, что на тот момент именно он был самый популярный. Нашли уязвимость, заразили.

                                Например, можно было бы разрабатывать проект для мировой 2% аудитории, но с условием, что в моем городе, где я смогу продать продукт, эта аудитория будет составлять 50-70%.

                                Но нет таких мест, где Линукс настолько преобладает в пользовательской среде, или точнее в потребительской среде в виде клиента — огромное количество опенсорса усложняет создание мелких продуктов за деньги.

                                Если же взять серверную инфраструктуру, то это редко бывает атака неспосредственно на *nix, как на ОС — в основном это атака против конкретной компании, а в этом случае социальная инженерия делает гораздо больше вещей, чем технологии.

                                Это не отговорки, это банально трезвый взгляд на вещи.


                                1. sHaggY_caT
                                  08.07.2017 00:28

                                  Вы готовы бросить свою текущую работу, и начать разрабатывать проект, мировая целевая аудитория которого — 2%?


                                  Конечно, это огромный рынок же!
                                  Посмотрите на Элона Маска — его аудитория ещё меньше :)

                                  Но нет таких мест, где Линукс настолько преобладает в пользовательской среде, или точнее в потребительской среде в виде клиента — огромное количество опенсорса усложняет создание мелких продуктов за деньги.


                                  Android/Linux популярнее не только GNU/Linux, который я выше имела всегда ввиду под словом Linux (но не имела ввиду Busybox/Linux в роутерах, о котором тоже кто-то писал), но и Windows, и он не страдает от массовых чумок. Это клиентское устройство, так что популярность тут ни при чём :(

                                  Вы невнимательны, этот аргумент звучал несколько раз


                1. sHaggY_caT
                  06.07.2017 02:28
                  +2

                  P.S.S. Кще забыл добавить что ни в одной половозрелой компании никто ничего не хранит на локальной машине, кроме хоум-котиков


                  При чём тут это кстати? Шифровальщикам ни перемещаемые профили, ни VDI никак не помешают. Помешают только бэкапы :(


                  1. StallinHrusch
                    06.07.2017 09:32

                    Тут я имел ввиду, что даже безовсяких групповых политиках и админских правах на клиентских тачках, при хранении важных документов где-то на специальном сервера, за которым следят квадифицированные админы. Шанс потерять эти документы немного ниже, т.к. велика вероятность, что админы то на сервере права поурезают, заплатки вовремя поставят и вообще да — бэкапы настроят :)


                    1. vlivyur
                      06.07.2017 09:49

                      С большой долей вероятности, серверные шары подключены как диски на пользовательских компах. Сколько я слышал про шифровальщиков, им всем было до лампочки что шифровать — есть диск? писать можем? — шифруем!
                      Так что да, только бэкапы.


                      1. StallinHrusch
                        06.07.2017 09:59

                        Вы поймите, я не беру в расчет тех, у кого сетевые ресурсы подкючены как гары. У таких и uac отключен и прочее. Это все плохие присеры, т.к. если так делать — это не значит что виндовс плохая (а с этого и начался этот бубнеж про технологический дизайн). Что мешает смонтировать такую шару на убунте? Ничего. Вы зацепились за этот один пункт, но сообщение то не об этом. Соотбщение о том, что не важно чей вы фанат — майкрософт или линукс, в энтерпрайзе надо серьезно подходить к ИБ и заниматься этим должны квалифицированные люди. А не ье кто "отключили обновления, потому что перезагрузку требуют". Про бэкапы могу в свою очередь сказать то же самое — это точно такие же файлы, ничем не отличающиеся от фоток. Они так же монут быть зашифрованы.


                        1. sHaggY_caT
                          06.07.2017 10:18
                          -1

                          Вы поймите, я не беру в расчет тех, у кого сетевые ресурсы подкючены как гары. У таких и uac отключен и прочее. Это все плохие присеры,


                          Это реальные примеры. А Вы о каких-то сферических компаниях в вакууме. Windows удобно использовать небезопасно, а Linux удобно использовать безопасно. Об этом и тред, поэтому я и пишу об ошибке в ДНК, и о просчётах системных архитекторов в команде разработки NT ветки


                          1. StallinHrusch
                            06.07.2017 11:21

                            они не сферические. ну что вам названия называть? или вы из тех кто уперся и «вывсеврети»? я конретно проработал в такой «сферической» компании 7 лет. Все на стеке майкрософт, абсолютно все. Компания крупная, международная с кучей офисов и филиалов. И за все 7 лет ни одного подобного случая. Догадываетесь почему? Потому что администрировали не дельфины. Сейчас работаю в другой компании, не менее крупной — ситуация 1 в 1. Нет, в компаниях отвественно подходящих к ИБ такое невозможно (я имею ввиду массовое заражение, а не целенаправленную атаку).
                            В первой компании (она занимается ИТ аутсорсом) админские права были у всех пользователей (у всех!), но при этом что-то ваши шифровальщики не пролезли. Не было ни 1 часа простоя за всю историю. Ни у одного пользователя не было никаких неудобств абсолютно. Т.е. совсем никаких, они пользовались рабочими компами точно так же как дома. А вы мне тут рассказываете про то что там неудобно пользоваться. Линуксом то впринципе неудобно пользоваться ну и что теперь? Как говориться — если вы не любите кошек — вы просто не умеете их готовить.


                            1. sHaggY_caT
                              06.07.2017 11:52
                              -1

                              дминские права были у всех пользователей (у всех!), но при этом что-то ваши шифровальщики не пролезли. Не было ни 1 часа простоя за всю историю.


                              Ошибка выжившего же. Так же напомню, что шифровальщики лишь один подкласс заразы. Запросто такое может быть, что комп юзера, скажем, майнит криптовалюту, когда комп простаивает, или DDoS'ит кого-то, а юзер об этом и не знает, или ему пофиг (такое тоже часто встречается, увы...)


                  1. saboteur_kiev
                    07.07.2017 10:21
                    -1

                    > При чём тут это кстати? Шифровальщикам ни перемещаемые профили, ни VDI никак не помешают. Помешают только бэкапы :(

                    Вот тут вы немного ошибаетесь. Перемещаемые профили и сетевые диски мешают — шифровальщики их не шифруют. И для этого есть вполне объективные причины.
                    Совершенно нет смысла шифровать файлы, доступные по сети, поскольку тогда будет непонятно какая из зараженных машин их зашифровала, и с каким публичным ключом писать шифровальщику, чтобы расшифровать конкретный файл. Поэтому шифровать сетевые файлы с целью наживы не будет никто.


                    1. suslovas
                      07.07.2017 10:38
                      +1

                      Но тем не менее шифруют, поверьте горькому опыту. ((


              1. popov654
                07.07.2017 09:37

                Мне кажется, Вы не правы. Апдейтиться и пользоваться — можно, по моему опыту. И потом, есть такое понятие, как неэксклюзивная блокировка. Если вы пишете каким-то софтом WAV или AVI файл, вы в любой момент можете открыть его плеером, и он воспроизведётся (до того места, до которого записан на момент открытия).


                1. mayorovp
                  07.07.2017 09:45

                  Смысл в том, что любой запущенный исполнимый файл на винде заблокирован от записи. Это — поведение загрузчика исполнимых файлов, системного компонента. Его нельзя так просто изменить.


              1. casphar
                07.07.2017 09:37

                практика что-то хранить в %APPDATA% встречается редко.

                Возможно потому, что %APPDATA% лежит на диске C, а он у многих пользователей весьма невелик? К тому же, перенести эту несчастную папку на другой диск — весьма нетривиальная задача.


        1. Esamon
          05.07.2017 20:40

          В отдельных районах — вполне возможно. Если в райуправление соцзащиты пришел Петя, то выплаты вообще всех пособий успешно остановлены :)


  1. stecker
    05.07.2017 03:28

    Жду аналогичных фейлов от одной не без известной желто-красной конторы.


    1. Denkenmacht
      05.07.2017 03:56
      +1

      Почему? Чтобы и у соседа корова сдохла?


      1. Nuwen
        05.07.2017 04:43

        Чтобы быть готовым, в случае чего.


      1. stecker
        05.07.2017 09:03
        +5

        Потому что новый вектор задан. Механизм доказал свою эффективность. И глупо думать что им не захотят воспользоваться.


    1. Germanets
      05.07.2017 09:34

      Очень надеюсь, что в жёлто-красной и других конторах, выпускающих распространённое и часто обновляющееся ПО, уже услышали звоночек и лишний раз проверяют существующую систему безопасности, защищенность своих серверов и т.д. Хорошо, что такой инцидент произошел всего-то в рамках одной страны, а не в куда больших масштабах…


    1. Vladal
      05.07.2017 17:57

      С версии 8.0 она просто желтая. Но мем «читайте ЖКК» остался.


    1. ilialin
      07.07.2017 14:00
      +1

      Кажется, летом 2016 года небольшой «ой» у желто-красной случился — была написана обработка, что-то типа «обновление справочника банков» с шифровальщиком внутри. Вывод был сделан — в новых версиях платформы добавилась роль, по умолчанию отключенная, разрешающая пользователю выполнять внешние обработки — теперь их могут выполнять только те, кому можно, а не всех бухи подряд.
      И в этом году был «ой» — не шифровальщик, а вор — отслеживает появление файла обмена между банком и 1С, парсит его и меняет реквизиты платежа так, чтобы деньги ушли не куда хочет фирма, а куда хочет вирус. И тоже желтые подсуетились — сейчас этот файл обмена после создания сразу блокируется — его нужно сразу загрузить в банк, иначе 1С его удалит.
      Так что все в порядке у желтых и с проблемами и с их решениями.


  1. Nuwen
    05.07.2017 04:40
    +8

    Не люблю конспирологию, но недавнее исследование о том, что крупные заговоры быстрее раскрываются, имеет обратную сторону — заговоры с меньшим количеством участвующих, раскрываются медленнее. Я это к дате, промелькнувшей в этом посте — 15 мая. Напомню, что 12 мая бушевал WannaCry.

