![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Заголовок WaPo:
Russian operation hacked a Vermont utility, showing risk to U.S. electrical grid security, officials say.
Ну то есть всё, сейчас Путин нам отключит электричество. А теперь суть дела:
Burlington Electric said in a statement that the company detected a malware code used in the Grizzly Steppe operation in a laptop that was not connected to the organization’s grid systems.
Т.е. на каком-то лаптопе (с которого скорее всего скучающие работники смотрели в интернете сами понимаете что), не имеющем отношения к функционировании системы, нашли малварь. Скорее всего, попавшую туда либо с вышеописанного сайта, либо кликом на спам. И нам рассказывают об этом заголовком "hacked Vermont utility". И так у них всё, да. И это ещё хорошо, потому что, например, на kasparov.ru заголовок уже прямо "Российских хакеров обвинили в атаке на американские электросети".
PS. с другой стороны, если эта паника наконец-то принудит начальников всяческих утилит, у которых сейчас IT-безопасность наверняка на уровне 70-х где-то - вспомним, кстати, что Target ломанули через хак AC-провайдера - вложиться в эту тему и установить какие-то разумные правила на этот счёт, типа регулярной чистки конюшен, airgapping критически важных систем, реальное разграничение доступа, регулярные аудиты, и т.д. и т.п. - то будет хоть шерсти клок.
От серьёзных военных вещей это не защитит, но от 99.99% говна, которое плавает по просторам интернета - таки да.
PPS. Там есть ссылка на отчёт CERT, в котором, по словам WaPo (что не означает, что это правда, конечно), содержится описание найденного малваря. В отчёте я нашёл описание только одного малваря - точнее, сигнатуру, явно описывающую скрипт на PHP. Причём в довольно общую - т.е. из всего там упомянутого разве что $md5 не встречается в каждом втором скрипте. Но самое интересное тут не это, а вот что - если речь действительно о малвари, детектируемой этим скриптом, то что PHP-скрипт делал на лаптопе?
PPPS. В своей профессиональной деятельности я имел некоторый опыт работы с автоматическими сканерами уязвимостей. Ровно 100% из виденных мной сканеров - заточены под произведение пухлого и внушительно выглядящего отчёта, и без тщательного разбора понимающим (и грязно матерящимся, что ему опять нужно всё это разгребать, как только начальство не слышит) специалистом ни к чему, кроме вселения страха божьего в начальство, не пригодны. Т.е. не поймите меня неправильно - оно находит то, что должно находить, и нередко. Но заодно оно находит ещё по 50 false positives на один true positive. И у меня есть сильное подозрение, как бы этот случай как раз и не был примером. Доказательств никаких, просто подозрение такое, по совокупности.
Russian operation hacked a Vermont utility, showing risk to U.S. electrical grid security, officials say.
Ну то есть всё, сейчас Путин нам отключит электричество. А теперь суть дела:
Burlington Electric said in a statement that the company detected a malware code used in the Grizzly Steppe operation in a laptop that was not connected to the organization’s grid systems.
Т.е. на каком-то лаптопе (с которого скорее всего скучающие работники смотрели в интернете сами понимаете что), не имеющем отношения к функционировании системы, нашли малварь. Скорее всего, попавшую туда либо с вышеописанного сайта, либо кликом на спам. И нам рассказывают об этом заголовком "hacked Vermont utility". И так у них всё, да. И это ещё хорошо, потому что, например, на kasparov.ru заголовок уже прямо "Российских хакеров обвинили в атаке на американские электросети".
PS. с другой стороны, если эта паника наконец-то принудит начальников всяческих утилит, у которых сейчас IT-безопасность наверняка на уровне 70-х где-то - вспомним, кстати, что Target ломанули через хак AC-провайдера - вложиться в эту тему и установить какие-то разумные правила на этот счёт, типа регулярной чистки конюшен, airgapping критически важных систем, реальное разграничение доступа, регулярные аудиты, и т.д. и т.п. - то будет хоть шерсти клок.
От серьёзных военных вещей это не защитит, но от 99.99% говна, которое плавает по просторам интернета - таки да.
PPS. Там есть ссылка на отчёт CERT, в котором, по словам WaPo (что не означает, что это правда, конечно), содержится описание найденного малваря. В отчёте я нашёл описание только одного малваря - точнее, сигнатуру, явно описывающую скрипт на PHP. Причём в довольно общую - т.е. из всего там упомянутого разве что $md5 не встречается в каждом втором скрипте. Но самое интересное тут не это, а вот что - если речь действительно о малвари, детектируемой этим скриптом, то что PHP-скрипт делал на лаптопе?
PPPS. В своей профессиональной деятельности я имел некоторый опыт работы с автоматическими сканерами уязвимостей. Ровно 100% из виденных мной сканеров - заточены под произведение пухлого и внушительно выглядящего отчёта, и без тщательного разбора понимающим (и грязно матерящимся, что ему опять нужно всё это разгребать, как только начальство не слышит) специалистом ни к чему, кроме вселения страха божьего в начальство, не пригодны. Т.е. не поймите меня неправильно - оно находит то, что должно находить, и нередко. Но заодно оно находит ещё по 50 false positives на один true positive. И у меня есть сильное подозрение, как бы этот случай как раз и не был примером. Доказательств никаких, просто подозрение такое, по совокупности.
Tags: