IT в Украине

[Etobicoke Resident]

Просто не сидять на Доу

[AlexUA]

Удивило малое количество тех, кто работает больше 15-20 лет. Мне казалось нас больше

Выросли из коротких штанишек и разбежались кто куда...

[Tamerlan]

Сейчас посчитал - работаю в IT 18 лет. Где тут смайлик бородатого дедушки?

А мне, с моими 28-ю годами, какой смайлик?...

Для таких как ты как раз:
Документация по Фортрану на староанглийском

 

[Roman_V_M]

Документация по Фортрану на староанглийском

Путать староанглийский и ранний новоанглийский - это как путать массу и вес.

[Даяна]

Есть вести с полей борьбы с вчерашней напастью?
Мужа боюсь спрашивать, со вчерашнего дня он, кажется, несколько утратил способность связно выражаться человеческим языком.

[Lilьka]

Мой справился, вчера в 9 вечера уже был дома  А его корпоративные коллеги из Киева до ночи еще мучались, результат пока не известен. Но завтра придется рабочие компы восстанавливать.

[Игрек]

Мои в Киеве любятся с прошлого утра. Чисто на глаз - сегодня к вечеру или завтра с утра отрапортуют, что запустились, но на практике авралить будут все выходные. Про регионы пока страшно спрашивать...

[Кіндрат Калистратович]

Сильпо, АТБ, терминалы, банкоматы Привата, Аваля всё работает.
С работы тоже не звонили. Кажется пронесло.

[Mike123]

Сильпо, АТБ, терминалы, банкоматы Привата, Аваля всё работает.

Так сколько там - винду переставить? Ничего ценного и уникального в кассовых терминалах не лежит.

[Старина Z]

Вроде на кошелек, который был указан создателями вируса, за пару дней поступило всего около 8 тысяч долларов. Негусто.
При этом ключ разблокировки вроде никому не сбросили.

[Кіндрат Калистратович]

Сильпо, АТБ, терминалы, банкоматы Привата, Аваля всё работает.

Так сколько там - винду переставить? Ничего ценного и уникального в кассовых терминалах не лежит.

Сегодня присматривался, нет там Винды. В АТБ какой-то POS front-end, в Сильпе какой-то Линукс.
В банкоматах кажется ХР-шка.

[invariant]

В банкоматах кажется ХР-шка.

В приватовских по крайней мере (приходилось наблюдать перезагрузку). В терминалах пополнения счетов, помимо XP, встречается и 2000. 
А на кассе фуршета как-то наблюдал загрузку ReactOS. М.б. то эксперимент был, не знаю. Она же вечная альфа и никаких предпосылок, что что-то изменится.

[Mike123]

При этом ключ разблокировки вроде никому не сбросили.

Так статья же тут гуляла, что заблочили их почту, потому никаких ответов не будет.

[Кіндрат Калистратович]

встречается и 2000. 

У нас АРМы операторов на 2000-й, 10 лет ни одной переустановки. Там и перезагрузки-то раз в год.

Cпойлер

А чему там ломаться?
Чистая винда и прога, которая 10 лет не менялась. Все внешние сношения обрублены.

[IMXO]

У нас вчера в приказном порядке все компы вырубили. Отсутствующие сотрудники, не сохранившие документы, будут удивлены.

[Кіндрат Калистратович]

У нас вчера в приказном порядке все компы вырубили. Отсутствующие сотрудники, не сохранившие документы, будут удивлены.

Отсутствующие сотрудники, не сохранившие документы, сами по себе неплохо удивляют.

[invariant]

Cпойлер

А чему там ломаться?
Чистая винда и прога, которая 10 лет не менялась. Все внешние сношения обрублены.

Cпойлер

На работе до сих пор имеется ноут 486DX4-75 о 24 МБ ОЗУ, с 98-й, иногда включается в качестве программатора для всяких древностей. Из средств общения с внешним миром - флопик с попиленными головками и COM-порт, неспособный работать на скорости выше 57600. Собственно, 98-ю я на него через этот самый COM-порт и ставил. 

[Tamerlan]

Удивлён масштабом эпидемии, честно говоря. В пострадавших конторах так плохо с политиками безопасности?

[Leo_need]

политиками безопасности?

Это ты щас сказал очень умные слова для них.

[Lilьka]

У кого "политика безопасности", тот дома был почти вовремя 

в Сильпе какой-то Линукс.

 

[Кіндрат Калистратович]

политиками безопасности?

Это ты щас сказал очень умные слова для них.

Ага, они вне политики.

[Кіндрат Калистратович]

в Сильпе какой-то Линукс.

 

Чего?! Я видел как на кассе перезагрузку делали. 
Mint даже вроде бы.

[Игрек]

Был в свое время такой Игорь Шаститко. Евангелист Микрософта, отличный докладчик и популяризатор их технологий, известный на всю Украину.
В 2012 он уехал работать в Словакию и в целом сошел с небосклона.
А по поводу этой эпидемии сегодня разразился большим опусом, в котором, захлебываясь говном слюной, рассказывает, как убога эта Украина, убого украинское ИТ, и украинский микрософт в частности. Ничего не делали, чтоб подготовиться к таким факапам, и пользователей/клиентов научить/подготовить, и столько времени впустую просрали... Впечатление - 
Ты ж с этими людьми десяток лет проработал, и это именно ты не научил не показал, и сейчас ты работаешь в стеке микрософтовских технологий - ну это по меньшей мере непрофессионально, так поливать бывшую компанию и бывших коллег.
Образцовый случай, когда слова Петра об Иване говорят о Петре, а не об Иване.
Говенный человечек оказался.