    Хотелось бы рассказать про свой случай. Пронаблюдать в тот день случай заражения компьютера вирусом WannaCry мне не довелось, поскольку на подконтрольном мне парке компьютеров всегда были включены все обновления, и уязвимости в ПО на от момент у нас не было. Зато она была в другом месте. Именно 12 мая, на мыло организации, где я работаю, пришло письмо от соседней организации, с волшебными словами СРОЧНО и НДФЛ в заголовке. Эти слова напрочь парализовали волю пары наших сотрудников. Письмо вместо документа ворд, содержало скрипт, который скачивал вирус SPORA, который, в свою очередь зашифровал всю очень важную информацию на паре компьютеров.

    Я бы может не обратил внимания на это совпадение по времени, шифровальщики в письмах к нам приходят регулярно. Но эта модификация вируса SPORA, на мой взгляд, был спроектирована грамотнее, чем большинство подобных вредоносов. Злее, что-ли. В отличии от большинства шифровальщиков — которые я до этого видел — этот вирус зачищал каталог с теневыми копиями, и не менял имя зашифрованного файла, что делало невозможным спасение файлов при помощи программ восстановления, типа R-Studio.
    Если раньше в подобных случаях я просто доставал удалённые файлы из теневой копии, то на этот раз пришлось восстанавливать из довольно несвежего бекапа.

    Вирус оставлял ярлык на сайт, где предлагались услуги расшифровки данных, стоимостью от 40, до 150 $ в зависимости от того, сколько нужно было восстановить, один файл или все. На сайте был даже функционирующий чат техподдержки.

    На одном компьютере был установлен касперский, на другом — dr.web. Касперский оказался неэффективен полностью. (разумеется, ведь в базах эта модификация отсутствовала на тот момент, 0 срабатываний на virustotal) Dr.web же не дал процессу, запущенному неподписанным приложением и загруженным с сети; зашифровать тысячи файлов и удалить оригиналы. Т.е сработала базовая эвристика антивируса. (Что не помешало сотруднику скопировать «неоткрывающееся» письмо на другой комп — тоже с каспером — и зашифровать там всё)

    Так вот, я заимел личную теорию заговора, согласно которой некой небольшой группой лиц, с недавних пор осуществляются попытки скоординированных атак на мир. Вирусы не просто распространяются эпидемиями, они запускаются разными, на первый взгляд, создателями в одно и то же время, либо в приблизительно одни и те же дни.

    Отдельным пнём стоит неспособность продукта отечественной компании распознать элементарные признаки вредоносной деятельности, несмотря на громкие слова об «эвристической» защите. Уж не знаю, применить ли тут бритву Хэнлона, и считать это обычным головотяпством, либо тут что-то другое.

    Скорее, конечно, первое, поскольку этот антивирус и до этого не раз позволял шифровальщикам из писем заражать компьютеры. Я всё сваливал на то, что антивирус не может отличить деятельность шифровальщика, запущенного пользователем, от деятельности обычной пользовательской программы. Непонятно только, почему они используют термин «эвристика» в своём простом как пробка сканере файлов на соответствие с записями в вирусной базе.


    1. x67
      05.07.2017 05:22

      Эвристика разная бывает. И настройки разные. И результат тоже. Тут пррблема не в том, что один из крупнейших антивирусов не имеет эвристрики, а в том, как он настроен, мне думается.


      1. Nuwen
        05.07.2017 05:35
        +3

        Эвристика разная бывает.

        Конечному пользователю, извините, плевать на то, какая бывает эвристика, если настроенный по умолчанию антивирус не может отличить пользовательскую программу от вредоноса из e-mail.


        1. saboteur_kiev
          05.07.2017 09:37
          +1

          Я видел множество ситуаций, когда из-за того, что компы в организации слабые, и пользователи жалуются на тормоза, админ сам отключает эвристику, оставляя антивирус включенным с минимальным количеством модулей.


          1. Mario_Z
            05.07.2017 09:49

            По мягким местам нужно бить таким админам.


            1. oldbie
              05.07.2017 11:18
              +6

              Просто вы не так хорошо себе представляете насколько все бывает плохо с железом.
              Т.е. случается что выбор такой — либо рабочая машина без антивируса, либо с защитой, но работать невозможно от слова совсем.


              1. Mario_Z
                05.07.2017 13:27

                Насколько плохо может быть с железом я себе отлично представляю. Первым моим компьютером был БК-0010, еще с "пленочной" клавиатурой в 1993 году, а первым PC был Cyrix 6x86 200 MX с 32 МБ памяти в 2001 году. Однако всегда можно найти выход, где-то помогает добавить память, а где то в биосе настройки подкрутить. Да, с установкой антивируса производительность резко проседает, но админ не должен быть хотя бы ССЗБ — ему же потом с заражением разбираться.


                1. oldbie
                  05.07.2017 16:28

                  Насколько плохо может быть с железом я себе отлично представляю. Первым моим компьютером был БК-0010, еще с "пленочной" клавиатурой в 1993 году, а первым PC был Cyrix 6x86 200 MX с 32 МБ памяти в 2001 году.

                  Замечательно. Но давайте согласимся, в те времена ситуация была другой. А мы говорим про сейчас. Ведь 2001 году вам не требовалось поставить минимум winXP (а желательно win7) на дохлое железо, а сверху антивирь, который в запросто съедает 70% всей доступной ОЗУ. С ужасом ожидаем звершение поддержки winXP со стороны антивирусных компаний. win7 в минималках здорово поднимет требования железу.
                  Может предложите защититься от вирусов из "2001" устаревшими, но нетребовательными антивирами? У непрожорливых антивирусов базы давно протухли, и они остались в только в мечтах о прошлом.


                  1. Mario_Z
                    05.07.2017 18:55

                    А разве это норма, когда на борца-тяжеловеса пытаются впихнуть в пачку балерины? У любого железа есть физический срок службы, не считая пресловутого морального устаревания. Если руководство предприятия не выделяет совсем денег на обновление железа, то может не стоит работать на такого работодателя? Как вариант решения проблемы. Ведь для личных нужд люди находят минимальное количество денег, чтобы совсем не сесть в лужу.

                    Я сам сторонник даунгрейда в отношении ПО, но должен же быть разумный рационализм! На крайний случай есть же куча дистрибутивов Linux, с гораздо меньшим потреблением ресурсов. Не обязательно переводить все компьютеры. Подавляющее большинство парка ПК который вы упоминаете используется для работы с текстовыми файлами и таблицами.


                    1. oldbie
                      05.07.2017 22:18
                      +1

                      Вы говорите образами и теоретически о ситации которую не можете представить. Я же пытаюсь донести что нередко случается реальная задача натянуть сову на глобус (пачка на тяжеловесе, если хотите) и антивирус использовать ну никак не получится.


                      И видите ли сушествует более чем много организаций в которых по сути рабочего процеса IT на последних ролях и даже, вообразите, нет такого подразделения как такого. Потолок задач почитать ворд, проверить почту и залезть по работе в инет. А компьютер, который справлялся с этим 10 лет, вдруг превратился в тыку как раз из-за антивируса и браузеров. Хотя ничего более не менялось все эти 10 лет, ни система ни окружение.


                      А Вы, вероятно, судите с позиции работника из IT сектора, где плохое оборудование это сапожник без сапог и часто встречается проф. деформация на этот счет. Тут компьютер это основной, едвали не единственный рабочий инструмент и поэтому так трудно вообразить как кто-то вообще может выделять недостаточно ресурсов на комп. оборудование. Даже в неIT организациях.


                      1. Mario_Z
                        06.07.2017 09:06

                        Вообще то я работаю сисадмином в мелком провайдере, по совместительству еще и эникейщик (за спасибо разумеется). Повидал я кучу разных компов. Кому мог помочь настройкой — помогал, кому мог помочь рекомендацией — помогал. Соглашусь, что ситуации бывают разные, но выход нужно искать всегда.Это же не покупка какой нибудь циски. Если начальство настолько тупое, что не может оценить критическое снижение оперативности работы от дважды устаревшего железа, то может ну его нафиг такое начальство и такую работу?


                1. saboteur_kiev
                  05.07.2017 18:00

                  Чорт, подскажите какие настройки в биос нужно подкрутить, чтобы комп без антивируса и комп с антивирусом (с включенной эвристикой) работали с одинаковой скоростью.
                  Особенно в ноутбуках 8-10 летней давности, под которые уже и память найти сложновато, особенно по безналу.


                  1. Mario_Z
                    05.07.2017 18:59

                    Ноутбуки 8-10 летней давности у меня не живут. Не нужно заниматься мазохизмом. А вообще, чтобы не повторяться я изложил свою точку зрения в ответе предыдущему комменатору.


              1. shurricken
                05.07.2017 17:57

                это точно… увы… сам отключал… правда данных было не жаль… (нуу… мне не жаль)


          1. Nuwen
            05.07.2017 11:07

            А как отключить в касперском эвристику? Я могу отключить там сетевой экран, веб фильтр, фильтр электронной почты, модуль обновления программ, что бы это ни значило… Отключения эвристики там нет.


            1. saboteur_kiev
              05.07.2017 11:36

              Я сейчас немного ушел от администрирования рабочих машин, но в детальных настройках файлового и почтового фильтра в Касперском была возможность указать уровень эвристики.


        1. Mario_Z
          05.07.2017 09:48
          +1

          Конечному пользователю, разумеется, плевать вообще не все и он начинает ныть «А че у меня у все тормозит?! Какой плохой антивирус! И UAC ваш говно! Отключите мне его! И вообще, хочу бесплатно кофе и печеньки.» Человек он вообще скотина ненасытная.


      1. Spaceoddity
        05.07.2017 15:19

        Не знаю как сейчас, но раньше хакеры боялись только Авиры — т.е. в принципе, при продаже, гарантировали что криптер/джойнтер не будет палиться большинством актуальных антивирусов, но только не Авирой. Поскольку именно у Авиры была более-менее адекватная эвристика. Все остальные работали по базам сигнатур. А вот обойти засвеченную сигнатуру не так уж и сложно.


        1. Spaceoddity
          05.07.2017 15:25

          Но здесь есть и обратная сторона — годная эвристика очччень сильно снижает производительность ПК. Настолько, что в большинстве случаев проще работать на машине с повышенным риском подхватить потенциальную малварь, чем страдать на тормозящей машине. Зависит от специфики работы.


          1. Ra-Jah
            05.07.2017 15:56

            Белый список софта, остальное через эвристику или вплоть до запрещения.


