РУС
9278 посетителей онлайн
Киберугроза. Можно ли защититься от массированной атаки хакеров?
В результате хакерской атаки "легли" информационные системы 80 предприятий в Украине и России.
Целый ряд государственных и коммерческих предприятий энергетического и металлургического секторов, банки, аэропорт "Борисполь", "Новая почта" и другие оказались буквально парализованы. При этом атака на "Укрэнерго" привела к тому, что многие пользователи оказались без электроснабжения. За разблокировку злоумышленники требуют $300 в биткойнах. И хотя некоторые эксперты утверждают, что платить бессмысленно, ибо данные все равно восстановить уже не получится, на биткойн-кошелек хакеров уже прошло 13 транзакций.Об особенностях вируса, способах его проникновения и возможной защите рассказал технический директор украинской лаборатории Zillya! Олег Сыч.
- Атака при помощи троянской программы, которую можно называть новой модификацией уже известной программы WannaCry. Вполне возможно, что программа разработана той же группировкой. По крайней мере, симптомы очень похожи. Аналогичный почерк заражения с применением уязвимостей системы Windows, аналогичный почерк шифрования данных, хотя сейчас шифрование глубже, мощнее и выводится из строя целиком вся система, а не только документы. Троянская программа распространяется очень быстро, массово.
- Кто пострадал больше всего?
Больше всего пострадали организации, в которых используют локальные сети для внутреннего взаимодействия. Особенно если в них разрозненные физически подразделения объединены в единую локальную сеть. Дело в том, что изначально троянские программы заносятся каким-то иным способом: либо по почте кто-то открывает присоединенный файл, либо посещает зараженный сайт. После того как заражается первый компьютер локальной сети, начинается массовая внутренняя эпидемия. На больших предприятиях вероятность такого первого заражения очень высока - например, неподготовленным сотрудником. Пока мы не можем сказать, какая именно уязвимость была использована, - та, которую ранее использовал WannaCry, или новая. От пострадавших пользователей появилась информация о том, что полностью обновленный компьютер также заразился этой троянской программой.
- Как такое может быть?
- Это возможно, если применяется какая-то новая уязвимость, для которой компания Microsoft еще не выпустила закладку. Сейчас мы как раз исследуем это. По косвенным данным мы склонны предположить, что используется новая уязвимость. Ну, или же администраторы пострадавших сетей очень беспечны и, несмотря на эпидемию месячной давности, не обновили системы в своих сетях. Пока специалисты на местах не знают, что делать и как себя вести, поэтому советуют выключить компьютеры и ждать информации от Совета национальной безопасности, силовых структур, экспертов по информационной безопасности, насчет того, когда их можно будет включить.
Но нужно сказать, что если в локальной сети заражение уже началось, то, как правило, выключение компьютеров не поможет. У нас был прецедент: в одной компании выскочила табличка, что компьютеры зашифрованы, и требование о выкупе, администраторы выключили сразу все компьютеры, а потом включили те, которые не были заражены, но уже было поздно, т. к. информация на них тоже была зашифрована. То есть, как правило, если в сеть попадает вирус, то он начинает заражать все компьютеры одновременно. На всех начинается шифрование. Поэтому если у вас зашифрован один компьютер, то, скорее всего, зашифрованы и все остальные, даже если сообщение еще и не появилось на экране.
Пока говорить о какой-то возможной расшифровке документов очень рано. Если это и удастся сделать, то на это уйдут как минимум недели или даже месяцы. И есть большая вероятность того, что расшифровать вообще не удастся. Только в случае, если злоумышленники допустили какую-то ошибку в написании троянской программы, не учли какие-то моменты, расшифровать информацию удастся. Если же все было написано качественно, то данные окажутся потерянными.
Поэтому надежды только на резервную копию информации. Или заново запустить и настроить систему, чтобы попытаться запустить производственные процессы достаточно быстро.
- Разве на таких крупных предприятиях информация может не дублироваться?
