Guns.ru Talks
мужской разговор
Всё пропало! Мы под колпаком! ( 5 )

тема закрыта

Знакомства | вход | зарегистрироваться | поиск | картинки | календарь | поиск оружия, магазинов | фотоконкурсы | Аукцион
Pragmatik
P.M.
7-11-2016 16:52 Pragmatik
Originally posted by ICEberg1981:

для массированного точечного поражения необходимо грубо говоря знать "серийный номер процессора"

Хакеры, ломающие банки, кредитные карточки лопоухих (и не очень) граждан - как-то вот умудряются.. . И как это у них получается?
ICEberg1981
P.M.
7-11-2016 16:58 ICEberg1981
Pragmatik:

Только вот я Вас разочарую. Если грохнут Вашу систему, то установить заново Винду у Вас ну никак не получится за 10-15 минут.

Именно поэтому никто не будет накрывать Ваши данные. Проще грохнуть Вашу систему. Тогда интима у Вас с переустановкой будет на полдня. С учетом установки новой Винды, установки всех программ, которые у Вас были на компе, настройки всех этих программ и т.п.


а кто говорил за установку?
форматирование винта и посекторное восстановление слепка

20-30 минут восстановление со слепка полностью настроенной работоспособной ОС со всеми необходимыми параметрами настроенными нужным образом
возможно только без последних обновлений
разумеется хотя бы раз в год нужна чистая переустановка винды с установкой и настройкой свежего софта
(но у меня например слепки системы полугодичной давности и годичной давности)

ICEberg1981
P.M.
7-11-2016 17:02 ICEberg1981
Pragmatik:

Хакеры, ломающие банки, кредитные карточки лопоухих (и не очень) граждан - как-то вот умудряются.. . И как это у них получается?

ключевое слово - массированного
и одновременного
то есть не 1-5 и даже не 100 компов в одной локалке - как в приведенном примере
а миллионы компов одновременно выходящих в Сеть через разных провайдеров разными способами

к тому же там взлом в большинстве случаев именно с целью получения "несанкционированного доступа к информации" и непосредственного очень быстрого обналичивания этой информации до момента обнаружения вторжения безопасниками

Супрадин
P.M.
7-11-2016 17:12 Супрадин
Originally posted by ICEberg1981:

ключевое слово - массированного


Ломают и без ддос-атаки.
ICEberg1981
P.M.
7-11-2016 17:13 ICEberg1981
Pragmatik:

Во-первых, переустановить заново Винду - это не полчаса, а час-полтора. Потом - надо будет ещё заново установить софт, который был на компе. А это ещё несколько часов.
Вот такие дела.

восстановить со слепка с бутяшки - 15-40 минут в зависимости от количества установленного ранее софта и мощности компа
заменить сгоревший (точнее с обновленной микропрограммой управления) винт - 5-30 (для совсем уж насовых систем) минут
в любом случае - максимум час, если это не облачный сервер продающий свое место туевой хуче людей с парой десятков винтов в рейде

вот поимка и устранение непосредственно глюка может занимать действительно несколько суток

Pragmatik:

Наличие копий Ваших данных не спасёт Вас, если Вам грохнули систему.
Скажем, у Вас на компе идёт отслеживание и управление неким технологическим процессом. То, что у Вас ест ькопии данных - это не спасение. Если Вам грохнут комп, да ещё так, что или что-то сгорит, или винт посыпется, то восстанавливать комп будете не 5 минут. И не 30. А в это время техпроцесс, который управлялся с компа, будет предоставлен сам себе. Вот это и опасно.
Да, потом Вы заново установите Винду, заново установите все программы, заново всё настроите и скопируете данные, которые были сохранены на съёмных носителях. Но за это время у Вас грохнется, например, электроснабжение. И при этом то же напряжение в сети скакало. Т.е., у потребителей сгорела половина бытовой техники и все компы, которые не любят скачков напряжения больше определённой нормы.

Т.е., у Вас сохранились все скопированные данные - только лучше б их потерять, чем сгорел весь цех или энергосистема, скажем, большого района.

Поэтому и атака идёт, нередко, не на Ваши данные, которые сами по себе, нередко, нафиг не нужны (и атакующие знают, что у Вас несколько копий этих данных) - атака идёт на саму систему. Если вырубить систему - то Вы не сможете управлять с её помощью ни производством, ни иными процессами. А компьютеризация и автоматизация - это то, что давно внедряется на многих предприятиях и даже не очень больших компаниях.


вот про САУ написано верно - там цель зачастую именно остановить какой-то процесс

но именно масштабная единовременная атака (не на один филиал одной организации) будет являться тем самым мировым звоночком, поскольку неизбежно "причинит добро" огромному количеству людей в самых разных странах

ICEberg1981
P.M.
7-11-2016 17:15 ICEberg1981
Супрадин:

Ломают и без ддос-атаки.

речь за ДДОС
и не за зомби-сети
речь о количестве одновременно и с одной целью (прекращение функционирования либо уничтожение данных) взламываемых компов

HighMan
P.M.
7-11-2016 17:23 HighMan
Во-первых, я не всё забыл из того, чему меня учили на радиоинженера.
Во-вторых, те закладки, которые легко выполнимы - они так же легко и обнаруживаемы. Поэтому понятно, что если нужна хорошая закладка - она должна быть сложной и не обнаруживаемой на уровне электрика.
Топология нынешней микросхемотехники настолько сложна, что обнаружить там аппаратную закладку нередко просто невозможно. Это не дисковый телефон, где даже электрик может обнаружить установленный "жучок". Закладка в микросхеме - это просто часть топологии микросхемы. И понять, что к чему, не могут даже спецы. По той причине, что очень сложно. При этом собственно топология микросхем - предмет патентной защиты. Т.е., изготовители не обязаны раскрывать информацию, какая часть микросхемы что и как делает. Поэтому понять, что делает каждый отдельный участок большой микросхемы, нередко невозможно. Описания её нет, ибо сама топология - предмет патентной защиты, коммерческая тайна.

Ваше радиоинженерство тут не поможет. Тут нужно знать сетевое и межсетевое взаимодействие. Изучить и хорошо понимать модель OSI.
Понимание же этой модели ведет к пониманию того, что железная закладка, практически не выполнима. Точнее, эта закладка, просто не сможет получить инициирующий сигнал. Точнее, сможет, но лишь из локальной сети.
Следовательно, подобные закладки не целесообразны.

Опять из разряда - "просто поверьте на слово?")))
Вы вот прям точно знаете, как устроена система ЦРУ, АНБ? Лично инспектировали?

Мне это ни к чему. Если Вы освоите модель OSI, то многое само станет понятно.

Бедные хакеры.. . Т.е., когда они взламывают, например, какой-то банк - то, по-Вашему, они даже не знают, куда лезут? ))

Знают. Но на компьютер в локальной сети они могут залезть лишь взломав ваш маршрутизатор или вредоносный код, на свой компьютер, подсадит сам сиволапый юзер.
Хакеры ломают лишь те ресурсы, которые ведут активный сетевой обмен, и предназначены для получения удаленных запросов.
Т.е. не ваш комп)

Точно так же, как хакеры определяют, что они ломают конкретный банк или конкретную корпоративную или военную сеть.

Вам хакеры, прямо таки спать не дают...
Поймите! Большинство "хакерских" атак - липа! Страшилки для сиволапых юзеров.
Данные крадут иными способами, а бреши в системе безопасности сваливают на мифических хакеров.
А если все таки произошел сетевой взлом и кража некой информации, то виной тому: сиволапые юзеры и распиздяи админы. Или, что чаще, утечка данных через сотрудников.

Но давайте вернемся к "центру управления". Т.е. к серверу с программой, которая должна инициировать некие действия у избранных пользователей.
Не нужно думать, что программа разумна. Она лишь делает выборку по заданным параметрам. И вот тут начинаются проблемы. Потому как однозначных критериев нет! Хрен бы с тем, что не сработают закладки в нужных местах. Гораздо важнее, что бы они не сработали там где не нужно!

Так, что, Прагматик, меньше смотрите фильмы и принимайте на веру компьютерные сказки. Да и, вообще, старайтесь спорить лишь в тех темах, в которых Вы специалист.

Лонжерон
P.M.
7-11-2016 17:33 Лонжерон
Pragmatik:

Не, а вот это для меня уже сложновато.


Хм.. . а рассуждаете о высоких материях.


T55M:

кто из местных это читать будет?

Прочитал "по-диагонали" ибо откровений там никаких нету.

mura-nsk
P.M.
7-11-2016 17:33 mura-nsk
Originally posted by HighMan:

Да и, вообще, старайтесь спорить лишь в тех темах, в которых Вы специалист.


Ему уже это вчера советовали.
Супрадин
P.M.
7-11-2016 17:35 Супрадин
Originally posted by HighMan:

Понимание же этой модели ведет к пониманию того, что железная закладка, практически не выполнима. Точнее, эта закладка, просто не сможет получить инициирующий сигнал. Точнее, сможет, но лишь из локальной сети.Следовательно, подобные закладки не целесообразны.


Originally posted by HighMan:

Данные крадут иными способами, а бреши в системе безопасности сваливают на мифических хакеров.


Человеческий фактор,я правильно понял?
Считаете,трудно сделать так,чтоб вася в час х подключил флешку или загрузил файл?
mura-nsk
P.M.
7-11-2016 17:46 mura-nsk
Супрадин:

Человеческий фактор,я правильно понял?
Считаете,трудно сделать так,чтоб вася в час х подключил флешку или загрузил файл?

Ну, эдак мы можем до чего угодно дофантазироваться.
И, кстати, чтобы такого не случилось, помимо программных и аппаратных средств защиты, применяются и организационные меры, которые в этой теме не рассматриваются.
Защита сетей, вообще, штука КОМПЛЕКСНАЯ.

ICEberg1981
P.M.
7-11-2016 17:47 ICEberg1981
HighMan:

Ваше радиоинженерство тут не поможет. Тут нужно знать сетевое и межсетевое взаимодействие. Изучить и хорошо понимать модель OSI.
Понимание же этой модели ведет к пониманию того, что железная закладка, практически не выполнима. Точнее, эта закладка, просто не сможет получить инициирующий сигнал. Точнее, сможет, но лишь из локальной сети.
Следовательно, подобные закладки не целесообразны.

Ну вообще-то теоретически возможны закладки и на первом-втором уровне.. . вот только у них будет неприемлемо высокий процент ложных срабатываний, а у первого уровня еще и жуткая "палевность"

и опять же остается проблема выборки

HighMan:

Не нужно думать, что программа разумна. Она лишь делает выборку по заданным параметрам. И вот тут начинаются проблемы. Потому как однозначных критериев нет! Хрен бы с тем, что не сработают закладки в нужных местах. Гораздо важнее, что бы они не сработали там где не нужно!

ну строгий критерий вообще-то есть - MAC адрес
только тут возникает вторая проблема - как узнать какие конкретно MAC адреса в данный момент времени именно у нужного тебе "железа"?
причем в случае массированной атаки - как минимум у БОЛЬШЕЙ ЧАСТИ нужного тебе железа
Супрадин
P.M.
7-11-2016 17:49 Супрадин
О закладках
https://xakep.ru/2011/12/26/58104/
Я комментировать не могу.Знания не позволяют.Но послушал бы
Лонжерон
P.M.
7-11-2016 17:56 Лонжерон
Originally posted by Супрадин:

Я комментировать не могу.Знания не позволяют.