            1. Alcpp
              05.07.2017 16:01
              +6

              И Медок в этом белом списке.


              1. sayrys
                06.07.2017 01:59

                Ну и пусть… А вот Payload уже не запустится. Если только саму нагрузку в модуль не вшивать, но это тогда отдельная история.


              1. Ra-Jah
                06.07.2017 08:56

                Программы имеющие регулярные обновления нельзя в исключения добавлять, но например один популярный антивирус, визжащий как свинья, строго рекомендует в лучших традициях добавлять в исключения все БД и некоторые прочие директории.

                С повышенной эвристикой для ПО не в белом списке согласен, не надежное решение, лучше проверять всех первый раз, а прошедших, с контрольными суммами, второй раз не проверять глубоко.


    1. runapa
      05.07.2017 09:35

      А может дело в том, что желающих заработать на такой деятельности стало неприлично много. Вот и толкаются локтями.


    1. nekrassow
      05.07.2017 09:36

      В феврале этого года столкнулся с этим вирусом, за 3(!) месяца не добавить его сигнатуры в антивирусные базы, это просто за гранью добра и зла имхо. Действительно интересный экземпляр шифровальщика, и ярлык на сайт с личным кабинетом и чатом поддержки был, и демоверсию дешифратора скачать можно было(1 или 2 файла расшифровывал), и суммы выкупа на разных машинах отличались, видимо от количества зашифрованого зависят.


      1. Nuwen
        05.07.2017 11:14

        за 3(!) месяца не добавить его сигнатуры в антивирусные базы

        Ну, тут думаю, всё просто. Как уже написал mayorovp, вирмейкеры постоянно изменяют код вируса так, чтобы записи об нём в антивирусных базах теряли актуальность.


    1. mayorovp
      05.07.2017 09:40

      Упомянутое вами исследование никак не может ни подтвердить, ни опровергнуть теорию о том, что крупные заговоры быстрее раскрываются. Там же из исходных данных всего три раскрытых заговора...


      Смысл того исследования — в рамках постулированной вероятностной модели оценить параметры этой модели, ничего более.


    1. mayorovp
      05.07.2017 09:55

      Отдельным пнём стоит неспособность продукта отечественной компании распознать элементарные признаки вредоносной деятельности, несмотря на громкие слова об «эвристической» защите. Уж не знаю, применить ли тут бритву Хэнлона, и считать это обычным головотяпством, либо тут что-то другое.

      Все просто: любой массовый антивирус в деле обнаружения новых угроз всегда бесполезен. Просто потому что вирусописатели не "выпустят" вирус до тех пор, пока тот не перестанет обнаружаться антивирусом. У них неограниченное время на перебор вариантов. И любые эвристики тут бесполезны.


      1. teecat
        05.07.2017 12:02

        не всегда. для ваннакрая доктор веб брал его эвристиком, касперский — облаком(по их официальной информации пострадали те, кто поотключал модули), для непети по слухам доктор веб брал часть модулей, каспенрские вроде тоже частично поведенческим анализатором.

        У них неограниченное время на перебор вариантов

        Есть такое дело, вы абсолютно правы, тем не менее — выпускают.


        1. mayorovp
          05.07.2017 12:06

          WannaCry — вирус западный, а там что касперский, что доктор веб распространены далеко не повсеместно.


          1. teecat
            05.07.2017 12:19

            Тестируют очень часто через ВирусТотал или подобные сервисы. Там сразу много антивирусов


            1. mayorovp
              05.07.2017 13:10

              Тестировать-то тестируют, но на какие бренды при этом смотрят?


              1. teecat
                05.07.2017 13:21

                Западные сервисы такого типа не смотрел, русскоязычные предлагают считай все существующее в мире


                1. mayorovp
                  05.07.2017 15:54

                  Важно не то, что сервис предлагает — а куда смотрит хакер. Вот представьте, пишите вы мега-вирус ХочуПлакать. Проверяете его антивирусами — и выясняете, что его ловят африканский антивирус и китайский. Будете ли переделывать или так выпустите?


                  1. teecat
                    05.07.2017 16:05

                    Будете ли переделывать или так выпустите?

                    Вот не надо антивирусные компании подлавливать!

                    Если серьезно — это уже советы вирусописателям получаются, с вашего позволения отвечать в общую тему не буду


            1. SolarW
              05.07.2017 13:21

              Какая-то фигня с ним. ZvitPublishedObjects.dll из обновления 10.01.188 (предпоследнее) показывает Касперский (и ещё один антивирь) что есть бекдор.
              А по факту Каспер с сегодняшними обновлениями (и ДрВеб) ничего там не видят.
              А в этом файле из последней версии 10.01.189 — оба видят бекдор.

              Тут мне знакомые пишут что вроде вторая волна пошла, достаточно крупные конторы стали отключать компы от греха подальше.

              Ну и вишенка на торт:
              Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі.


              1. teecat
                05.07.2017 13:22

                По аналогичному отчету есета видно, что вредоносный код добавляли и убирали


                1. SolarW
                  05.07.2017 13:57

                  https://tsn.ua/ukrayina/m-e-doc-pidtverdila-rozpovsyudzhennya-virusu-petya-a-cherez-yihnye-po-ymovirna-nova-kiberataka-956212.html — авторы Медка завязал идти в отказ и уже согласны что это они всех заразили.


            1. DistortNeo
              05.07.2017 17:23

              Так то только сканеры. Поведенческий анализ — штука не менее интересная.


      1. saboteur_kiev
        07.07.2017 19:09
        +1

        Вообще, я считаю, что ПО такого масштаба, использующееся для отправки отчетности в государственную налоговую службу обязано быть.

        1) с открытым исходным кодом, чтобы любой мог делать анализ
        2) регулярно проходить открытый аудит
        3) бесплатным и распространяемым государством
        4) в связи с пунктом 3, несущим некоторую ответственность за актуальность, либо быть напрямую связанным с законопроектами касательно бухгалтерии. А то завели привычку издать законопроект, меняющий калькуляцию налогообложения, и требовать обновленные отчеты на вчера. А так выпустили законопроект, обновите свой государственный софт, а потом уже требуйте отчеты в новом виде.


    1. Alcpp
      05.07.2017 16:00

      Что не помешало сотруднику скопировать «неоткрывающееся» письмо на другой комп — тоже с каспером — и зашифровать там всё


      Только пару дней назад мелькала такая шутка. Оказывается это не шутка :(.


  1. dmial
    05.07.2017 06:05
    +4

    Статья, напротив, дала ответ на вопрос, почему с «петей» всё именно просто. Тотальный бардак, потому подобное и возможно, и срабатывает.


  1. NumLock
    05.07.2017 07:01
    +4

    Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc.

    К чему такая паранойя? Вспомните скандал с Apple, когда зловред был внедрён в XCODE и линк на его скачивание был заменён на сторонний сервер в некоторых DNS. Девелоперы собирали программы с бэкдором и сами честно отсылали своё взломанное «произведение» в applestore. Здесь могла произойти подобная схема. Нужна тщательная независимая экспертиза.


    1. tropico
      05.07.2017 17:25
      +1

      Китайские девелоперы специально скачивали Xcode с местных сайтов из-за медленной связи с внешним миром.


  1. vconst
    05.07.2017 07:45
    +6

    Подобные теории заговора, режутся насмерть бритвой Хэнлона и самой теорией заговора: «каждый план, выполнение которого зависит от более чем трёх различных событий, в реальной жизни обречён на провал» ©


    1. saboteur_kiev
      05.07.2017 10:26
      +2

      Ну я могу возразить — лично я не очень понимаю, зачем нужно было распространять вирус.

      Судя по исследованию, в руках злоумышленников был полноценный и надежный бэкдор, чтобы управлять практически любой конторой.
      Можно было сидеть тихо, и не высовываясь контролировать всю деятельность.
      Пустить туда шифровальщик это уже как у шпионов «стрельба из пистолета», когда уже все пропало.


      1. cesium
        05.07.2017 15:56
        +3

        А Вы не допускаете, что этот бэкдор «спалила» другая группа хакеров? Раньше, когда было модно, в качестве канала обратной связи с ботом, использовать irc каналы, были хакеры которые «обносили» irc каналы и уводили ботов. Если это так, то это объясняет, почему так топорно был сделан шифровальщик.


    1. mokele
      05.07.2017 10:37

      Не насмерть, ибо минимальный шанс появления черного лебедя есть всегда. К сожалению (или счастью) он очень мал, поэтому повсюду искать его не стоит, конечно.


    1. LynXzp
      05.07.2017 19:10

      Подобные теории заговора, режутся насмерть бритвой Хэнлона и самой теорией заговора...
      Как игрок онлайн игр могу возразить, десяток и даже три десятка человек которые никогда не видели друг-друга могут сговориться (ну обычно они и так в одном альянсе) и тихо ночью выпилить Рим и даже гуси не вякнут.

      И это всего-лишь какие-то геймеры. Конечно провалы и сливы информации случались не сильно реже epic win. Но IRL epic win / fail со сговорами не такое уж и редкое дело. Армия со своими приказами и секретами просто создана делать заговоры (большинство непосвященно и только выполняет, а все знают только десяток-два).


  1. Faint
    05.07.2017 08:30
    +3

    А что насчет российских компаний? Знаю точно, что в Роснефти были проблемы.


    1. zein
      05.07.2017 09:24
      +2

      брызгами задело


      1. Serge78rus
        05.07.2017 09:50

        Но эти брызги ведь явно не медок, а нечто еще?


        1. saboteur_kiev
          05.07.2017 10:18
          +1

          Медок использовался для первоначального распространения зловредов.
          Но у самих зловредов были и свои возможности — через почту, а там и через уязвимость в самбе.


          1. SolarW
            05.07.2017 10:25

            Вроде внутри вируса не отмечено наличие модуля самостоятельной рассылки через почту?
            Наверное все-таки вручную рассылали?
            Да и вообще — при? предыдущих эпидемиях я хотя бы на один из своих адресов получал письма от «налоговой», «ПриватБанка» и т.д.
            А вот с Петей — тишина, ничего не происходило.
            И по знакомым ничего не было замечено.
            Более адресная а не общая была рассылка?
            Или упоминания о том, что Петя по почте приходил это информационный шум для отвода глаз от Медка?


