vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Ваня, Петя и другие - не страшнее гриппа 26

Дата публикации: 14.07.2017
Количество просмотров: 2097

"Вирусная атака, равной которой ещё не было, захватила весь мир. Пострадали сотни предприятий в десятках стран, потеряны ценнейшие данные" – как это ни странно, но волны вирусов начали повторяться с такой регулярностью, что мы даже особо удивляться таким новостям перестали. Впрочем, здравомыслящий человек, даже далёкий от IT, удивляется отнюдь не масштабу атаки, а реальным результатам.

Судите сами. Мощнейшая атака вируса Wanna Cry коснулась всех стран мира. Вирус-шифровальщик пробежался по тысячам предприятий, зашифровал огромное количество данных, а получили неведомые вымогатели… биткоины, денежный эквивалент, который составил 32 тысячи долларов. Не маловато ли для всемирной напасти?

Последовавшие за Wanna Cry атаки вирусов Vanya и Petya шума тоже наделали немало. Ещё бы – среди пострадавших оказались уже стратегические объекты – Чернобыльская АЭС, к примеру. Десятки стран, тысячи предприятий. Однако опять же невысокий, по сравнению с масштабами атаки, выкуп, сравнительно немного предприятий, работа которых была серьёзно нарушена вирусами, позволяют предположить, что шума безобразники Ваня и Петя наделали куда больше, чем вреда.

Ещё один вопрос, возникающий даже у неспециалиста, обладающего хотя бы малейшей способностью мыслить логически: неужели при нынешних достижениях компаний, создающих противовирусные программы, крупные предприятия экономят на защите своих сетей? Взлом сетей промышленного предприятия, аэропорта, спецслужб грозит катастрофой любого масштаба от локального  до регионального, а то и вселенского (взять хотя бы ту же "взломанную" ЧАЭС, ЧП на которой чревато последствиями как минимум для всей Евразии).

Все эти вопросы я задала специалисту в сфере компьютерной безопасности, сотруднику НАГа Дмитрию Богословскому. И оказалось, что сомнения мои вполне обоснованны, а масштабы вирусной угрозы на сегодня, мягко говоря, весьма преувеличены.

– Сегодня взломщики-вымогатели банально используют уязвимости Microsoft, которые по тем или иным причинам ещё не закрыты, – уверен Дмитрий. – Там, где операционная система постоянно обновляется и поддерживается в нормальном состоянии, всё в полном порядке. К примеру, WannaCry-Petya используют уязвимость десятилетней давности в протоколе SMB ещё первой версии.

– А как же разговоры о том, что во время атаки пострадали "Газпром" или Сбербанк?

– Я думаю, что наиболее важная информация и сервисы в таких организациях содержатся в локальных сетях без выхода в публичные сети или имеет строго ограниченные разрешения на доступ, зональное разделение локальных сетей по рискам и соответствующие правила на доступ и хождение трафика, поэтому и вирусам к особо секретным данным не подобраться. Есть хорошее  профессиональное правило – то что не разрешено, запрещено, и оно безукоснительно соблюдается в крупных компаниях.

Способы заражения (размножения?) у большинства вирусов одни и те же – через инфицированное вложение в подозрительном письме, через уязвимость в браузере, в операционной системе. Сам по себе компьютер заразиться не может, вредоносный код должен запуститься локально. Запустить его без злого умысла может секретарша или кто-то из начинающих сотрудников, открывший инфицированный файл в электронном письме, прорвавшееся через спам-фильтры или скомпрометированный сайт, использующий уязвимость браузера для локального запуска. Ну, а дальше всё зависит от того, как построена система безопасности в компании – чем фирма крупнее, тем сложнее и мощнее защита, тем дальше от критически важной информации и сервисов компании будет остановлен и обезврежен вирус.

Сетевые экраны, которые защищают сети предприятий – уже не диковинка, не редкость, а стандарт де-факто, поскольку позволяют защитить операционную систему и сетевые сервисы от несанкционированных действий.  У нас в НАГе подобное оборудование пользуется стабильно высоким спросом. К примеру, межсетевые экраны Cisco ASA 5512-X, ASA5515-X и подобное оборудование, имеющее встроенную систему обнаружения вторжений позволят предотвратить несанкционированные действия ещё на начальном этапе. Кстати, ни одна из компаний, которая выбрала надёжные сетевые фильтры, не пострадала.

Правоту Дмитрия подтверждают и свежие новости. Вскоре после атаки в биткоин-кошелёк вымогателей поступила сумма, эквивалентная 10 тысячам долларов США. Втрое меньше, чем сумели получить авторы Wanna Cry.

Вымогатели, напомним, требовали у пострадавших по 300 $, но даже заплатившие не получили ключей от зашифрованных файлов. Вымогатели, между тем, начали требовать за расшифровку уже 100 биткоинов, или 250 тысяч $ за расшифровку данных. Почему так дорого? Да якобы потому, что ключ универсальный и с его помощью доступ к потерянной информации получат все пострадавшие.