- В принципе, должна, но везде есть человеческий фактор. Поэтому сейчас задача состоит в том, чтобы в режиме реального времени разблокировать информационную систему.
- Это не прокол нашего СБУ или киберполиции? Или защищать от новых вирусов невозможно?
- Это действительно невозможно сделать, так как они включаются в процесс тогда, когда вирус уже появился. И сейчас как раз СБУ работает над тем, чтобы в ближайшее время дать рекомендации - что делать и как защищаться от подобных вирусов. Но тут нужно учесть, что СБУ не имеет права вмешиваться в работу большинства предприятий, таких как банки или "Укрэнерго", и давать им советы по безопасности.
- Какие-то общие рекомендации есть, чтобы в дальнейшем избежать заражения подобными вирусами?
- По предыдущей практике WannaCry мы знаем, что используется транспортный протокол NetBios. Обычно этот протокол применяется для взаимодействия между компьютерами внутри локальной сети. Но его можно и не использовать. Если сейчас подтвердится, что новый троянец использует тот же транспортный протокол, то это ставит под сомнение использование его в принципе и есть смысл использовать другой транспортный протокол внутри локальных сетей. То есть на данный момент проблема решается тем, что в брандмауэрах (Firewall) на локальных компьютерах и на сетевом оборудовании нужно заблокировать порты, обслуживающие NetBios протокол. Это TCP/IP порты 135, 139 и 445. При блокировке этих портов распространение троянской программы в локальной сети через уязвимость станет невозможным. Но при этом не будет работать также и внутренний обмен информацией путем доступа к сетевым папкам и сетевым дискам. При этом пользователи смогут ходить в Интернет, переписываться в мессенджерах, проверять электронную почту и так далее.
- Я видела в сети информацию, что нужно использовать не Windows, а Linux.
- Не все пользователи знают, но после предыдущей атаки WannaCry оказалось, что эта же уязвимость присутствует и в Linux-ситемах и была волна взломов и Linux-систем с использованием того же эксплойта. Понятно, что троянская программа была другая и механизмы взлома были другими, но уязвимость использовалась та же. То есть если речь идет о том, что все государство массово перейдет на другую операционную систему, это частично проблему решит. Мы уйдем от уязвимостей Windows, но перед нами станет другая проблема - уже уязвимостей Linux.
Татьяна Галковская для Цензор.НЕТ
Топ комментарии
А відповідь скоріше всього то під носом "Больше всего пострадали организации, в которых используют локальные сети.
ip адреса локальных сетей
IPv4
10.0.0.0 - 10.255.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8)
172.16.0.0 - 172.31.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.240.0.0 или /12)
192.168.0.0 - 192.168.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.255.0.0 или /16)
Человек, нажимающий "открыть", "скачать", "перейти". Во всех случаях человеком движет интерес. Пока в той или иной организации на кнопки будет нажимать человек, да еще такой, которым движет только интерес, заражений не избежать.
ключевым звеном в распространении вируса является Коррупция государственного ИТ сектора
- тому що те що має бути зроблене розкрадається
- хотоший ІТ спеціаліст не буде тобі працювати за копійки
- у верхніх ешелонах державного ІТ сектора сидять Корупціонери які будують структуру свого ІТ підрозділу з метою самозбереження і наживи
- у нижніх ешелонах державного ІТ сектора сидять початківці або нетитуловані специ які працюють та шукають місця де за їх інтелектуальну працю будуть платити відповідні кошти (ТОМУ багато таких особливо виїзджає за кордон)
- у середніх ешелонах державного ІТ сектора сидять титуловані підлабузники верхнього ешелону (короче пристосуванці по блату) кваліфікаційний рівень яких за часту перевищений в рази
кількість ІТ персоналу мала, Є таке поняття "Необхідна кількість кваліфікованого персоналу на обсяг робіт"
Ти можеш найняти 5-10 дуже хороших спеца, платити їм добру зарплатню, але якщо вони обслуговують/виконують роботу за 10-20 чол. то тут хоч не хоч будуть проблеми.