            1. suslovas
              05.07.2017 12:00
              +1

              Вирусу достаточно было попасть хоть на одну машину в сети, дальше он уже сам справлялся со своим распространением.


    1. sstakk
      05.07.2017 09:44
      +4

      Видимо у них есть офис в Украине, и возможно ВПН, обьединение офисов и т.п.
      Или банально по почте отправили.


      1. LynXzp
        05.07.2017 19:12

        А ну чего, типично,

        Как-то читал статью о том, как парень в метро стянул у соседа из сетчатого кармана сумки флешку, на которой было написано 128. Пришел домой, вставил в ноутбук и спалил пол компа… Написал на флешке 129 и теперь носит в наружном кармане своей сумки.


        1. mayorovp
          05.07.2017 19:50
          +1

          Это была цитата на башорге, а не статья. И там была плашка памяти, а не флешка. И не 128 там было, а 256. И 257 никто на ней не писал, это было шуточное предложение.


  1. trouble1c
    05.07.2017 09:42

    В прошлом квартале, обновление квартальных форм отчетности для 7.7 содержало ********. Его оперативно заменили. А поскольку 7.7 сейчас пользуется крошечная часть бухгалтеров, то ни кто и не заметил. Но прецедент был.


  1. Spewow
    05.07.2017 09:57

    Осталось заразить Петя3 сервера wsus Майкрософт и пол мира ляжет.


  1. Alexey2005
    05.07.2017 10:22
    +9

    Такое впечатление, что парни заколотили гвоздь карманным термоядерным реактором. Ну вот как можно было обменять полный контроль над инфраструктурой целой страны с возможностью кражи кучи критически важных данных на пару сотен баксов в биткоиновом эквиваленте?


    1. SolarW
      05.07.2017 10:38
      +1

      Вот это и удивляет…
      Складывается впечатление что какие-то пионеры криворукие порезвились офигев от масштабов получившегося…
      Если бы хотели денег — была бы возможность восстановления данных.
      Если гипотетически предположить акцию на государственном уровне — почему-то думается что тотальный контроль по тихому над ИТ-инфраструктурой страны гораздо более интересная штука чем одноразовая акция вандализма с уничтожением данных.


      1. elmm
        05.07.2017 10:47
        +1

        Рано или поздно зловред бы спалился, и контроль бы кончился. А так собрали инфу, а дальши прикинулись тушкой обыкновенной, чтоб по меньше причин было обвинять тех, кто не хочет славы — вымагателус вульгарис, так сказать.


        1. LynXzp
          05.07.2017 19:14

          Вспомнил первый сезон mr Robot там чтобы украсть мелочь эмитировали атаку на офис компании занимающейся защитой.


    1. nerudo
      05.07.2017 10:49
      +2

      Может какой робин гуд в стане врага решил хоть как-то сообщить о проблеме ;)


    1. Silvatis
      05.07.2017 10:54
      +2

      А что, если создатель не злодей а герой. Может это тот самый момент, когда один из разрабов устал говорить начальству что «нужен глубокий рефакторинг а нескучные обои подождут».

      На сколько известно из статей хабра, расшифровывать данные вирь не умеет. An end, once and for all.


      1. yarric
        05.07.2017 18:57

        An end переводится как "средство"


        1. Silvatis
          05.07.2017 19:32

          Это отсылка к масс эффекту.


          1. yarric
            05.07.2017 21:12
            +1

            Не подскажите, в Mass Effect эта фраза в каком контексте и как переводится? Не смог сходу нагуглить.


            1. Silvatis
              06.07.2017 02:01

              ну я на звание знатока английского не претендую =) Это название музыкальной темы смерти (самопожертвование) главного героя. Умирает он не первый раз, но, вроде как последний. А как правильно понимать? Я честно поверил гугл переводчику.


              ** музыка легко гуглиться, очень приятная, советую послушать.


    1. teecat
      05.07.2017 12:05

      и не факт, что снимали. Такое впечатление, что некая система сама случайно сработала неизвестно зачем


  1. Vseknopkin
    05.07.2017 10:30
    +2

    Не понимаю, почему тиражируется мнение, что атака направлена именно против Украины. В Википедии то же самое: «Конечной целью атаки является дестабилизация ситуации в экономике Украины». Интересно, откуда вообще может быть известна конечная цель атаки? Почему бы не предположить, что атака направлена против M.E.Doc, а не против всей страны?
    Даже версия независимого хакера, решившего для своего ЧСВ устроить атаку века, мне кажется более реалистичной, чем версия атаки против целого государства.


    1. saboteur_kiev
      05.07.2017 10:34
      +4

      1. Потому что медок пострадал репутационно, и никакой финансовой выгоды от этого нет — конкуренция очень невелика, и такой способ им мало что даст.
      2. Пользователи пострадали, но на биткоин-кошелек за все это время перечислено крайне мало, а потом и емайл авторов заблокировали, то есть финансовой выгоды опять нет.

      Зато однозначно было понятно, что финансовая система в Украине пострадает сильно — сервера обновлений Медка все еще лежат.

      Заменить оперативно Медок без потерь удобства и комфорта — невозможно — ни одна другая программа подобный функционал в полной мере не предоставляет. Множество бухгалтеров вынуждены отправлять отчетность практически вручную, что занимает в разы больше времени. Ну и плюс да — потеря зашифрованных документов у тех, кто не делал бэкапы.


      1. SolarW
        05.07.2017 10:41
        +1

        Вчера рассказали прекрасное — оказывается налоговая сервера которой в конце месяца не принимали отчётов из-за вирусной активности не считает произошедшее форс-мажором и будет штрафовать тех, кто не успел отправить отчёты.


        1. throttle
          05.07.2017 11:48
          +1

          Считать произошедшее форс-мажором может только торгово-промышленная палата. По букве закона все ок. По уму — идиотизм, конечно.


        1. teecat
          05.07.2017 12:07
          +2

          А вот и нашли кому выгодно! (ежели что — шутка)


        1. elmm
          05.07.2017 13:26
          +1

          Сегодня кабмин заявил, что штрафовать не будут — внесту закон, дающий исключение по этому случаю.


          1. saboteur_kiev
            05.07.2017 13:33

            А вот и ссылка
            Теперь все зависит от того, как будет сформулирован соответствующий закон.

            Вдруг для того, чтобы иметь возможность сдать отчеты позже, нужно предъявить нотариально заверенные скриншоты или вообще заключение киберэксперта из полиции, что в компании действительно был заражен комп?

            Я уже несколько лет не доверяю даже самым благим намерениям, пока не увижу фактические результаты…


            1. ilya-s
              05.07.2017 13:50

              и сдать зараженные компы как вещественные доказательства


            1. elmm
              05.07.2017 14:06

              И анализ мочи в придачу. Даже появление текста закон ещё ни чего не гарантирует — налоговая нюансы текста может по своему трактовать.


              1. ilya-s
                05.07.2017 16:13

                Я не шутил, между прочим, обязательным условием будет заявление в полицию, которое подразумевает следственные действия с оборудованием.


      1. SolarW
        05.07.2017 10:45

        Ну а насчёт крайне мало — перечислено 46 платежей, пришло 3.99BTC итого.
        Но согласен — по уму, с восстановлением данных и т.д. было бы получено ГОРАЗДО больше.


      1. SolarW
        05.07.2017 10:59
        +1

        За сегодня уже позвонило несколько знакомых с вопросом что делать?


        1. SolarW
          05.07.2017 11:01

          Типа работать с медком надо а антивирь косит в нем библиотеку с бекдором после чего Медок не работает.
          Представители Медка на местах разнообразием версий не блещут — вируса там нет, добавляйте файл в исключения антивируса.


          1. LynXzp
            05.07.2017 19:17

            Отключить от сети и не перезагружать поможет? (В смысле сделать бекап, отключить от сети и от бекапа, отключить антивирус, делать отчеты)


            1. SolarW
              05.07.2017 19:23

              Чисто теоретически — да.
              Если до сих пор комп не перезагрузился/не зашифровался — то есть шанс шанс что не получив команду на это по сети и далее будет себя мирно вести.
              Но бекапы на флешку/внешний винт все равно не помешают :-)


      1. NoRegrets
        05.07.2017 11:32
        +1

        Из того, что вы сказали, нельзя сделать заключения, что это была атака против Украины. Лишь только то, что это вряд ли сама контора.
        Это мог провернуть и недовольный сотрудник конторы и хакер, получивший доступ к их исходникам. История, когда хакер случайно вторгается в сеть конторы, обнаруживает исходники и хочет это монетизировать — вполне реальна. Если это не профессиональный вирусописатель, он легко может понаделать таких архитектурных ошибок, как один биткоин-кошелек и связь через почту.
        То, что это была целенаправленная атака на Украину, как государство, нужно аргументированно доказывать.


        1. DartAlex
          07.07.2017 13:11
          +1

          Согласен. С той же логикой можно сказать следующее: В моём городе пару дней с перебоями работали заправки Роснефть и Лукойл, а значит это атака США с участием Украины на топливно-энергетическую индустрию России. Это же так же очевидно, и относиться скорее к домыслам, чем к фактам.


          1. yefrem
            07.07.2017 21:53

            ну например в отчете Cisco указано «organizations inside of Ukraine and multinational corporations with operations in Ukraine», однако сам отчет касается только атаки через Медок. Были еще фишинговые письма, о которых намного меньше информации. Ссылка на отчет: http://blog.talosintelligence.com/2017/07/the-medoc-connection.html


  1. Cedric
    05.07.2017 10:49

    Если-бы хоть одна антивирусная компания ответила за зашифрованные данные (при условии что базы обновлены) деньгами, то на мой взгляд, такого-бы меньше было.
    Или пусть тогда называют себя, антивирус вчерашнего дня.


    1. teecat
      05.07.2017 12:08

      Циски говорили, что могут отвечать пр соблюдении тучи условий


    1. hatari90
      05.07.2017 13:21
      +2

      Это как если бы онколог головой отвечал за результат лечения пациента, а не за корректность лечения в соответствии с общепринятыми методиками. Даже того, кто пришел с терминальной стадией заболевания.


      1. Cedric
        05.07.2017 13:51

        В данном случае, пациент априори здоров.