На сей раз,  хакеры ссылались уже не на засвеченный кошелёк, а на чат в Dark Net. Эксперты, впрочем, продолжают сомневаться в том, что пострадавшие получат ключ. Более того, специалисты уверены, что Petya.A и разработан был для уничтожения пользовательских данных.

Так что милостей от судьбы ждать не приходится. За Ваней и Петей могут заявиться Джонни и Майкл. И защититься от их "длинных рук" очень даже можно. Главное – не экономить на безопасности и не вскрывать подозрительные письма, какими  бы соблазнительными темами они не привлекали.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/article/32062/vanya-petya-i-drugie-ne-strashnee-grippa.html

Комментарии:(26) комментировать

17 июля 2017 - 13:17
Robot_NagNews:
#1

Материал:
“Вирусная атака, равной которой ещё не было, захватила весь мир”, - удивительно, но мы даже особо удивляться таким новостям перестали.

Полный текст


17 июля 2017 - 13:17
pvl:
#2

Ничего про The Shadow Brokers, стащивших инструменты и список уязвимостей для вин систем, в числе которых eternal blue.

A National Security Agency spokesman referred questions about the attack to the Department of Homeland Security. “The Department of Homeland Security is monitoring reports of cyberattacks affecting multiple global entities and is coordinating with our international and domestic cyber partners,” Scott McConnell, a department spokesman, said in a statement.

Пресс-секретарь агентства по нац.безопасности предлагает обращаться в АНБ, а не бежать в магазин за сетевыми экранами. )


17 июля 2017 - 13:34
Sergey Gilfanov:
#3

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.
Но в дополнении нещадно наказывать любые попытки авторам вымогателя заплатить. Ибо нефиг. Не будут платить - не будет и большинства шифровальщиков.


17 июля 2017 - 18:35
SpheriX:
#4

Просмотр сообщенияSergey Gilfanov (17 июля 2017 - 12:34) писал:

Не будут платить - не будет и большинства шифровальщиков.


Борьба с изнасилованиями превентивной кастрацией.


17 июля 2017 - 18:48
st_re:
#5

Просмотр сообщенияSergey Gilfanov (17 июля 2017 - 12:34) писал:

Защиту от шифровальщиков надо делать с другой стороны - считать зашифрованные данные уже утраченными и бороться с подобным этим вместе с другими способами все потерять. Не только же зловреды к утере данных приводят.



Ну в отличии от сдох HDD, тут сам бакап должен быть недоступен шифровальщику. бакап на съемный носитель, когда носителей физически недоступных более 2-х, вещь конечно хорошая, но немного дороговата для большого количества народу. А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.


17 июля 2017 - 19:01
Sergey Gilfanov:
#6

Просмотр сообщенияSpheriX (17 июля 2017 - 17:35) писал:

Борьба с изнасилованиями превентивной кастрацией.


Не понял логики.

Просмотр сообщенияst_re (17 июля 2017 - 17:48) писал:

А бакап на локально подключенный usb диск или на подмонтированную шару, снимает проблему с пропаданием данных по большинству причин, но вот шифровальщик скорее всего их тоже пошифрует.


Направление выделенного неправильное. Нужно не класть бакап на удаленный копьютер, дав доступ к нему на запись. А удаленный компьютер должен забрать данные для бакапа со специально предназначенной для этого службы на локальном. Которая служба по дизайну read-only.


17 июля 2017 - 19:02
st_re:
#7

что сразу удорожает систему бакапа в разы :)


17 июля 2017 - 19:10
Sergey Gilfanov:
#8

Просмотр сообщенияst_re (17 июля 2017 - 18:02) писал:

что сразу удорожает систему бакапа в разы :)


Да разве? В простейшем случае в любом случае есть две железки. Тут ничего не меняется.
Теперь на том компе, который бакапится, делаем ту самую шару. В read-only режиме и доступом только одному специальному пользователю. А бакап сервер тупо их на себя копирует.


17 июля 2017 - 19:17
st_re:
#9

если первое готовят мальчики на коленке, то, почему то, второе они не готовят. А те кто готовят второе, часто хотят больше денег, чем мальчики... а часто бывает вообще USB диск самый большой на сегодня по объему в соседнем лабазе и софт с него же и даже без мальчика... от "ой стер" и "ой диск помер" помогает... а вот от шифровальщика нет..

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...


17 июля 2017 - 20:01
Sergey Gilfanov:
#10

Просмотр сообщенияst_re (17 июля 2017 - 18:17) писал:

ну и не забываем что петя с ванакраем лазят через ваши права по соседям и в дыру тоже лазят.. если на втором серервере тоже винда, то надо, чтобы ваших прав туда попасть не хватало, и патчи стояли...


Именно поэтому нужно, чтобы бакап сервер забирал данные, а не на него складывали. Если он просто забирает - то он может вообще сеть не слушать или его можно намертво файрволлом прикрыть. Если же мы пытаемся складывать - то так, увы, не получится. Ну и, разумеется, от виндовых шар придется отказаться и писать таки бакап-демона для компов. Виндовые шары не очень хорошо работают, когда сеть отфильтрована.


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться