![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Заголовок WaPo:
Russian operation hacked a Vermont utility, showing risk to U.S. electrical grid security, officials say.
Ну то есть всё, сейчас Путин нам отключит электричество. А теперь суть дела:
Burlington Electric said in a statement that the company detected a malware code used in the Grizzly Steppe operation in a laptop that was not connected to the organization’s grid systems.
Т.е. на каком-то лаптопе (с которого скорее всего скучающие работники смотрели в интернете сами понимаете что), не имеющем отношения к функционировании системы, нашли малварь. Скорее всего, попавшую туда либо с вышеописанного сайта, либо кликом на спам. И нам рассказывают об этом заголовком "hacked Vermont utility". И так у них всё, да. И это ещё хорошо, потому что, например, на kasparov.ru заголовок уже прямо "Российских хакеров обвинили в атаке на американские электросети".
PS. с другой стороны, если эта паника наконец-то принудит начальников всяческих утилит, у которых сейчас IT-безопасность наверняка на уровне 70-х где-то - вспомним, кстати, что Target ломанули через хак AC-провайдера - вложиться в эту тему и установить какие-то разумные правила на этот счёт, типа регулярной чистки конюшен, airgapping критически важных систем, реальное разграничение доступа, регулярные аудиты, и т.д. и т.п. - то будет хоть шерсти клок.
От серьёзных военных вещей это не защитит, но от 99.99% говна, которое плавает по просторам интернета - таки да.
PPS. Там есть ссылка на отчёт CERT, в котором, по словам WaPo (что не означает, что это правда, конечно), содержится описание найденного малваря. В отчёте я нашёл описание только одного малваря - точнее, сигнатуру, явно описывающую скрипт на PHP. Причём в довольно общую - т.е. из всего там упомянутого разве что $md5 не встречается в каждом втором скрипте. Но самое интересное тут не это, а вот что - если речь действительно о малвари, детектируемой этим скриптом, то что PHP-скрипт делал на лаптопе?
PPPS. В своей профессиональной деятельности я имел некоторый опыт работы с автоматическими сканерами уязвимостей. Ровно 100% из виденных мной сканеров - заточены под произведение пухлого и внушительно выглядящего отчёта, и без тщательного разбора понимающим (и грязно матерящимся, что ему опять нужно всё это разгребать, как только начальство не слышит) специалистом ни к чему, кроме вселения страха божьего в начальство, не пригодны. Т.е. не поймите меня неправильно - оно находит то, что должно находить, и нередко. Но заодно оно находит ещё по 50 false positives на один true positive. И у меня есть сильное подозрение, как бы этот случай как раз и не был примером. Доказательств никаких, просто подозрение такое, по совокупности.
Russian operation hacked a Vermont utility, showing risk to U.S. electrical grid security, officials say.
Ну то есть всё, сейчас Путин нам отключит электричество. А теперь суть дела:
Burlington Electric said in a statement that the company detected a malware code used in the Grizzly Steppe operation in a laptop that was not connected to the organization’s grid systems.
Т.е. на каком-то лаптопе (с которого скорее всего скучающие работники смотрели в интернете сами понимаете что), не имеющем отношения к функционировании системы, нашли малварь. Скорее всего, попавшую туда либо с вышеописанного сайта, либо кликом на спам. И нам рассказывают об этом заголовком "hacked Vermont utility". И так у них всё, да. И это ещё хорошо, потому что, например, на kasparov.ru заголовок уже прямо "Российских хакеров обвинили в атаке на американские электросети".
PS. с другой стороны, если эта паника наконец-то принудит начальников всяческих утилит, у которых сейчас IT-безопасность наверняка на уровне 70-х где-то - вспомним, кстати, что Target ломанули через хак AC-провайдера - вложиться в эту тему и установить какие-то разумные правила на этот счёт, типа регулярной чистки конюшен, airgapping критически важных систем, реальное разграничение доступа, регулярные аудиты, и т.д. и т.п. - то будет хоть шерсти клок.
От серьёзных военных вещей это не защитит, но от 99.99% говна, которое плавает по просторам интернета - таки да.
PPS. Там есть ссылка на отчёт CERT, в котором, по словам WaPo (что не означает, что это правда, конечно), содержится описание найденного малваря. В отчёте я нашёл описание только одного малваря - точнее, сигнатуру, явно описывающую скрипт на PHP. Причём в довольно общую - т.е. из всего там упомянутого разве что $md5 не встречается в каждом втором скрипте. Но самое интересное тут не это, а вот что - если речь действительно о малвари, детектируемой этим скриптом, то что PHP-скрипт делал на лаптопе?
PPPS. В своей профессиональной деятельности я имел некоторый опыт работы с автоматическими сканерами уязвимостей. Ровно 100% из виденных мной сканеров - заточены под произведение пухлого и внушительно выглядящего отчёта, и без тщательного разбора понимающим (и грязно матерящимся, что ему опять нужно всё это разгребать, как только начальство не слышит) специалистом ни к чему, кроме вселения страха божьего в начальство, не пригодны. Т.е. не поймите меня неправильно - оно находит то, что должно находить, и нередко. Но заодно оно находит ещё по 50 false positives на один true positive. И у меня есть сильное подозрение, как бы этот случай как раз и не был примером. Доказательств никаких, просто подозрение такое, по совокупности.
Tags:
no subject
no subject
вцелом заявления о русских хакерах за последние полгода производят впечатление, что демократы усиленно ищут до чего доебаться и людей, согласных это сделать и подписаться под этим, но все отказываются, в конце остаются лишь ни на что не годные остолопы, способные вот на такие глупые отчёты
то же касается частных фирм, ФайрАй вообще замаран аттрибуцией севернокорейцев во взломе Сони, вполне могли взять бабло правительственными контрактами, у них недавно были массовые сокращения и неоправдание ожиданий рынка, захотели поправить финансовое положение
no subject