Да кто ж сам признается то?
Позырим.. .
HighMan
P.M.
7-11-2016 18:24 HighMan
Супрадин:

Человеческий фактор,я правильно понял?
Считаете,трудно сделать так,чтоб вася в час х подключил флешку или загрузил файл?

Тут, в первую очередь, важно определиться, имеет "вася" злые намерения, или нет.
Если "вася" используется в темную, то возникает много сложностей.
Если "вася" работает с некоторыми секретными данными, то ему должны были неоднократно разъяснять, что делать можно, а что нет. Так же он должен понимать, что если утечка произойдет по его вине, то спрос будет как со злоумышленника.

И всегда нужно разделять понятия: внешний или внутренний взлом.
Внешний взлом, априори, намного сложнее, если, вообще, возможен.
Внутренний, это больше на совести службы безопасности и отдела кадров.

Внешние взломы и кража данных - редкость. Тут вина в ленивости админов.
Внешне можно, в большинстве случаев, лишь заDDoSить. Но DDoS это не способ кражи данных, а способ нарушения штатного функционирования ПО и железа.

Вот смотрите сами. Есть некий сайт. Вы хотите выдрать с него БД пользователей и их медиаданные.
Первое, что проверяется - возможность SQL инжекта. Google в помощь. Если разрабы не совсем криворукие, то такой возможности нет.
Дальше начинаете смотреть, если возможность загрузить пользовательские медиаданные. Такая возможность есть! Вы вместо картинки подсовываете серверу вредоносный код. Ура! Вредоносный код на сервере! Осталось дело за малым: передать ему управление, желательно с root привилегиями. Блииин! Обломс! Сервер отказывается запускать ваш файл не то, что с root привилегиями, а вообще!
Дальше вы стараетесь узнать какое ПО работает на сервере. Эврика! Установлен список ПО! Начинается поиск уязвимостей. Блиин! Эксплойты не работают! Сука админ наврал нам с ПО! Вместо своих истинных названий версий он выдал нам херню!
Руки понемногу начинают опускаться....
Далее вы начинаете сканировать открытые порты на сервере. Долго. Муторно. Потея от страха, что ваше любопытство засекут. Эврика! Есть список открытых портов и вас еще не взяли за жопу. Список, что-то совсем жиденький.. . tcp 80, 443.. . Мля.. . Но как-то же админы должны снаружи рулить этим сервером! Начали скан UDP портов.. . Долго. Муторно. Потея.
Улов еще меньше. udp 9411. Что это за хрень??? Гугл посылает. Остается пытаться самому понять, что за этим портом прячется. Вы умный и знаете много. Поковырявшись, вы приходите к пониманию, что за этим портом прячется банальный OpenVPN, а злобные админы, всего лишь, изменили номер стандартного порта 1194.
Что же нам дает эта собранная информация? А дает она понимание, что не обладая SSL сертификатами вам на сервер не попасть. Вообще! Даже если вам удастся каким-то чудом украсть эти сертификаты, то SSL может быть сгенерирован с паролем. Нужно взламывать и этот пароль.
Допустим, вы достали сертификаты, пароль и подключились! Эврика! Осталось дело за малым. Подобрать валидное имя пользователя и пароль для доступа по SSH. Дальше, нужно что бы это пользователь имел права на изменение, или хотя бы чтение файлов сайта. Если же пользователь не имеет таких прав, то осталось лишь подобрать пароль root )))) Кстати, может оказаться, что root пользователя в системе нет. Злобные админы его переименовали))))

mura-nsk
P.M.
7-11-2016 18:33 mura-nsk
Админы в Вашем рассказе какие- то бесчеловечные.
Хуже фашистов, ей- богу.
HighMan
P.M.
7-11-2016 19:00 HighMan
mura-nsk:
Админы в Вашем рассказе какие- то бесчеловечные.
Хуже фашистов, ей- богу.

Да я, вообще-то, описал самый-самый простой и незамысловатый путь взлома.
Усложнить задачу можно еще круче.
Данные могут храниться на нескольких серверах.
Например, nginx, apache, php на одном сервере, имеющем выход в интернет. Второй сервер с БД, выхода в интернет не имеет. Имеется еще и третий сервер, на котором свалены медиаданные.
Дальше, может быть, что порт OpenVPN доступен лишь с определенных IP.
Нужно, как минимум, подменить свой IP на IP из валидного диапазона.
Админы на все забили и логами не интересуются. Если же забили, но не совсем, то они увидят не здоровый злой интерес. Это ALARM! Нас собираются ломать! Вводятся усиленные меры безопасности. Отзываются сертификаты и генерируются новые. Логирование установлено в более детальный режим. Пользователи, имеющие доступ к нутру сервера, резко банятся. Пароли заменяются на жутькакие. IP, с которых щупали сервер, банятся.
Служба безопасности уже роет землю.
Админы начитают раскручивать цепочку к хакеру...

Это фантастика?
Это - жестокая реальность!
Причем, реальность, упрощенная. True реальность еще жестче. Админы получают ALARM как только кто-то начал прощупывать и сразу предпринимая меры противодействия. Сразу ставится в известность служба безопасности и высокое начальство.
И как в этом жестоком мире хакеру украсть данные с сервера????
Если хакер не совсем дурак, то он будет искать админов или службу поддержки. Дальше он попытается втереться в доверие. Дальше прощупывать почву для подкупа или шантажа.
Однако.. . Это уже имеет мало общего с кибертерроризмом.

Pragmatik
P.M.
7-11-2016 23:12 Pragmatik
ICEberg1981:

а кто говорил за установку?
форматирование винта и посекторное восстановление слепка

20-30 минут восстановление со слепка полностью настроенной работоспособной ОС со всеми необходимыми параметрами настроенными нужным образом
возможно только без последних обновлений
разумеется хотя бы раз в год нужна чистая переустановка винды с установкой и настройкой свежего софта
(но у меня например слепки системы полугодичной давности и годичной давности)


Ну и много будет желающих каждый год переустанавливать себе Винду? И представьте себе сисадмина маленькой компании, всего-то 80-100 компьютеров. Это он будет 100 компов раз в год переустанавливать? А потом восстанавливать слепки системы? Я таких не встречал.
Если комп накрылся, то просто переустанавливают заново Винду. Потом - остальные программы. Это проще на несколько порядков, чем то, что Вы предлагаете.
А если в компании несколько сотен компов? А это не такая и крупная компания.