        1. suslovas
          05.07.2017 13:54
          +1

          При такой бизнес модели антивирусов просто не останется, потому что невозможно гарантировать защиту от 0-day, тем более невозможно отследить всю ту ересь, которую на компе творит пользователь или админ. Антивирус снижает вероятность заразиться от уже известных зараз, ну и чуть чуть от неизвестных но тупых.


          1. Cedric
            05.07.2017 13:59

            При такой бизнес модели, антивирусная компания будет заинтересована в создании такого модуля, который-бы напрочь отбил-бы попытки шифровки файлов.Проблема эта не первый год висит и времени у них было достаточно.


            1. suslovas
              05.07.2017 14:01

              Они и сейчас заинтересованы, ибо это вполне бы стало киллер-фичей их продукта. Вот только не так это просто, как вам кажется. Нельзя придумать 100% действенный механизм, который отличил бы правомерное изменение файла от вирусной активности, может вы сами этот фаил шифруете, или архивируете? НЕ говоря о том, что этот вирус вообще подменял MBR и шифровал еще до загрузки оси, не говоря уж об антивирусе.


              1. saboteur_kiev
                05.07.2017 14:04
                +2

                Именно поэтому принцип минимальных прав — это правильно.
                И для запуска и обновления пользовательских программ никогда недолжно например требовать прав администратора или отключения антивируса. Ругается антивирус — разбирайтесь что не так напрограммировали, а не «добавьте в исключения». Случаи ложного срабатывания насклько я знаю, достаточно редки, по сравнению со случаями, когда реально есть подозрительный код.


                1. suslovas
                  05.07.2017 14:08

                  А в идеальном мире еще и пользователи не должны подозрительные письма открывать, но, к сожалению, как только разработчик какого-то ПО становится монополистом даже на одном предприятии, они начинают хаметь и сами выдвигают требования к инфраструктуре сети по принципу — не сделаете — работать не будет. И заказчик, как правило, не начинает с ними спорить, потому что производству откровенно плевать, им главное план вовремя закрыть и отчет предоставить, а проблемы админов их не волнуют. Надеюсь после последних событий это хоть как-то изменится, но я слабо в это верю.


                1. Areso
                  05.07.2017 19:23

                  Антивирус может ругаться вообще на все. Регулярно сталкиваюсь с тем, что Windows Smartscreen блокирует работу моих программ (не Defender). Ну и ложные срабатывания случаются, чаще всего у Dr.Web'a.


                1. ads83
                  05.07.2017 22:59
                  +1

                  Ложные срабатывания по своей разрушительности сравнимы с осуждением невиновного. Как бы редко это ни происходило — пострадавшие теряют кучу времени, а после «оправдания» в лучшем случае услышишь «ну извините».
                  Лет 10 назад Касперский несколько раз прибивал .exe файлы сервера «Ирбис» (каждый раз срабатывание — ложное) и пару раз отправлял в карантин .bat файл. Обновлений сервера не происходило, т.е. вчера и сегодня утром файл — обычный, а после обеда тот же файл — подозрительный. Батники писал я, в них был только запуск известных приложений и логирование результата. Каждый раз ложное срабатывание — это остановка работы организации, в лучшем случае — на час, иногда на полдня. Счастье, что библиотека — не электростанция.
                  Я не пошел по простому пути «проигнорировать проблему», и считаю такой подход порочным. Но ложные срабатывания из-за багов в антивирусе возможны, и могут принести ощутимый вред. К сожалению :(


              1. Cedric
                05.07.2017 16:24

                Да уже занимаются этим сторонние фирмы, например в Израиле, а не антивирусные компании почему-то.
                https://www.comss.ru/disqus/page.php?id=4086


                1. suslovas
                  06.07.2017 08:10

                  Ну там даже из обсуждения на присланной странице видно, что работает эта штука один раз из 10. Смысла в ней такой нет. Ну и Check Point — это не «сторонняя фирма» А крупная компания в области ИБ. )


              1. Vilgelm
                06.07.2017 00:49

                Спросить (вывести предупреждение по типу UAC) помогло бы.


              1. Vanellope
                06.07.2017 08:57
                -1

                В старые времена, насколько я знаю, попытки писать в MBR успешно блокировались на уровне BIOS (вероятно прерывания перехватывали). Может пора всем новомодным UEFI вернуться к опыту предков?


                1. mayorovp
                  06.07.2017 10:20

                  Нельзя на современной системе перехватить прерывание у операционной системы в общем случае. Исключения — только если писать буткит под конкретную ось или если писать виртуальную машину.


                  Потому что драйвера дисков на современных ОС работают с железом напрямую, а не через прерывания BIOS.


    1. balexa
      05.07.2017 15:02

      Тогда бы антивирус стоил бы на несколько порядков дороже, требовал бы обязательной сертификации для работы с ним, и регулярного стороннего аудита защищаемой системы.
      Ну и содержал бы кучу звездочек. Шифрование системы программой, вручную добавленной в исключения совершенно точно бы под эту кучу звездочек попадало.


    1. chieftain_yu
      06.07.2017 10:47
      +1

      Если бы директора заводов, производящих танковую броню, расстреливались бы за пробитие танка, думаете, получилось бы выпустить абсолютно неуязвимый танк?
      Нет, получилось бы расстрелять нескольких директоров — и после этого добровольцев на выпуск брони вы бы в принципе нашли.

      Так и тут — борьба брони и снаряда.

      Ну и цена бы на антивирусы при учете таких рисков выросла бы крайне значительно.


      1. Cedric
        06.07.2017 11:04

        Нет, это похоже на то, что зная что у противника будут Тигры и Пантеры, выпускать против них Т-28 или Т-35.
        На моей практике, шифровальщики уже года с 2012 орудуют и вся помощь антивирусной компании была в предоставлении «расшифровальщика» через месяц после заражения, и то не на все шифраторы.


        1. chieftain_yu
          06.07.2017 11:46
          +1

          1) А какие еще интересные вещи происходили в вашей альтернативной реальности?
          2) Вирусописатели разрабатывают пробивающий защиту снаряд. Антивирусописатели разрабатывают противостоящую снарядам защиту.
          Борьба.
          Борьба никогда не кончается.

          Если у вас есть готовый универсальный противошифровальщицкий продукт — странно, что он не бьет рекорды продаж.

          3) При безошибочной реализации шифровальщика компания, не имеющая секретных ключей, не может дать расшифровку всем желающим за разумное время.


  1. huhen
    05.07.2017 11:38

    Для того чтобы добавить/пропатчить пару методов в .Net сборке нет никакой необходимости в исходном коде. IL отлично дизассемблируется(обфускация не спасет) и собирается обратно в рабочий код.


  1. amarao
    05.07.2017 11:44
    +4

    … отличный повод ещё раз задуматься о reproducible builds. Если что не знает, это такое новомодное поветрие в мире опенсорса — из заданных исходников заданным компилятором должен генерироваться код 1-в-1 совпадающий с предыдущим прогоном. (Не после компилятора, а бинарник на выходе, но это детали). Цель — иметь возможность убедиться, что бинарный пакет действительно был собран из указанных исходных текстов.

    Вот как раз на такие случаи.


    1. WaveCut
      05.07.2017 13:30

      Если зловред был внедрен через CVS то не поможет.


      1. amarao
        05.07.2017 13:51
        +1

        В этих условиях будет виден коммит.

        Если мы про серьёзный продакшен, то новые коммиты обычно кто-то просматривает, даже из апстрима.


  1. aquamakc
    05.07.2017 11:45

    Тут я вижу два варианта:
    1) Спец-операция враждебных Украине сил в духе «Миссия невыполнима» с тайным неоднократным(!) проникновением спецагентов в компанию Медок переписыванием кода ПО с целью сбора информации о функционировании организаций страны с последующим «Эффектным» завершением спецоперации;
    2) Недобросовестный сотрудник из команды разработчиков без особого чувства самосохранения но с желанием быстро и непыльно срубить бабла.

    Само-собой большинству заинтересованных первый вариант будет казаться предпочтительным. Думать, что все твои беды от большого и сильного врага не так стыдно, чем признать, что хакер-недоучка положил пол-страны.


    1. teecat
      05.07.2017 12:13
      +1

      1. Смысла не вижу лично. Ни какой-то политической ситуации, к которой привязать, ни особого коллапса экономики в результате.
      2. Недоработан модуль шифрования. Не снимают деньги по слухам ни за ВаннаКрай, ни за Медок. Ну и конечно управление не через внешние сервера, а через сеть компании для данной ситуации — это конкретное палево для сотрудника

      Я лично думаю, что это тест схемы атаки. Масштабное учение


      1. aquamakc
        05.07.2017 13:02
        +1

        1. Смысла не вижу лично. Ни какой-то политической ситуации, к которой привязать, ни особого коллапса экономики в результате.

        Люди которые эту версию активно продвигают имеют некоторые проблемы с логикой или используют ситуацию в личных целях. Впрочем, чисто теоретически, такую версию полностью отвергать нельзя. Хотя бы из-за того, что под «враждебными Украине силами» может оказаться совсем не тот, о ком все подумали.

        2. Недоработан модуль шифрования. Не снимают деньги по слухам ни за ВаннаКрай, ни за Медок. Ну и конечно управление не через внешние сервера, а через сеть компании для данной ситуации — это конкретное палево для сотрудника

        Никто же не говорил, что у этого абстрактного сотрудника всё в порядке с головой. К огромному сожалению со случаями бытового и профессионального идиотизма сталкиваюсь постоянно.

        Я лично думаю, что это тест схемы атаки. Масштабное учение

        Учение, которое наглухо закрывает отрабатываемую возможность атаки? Как-то сомнительно, если, конечно не брать в расчёт мой предыдущий комментарий.


  1. orlexy
    05.07.2017 12:17
    +1

    УкрПочта мне кажется пострадала наиболее серьезно, уже больше недели не могу восстановить полноценную работу отделений и сайта (трекинг).


    1. Creo2005
      05.07.2017 19:19

      Есть еще серьезно пострадавшие: «Вирус Petya.A уничтожил данные на 110 серверах и 1100 компьютерах компании „Фармак“. Об этом в сообщила глава Набсовета Фармака Филя Жебровская»: http://finoboz.net/business/petya-a-unichtozhil-dannye-na-1100-kompyuterax-kompanii-farmak/


  1. LanMaster
    05.07.2017 12:34
    +1

    Весь этот Непетя похож на гениальных воров, забравшихся в ювелирку и укравших всё, что хотели, но на выходе почему-то начавших бить в барабан и долбать в литавры. Комедия абсурда какая-то.
    Для меня вообще нечто за пределами понимания, как человек может написать такую хреновину, которая способна устроить хаос в масштабах государства, но вот сделать это тихо и сохранить свои преимущества подольше — нет.