P.S. организаций таких у меня больше десятка, никто не позвонил и кипиша не поднял.
Даже медок на серваке стоит, только хер он там активизируется за пределами своей папки.
Админ FreeBSD всегда спит спокойно.
за європу не переживай вони розберуться, там спеців хватає, ще є і українські які туди втікли, там бистро пережують Петю
А ничего, что в Linux была дыра в samba - программе, которая давала доступ к файлам для windows систем? В линуксе эта хрень максимум могла зашифровать папку, которую расшарили для windows машин. Остальные файлы как за каменной стеной. Просто у нас в стране 99% чудо системных администраторов, которые не знают, что есть unix подобные системы. И они ставя винду в продакшн, зная, что она уязвима от вирусов, умудряются не делать даже банальные бакупы, не говоря о примитивной защите в фаерволах. Для решения проблемы с безопасностью, нужны не антивирусы, а грамотные специалисты. А это отродие с академии шаг и будет ставить всякую фигню по предприятиям, потому, что они сертифицированные администраторы системы "уиндоуз".
"Просто у нас в стране 99% чудо системных администраторов, которые не знают, что есть unix подобные системы."
Шановний, я трішки переформулюю ваше речення
Просто в нас в країні 99% чудо ІТ спеціалісті, які є сватами, кумами, невістками, зятями... короче титулованими працівниками, які не те що не знають як впроваджувати іновації, вони просто не хочуть цього робити, вони взагалі не хочуть нічого робити.
Многие страны, такие как например США, РФ, Китай, Германия и д.р. развивают собственные национальные системы на базе Linux.
Плюс! Существует (условно) бесплатная версия для частного использования - Symantec Endpoint Protection.
Вопрос по поводу рекомендаций СБУ. Почему в рекомендациях указана ESET, а не Zillya?
Позор IT-отделам банков и предприятий-"жертв", это исключительно их ответственность, нежелание изучать и использовать открытый софт не допускающий таких уязвимостей.
Цитата "...http://antivirus.about.com/library/virusinfo/blramen.htm Ramen virus использует уязвимости в системе безопасности стандартных Red Hat Linux 6.2 и 7.0...."
Red Hat Linux 6.2 и 7.0-это дистрибутивы 15-ти летней давности.
Уязвимости софта неизбежны, как и любые человеческие ошибки, но заплатки для линукса появляются гораздо оперативнее. А обеспечение правильной политики безопасности (прав пользователей) гарантирует неубиенность самой ОС.
Коллеги правы, использование Win-это банально вопрос откатов с бабла и неграмотность "спецов".
Во всяком случае, за 17-ть лет, начиная с Red Hat 5.xx, ни одного вируса под линуксом не пришлось поймать.
А лучше всего, вместо копипаста чужих мнений, попробовать самому...
О том, что Вы имеете о линуксе весьма поверхностные знания (может и ошибаюсь, но линукс-юзер не будет сидеть в инете под Win.
Именно линукс в начале 90-х появился, хотя да, unix-подобная ОС.
Можно посмотреть немного ближе к себе. Домашние роутеры. Это тоже все linux. Как часто вы слышите, что роутеры были заражены от уязвимости операционки? Был недавно D-Link со своими беспарольными юзверями, но там опять дело криворуких админов (кодеров делающих прошивку), которые забыли пароли поставить.
Если посчитать количество Linux систем окружающих вас, то windows - это по вашему мнению самая непопулярная система. Например пользователей android устройств больше, чем пользователей windows, но в android вирусы не приживаются, так как ядро там Linux. Но есть уникалы (спецы), которые ставят root и дают полные права всяким левым приложениям без разбора.
Windows это одна большая дыра, сколько ее не чинят, а дыра как была большой, такой и останется в дальнейшем, что в условиях гибридной войны недопустимо.
