2 января в издании Нью-Йорк Таймс появилась обширная статья о грандиозной хакерской атаке, о которой мы уже писали ранее. В ней освещено несколько моментов, которые были неизвестны в самом начале эпопеи. Главный из них состоит в том, что сейчас возникает ситуация, аналогичная пандемии короны, чем больше тестов, тем больше зараженных. Тут – то же самое, чем глубже и шире копают эту ситуацию, тем больше оказывается взломанных серверов и сетей, как государственных учреждений, так и частных компаний.
Какое-то время назад был оглашен краткий перечень жертв атаки, но больше никаких подробностей не сообщалось. Просто можно судить о том, что оглашены были только цветочки и теперь этот список стал намного более внушительным. Тот факт, что нет особой дополнительной информации по жертвам атаки, можно расценивать как реакцию на речь Трампа в том плане, что «а может это и не россия вовсе».
То есть, действующий президент как минимум, показал свою незаинтересованность этой темой. Видимо те, кто занимается расследованием, решили пока копать без информационного шлейфа, чтобы люди Трампа не вмешались и не наломали дров, как это уже было многократно. Причем, сейчас уже непонятно зачем они это делали, по глупости или намеренно.
Тем не менее, некоторые важные подробности все же появились. Так, стало известно о том, как вообще могло стать возможным подобное масштабное вторжение. Это очень похоже на то, как комментируют причины авиакатастрофы коммерческого лайнера. Обычно говорят о том, что одной причины было бы не достаточно и сработала совокупность причин. Так произошло и в этом случае.
Как известно, вопросы кибербезопасности в США реализованы через Агентство Национальной Безопасности и Киберкомандование вооруженных сил, которое плотно замкнуто на АНБ. В своей деятельности оно использует протоколы и нормативно-правовую базу, применяемую и Агентством. Для выстраивания системы кибербезопасности, были израсходованы миллиарды долларов и прессе известно о том, что были созданы сторожевые системы «Эйнштейн» и C.D.M., целью которых является анализ различных параметров состояния Сети, чтобы по самым незначительным признакам выявить и обезвредить потенциальную опасность.
И в общем, все это неплохо организовано и работает как надо, поскольку для выявления анализа подозрительной активности в Сети используются новейшие технические достижения и для обеспечения мониторинга в режиме реального времени, активно используются возможности искусственного интеллекта. Казалось бы, в такой плотной оборонительной системе не может быть брешей, в которые противник может проникнуть незамеченным.
Так, в день выборов, генерал Пол Накасоне, являющийся одновременным руководителем АНБ и Киберкомандованием, заявил о полном контроле ситуации, в этом направлении. Он также сказал о том, что подчиненные ему ведомства настолько усилили свои позиции, что россияне просто отказались от попыток вторжения в критически важные сетевые структуры США. Просто напомним о том, что американцам стало известно о том, что россияне внедрили в программы, управляющие энергетикой США вредоносные программы, способные создать энергетический локдаун, подобный тому, какой они устроили на объектах энергетики Украины в 2015 году. Американцы ответили симметрично и внедрили «выключатель» в российские системы.
(Окончание следует)
якщо черв”як потрапив через обнову/ви Охвіса, то ХТО дасть ґарантію, що мокшанська хрінь не стоїть на компі у КОЖНОГО з користвачів даного мікромНягкого “продуХту”?
Питання риторичне, оскільки на компі стоять десятки програм, які переважно автоматично оновлюються. А хто дасть хоч мізерні гарантії щодо OpenOffice? Ніхто. Тут вже йдеться про загальну культуру користувача та його уважність при таких оновленнях, а саме, увагу на пташки за замовчуванням в таких малесеньких квадратиках. Точно як з природними вірусами: дистанція і чисті руки 🙂 Запевняю Вас, опираючись на свій досвід, що в першу чергу треба бути уважними з програмним продуктом російського походження, навіть якщо воно приховано розповсюджується з серверів за межами поребрика. З ними можна так заїхати в прірву, що без “хірурга” ніяк.
Гарантії чого? Гарантії того, що хтось із розробників туди не намагатиметься спромогтися вписати якийсь модуль? Чи те, що цей модуль побачать інші програмісти, які теж працюють над чимось, що із ним пов’язано?