Pragmatik
P.M.
7-11-2016 23:14 Pragmatik
ICEberg1981:

ключевое слово - массированного
и одновременного
то есть не 1-5 и даже не 100 компов в одной локалке - как в приведенном примере
а миллионы компов одновременно выходящих в Сеть через разных провайдеров разными способами


Я чего упустил и слова "я тебя вычислю по IP" уже не актуальны?

ICEberg1981:

к тому же там взлом в большинстве случаев именно с целью получения "несанкционированного доступа к информации" и непосредственного очень быстрого обналичивания этой информации до момента обнаружения вторжения безопасниками

Если люди умеют взламывать банки и военные сети, то взломать сеть какого-нибудь опасного предприятия для них элементарно.

Pragmatik
P.M.
7-11-2016 23:14 Pragmatik
Супрадин:

Ломают и без ддос-атаки.

+1.

Pragmatik
P.M.
7-11-2016 23:20 Pragmatik
ICEberg1981:
восстановить со слепка с бутяшки - 15-40 минут в зависимости от количества установленного ранее софта и мощности компа
заменить сгоревший (точнее с обновленной микропрограммой управления) винт - 5-30 (для совсем уж насовых систем) минут
в любом случае - максимум час, если это не облачный сервер продающий свое место туевой хуче людей с парой десятков винтов в рейде

Или Вы гуру компьютеров и все известные мне сисадмины в подмётки Вам не годились - или мы с Вами говорим о разных вещах.

Вот ни разу никогда ни один сисадмин не делал то, о чем Вы рассказываете. А просто тупо заново устанавливал ВИнду и прочий софт. Или Вы гений, или они дебилы. Но тогда как-то многовато дебилов.
Сдается мне, то, что Вы говорите, можно сделать не везде и не всегда. Иначе бы сисадмины это делали.


ICEberg1981:

вот про САУ написано верно - там цель зачастую именно остановить какой-то процесс

А про это и речь.


ICEberg1981:
но именно масштабная единовременная атака (не на один филиал одной организации) будет являться тем самым мировым звоночком, поскольку неизбежно "причинит добро" огромному количеству людей в самых разных странах

Вы просто не представляете себе реалии производства. Не нужна никакая МАСШТАБНАЯ атака. Достаточно "ткнуть" точно в нужное место. Потому что в ЛЮБОМ практически производстве есть узкие места, которые просто нужно знать. Это как в рукопахе - достаточно точно и грамотно ткнуть пальцем в кадык - и здоровенный боров падает. Или с разбега в коленку - а это может любой онжеребёнок.


ICEberg1981:

речь о количестве одновременно и с одной целью (прекращение функционирования либо уничтожение данных) взламываемых компов

См. чуть выше, плиз. Не нужно никаких "массовых атак". Нужно просто прервать управление там, где оно идёт с компов. А это сейчас если не6 поголовно, то стремится к тому.
Pragmatik
P.M.
7-11-2016 23:34 Pragmatik
HighMan:
Ваше радиоинженерство тут не поможет. Тут нужно знать сетевое и межсетевое взаимодействие. Изучить и хорошо понимать модель OSI.

Моё радиоинженерное мне поможет - в том, что я знаю, как устроено производство. Сисадмины и айтишники этого не знают и не понимают. Это Вам не понимать модель OSI.)

HighMan:
Понимание же этой модели ведет к пониманию того, что железная закладка, практически не выполнима.

Вы инженер-электронщик? Полагаю, что нет. Были бы электронщиком - знали бы, что аппаратные закладки родились даже не вчера и никуда не пропали в настоящем.


Возможно, под "закладкой" Вы понимаете такой "навесной элемент", который припаивают к плате и который обнаружит любой электрик с паяльником. Я же под аппаратной закладкой понимаю ТОПОЛОГИЮ МИКРОСХЕМЫ. Выше подробно это изложил.


HighMan:
Мне это ни к чему. Если Вы освоите модель OSI, то многое само станет понятно.

Поголовное большинство сисадминов и айтишников уверены, что они знают то, чего не знают другие. Поэтому их и считают немного не от мира сего.

Если Вы знаете модель OSI, то это не значит, чт оВы знаете, как работают оперативники, как работает разведка, как работают электронщики, как работают другие технари. Вы думаете, что модель OSI - это всё, что нужно. А на деле - далеко нет.

HighMan:
Но на компьютер в локальной сети они могут залезть лишь взломав ваш маршрутизатор или вредоносный код, на свой компьютер, подсадит сам сиволапый юзер.
Хакеры ломают лишь те ресурсы, которые ведут активный сетевой обмен, и предназначены для получения удаленных запросов.
Т.е. не ваш комп)

ЛЮБОЙ комп в сети ОЧЕНЬ АКТИВНО работает в сети. Интернет, электронная почта, скайпы и проч, и проч, и проч.. . Гигабайты скачиваемых документов. Вирусы, трояны, закладки. Это - РЕАЛИИ любл\ой компании, где 40-50 компоц - это очень мало. Есть и сотни компов. И в такой среде все работают в инете, с почтой, скайпом. Так что, проникать в такие сети - проникают. Сами пользователи этому способствуют.

HighMan:

Вам хакеры, прямо таки спать не дают...
Поймите! Большинство "хакерских" атак - липа! Страшилки для сиволапых юзеров.

Где-то я это уже слышал? "Поверьте, не всё так однозначно" (С)

Извините, но со сферой безопасности я немного знаком. В том числе - со сферой информационной безопасности.И то, что говорят спецы из этой сферы - противоречит Вашим словам. И я верю им, а не Вам. Потмоу что наслышан, какие потери несли и несут компании из-за утечек информации, из-за внешних атак. Когда срываются крупные сделки, когда уходит налево ценная информация при наличии нескольких рубежей защиты этой самой информации.. . и проч, и проч, и проч.

Кстати, информационная безопасность - одно из направлений, которому учат сейчас в моём первом ВУЗе.

Так что, это очень серьёзный вопрос. А Вы пытаетесь его выставить таким мелким вопросиком. Дескать, не бойтесь хакеров, нас не существует.

Ага, мы прям так и поверили.


HighMan:

Данные крадут иными способами, а бреши в системе безопасности сваливают на мифических хакеров.

Я могу Вам долго рассказывать, какими способами уходят данные. Этому учат. В очень разных заведениях.
Но Вы не понимаете одной "мелочи" - современное производство автоматизируется так, что полдучаются "узкие места". Сисадмины и айтишники этого часто не знают, т.к. реальное производство видели только по телевизору. А вот те, кто сам бывает в цехах, знает, как просто можно сделать так, что предприятие минимум встанет. А может и рвануть. Есличо - работал я на предприятии, в котором цех мог рвануть в любой момент. И рядом были такие же заводики. В одном была соляная кислота в таких концентрациях, что противоположной стены цеха не видно. Кстати, в Москве была авария на схожем производстве. Шухер был колоссальный. И проблемы решали не сисадмины, а реальные спасатели МЧС. И всем было очень не смешно. А "всего-то" и случилось - кто-то там чего-то перепутал .. . случайно. Ползавода успели убежать. Повезло.

HighMan:

Тут, в первую очередь, важно определиться, имеет "вася" злые намерения, или нет.
Если "вася" используется в темную, то возникает много сложностей.
Если "вася" работает с некоторыми секретными данными, то ему должны были неоднократно разъяснять, что делать можно, а что нет. Так же он должен понимать, что если утечка произойдет по его вине, то спрос будет как со злоумышленника.

Видите ли. В любом нормальном государстве и имеются спецслужбы - чтобы работать с такими "васями". Они за работу с "васями" деньги получают.

HighMan:

И всегда нужно разделять понятия: внешний или внутренний взлом.
Внешний взлом, априори, намного сложнее, если, вообще, возможен.
Внутренний, это больше на совести службы безопасности и отдела кадров.

ОТдел кадров-то тут при чём????? ОНи что, в головах копаться могут?

Службы безопасности тоже далеко не везде есть. Дорогое удовольствие.

HighMan:
Внешние взломы и кража данных - редкость. Тут вина в ленивости админов.

Да ну? Расскажите это владельцам банковских карт, у которых при помощи всяких разных закладок в банкоматах ушли деньги.

HighMan:

Да я, вообще-то, описал самый-самый простой и незамысловатый путь взлома.


Вы описали всё это исключительно со своей точки зрения - точки зрения админа.
При этом Вы не знаете реального производства, не знаете реалий той же оперативной работы.

Вы не знаете, что для того, чтобы устроить аварию на предприятии, иногда нужно просто сделать так, чтобы перестал работать один комп, с которого всё наблюдается и управляется. Как именно это сделать - вопрос стопятидесятый. Вариантов много. Для этого не обязательно что-то "взламывать" в том понимании, как это понимает сисадмин или айтишник.

HighMan:

Усложнить задачу можно еще круче.
Данные могут храниться на нескольких серверах.

Наглядный пример. что Вы просто не понимаете, о чем речь. В описанной мной ситуации эти ваши ДАННЫЕ - нафиг никому не нужны!!! Цель атаки - нарушить управление техпроцессом с компьютера. Чтобы нарушение техпроцесса вызвало АВАРИЮ. И всё. Данные с сервера никому даром не нужны - а надо, чтобы, например, прекратилась подача пара или горячей воды. Или электричества. И всё. Батареи полопались, продукция на миллионы испортилась, в домах батареи полопались. Нужны не "данные с сервера" - а нарушение работы некоего техпроцесса. Именно это - цель атаки.
Pragmatik
P.M.
7-11-2016 23:35 Pragmatik
Лонжерон:
Хм.. . а рассуждаете о высоких материях

Имеете что конкретное возразить на мои рассуждения?
Pragmatik
P.M.
7-11-2016 23:52 Pragmatik
Супрадин:
О закладках
https://xakep.ru/2011/12/26/58104/
Я комментировать не могу.Знания не позволяют.Но послушал бы

Читал этот материал несколько лет назад, только на других ресурсах, в т.ч. на айтишных форумах. Помнится, люди на форумах писали, что статья годная.

HighMan
P.M.
8-11-2016 00:43 HighMan
Pragmatik, Вы жжоте как всегда!
Закладку можно разместить где угодно! Говно вопрос.
Тут только один моментик: как получить закладке сигнал на активизацию? От куда она этот сигнал получает?
Pragmatik
P.M.
8-11-2016 00:49 Pragmatik
HighMan:
Pragmatik, Вы жжоте как всегда!
Закладку можно разместить где угодно! Говно вопрос.

Я Вам про это и говорю. И если закладка сделана на уровне топологии микросхемы - т.е., как СОСТАВНАЯ ЧАСТЬ МИКРОСХЕМЫ - вы её даже не найдёте.

Если Вы не слышали про такие закладки - это просто значит, что Ваши интересы находятся в несколько иной сфере.

HighMan:

Тут только один моментик: как получить закладке сигнал на активизацию? От куда она этот сигнал получает?