    1. ilya-s
      05.07.2017 13:59

      Может быть цель состояла не в хаосе как таковом, а в создании видимости хаоса, видимости атаки, разогнать страхи и панику не уничтожая полностью инфраструктуру,.


  1. A1ien
    05.07.2017 12:34
    +1

    Что то сильно сложно. Мне кажется что это не бэкдор, а банальный код, написанный производителем програмного обеспечения, для выполнения каких либо операций на машине клиента, необходимых в процессе обновления. Возможно некоторые обновления требовали каких то дополнительных манипуляций с системой, и этот код, для большей безобасности, вводидился в систему время от времени.
    Атакующие же просто узнали о такой штуке, и тупо ждали и следили, после очередного обновления систем, когда дыра была отмониторена, был запущен процесс распространения трояна.
    К стати, очень много софта установленного на современных PC имеют подобные «бэкдоры», и очень не многие уделяют достаточно внимания секюрности таких вещей, потому как предпологается что компьютеры работают в закрытой сети.
    А тут вообще просто — есть модуль который принимает команды на загрузку чего-то, от куда-то, и на исполнение, тупо вскрываешь протокол(а если это бывшие сотрудники то они и так все знают), и делаешь свое черное дело.
    Ни какого заговора.


    1. saboteur_kiev
      05.07.2017 13:04
      +3

      В статье же указано, что
      1) именно тот код, в котором есть управляющие команды, был не всегда, а именно в тех обновлениях, после которых сразу начинал распространяться зловред, через этот код.
      2) Код собирает ЕДРПОУ, логины и пароли к прокси, логины и пароли почты пользователя. Ни в какие рамки необходимых для обновления процессов это не лезет.
      3) Код отправляющий sensitive данные через куки? Если это штатный способ — почему бы не через стандартный xml, которым уже передают другие легальные данные? Ну и почему это просто куки по HTTP, а не шифрованные данные или хотя бы по HTTPS?


      1. A1ien
        05.07.2017 13:47
        +1

        1. Ответил в своем комментарии
        2. ЕДРПОУ — вполне себе сойдет за идентификатор клиента. И я бы именно так и сделал. Что касается логинов и паролей пользователя — кода здесь не приведено, что именно он собирает. Код в студию — будем обсуждать. Но опять таки судя по названию команды — MinInfo — я бы предположил что собирается какаято минимальная информация о компьютере пользователя для каких то чисто технических дел. Тот код который приведен абсолютно безобиден и шлет инфу на вполне легальные сервера.
        3. А почему не через куки? Причин может быть масса, например у них есть онлайн версия которая проводит идентификацию клиента через куки и для того чтобы не плодить сущности в десктоп версии выбрали тот же механизм. Каким протоколом это все шлется здесь не видно, потому как HTTPS это транспотный уровень, и он вполне мог переключаться на него в коде нижележащего слоя.


        1. Vladal
          06.07.2017 10:35
          +1

          ЄДРПОУ (рус. ЕГРПОУ) мог и легально собираться для защиты обхода подписок — обновки к МЕДок по платной подписке.
          Например, клиент пропатчил проверку легальности получения обновления, модуль обновления проверил, что ЕГРПОУ организации отсутствует в списке активных клиентов, обновление не прислал.


        1. saboteur_kiev
          09.07.2017 03:22
          +1

          В статье, есть небольшой разбор полетов, и скриншоты с куском кода, где собираются логины и пароли от прокси и почты, например вот


      1. A1ien
        05.07.2017 13:50

        Мой вывод по поводу этого — обыкновенная халатность разрабов. Такой халатности в корпоративном софте просто пруд-пруди. Почитайте про безопасность SCADA систем например.


      1. clawham
        06.07.2017 10:58

        Коды эдрпоу для медка — информация проплатил ли этот пользователь лицензию или нет. тем более что в сети полно кряков и периодически эти кряки сами собой слетают :) Я более чем на 95% уверен что это периодические проверки были и изначально они не были зловредом и именно факт того что не через 10 секунд а через 1-2 дня появлялся вирус и наталкивает на то что вирусописатель просто использовал свои знания в этой области! Ведь кряки как-то пишут? и они как-то не дают этой системе работать? И да есть версии на которые кряки накатывать было нельзя — перманентный бан по почтовому ящику и инн а без инн не сдаш налоговые и не расшифруеш квитанции. я уж правда не уточню какие именно версии нельзя было крякать. не удивлюсь что именно те, в которых этот бекдор и есть. То что он выдает инфу на сервера как раз и говорит о том что это шаттная система медка. И инн и почта ему нужны для идентификации взлома/проплаты.


  1. Juma
    05.07.2017 13:54
    +1

    Стал задумываться о бекапах.

    Поэтому считаю что все очевидно
    /SARKAZM ON
    Все эти шифровальщики (Пети, НеПети ВаннаКраи и пр.) приносят реальную выгоду только компаниям, которые занимаются разработкой и/или хранением резервных копий. Потому как на данный момент, это единственный способ себя обезопасить (антивирусы не сильно спасают).
    Это все они, это их заговор.
    После этих событий в любой мелкой конторе задумаются о собственной системе бекапов. И возможно даже частные бухгалтера.
    Вангую скорую статью на хабре от «какой нибудь» известной конторы, в которой будет говориться, что именно сейчас бекапы нужны как никогда. С ссылками на купить и скидками для частников.
    /SARKAZM OFF


    1. trik
      05.07.2017 15:03
      +1

      То есть раньше Вы про бэкапы не задумывались?


      1. Juma
        05.07.2017 15:11

        Да, грешен.
        Раньше «бекапил» только самое важное, и только для себя (исключительно на случай утраты носителя).
        Теперь придется «бекапить» все, и не только свои данные, а так же советовать всем делать это. Причем в некоторых случаях делать это придется мне.


  1. Vlad_fox
    05.07.2017 15:01

    рискну предложить такие суждения:

    1.Создавал дыру в ПО — от взлома серверов обновлений, внедрения вируса в по медка, администрирования всего этого добра не свихнушийся гик-частник Петя, а, судя по кол-ву и качеству выполненой работы, группа высококвалифицированных спецов разного профиля
    2.Эта группа финансировалась под этот проект кем-то еще, вряд ли такие люди будут длительно работать просто ради научного проф. интереса или собирать информацию на случай а вдруг кому пригодится. инфа устаревает.
    3. Кто Заказчик (финансировал, заказывал и организовывал работы) — достоверно неизвестно.
    кому это могло быть выгодно ( не шифрование и вывод из строя систем, а создание такой платформы)?
    — и бывшим владельцам медка — клименко и прочей гоп-компании, которая свалила в Россию вместе с овощем, чтоб отомстить тем, кто их от кормушки прогнал
    — и спецслужбам одной всем известной страны, у которых часто мощнейшая креативность и рвение часто сочетаются с мощнейшей рукожопостью
    — и любой достаточно состоятельной банде, типа бизнес-группы Коломойского или Юли которые славятся своим умением ставить палки колеса другим участникам дорожного бизнес-движения любой ценой и устраивать скандалы (отомстить, захватить территорию для дружественных бизнесов, дорваться до кормушки власти, слив текущую в унитаз, не кто текущий).
    4. почему слили такую платформу котроля над системами и получения инфы через скандальное одноразовое заражение с компрометацией:
    вариант 1 — так и задумано заказчиком, посеять панику и хаос, повысив вероятность досрочных выборов в парламент этой осенью (выгодно всем названным выше потенциальным заказчикам)
    вариант 2 — неожиданно для закачика, робин-гуд в команде хакеров нажал на красную кнопку, чтобы вскрыть платформу. из хороших побуждений в отношении жертв платформы, или из плохих побуждений к группе хакеров, не поделил-что
    вариант 3 — учитывая, что ранее была проведена работа СБУ, на основани которой вышло известное решение СНБО и указ президента о блокировании ряда ресурсов и софта, как потенциально киберопасных, и эта работа продолжалась, вероятно СБУ было на подходе к вскрытию этой платформы.
    и Заказчик решил если уж терять — то с музыкой, фейерверком и блекджеком, попробовав максимально отвести подозрения от себя.


  1. Konachan700
    05.07.2017 16:37

    Это банальная безответственность разработчиков и бардак. Как можно было пропустить коммит непонятно от кого, да еще дважды? Или там код на общем диске в зип-архиве лежал?
    Зашел Вася-кодер медка на порносайт с рабочей машины, поймал зверька. Хакер Петя, купивший лоады на том порносайте, увидел в своей системе мониторинга, что попалась неплохая рыбка, рабочая машина, а не почти бесполезная домашняя. Наверняка он даже и не понимал, куда влез — эти взломы делают пачками полуавтоматически, просто увидел, что тут разрабатывают какой-то проект и что сюда при должном везении можно прилепить свой шифровальщик. Взял из интернета или купил код шифровальщика, без особой надежды на успех (потому и написано халтурно, без расшифровки и с почтой, которую сразу локнули), закоммитил от имени Васи и стал ждать, авось выгорит. Получилось то, что получилось.
    Если бы была цель навредить либо стране, либо самому медку, то туда бы вклеили тихий и эффективный вишмастер, а не кривой шифровальщик. Было бы целенаправленное желание на шифровалку с целью получения денег — сделали бы грамотнее, а не так тяп-ляп. Спецслужбы поставили бы трой, собирающий данные, и прибрались за собой после, так варварски они не будут работать. Тут скорее всего поработал простой рядовой мелкохакер, просто так звезды встали, что его кривая поделка взлетела.