Просто пройдіться по робочому процесу від початку до кінця швиденько, щоб зрозуміти, на якому етапі є ризики і як вони виглядають. І задача вже буде не “хто дасть гарантії”, а конкретний план менеджменту цих ризиків.
І помилки в коді, і навмисні закладки можуть бути як в закритому коді, так і в відкритому.
Тут питання скоріше так треба ставити – якій моделі коду легше приховати і замовчати проблему.
Наведу приклад. Біля року тому, була дуже гучна в колах IT безпеки історія з виробниками роутерів відразу у декількох виробників, де завдяки діркам в їх ПО можна було отримати доступ до керування роутером ззовні. Ви можете перелічити виробників, чи хоча б згадати саму історію? Жоден з представників компаній тоді не зробив ніякого коментарів, обмежившись “нам відома проблема, ми працюємо над її вирішенням”. Зрештою вони так само тихо випустили патчі для моделей, які на гарантії, а те, що вийшло з гарантії – так мабуть і лишилося без уваги. А може і не все полагодили, зто його скаже напевно? Ні інформації, ні коду, щоб подивитися.
І саме з цим проблема. А не з тим, що хтось з ЛібреОфісу надає якісь гарантії.
Ну і другий, не меньше важливий аспект. Opensource ПО асоціюється з UNIX системами, через те, що ці системи не можуть постачатися ні з яким іншим ПО. А UNIX системи мають в своїй основі систему повноважень, яка в більшості і є тим важелем, який не дає шкідливому коду розповсюджуватися швидко без контролю.
Встановіть opensource продукт на екаунті без адмін доступу – і він скоріш за все встановиться, тільки для локального юзера.
Спробуйте те ж саме зробити з Вордом чи навіть Блокнотом – юзеру знадобляться адмін права. Це означає те, що будь-яка подєлка від майкрософту, яка стає ціллю хакера через дірку в небезпеці, дає доступ до керування всією системою. А в UNIX філософія інша – кожен процес має бути запущений з мінімально необхідними повноваженнями. Щоб у випадку перехоплення контролю над ним (згадайте, гарантій ніяких не існує, але…), хакер не міг зробити нічого із системою.
Звісно, це дуже спрощено. Можливості і філософія мають ще бути поєднані із досвідченістю і відповідальністю користувача.
Я не лінуксоід, але кажуть, що там відкритий код, а отже, завжди є можливість перевірити код.
Встановити його з надійного джерела, та заборонити оновлення.
Ще невідомо, що гірше відсутінсть оновлень, чи оновлення. Хоча Опен-сорс програма віри більше ніж майкрософт, бо ті і самі не знають, що у них в коді діється
“Хоча Опен-сорс програма віри більше ніж майкрософт, бо ті і самі не знають, що у них в коді діється”
При всей моей нелюбви к MS я бы не был так категоричен.
А хто перевірятиме? Пересічний користувач точно ні, буде сприймати на віру. До речі, самі верифікації вимагають на порядок більше часу і ресурсів. Буває й так, що легше написати програмний код заново, ніж перевіряти попередній. Та й треба розрізняти звичайні помилки програмування та свідоме перекручення коду з певною метою. Тому й не дивують такі кошти у $, витрачені на таку перевірку.
Андрій Дар | 4 Січня, 2021 at 11:58
… кажуть, що там відкритий код, а отже, завжди є можливість перевірити код.
Я уже писал здесь в комментах, что аудит малюсенькой программки TrueCrypt с открытым кодом
https://ru.wikipedia.org/wiki/TrueCrypt
занял почти два года! Не говоря уж о средствах.
Вы представляете, сколько времени и средств потребуется на аудит операционной системы?
Да только за это время выйдет несколько новых версий оси, и что там в них будет накручено – кто знает?
Кстати, настоятельно рекомендую прочитать хотя бы статью на вики (ссылка выше).
История с TrueCrypt очень показательна в плане воздествия спецслужб на независимых разработчиков и использования этого самого открытого кода для внедрения в него “закладок”…
И возникает вопрос – а кто его РЕАЛЬНО проверяет? Особенно в малоинтересных (с точки зрения разработчика) местах?
Andriy Moderator | 4 Січня, 2021 at 16:49
И возникает вопрос – а кто его РЕАЛЬНО проверяет?
Ну, в случае целенаправленного аудита, видимо, таки проверяют.