А для этого надо просто понимать несколько вещей - например, для чего делается закладка? Для получения данных? Или, например, для того, чтоб в час Х грохнуть комп, с которого управляется, например, взрывоопасный заводской цех или тот же паропровод высокого давления. Если цель - именно грохнуть систему, парализовать работу системы, то сигнал может быть дан откуда угодно. Повторяю - даже в овощном магазине все рабочие компы объединены в сеть. Люди торчат в инете, активно ведут переписку, активно обмениваются данными.
Вы не слышали о троянах? Вы не слышали о кейлоггерах? Вы не слышали, что Виндовс 10 сама является шпионом и кейлоггером? Вы не знаете, как браузеры следят за тем, что и как делает на компе владелец компа? Вы не знаете, что браузеры активно сообщают эту информацию "куда надо"?

Повторю - Вы, возможно, сисадмин, возможно айтишник. Но вы не электронщик, вы не оперативник, Вы не производственник. Поэтому Вам и непонятны многие вещи. Я Вам выше пытался уже объяснить, что цель атаки - это не получить некие "данные с сервера", а - ПРОСТО ЗАБЛОКИРОВАТЬ РАБОТУ компьютеров, которые управляют, например, предприятием, или поставкой тепла населению. А это уже обрушит работу предприятия. Да так, что караул. Замучаетесь аварии ликвидировать. А это - разруха, ущерб и лишние громадные расходы. Т.е., истощение вероятного противника. Азы диверсионной работы.

При этом и получить данные - это не так и сложно. Примеры слышим регулярно. Да, это не так просто, не всякая школота сможет. Ну так это и не уровень школоты.

Или Вы не знаете, как то же АНБ следит за теми же немецкими политиками, прослушивая их телефоны, включая фрау канцлерин? Действительно не слышали? А вот следят. Несмотря на то, что немецкая контрразведка это не детский садик. Но АНБ в этом смысле покруче будут. Или Вы и это будете отрицать?


Супрадин
P.M.
8-11-2016 00:50 Супрадин
https://m.news.rambler.ru/politics/35189182-glava-dr-web-nazval-sredstvo-zaschity-ot-atak-amerikanskih-hakerov/
Pragmatik
P.M.
8-11-2016 00:57 Pragmatik
Супрадин:
https://m.news.rambler.ru/politics/35189182-glava-dr-web-nazval-sredstvo-zaschity-ot-atak-amerikanskih-hakerov/?utm_source=mhead&utm_content=news&utm_medium=mnews&utm_term=scitech

Ссылка стОит того, чтоб запостить её содержимое.

ЦИТАТА:

"Глава Dr.Web назвал средство защиты от атак американских хакеров

Генеральный директор российского разработчика антивирусов Dr.Web Борис Шаров считает, что для защиты от кибератак со стороны США российским госструктурам следует заменять зарубежное программное обеспечение (ПО) и оборудование на отечественное. Об этом он заявил ТАСС, комментируя сообщения в СМИ о взломе военными хакерами США российских систем, в том числе в Кремле.
"Остается надеяться только, что государство адекватно реагирует на эту угрозу, последовательно выдавливая из своих структур компьютерные системы и ПО зарубежного производства", - сказал Шаров.
По его словам, вопрос зависимости России от американских IT-решений представляет собой "серьезнейшую тему" вне зависимости от информации о проникновении американских хакеров в информсистемы Кремля.
"Достаточно оглянуться вокруг себя и посмотреть, сколько компьютерных систем и сервисов, поставщиками которых являются американские компании, глубоко интегрированы в нашу жизнь. Никто не поручится, что в один не очень прекрасный день вычислительные устройства, на которых строятся многочисленные, если не все, процессы управления и жизнеобеспечения нашей страны, превратятся в кирпичи, отбросив наше общество на несколько десятилетий назад", - подчеркнул гендиректор "Доктор Веба".
...
В "Лаборатории Касперского" не стали комментировать ситуацию." (С)

КОНЕЦ ЦИТАТЫ.

HighMan
P.M.
8-11-2016 01:41 HighMan
Pragmatik:

А для этого надо просто понимать несколько вещей - например, для чего делается закладка? Для получения данных, или, например, для того, чтоб в час Х грохнуть комп. Если цель - именно грохнуть систему, парализовать работу системы, то сигнал может быть дан откуда угодно. Повторяю - даже в овощном магазине все рабочие компы объединены в сеть. Люди торчат в инете, активно ведут переписку, активно обмениваются данными.
Вы не слышали о троянах? Вы не слышали о кейлоггерах? Вы не слышали, что Виндовс 10 - сама является шпионом и кейлоггером? Вы не знаете, как браузеры следят за тем, что и как делает на компе владелец компа?

Повторю - Вы, возможно, сисадмин, возможно айтишник. Но вы не электронщик, вы не оперативник, Вы не производственик. Поэтому Вам и непонятны многие вещи. Я Вам выше пцтался уже объяснить, что цель атаки - это не получить некие "данные с сервера", а - ПРОСТО ЗАБЛОКИРОВАТЬ РАБОТУ компьютеров, которые управляют, например, предприятием, или поставкой тепла населению.

Т.е. Вы все таки понимаете, что код активации должен быть получен из интернет?
Если из интернет, то железные закладки отпадают.
Дальше. Вот есть некая локальная сеть, которая имеет выход в интернет через некий роутер. Как компьютеры этой сети могут получить сигнал на активацию закладки/закладок?
Чуточку упрощу спор.
Если роутер этой сети не имеет статического "белого" ip, то послать на него сигнал из глубин интернет не возможно!
Если роутер все таки имеет "белый" ip, то можно послать сигнал только ему, но никак не компьютерам локальной сети.
Получается, что компьютеры локальной сети должны сами лезть в глубины интернет и проверять, нет ли для них команды. Типа, как электронная почта.
Т.к. компьютеры не знают когда для них может команда, то они должны регулярно проверять нет ли чего для них. Для этого, через определённые отрезки времени они должны установить связь с неким ip, определённым портом, и проверить наличие команды.
Тут все понятно?
Так как компьютеры регулярно с чем-то самостоятельно соединяются, то это элементарно отслеживается и отключается на роутере, раз уж не удаётся отключить в ОС.