[AlexUA]

Говенный человечек оказался.

Чистая психология...

Когда ты варишься в кухне где проходят через руки ярды баксов и сидишь в заштатной стране с оборотом в пару сотен то нужно как то выпрыгнуть... 

[Tamerlan]

Просто стало интересно. А у вас в компаниях на компах в домене блокируются учетки локальных администраторов? Или нет?

[Nortaga]

Sergey Prach: Серверы обновлений M.E.Doc оказались на хостинге WNet

Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.

Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:

Cпойлер

   $dig -t any upd.me-doc.com.ua

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10

    ;; QUESTION SECTION:
    ;upd.me-doc.com.ua. IN ANY

    ;; ANSWER SECTION:
    upd.me-doc.com.ua. 59 IN A 92.60.184.55

    ;; AUTHORITY SECTION:
    com.ua. 66991 IN NS ho1.ns.com.ua.
    com.ua. 66991 IN NS nix.ns.ua.
    com.ua. 66991 IN NS ba1.ns.ua.
    com.ua. 66991 IN NS k.ns.com.ua.
    com.ua. 66991 IN NS sns-pb.isc.org.

Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.

    В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?

Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги. Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:

Cпойлер

    whois 92.60.184.55
    [Querying whois.arin.net]
    [Redirected to whois.ripe.net]
    [Querying whois.ripe.net]
    [whois.ripe.net]
    % This is the RIPE Database query service.
    % The objects are in RPSL format.
    %
    % The RIPE Database is subject to Terms and Conditions.
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf

    % Note: this output has been filtered.
    % To receive output for a database update, use the “-B” flag.

    % Information related to ‘92.60.184.0–92.60.184.255’

    % Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘abuse@wnet.ua’

    inetnum: 92.60.184.0–92.60.184.255
    netname: Wnet-Kiev-COLO
    descr: Kiev colocation
    country: UA
    admin-c: WNET2-RIPE
    tech-c: WNET2-RIPE
    status: ASSIGNED PA
    mnt-by: WNET-MNT
    created: 2011–01–04T13:40:08Z
    last-modified: 2011–01–04T13:40:08Z
    source: RIPE

    role: W NET NOC
    address: Wnet LLC
    address: Bohdana Khmelnitskoho 50-b
    address: Kyiv, 01030
    address: Ukraine
    phone: +380 44 5900800
    fax-no: +380 44 2892817
    abuse-mailbox: abuse@wnet.ua
    remarks: troubles: http://support.wnet.ua
    remarks: troubles: noc@wnet.ua

Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).
Ау, WNet — неужели мы давали повод считать себя идиотами?

Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.

Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

Итого: идеальное кибер-преступление.
Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.

Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.

Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka

Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

https://medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73

New ransomware, old techniques: Petya adds worm capabilities
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

On June 27, 2017 reports of a ransomware infection began spreading across Europe. We saw the first infections in Ukraine, where more than 12,500 machines encountered the threat. We then observed infections in another 64 countries, including Belgium, Brazil, Germany, Russia, and the United States.

Initial infection appears to involve a software supply-chain threat involving the Ukrainian company M.E.Doc, which develops tax accounting software, MEDoc. Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector.  Microsoft now has evidence that a few active infections of the ransomware initially started from the legitimate MEDoc updater process. As we highlighted previously, software supply chain attacks are a recent dangerous trend with attackers, and it requires advanced defense.

We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.

[Tamerlan]

Из телеграма пришло:

⚡️ BREAKING

Худший опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.
К сожалению, (был) единственный способ спасти данные  — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый и энергетический сектор и гос. аппарат.

Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.

Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришло со стороны одной из стран СНГ.

Мы будем рады, если с нами свяжутся представители пострадавших организаций из Украины — просто напишите нам на E-Mail: security@litreev.com.

[Nortaga]

Було виявлено, що на патчах Медка не було ніякого цифрового підпису, і відповідно контролю, що то прилізло. Походу розробників Медка будуть "бити по почкам".

[В.И.Лемминг]

А медок во всю отмазывается, что они не виноваты.

Обсуждение источников возникновения и распространения кибератаки активно проводится пользователями в соцсетях, форумах и других информационных ресурсах, в формулировках которых одной из причин указывается установка обновлений программы M.E.Doc.
Команда разработки M.E.Doc опровергает данную информацию и заявляет, что подобные выводы – однозначно ошибочные, ведь разработчик M.E.Doc, как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого были заключены договора с крупными антивирусными компаниями для предоставления исполняемых бинарных файлов на анализ и подтверждение их безопасности. Также, перед выпуском каждого обновления M.E.Doc передает в антивирусные компании свои файлы для анализа.
Разработчик M.E.Doc призывает Вас быть внимательными и осторожными: не загружать файлы из сомнительных источников, не открывать электронные письма от неизвестных адресов, использовать лицензионное программное обеспечение и регулярно проводить обновление антивирусных программ!

[В.И.Лемминг]

У нас пара поставщиков хапанули Петю и теперь борются с ним. Или пытаются восстановить данные.