    1. Andrey123q
      05.07.2017 19:18

      Безответственность и бардак очевидны. Но по остальному можно фантазировать бесконечно:
      — спецслужбы маскирующиеся под мелкохакеров;
      — проведенный сбор достаточных данных на протяжении нескольких месяцев так же не исключен (с учетом судя по датам зараженных обновлений минимум еще за апрель; не говоря уже о выявленном сборе ЕДРПОУ);
      — медку и стране думаю тоже неплохо навредили (сам медок уже отключен от ГФС, многие компании переводятся на альтернативные ПО — работу восстановят, да вполне вероятно, но значительные финансовые потери тоже понесут; по Украине/Киеву в полном или частичном простое на несколько дней сотни, а то и тысячи компаний, не пострадавшие компании это скорее всего редкость и результат стечения случайных событий, т.ск. повезло — по некоторым оценкам потери ВВП в 0.5%, не крах, но неплохой удар для страны, которая и так в солидном экономическом кризисе).


  1. mike_y_k
    05.07.2017 19:08
    +1

    Статья повеселила. Сообщество непуганных идиотов, не иначе.
    Разговоры про возможность договорится IT разработчикам и власти в конкретных странах больше похожи на идеи утопистов. Это ведь почти скрестить ежа и ужа. Всем известен результат. Слишком разные у них векторы движения для получения минимального результата.
    Слава б-гу давно не занимаюсь этой головной болью.


  1. Sonatix
    05.07.2017 19:10
    +1

    Неделю на работе ночевал, домой вернулся как после отсидки :)
    ИТ тимбилдинг знатный вышел!


  1. anloop
    05.07.2017 21:20
    -1

    Есть ощущение, что это (пети\непетя) просто проба пера какой-то команды.
    Не плодите сущностей. Хотели бы денег — была бы расшифровка. А так — просто прощупывание.


    1. burzooom
      06.07.2017 01:24
      -4

      я так раньше в Танках учился «светить» команде — выехал прямо в лоб противнику, и там же вылетал из игры.
      эффективно, чо


  1. tot418
    05.07.2017 21:27

    15го мая, вступил закон про экономические санкции (с блокировкой mail.ru и яндекс сервисов).
    Совпадение?


  1. Zakyann
    06.07.2017 01:59
    -1

    Возможно вылез один из очевидных минусов дотнета и жавы — возможность декомпиляции.


    1. ICELedyanoj
      06.07.2017 04:26
      +2

      Если бы М.Е.Док писали не беззаботные ламеры, то там, как минимум, была бы цифровая подпись бинарников, а по хорошему — защищённые https сервер обновлений на сертификатах. Но увы. Кто угодно берёт, пересобирает бинарники и вставляет туда нужный код.
      И разве это минус? Библиотеку любой платформы можно декомпилировать и вставить туда нужную закладку, просто на .Net это сделать проще. И это несомненный плюс — когда разбираешься с чужими библиотеками — решарпер автоматически декомпилирует для тебя исходники и можно посмотреть исходный код чего угодно, и как правильно дёргать за чужие методы.


      1. Zakyann
        06.07.2017 11:33

        Библиотеку любой платформы можно декомпилировать и вставить туда нужную закладку,

        Декомпилировать можно максимум до ассемблера, а не фактически до исходников.


        1. mayorovp
          06.07.2017 13:21

          А для вставки закладки большего и не надо.


          PS "до ассемблера" называется "дизассемблирование", а не "декомпиляция". Так вот — декомпиляторы на другие языки тоже существуют.


          1. aquamakc
            06.07.2017 13:46

            Справедливости ради получить легко-читаемый исходник с других компилируемых языков не так просто, как из .Net`а.
            Бинарники того-же C# декомпилируются в практически идентичный исходному код, вплоть до имён переменных и методов в один клик. Разве-что камменты разработчика не восстанавливаются ).
            Конечно, при желании и при наличии возможностей практически любую программу можно разобрать по кирпичикам (лично знаю человека, который как-то вытащил исходный код прошивки из залоченного микроконтроллера). Но сложность этого дела возрастает и уже не каждый «школьник» с этим справится.


  1. Nologin1
    06.07.2017 10:09

    Могу предположить, что следующее довольно легкое место для раздачи зловреда по всему СНГ, если не миру — обновления браузеров, флешплееров и прочей ерунды, на которую мы давно в планировщике задач не обращаем внимания. А еще, говорил сегодня утром с бухгалтером нашей конторы, довольно умная дама, так вот она выдвинула еще одну гипотезу, которую я не встречал пока на страничках Хабры: с 1-го июля вводятся официально т.н. остановка регистрации НН, причем, как я понял, блокировать могут произвольно и чуть ли не по своему желанию, сделано это для того, что бы не возмещать НДС налогоплательщикам, представьте, это же какие суммы можно экономить в бюджете.


    1. aquamakc
      06.07.2017 10:18
      +1

      Хочется верить, что разработчики браузеров, флешплееров и т.д. серьёзней относятся к ИБ, чем Медок.


  1. Ktulkhu_Triediniy
    06.07.2017 10:10

    Любишь МЕДок, люби и вирусок.
    Вообще очень странная акция. Политоту за ней увидеть соблазнительно, но не всё так очевидно — зачем палить такую лазейку, через которую можно собирать столько данных? Непонятно.
    Нажива? Так ведь и её нет, ибо файлы де-факто уничтожаются.
    Может, это просто акция устрашения? Типа, смотрите, как мы можем! А дальше будет только хуже.


  1. amakukha
    06.07.2017 10:10
    -2

    Сразу же после атаки NotPetya было сообщение, что домен upd. me-doc. com .ua указывал на единственный хост расположенный на сервере провайдера WNet, который ещё 1 июня СБУ обвинило в сотрудничестве с ФСБ. Домен также имел необычно короткий TTL в 60 сек. То есть, вероятно, что был „взломан“ не сервер, а домен Медка. Это вписывается в тот факт, что NotPetya отправлял собранную информацию на этот домен.


    1. tipok
      06.07.2017 11:25
      +2

      Расследование ваше можно было прекратить уже после того как потерялась буква s в протоколе http:// для обновлений медка.

      А TTL, который не в секундах — проверяли со своей машины?

      учёный_изнасиловал_журналиста.жпг


    1. SolarW
      07.07.2017 11:06

      http://blog.talosintelligence.com/2017/07/the-medoc-connection.html — почитайте тут.
      Я в английском не очень силен но вроде понял что помимо всего прочего на сервере обновлений Медка «поправили» конфигурацию nginx'а в результате чего запросы проксировались куда-то в OVH…


  1. Spewow
    06.07.2017 21:14

    Все таки обычные вымогатели?

    Создатели пети попросили 100 биткоинов за ключ. Дешифровка возможна.

    http://www.securitylab.ru/news/487160.php


    1. impetus
      06.07.2017 22:52

      А с отвагой у них хорошо. Жинь-то — она же длинная, ведь найдут же рано или поздно… Предъявят и спросят…


    1. SolarW
      07.07.2017 11:03

      Внимательнее читайте — в оригинале написано что возможна за исключением системных дисков.
      Но спецы по воостановлению информации как-то очень сомневаются.
      Ну и 100 BTC — это типа за один ключ который подходит всем.
      Сотрудники одного из сайтов обратились с просьбой расшифровать для примера несколько файлов чтобы убедится в возможности — ответа пока не получили.


    1. SolarW
      07.07.2017 11:11

      https://ain.ua/2017/07/06/avtory-virusa-petya-sdelali-pervoe-zayavlenie — тут вроде более полно описано, плюс по ссылкам.


  1. SolarW
    07.07.2017 10:54
    +2

    http://blog.talosintelligence.com/2017/07/the-medoc-connection.html — было бы очень интересно прочесть перевод этого материала


    1. saboteur_kiev
      09.07.2017 01:35
      +3

      В этом материале повторяется много уже известного, плюс некоторая реклама самого talosintelligence.

      На полноценную ЕЩЕ одну статью — я не хочу. Как-то так оказалось, что несмотря на топ-3 по месяцу, карма у меня меньше, чем до публикации, поэтому перевожу тут, для вас.

      Итак, Talos связался с Медком, и договорились, что к ним прибудет помощь для расследования, и к вечеру 29 числа два специалиста прибыли в Украину, помогая вести расследование уже из офиса — им дали доступ к логам и серверам.

      В статье все красиво расписано, как оперативно они сообщали информацию в главный офис как только получали новые данные, есть много картинок и листингов с пруфами из логов, на базе которых строились выводы, поэтому я вкратце просто перевожу основные факты — за пруфами и картинками интересующимся можно посмотреть в статье http://blog.talosintelligence.com/2017/07/the-medoc-connection.html

      Итак:

      1) они считают, что сообщения о распространении НеПетя по емайлу были ошибочны — по почте распространялся LokiBot, НеПетя, или как они указывают «Nyetya», распространялся исключительно через систему обновления Медка.

      2) по адресу http://www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php обнаружен спрятанный и зашифрованный вебшелл, дата изменения файла 31 мая, в 14:45.

      3) анализируя логи запросов, было найдено, что 27-го (в день атаки), в 8:57 этим вебшеллом воспользовались и получив root на сервере, украли пароль админа, затем поправили конфиг вебсервера (nginx), о чем стало известно из логов nginx, у которого видимо правили конфиг, и допустили ошибку в конфиге, из-за которого он не хотел стартовать. Ошибку исправили и запустили.

      4) Что именно там изменили было неизвестно — в самом файле ничего не нашли, но анализируя логи nginx после изменения, они заметили кучу ошибок с таймаутом на посторонний сервер, проверив что это, определили что изменения привели к тому, что весь траффик на сервер обновлений медка проксировался через некий айпишник 176.31.182.167. Дополнительное расследование показало, что этот сервер — просто виртуалка от thcservers.com, и она была удалена в тот же день, в 7:46 PM UTC (то есть к вечеру).

      5) время между 9:11:59 UTC и 12:31:12 UTC — это похоже именно то время, пока активно работал прокси, который похоже и отправлял поддельные обновления с вирусом. И это время совпадает с телеметрией заражения — не было зафиксировано заражений новых компаний после 12:31:12

      6) Также стало понятно, что конфиг Nginx правили еще раз, поскольку timestamp последнего обновления был Jun 27th, 12:33 PM UTC, когда была завершена активная фаза атаки, поэтому в конфиг файле и не нашли этих изменений — злоумышленник подчистил за собой следы. Только в ssh логах нашли, что в это время логинились с Латвийского айпишника 159.148.186.214 — Медок подтвердил, что у них нет никаких админов с подобных адресов.