Теперь насчёт предприятий, которые могут бабахнуть, если контролирующий комп выйдет из строя...
В этой ситуации, управляющий комп, а точнее, отказоустойчивый кластер, вообще не имеет доступ к сети. Просто не подключен к локалке. Этот кластер крутится автономно. Никакой сигнал он получить не может, т.к. лишен средств коммуникации.
Пусть сгорят хот вся локальная сеть. Ему фиолетово.

Если же управлять работой должна целая сеть компов, то создаётся сеть, не имеющая доступа в интернет.

Допустим, что есть несколько предприятий, управляемых из определённого места. Создаётся VPN сеть через интернет, и конфигурируется так, что управляющие компьютеры могут общаться только внутри этой виртуальной сети, но не могут выйти за её пределы. Т.е. участники этой сети, как бы находятся в одной физической локальной сети, не подключенной к интернет.
Все! Активирующий сигнал не поступит. Ни как!

Теперь насчёт взломов и кулхацкеров. Я описал выше, какие предпринимаются шаги для внешнего взлома. Не верите мне, спросите у спеца, которому верите.
Алгоритм действий известен. Известны и методы противодействия. Причём, защититься много проще, чем эту защиту взломать.
Если следовать простому правилу: открывай и разрешай только то, без чего система функционировать не может. То взломать извне или очень исложно, или настолько сложно, что не рентабельно.
Потому про похищения данных извне.. . Сказки. Данные похищаются внутри, а потом идут росказни, что взломали снаружи.

mura-nsk
P.M.
8-11-2016 05:11 mura-nsk
Originally posted by HighMan:

Если же управлять работой должна целая сеть компов, то создаётся сеть, не имеющая доступа в интернет.


Естественно.
В серьёзных организациях/заводах сети, управляющие производством, физически изолированы от интернета.
Это ж азбука.
Но Прагматик про это не знает.
mura-nsk
P.M.
8-11-2016 05:14 mura-nsk
Originally posted by Pragmatik:

я знаю, как устроено производство


)
sauer
P.M.
8-11-2016 05:50 sauer
HighMan:

Если же управлять работой должна целая сеть компов, то создаётся сеть, не имеющая доступа в интернет.

Допустим, что есть несколько предприятий, управляемых из определённого места. Создаётся VPN сеть через интернет, и конфигурируется так, что управляющие компьютеры могут общаться только внутри этой виртуальной сети, но не могут выйти за её пределы. Т.е. участники этой сети, как бы находятся в одной физической локальной сети, не подключенной к интернет.
Все! Активирующий сигнал не поступит. Ни как!

Тут могу поспорить что в эту VPN сеть можно проникнуть, каждая закрытая сеть все равно имеет отдельный vpn доступ (иначе как бы остальные подключались) через открытый шлюз по логину и паролю, и даже если ip адрес и mac прописан в принимающей стороне, хакеру ничего не стоит "уронить" белый комп, одеть его шкуру (прописать его ip и mac) и спокойно зайти в закрытую сеть VPN, а там уже полное раздолье.
Также любая закрытая сеть все равно общается с интернетом через прокси сервер, если закрыты почти все ресурсы, то все равно обмен пакетов идет между серверами (почтовые и прочее), "нюхаем" весь поток, ищем более слабый сервер "роняем ддосом", это даст время поднять свой клон-сервер для приема всей нужной информации за тот промежуток пока поднимут белый сервер.
Вариантов масса, вплоть до аппаратной подмены cisco если сеть построена на нем, и опять же и у нее есть слабое место в виде anyconnect.

Лонжерон
P.M.
8-11-2016 07:25 Лонжерон
Pragmatik:

Имеете что конкретное возразить на мои рассуждения?

Легко.
Вы очень поверхностно имеете представление о предмете в этой теме.
Тем более, не зная, что такое виртуальная машина.
akitukitua
P.M.
8-11-2016 10:12 akitukitua
Заякорюсь, люблю срачи про ИБ
ICEberg1981
P.M.
8-11-2016 13:04 ICEberg1981
Pragmatik:

Ну и много будет желающих каждый год переустанавливать себе Винду? И представьте себе сисадмина маленькой компании, всего-то 80-100 компьютеров. Это он будет 100 компов раз в год переустанавливать? А потом восстанавливать слепки системы? Я таких не встречал.
Если комп накрылся, то просто переустанавливают заново Винду. Потом - остальные программы. Это проще на несколько порядков, чем то, что Вы предлагаете.
А если в компании несколько сотен компов? А это не такая и крупная компания.

среди госконтор и большинства простых юзверей - мало
большинство пытается чистить и "отимизировать" до упора или потери критически важных данных (поскольку на резервном копировании традиционно "сэкономили")
большинство "продвинутых пользователей" практикуют обычно под НГ

есть такая вещь как сетевая пере/установка вообще-то
одновременно на все/любые компы в локальной сети

Pragmatik:

Или Вы гуру компьютеров и все известные мне сисадмины в подмётки Вам не годились - или мы с Вами говорим о разных вещах.

Вот ни разу никогда ни один сисадмин не делал то, о чем Вы рассказываете. А просто тупо заново устанавливал ВИнду и прочий софт. Или Вы гений, или они дебилы. Но тогда как-то многовато дебилов.
Сдается мне, то, что Вы говорите, можно сделать не везде и не всегда. Иначе бы сисадмины это делали.