Linux не панацея от всего, но это все же лучше Windows, поэтому там где можно, лучше использовать Linux.
Нужно учитывать также то, что за дыру Windows нужно деньги платить, а Linux бесплатна, что в условиях бедной Украины очень важно.
Научиться работать на Linux легко, это может сделать даже ребенок, значит и чиновники ее могут освоить.
А нічого, що на 85% ПЕОМ стоять "крякнуті" ОС ???
То при чому тут Віндоус ?
Агенты Федерального бюро расследований (ФБР) во вторник опросили десяток сотрудников "Лаборатории Касперского" (международная группа компаний с центральным офисом в Москве и представительствами, в том числе, в США), http://www.nbcnews.com/news/us-news/fbi-interviews-employees-russia-linked-cyber-security-firm-kasperky-lab-n777571 передает 28 июня телекомпания NBC со ссылкой на источники.
В частности, были заданы вопросы о работе компании.
Допрос был проведен в рамках расследования деятельности иностранных разведок.
Собеседник телеканала также отметил, что это расследование ФБР не связано с тем фактом, что "Лаборатория Касперского" заплатила бывшему советнику Дональда Трампа по национальной безопасности Майклу Флинну 11,3 тысяч долларов в 2015 году за консультации по кибербезопасности.
Ранее арестованный по обвинению в госизмене сотрудник "Лаборатории Касперского" Руслан Стоянов http://www.kasparov.ru/material.php?id=58EE2E25E3039 раскритиковал политику использования хакеров в государственных целях.
На примере автомобильной аналогии.
Устанавливая Виндовс вы получаете авто с заваренным капотом. Да, сотрудники Майкрософт знают, что после езды по реальным дорогам из-под капота течет бензин, и раньше они предлагали купить чужое корыто(антивирусное ПО), и прикрутить снизу, сейчас они разработали свое. Да, звенит и мешает ездить, да, теряется топливо, но это реальная жизнь. Если вдруг у вас закончилось терпение, и вы вскрыли консервным ножом капот и заклеили жвачкой дырку - вы становитесь правонарушителем, лицензия запрещает дизассемблирование, а если вы еще и поделились фоткой этой дырки в инете, то вы становитесь преступником, хакером, взломщиком, нарушившим копирайт, патенты и пр.
Устанавливая Линукс вы получаете чертеж авто и описание всей технологии как его изготовить. Если вы нашли где течет бензин, вы можете увидеть чертеж дефектной прокладки, изменить его, и что самое важное легко отослать на завод, выпустивший авто, и, если это работает, такая прокладка будет стоять на всех авто, завод об этом позаботится, а вы становитесь героем, хакером, специалистом, делающим вклад в общее дело по обеспечению безопасности.
Именно это отличие, а не количество пользователей делает линукс безопасным.
Вот пример того, что происходит, когда коды закрыты-в сети было признание одного из разработчиков интерфейса MS Exel о том, что установленные у юзеров программы отправляли разработчикам сведения о к-ве нажатий на иконки меню. Юзеры об этом и не догадывались.
И второе, невозможно оценить вкус рыбы не попробовав её или талант Карузо по тому, как сосед напел...
Но хотите архитектурную аналогию - ок.
Клиент МС: Вы продали мне безопасное здание, но у него в заборе дыра.
Поддержка: Вы не можете этого знать, вы должны сидеть только в своей комнате, а не лазить по заборам, безопасность мы гарантируем.
К: Но его в бинокль видно!
П: Бинокли запрещены лицензией, прекратите немедленно!
К: Да я в интернете эту дыру выложил, она же размером со слона.
П: Вы нарушили закон, к вам едут копы.
Пользователь линукса выкладывает патч, и это и есть строительство бесплатного дома для всех. И если он строитель, это не сложнее, чем залатать дыру в своем заборе.
Понятия не имею, я их и в руках не держал ни разу.