А в повседневной работе? Думаю, как и у проектировщиков: я проверяю Васины чертежи, Вася проверяет Петины, а Петя – мои. И время на это не выделяют, у каждого своей работы хватает. Глянул, вроде все верно. Размеры деталей совпадают, допуски подозрений не вызывают, расстояния между дырками у деталей одинаковы. А то, что одна группа дырок в одной детали смещена относительно соответствующей группы дырок в другой детали – не заметил. Вот попробуйте потом эти детали собрать!
Да, когда выполняется официальный аудит, за деньги. Но тут нет никакой разницы коммерческого софта и open source.
А вот полагаться на то, что кто-то серьезно высматривает весь open source код – по меньшей мере наивно. Интересный код, над которым работает много народу – возможно. А малоинтересные широкой публике проекты, над которыми работают несколько человек – маловероятно. А таких большинство (IMHO).
Коммерческий софт как в серьезных компаниях проверяется, у нас специально закладывается в проект задача code review, без него изменение не будет принято. Да, review не делается досконально, да ошибки или не самый лучший дизайн иногда проходят. Но серьезный злонамеренный код не пройдет. Да, в отличие от open source, сама компания может в продукт заложить что-то, что может не понравиться широкой публике, например отслеживание местоположения смартфона с выдачей соответствующей рекламы. Но так чтобы заложить Трояна для внешнего взлома – малореально.
To Влад | 4 Січня, 2021 at 19:03; to pan_futiy | 4 Січня, 2021 at 19:12
Можливо помиляюсь, однак Ви значно спрощуєте проблему. Наведу приклад: програмний код системи пишуть зовсім не в машинних кодах, тоді дійсно, можна б було відносно швидко виявити й помилки, й зовнішнє втручання, оскільки достатньо намалювати блок-схему і проаналізувати переходи в ній, виходи на зовнішні порти й т.п. Колись навіть завантажити операційну систему машин типу ЕС (тобто IBM) можна було з трьох перфокарт, коди на якій знали напам’ять. Тепер програмують вже не ядро системи, а окремі модулі на мовах вищого рівня. Після трансляції розібратись в об’єктному модулі (на асемблері), де управління передається десяткам інших модулів без знання для чого, неможливо. Ось тут й зарита собака. Код можна прочитати з “довідником” і помилок не знайдете, хоча й транслятор їх не пропустить, а ось куди і для чого передається управління з відповідною інформацією в реєстрах, які робляться перевірки з даними, які поступили звідкилясь, будете розбиратись ціле життя, витягуючи ланцюжком всі модулі операційної системи. Передається управління за якоюсь адресою в оперативній пам’яті, добре що абсолютною, а якщо відносною, а якщо ще зацикленою? Крім того, ви ж не думаєте, що там будуть відкриті і зрозумілі коментарі. Тепер ще додайте глобальну мережу з її можливостями. Вам це треба? На жаль, привести зрозумілий приклад з оточуючого світу не можу для порівняння проблем, знаю лише одне, що розгрібати чужі програми – це повністю зануритись у світ машинних кодів на невідомий період часу і просіювати, просіювати величезний об’єм інформації, 99,99% якої потім йде в смітник. Це зовсі не те, що читати наші коментарі і тішитись, що знайшли щось не те, й розгадувати – це помилка чи свідомий жарт (тут три 🙂 🙂 🙂 ).
А щодо самого програмного продукту, то це інтелектульна власність, її розробник сам вирішує, чи ще можна на ньому заробити, чи, якщо він ще актуальний, передати у вільний доступ як надбання людства (тепер це, для прикладу, об’єктні модулі математичних пакетів, які розроблялись в 60-70-80 роках і вільно викорстовуються, зокрема, у такому широко рекламованому і зовсім не дешевому продукті як MatLab та інш.).
І останнє, самий найкращий пароль для адміндоступу – це “ключ от квартиры, где деньги лежат”, і то не завжди. Тут якраз система паролів спонукає до пошуку прямого доступу до даних. Де є пароль, завжди й у всіх виникає інколи, коли забули, потреба його зламати. Тут на ринку є також свої пропозиції різної складності й доступності. Таке життя, що поробиш, треба з цим змиритись.
До хрена русских инженеров работает на стратегических объектах США.америкосы не понимают ,что это партизаны клопы ещё те!