russkie idoot!

[stas]

Заголовок WaPo:

Russian operation hacked a Vermont utility, showing risk to U.S. electrical grid security, officials say.

Ну то есть всё, сейчас Путин нам отключит электричество. А теперь суть дела:

Burlington Electric said in a statement that the company detected a malware code used in the Grizzly Steppe operation in a laptop that was not connected to the organization’s grid systems.

Т.е. на каком-то лаптопе (с которого скорее всего скучающие работники смотрели в интернете сами понимаете что), не имеющем отношения к функционировании системы, нашли малварь. Скорее всего, попавшую туда либо с вышеописанного сайта, либо кликом на спам. И нам рассказывают об этом заголовком "hacked Vermont utility". И так у них всё, да. И это ещё хорошо, потому что, например, на kasparov.ru заголовок уже прямо "Российских хакеров обвинили в атаке на американские электросети". 

PS. с другой стороны, если эта паника наконец-то принудит начальников всяческих утилит, у которых сейчас IT-безопасность наверняка на уровне 70-х где-то - вспомним, кстати, что Target ломанули через хак AC-провайдера - вложиться в эту тему и установить какие-то разумные правила на этот счёт, типа регулярной чистки конюшен, airgapping критически важных систем, реальное разграничение доступа, регулярные аудиты, и т.д. и т.п. - то будет хоть шерсти клок. 
От серьёзных военных вещей это не защитит, но от 99.99% говна, которое плавает по просторам интернета - таки да. 

PPS. Там есть ссылка на отчёт CERT, в котором, по словам WaPo (что не означает, что это правда, конечно), содержится описание найденного малваря. В отчёте я нашёл описание только одного малваря - точнее, сигнатуру, явно описывающую скрипт на PHP. Причём в довольно общую - т.е. из всего там упомянутого разве что $md5 не встречается в каждом втором скрипте. Но самое интересное тут не это, а вот что - если речь действительно о малвари, детектируемой этим скриптом, то что PHP-скрипт делал на лаптопе? 

PPPS. В своей профессиональной деятельности я имел некоторый опыт работы с автоматическими сканерами уязвимостей. Ровно 100% из виденных мной сканеров - заточены под произведение пухлого и внушительно выглядящего отчёта, и без тщательного разбора понимающим (и грязно матерящимся, что ему опять нужно всё это разгребать, как только начальство не слышит) специалистом ни к чему, кроме вселения страха божьего в начальство, не пригодны. Т.е. не поймите меня неправильно - оно находит то, что должно находить, и нередко. Но заодно оно находит ещё по 50 false positives на один true positive. И у меня есть сильное подозрение, как бы этот случай как раз и не был примером. Доказательств никаких, просто подозрение такое, по совокупности. 

Comments

[juan_gandhi]

Ну кто-то же должен давать справку, что все заебись. В предыдущей конторе нашли диагностов, которые дали официальную справку, что мы ХИПАА соблюдаем. А что пасворды открытым текстом в базе, и что есть API, по которому можно SSN клиентов скачивать - это ж никто не знает.

[stas]

Ну да, того, что я знаю об этом, вполне достаточно, чтобы подозревать, как ужасно то, что я не знаю. Говно и палки - это ещё в лучшем случае, обычно даже палки ленятся поставить. А тут подвернулся такой случай всё на Путина свалить.

[juan_gandhi]

А кстати да. Обама в подъездах насрал, Путин в ответ вермонтскую канализацию хакнул.

[stas]

Именно так. Т.е. реально на уровень ватников опустились.

[cjelli]

Заголовок kasparov.ru, как раз, по делу. Их действительно обвинили, непонятно кто - WaPo, видимо. Безграмотно и беспочвенно, но ведь обвинили. И сам очерк на каспаров.ру таков, что придраться там особо не к чему, репортаж, да и только.

[stas]

Technically correct is the best kind of correct :)

Вопрос в том, что писать репортаж о fake news, никак не упоминая, что это fake - ничуть не лучше, чем писать сам фейк. Понятно, что все пишут: А сказал, что Б сказал, что В сказал Г, что ему анонимных источник на ушко шепнул - и типа все не при чём. Но это как-то слабо на отмазку тянет.

[1master]

Вы сканеры не за то ругаете. По крайней мере лидирующую тройку, безусловно, делают люди с руками из жопы, но подавляющее большинство срабатываний у них по делу, а что не по делу выше medium не поднимается.

[stas]

Чем отличается medium от low и high - это как раз специалист разбирается. Причём критерии каждый раз разные и надо всё равно всё читать. А начальник обычно видит отчёт, в котором написано "9000 issues detected" и офигевает. Обьяснять ему, что среди issues наличествуют такие, как "ваша организация сержит вебвервер, а это значит, что в нём могут быть уязвимости" - это долго, и (условное) WaPo к этому времени уже опубликовало статью "В безопасности найдено 9000 дырок! Путин торжествует!"

[1master]

Да похрену чем high и low отличаются, главное это какие SLA у конторы для их починки.
Я не знаю, что за сканеры вы видели, а те, что видел я, на просто софт не возбуждались, им реальная дырка нужна.
Что не делает нынешнюю хакерскую панику ни на грамм лучше, для понимания можно еще тредики в фейсбуке у арканоида посмотреть.

[stas]

Ну я уже несколько лет к этому касательства не имею, так что может дела изменились, но всё, что я видел, в моей области (web apps, C code) - да, ловило баги, да, иногда весьма нетривиальные, но при этом давало диков количество false positives. Ну, там, Тюринг, плюс бардак, дело в общем-то понятное, я даже не в обиде. Просто к этому дельфийскому оракулу обычно нужен толкователь, а некоторые его потребляют, похоже, прямо так, из горла - это для здоровья неполезно.

[1master]

А, это терминологическая проблема оказывается. Это называются static code analyzer и dynamic web [application] scanner. Эти дико шумные до сих пор, тут не вопрос. Вторые причем еще ничего, у них шум по крайней мере про реальные вещи, просто на мелочи размениваются, а статанализ действительно кого угодно задолбает криками "у тебя переменная password называется, а ты ее пустым значением инициализируешь, всё пропало".

С наступающим!

[stas]

А, если имелись в виду те, которые known bugs сканируют - да, с теми не вопрос, это проще :) Но в целом я заметил такой mindset - лучше перебдеть, чем недобдеть. Что, конечно, полезно, но...

[leo_sosnine]

про пхп скрипт тут подробно:

https://www.wordfence.com/blog/2016/12/russia-malware-ip-hack/

[cjelli]

У меня сложилось впечатление, что практически все американские службы страдают одним тяжелым недостатком, для них и в 2016 году Украина и Россия - по-прежнему одно и то же.

[leo_sosnine]

да тут даже не в этом дело, просто этот инструмент доступен кому угодно => аттрибуция совершенно бессмысленна и практически невозможна

вцелом заявления о русских хакерах за последние полгода производят впечатление, что демократы усиленно ищут до чего доебаться и людей, согласных это сделать и подписаться под этим, но все отказываются, в конце остаются лишь ни на что не годные остолопы, способные вот на такие глупые отчёты

то же касается частных фирм, ФайрАй вообще замаран аттрибуцией севернокорейцев во взломе Сони, вполне могли взять бабло правительственными контрактами, у них недавно были массовые сокращения и неоправдание ожиданий рынка, захотели поправить финансовое положение

[cjelli]

Но для них даже если первоначальная аттрибуция указывает на Украину, это все равно, что на Россию.

[stas]

О, спасибо, это по делу!

Судя по тому, что мы там видим, это вполне commodity RAT, хез насчёт Украины, кто угодно может написать "Украина", но в целом выглядит, как вполне стандартный kit, какими торгуют по всему даркнету.

А главное, этому RAT ну совершенно нечего делать на лаптопе, который к тому же наверняка под Windows - это явно создано для заброски в wordpress и т.п. Т.е. ситуация с вермонтским лаптопом ещё непонятнее становится.

Т.е. вот тут правильно пишут - это как если бы на месте преступления нашли бы автомат Калашникова и на этом основании решили бы, что преступники из ФСБ.

[leo_sosnine]

Технически нет проблем иметь вордпресс с пхп и мускулом и апачем на винде, если бы это был сервер можно было бы предположить, но откуда на лаптопе, смысла нет, если только это не лаптоп девелопера какого-то, по недоразумению с расшаренным портом 80 для всех, а не только для 127.0.0.1

[stas]

Да я знаю, что можно технически, и даже не на апаче... Всё можно. Но зачем эта вся радость будет на каком-то лаптопе на электростанции в Вермонте? Ну да, конечно, можно предположить лоха-девелопера с локальной копией вордпресса. Но с тем же успехом и большей вероятностью можно предположить просто лоха, который поймал случайный drive-by малварь, даже не на него нацеленный, а просто потому, что кликнул не туда, и этот малварь даже не делает нифига, просто в папке downloads лежит. В общем много вариантов...

[leo_sosnine]

И да, Джеффри Карр по делу пишет, он давно смеётся над этими потугами, впрочем, как и почти всё инфобез коммьюнити

Бейтлика теперь держат за говорящую голову, также как и Алперовитча, я думаю, постепенно начнут

[ak_47]

Я чувствую что кампания по выявлению fake news отрикошетит по самим инициаторам. Теперь многие начинают автоматически проверять хотя бы минимальную credibility истории, не важно где она напечатана. И вдруг выясняется что лажа идёт густым потоком. По ссылке почитал реакцию людей - большое количество читателей плюются. И это только обычная аудитория WaPo.

[stas]

Всегда так делаю :)
Но я, конечно, не "обычная аудитория WaPo"... Опять же, если это будет результатом - дайену.

[ak_47]

Я знаю что такое דיינו. :)

Насчёт fake news, я обнаружил что анекдот про поручика, который генралу в штаны наложил, прекрасно переводится с заменой персонажа на английского аристократа и понимается англоязычными слушателями. Вообще, уровень здравого смысла среди "народа" сильно недооценён медийной бранжой.

[stas]

Мой журнал не только вы читаете, это же публичный форум. Анекдот про поручика я сразу же вспомнил, прочитав статью WaPo, у даже подумал, как именно его перевести на английский :) Видимо, ситуация донельзя очевидна.

[ak_47]

Про fake news и русских хакеров уже даже австралы смеются. Думаю среди американцев эту ерунду только самые идейно выдержанные заглатывают.

[dasblinkenlight.livejournal.com]

А заголовок на "Каспарове" вполне себе так, особенно если перед "обвинили" вставить "безосновательно".

[stas]

Это был бы совсем другой заголовок.