      7) К сожалению, логов за май или апрель нет, но похожая активность есть 22-го июня, когда в обновления медка 01.188-10.01.189 попал первый бэкдор

      8) Приводятся листинги изменений кода медка, где показывают куски вставленного кода, который собирает ЕДРПОУ, логин и пароль от прокси и логин и пароль от почты
      https://1.bp.blogspot.com/-v_D9WCb4Xgo/WV0amkynVwI/AAAAAAAABQs/CFuBb0bxAeQmGKeuhNVNrfH0f_N-ZiSSACK4BGAYYCw/s1600/MeComProxy.PNG
      https://4.bp.blogspot.com/-C0AXgdyKOLU/WV0auiJampI/AAAAAAAABQ0/9JO5IYtr7WAHHRxaFyG8KB2tsiPwugxWgCK4BGAYYCw/s640/MeComySMTP.PNG

      9) приводятся уже известные факты и примеры кода про бэкдор — что он умеет выполнять команды по запросу, но также добавлена информация о том, как именно меняется апдейтер медка — новая длл не просто начинает обрабатывать эти команды, но вдобавок еще и начинает регулярно стучаться на сервер обновлений (каждые 10 минут), видимо чтобы в случае получения команды «лови-ка вирус» или другой, максимальное количество клиентов начало бы выполнять эту команду одновременно, а не «через день»

      10) приводятся очевидные выводы, что следует заняться нормальной организацией инфраструктуры в медке — наладить безопасность, мониторинг. Поставить в приоритете перевод клиентов на максимально защищенную на текущий момент windows 10, при этом обязательно учитывать при разработке своего продукта и процедуры его обновления рекомендации Microsoft (а советуйте отключить антивирус и запустить обновление от админа). Ну и немного рекламы, что они непротив приложить свои силы для помощи.

      P.S. Кстати, sHaggY_caT, интересно было отметить, что распространение шифровальщика под винду, началось изначально со взлома Linux машины, это все меняет, если ты сперва получаешь рута на сервере обновлений, и можешь рассылать через него уже поддельные ,exe-шники? Без обид, просто забавные новости =)


      1. SolarW
        09.07.2017 02:07
        +1

        Огромное спасибо, общий смысл этой статьи я уловил но некоторые тонкости от меня ускользнули, а некоторые понял совсем не так.
        После вашего перевода все стало на место.

        P.S. На карму я так подозреваю не статья повлияла а общение в комментариях у ней…


      1. impetus
        10.07.2017 10:48

        Спасибо за перевод.
        т.е. вся эпидемия произошла благодаря взлому одной-единсвенной машины? (А остальное сделал бардак и вот это самое «внесите наш софт в исключения антивируса и запускайте из-под админа» (т.е прям просьба «бедных хакеров» — «сделайте всё сами», подкреплённая админ-ресурсом))

        Будет ОЧЕНЬ жаль, если выводы будут лишь IT-шные/софтварные, а не про исправление бардака.


        1. saboteur_kiev
          10.07.2017 13:20
          +1

          Нет никаких данных, как именно изначально в php файле на сервере обновлений попал вебшелл. Его мог намеренно установить временно устроившийся сотрудник, или еще какие-то варианты.

          Есть дата последнего изменения этого php файла, но это не гарантия что в этот момент вебшелл добавляли, а не например очередной раз модифицировали, после условных 10 лет использования.

          Конечно бардак в виде запущенного от рута вебсервера и полное отсутствие техники безопасности — видимо сотрудники интеллект-сервиса вообще не парились по этому поводу, так как считали что делают очень нужное всем ПО, и ни у кого не поднимется рука ломать что-то подобное.

          Медку до сих пор не вернули сервера и выводы будут явно не только айтишные и не только у интеллект-сервиса.

          Ну и вдобавок еще неизвестно чем закончится это все дело в полиции и как отреагирует в конечном счете правительство. Вплоть до арестов с конфискацией за халатность может дойти. Все-таки полученная информация — а именно бэкдор с доступом к практически 80% организаций целой страны — вирус это вообще мелочь по сравнению с подобным инструментом находящимся несколько лет в руках потенциального противника


          1. impetus
            10.07.2017 14:55
            +1

            Я имел в виду не столько компанию медок, сколько всех остальных и методы управления — даже не отраслью, наверное уже, а страной — с одной стороны какая-то фирма требует ото всех, что б её программу вносили в исключения антивируса и запускали из-под доменного админа, а с другой — государство продавливает, что бы общение с ним шло исключительно через эту программу, т.е нельзя просто было взять и выкинуть её, заменив альтернативами (как понял из обсуждения выше — заменить было можно, но по рызным причинам (в т.ч. сугубо ЧФ) народ массово сидел именно на ней) — вот я больше про эти выводы — почему эта программа с таким поведением не была всеми дружно вовремя послана. (в свою очередь у них тоже были объективные трудности в виде хаотически и часто меняющего законодательства — - тут выводы, думаю будут сделаны-исполнены вряд ли.


            1. saboteur_kiev
              10.07.2017 16:55
              +2

              Одна из причин — это дурацкое налогообложение и сам институт бухгалтерии в странах СНГ.

              По-моему ни в одной адекватной стране нет таких сложновывернутых бухгалтерских учетов, с постоянными изменениями и обновлениями, из-за которых работа бухгалтера превращается в нечто сложноподдающееся автоматизации.
              Когда я сталкивался в командировках с бухгалтерами зарубежом — я бы сказал, что их работа заключалась не столько в том, чтобы «посчитать для налоговой, для ЗП, для фондаx, для фондаY, подписать, распечатать, сшить и хранить 5 лет», сколько финансовая аналитика расходов и доходов компании, с правом вето на отдельные затраты или наоборот предложения как нам развиваться дальше, чтобы получать прибыль.

              Итого крупные компании пишут свой софт, который генерит нужные отчеты из собственной энтерпрайз системы, а основная целевая аудитория Медка — средний, малый бизнес, госсектор, ну и несколько компаний покруче, которым лень, но все равно для них особо много сделать не выйдет.

              В такой целевой аудитории клиенты могут сидеть на чем угодно, могут не иметь своих айтишников, могут набирать текст двумя пальцами. Медок считай вынужден нанимать в качестве саппорта эникейщиков, которые заодно хоть немного могут по телефону помочь установить софт.

              Какой-то парадокс, когда отчетность — в принципе критически важна для существования любой компании, и государства, но адекватных денег в это вкладывать никто не собирается.

              В какой-то мере я даже понимаю, зачем в Интеллект Сервис встроил некий удаленный рабочий стол в свой Медок (хотя это конечно абзац… =)


            1. vvatest
              11.07.2017 13:32

              В России есть СБИС. Все очень похоже — рекомендации при возникновении проблем внести в исключения антивируса или отключить его, удаленный рабочий стол, очень большой охват аудитории МСП (SMB). Так что организационно Украина не уникальна.


              1. saboteur_kiev
                11.07.2017 14:09
                +1

                Ну я и говорил — СНГ… У нас бухгалтер и финансовый аналитик — разные должности.


                1. impetus
                  12.07.2017 12:21
                  -1

                  любопытный… обзор в тему… http://polit.ru/news/2017/07/11/rosneft_virus/ (издание не IT-шное, т.е небольшие ляпы возможны)


                  1. saboteur_kiev
                    12.07.2017 14:36
                    +2

                    Небольшие ляпы?

                    «Компьютерный вирус, в конце июня поразивший целый ряд компаний и учреждений, был не «вымогателем», как его поспешили окрестить в прессе, а «разрушителем», а его главной мишенью являлась российская нефтяная компания «Роснефть». Именно эта версия фигурирует в качестве основной в сообщениях западных СМИ.»

                    «По мнению экспертов, ущерб, который был нанесен вирусом украинским учреждениям и другим странам, был «побочным» и представлял собой «прикрытие реальной мишени».»

                    Они там вообще видят разницу между вирусом и бэкдором?


                    1. impetus
                      12.07.2017 16:26
                      +1

                      Коректно ли называть петю-непетю «вирусом»?
                      Др.Веб и ЕSЕТ используют сочетание «вредоносная программа».

                      На мой взгляд в издании общеполитической направленности вполне допустимо заменить сочетание «вредоносная программа» не на непонятное не-IT-шным людям слово «бэкдор», а на привычное-понятное «вирус» (а специалисты и так знают, о чём вообще речь) — примерно как «судно» на «корабль», «КВС» на «пилот», «ТС» на «автомобиль», «спиртные напитки» на «алкоголь», «ограждающие конструкции» на «стены», «ростверк» на «фундамент» и т.п. сугубо профессиональный канцелярит на общеприяный, пусть и с потерей правильности-точности — что бы не вдаваться в тонкости какой модуль там отвечал за проникновение, какой за распространение, какой за шифрование и т.п…

                      Зато теперь я, кажется, понимаю, за что вас минусуют.
                      (и за что меня, кстати, тоже ;) :) )


                      1. saboteur_kiev
                        12.07.2017 18:28
                        -1

                        Уточню. Дело касается не только Пети/Непети, но именно способа распространения.
                        Конкретно тот зловред, который поразил украинские компании, распространялся исключительно через медок и по уязвимости в самба шаре, которая имеет место обычно только внутри локальной сети.

                        Медок используется исключительно для передачи финансовой отчетности в украинскую таможню. Уточню — не для генерации отчетности, а для формирования конечных документов в тот формат, в котором их в электронном виде может принять украинская таможня. Использовать (и устанавливать) Медок в другой стране, которая не сдает документы в Украинскую таможню — совершенно бессмысленно.

                        Каким образом в таких условиях можно было прийти к тому, что основная цель — РосНефть, а Украина — побочный случайный эффект — можно только удивляться.


                        1. impetus
                          12.07.2017 23:08

                          вот с таким уточнением согласен — как с логикой, так и с выводами. Собственно поэтому я и дал ссыль — что круги по воде по поводу subj вашей статьи ходят даже не квадратные, а фрактальные какие-то.
                          ок, консенсус, пожалуй хватит топтать полянку, спасибо за статью.


  1. mike_y_k
    08.07.2017 14:03

    Произошла суперпозиция нескольких бардаков ;) — результат налицо.
    Все предположения о заговорах и участниках — пока только предположения, для выводов стоит подолждать развития событий.