Скорее всего все же о разных вещах
Acronis True Image, Norton Ghost как примеры программ именно для снятия и восстановления полного и инкрементного слепка системы/диска/раздела

Знаю именно сисадминов на зарплате, которые это делали и делают

чистая установка ВСЕГДА сложнее восстановления со слепка
хотя бы банально по количеству действий

а необходимость именно чистой установки (ранее уже установленной и настроенной оси со всеми необходимыми программами) связана в основном с различными заморочками по активации всяких программ (абсолютное большинство из которых нафиг не сдались 99% пользователей) и тупо с экономией на софте + желанием показать "важность и сложность" работы
добавим к этому необходимость "отчетности с выявлением причин и принятых мер по устранению"

возможно в крупных компаниях еще какая-то специфика имеется - там именно сисадмином не работал

HighMan
P.M.
8-11-2016 13:05 HighMan
sauer:

Тут могу поспорить что в эту VPN сеть можно проникнуть, каждая закрытая сеть все равно имеет отдельный vpn доступ (иначе как бы остальные подключались) через открытый шлюз по логину и паролю, и даже если ip адрес и mac прописан в принимающей стороне, хакеру ничего не стоит "уронить" белый комп, одеть его шкуру (прописать его ip и mac) и спокойно зайти в закрытую сеть VPN, а там уже полное раздолье.
Также любая закрытая сеть все равно общается с интернетом через прокси сервер, если закрыты почти все ресурсы, то все равно обмен пакетов идет между серверами (почтовые и прочее), "нюхаем" весь поток, ищем более слабый сервер "роняем ддосом", это даст время поднять свой клон-сервер для приема всей нужной информации за тот промежуток пока поднимут белый сервер.
Вариантов масса, вплоть до аппаратной подмены cisco если сеть построена на нем, и опять же и у нее есть слабое место в виде anyconnect.

Если сеть организована через OpenVPN, то проникнуть в неё очень не просто, не имея SSL сертификатов.
Можно подобное строить через ipsec, но я давно душой прикипел к OpenVPN.
Если сеть должна быть безопасной, то на серверах стоит только то, что нужно по работе. Никаких почт, www и прочего.
Сервер, организато VPN, вообще имеет только 1 порт наружу.
Сервер, организатор, становится default gateway для всех VPN клиентов и на нем запрещен FORWARD из VPN в интернет.
Сервера "клиенты" вообще ничего торчащего не имеют.
Вся прочая сетевая хрень, вместе с выходом локалки в интернет, идёт через другой сервер и, желательно, через другого провайдера.

ICEberg1981
P.M.
8-11-2016 13:07 ICEberg1981
Pragmatik:

Я чего упустил и слова "я тебя вычислю по IP" уже не актуальны?

Если люди умеют взламывать банки и военные сети, то взломать сеть какого-нибудь опасного предприятия для них элементарно.

массированность
вычислить по айпи можно примерное положение какого-то конкретного компа
при хоть каких-то принятых мерах это занимает долгое время

а для "парализации САУ" еще необходимо выяснить чем именно занимается именно этот компьютер и тот ли это компьютер, который нужен тебе
и какое время и ресурсы потребует выяснение этого для миллионов компьютеров?

ICEberg1981
P.M.
8-11-2016 13:18 ICEberg1981
Pragmatik:

Вы просто не представляете себе реалии производства. Не нужна никакая МАСШТАБНАЯ атака. Достаточно "ткнуть" точно в нужное место. Потому что в ЛЮБОМ практически производстве есть узкие места, которые просто нужно знать.
См. чуть выше, плиз. Не нужно никаких "массовых атак". Нужно просто прервать управление там, где оно идёт с компов. А это сейчас если не6 поголовно, то стремится к тому.

Вот только это прервет производство "в одном цеху"/"на одном заводе" на непродолжительный срок
что для страны/государства НЕКРИТИЧНО и максимум - заметно


akitukitua
P.M.
8-11-2016 13:24 akitukitua
Так нечестно, помогу Прагматику:
Originally posted by HighMan:

то проникнуть в неё очень не просто, не имея SSL сертификатов.


Гы, просто напишу ГПЧ, кто знает тот поймёт, кто не знает ГУГЛ в помощь

Originally posted by ICEberg1981:

а для "парализации САУ" еще необходимо выяснить чем именно занимается именно этот компьютер и тот ли это компьютер, который нужен тебе


Вы много знаете систем АСУ? Я примерно с десяток, если точнее то 2-3, всё остальное производное да и то в последнее время с унификацией, от всей АСУ только бантик остался, там даже винду поставить можно (бееее), разработчиков ещё меньше. Контор разворачивающих такие системы по пальцам рук, в каждой (разумеется в той, что занимается интересными вещами) сидит кадровый (не чета Сноудену) АНБшник, его задача сбор первоначальной информации и активизация необходимого типа закладки. Дальше в час Х нужный человечек нажимает нужную кнопочку и вуаля.
Простой пример война в Ираке, как там себя чувствовали фантомы и прочие немецкие танки после срабатывания закладки? Чем пришлось воевать саддаму?
HighMan
P.M.
8-11-2016 13:31 HighMan
ICEberg1981:

Вот только это прервет производство "в одном цеху"/"на одном заводе" на непродолжительный срок
что для страны/государства НЕКРИТИЧНО и максимум - заметно

Опять же встает вопрос определения, что нужно порушить именно ЭТО. Критерии определения очень не ясны. Вряд ли закладка, даже в ОС сможет собрать информацию о всей специфике. В этом вполне разумный живой сисадмин, разберется не сразу. Что говорить о тупой программе? Тем более, что закладка должна быть маленькой и не заметной, да и активироваться лишь изредка, что бы проверить наличие указаний у вражеского центра.
Далее, "узкое место" каким способом определяется? Вражеский центр вряд ли знает ВСЮ организацию и управление.
Узкие места могут быть прикрыты отказоустойчивыми кластерами.
Вообще, все важные цепи, дублируются.
Да и любое опасное производство имеет функцию "shutdown" при потере управляющего сигнала.


>
Guns.ru Talks
мужской разговор
Всё пропало! Мы под колпаком! ( 5 )