IT в Украине

[Фрипп]

Аналитики компании «Доктор Веб»

Благодаря войне, теперь к сообщениям любых аффилированных с рашей компаний отношусь с недоверием. Наверное, повзрослел.

[Nortaga]

Вони хоч розкопали. А Медок тільки вже постфактум відписався. Хоча до того, запевняли що це не вони.

[mxm ♔]

Вони хоч розкопали. А Медок тільки вже постфактум відписався. Хоча до того, запевняли що це не вони.

Розуміючи всю відповідальність, розробники "M.E.Doc" доклали максимум зусиль аби виправити ситуацію.
Нами було створено оновлення, яке гарантовано виключає загрози для користувачів.
Проте в ході проведення слідчих дій сервера компанії тимчасово вилучені для аналізу проникнення.
Таким чином, наразі ми позбавлені змоги випустити оновлення з підвищеним ступенем безпеки.

Им уже доверять стрёмно. В ФБ так вообще гнали на админов клиентов, что, мол, надо самим за безопасностью следить, а не на ПО пенять.
У меня подозрение, что серверы изъяты из-за невозможности иначе 1) расследовать происшедшее 2) надежно предотвратить повтор из-за упертой позиции Медка, что это не их проблема. Т.е. в данной ситуации это, вероятно, оправданно — кто знает, заделаны ли дыры.

[Polosatovna]

В ФБ так вообще гнали на админов клиентов, что, мол, надо самим за безопасностью следить, а не на ПО пенять.

Ну, я не сильно шарю, но люди говорят™, что еще после воннакрая был выкачен критичный апдейт винды, который заделал ту дыру. Дыра для Пети та же самая, так что кто не проапдейтил, тот уже неделю без выходных работает. Я про админов.
Ну и вообще да, за безопасностью следить надо.

апд. Перечитала, как-то криво. Я не в том смысле что Медок имеет право говорить "вы сами лохи, а мы не при чем". Не имеет конечно.

[Nortaga]

Я думаю, що "Петя" це ще норм в наших умовах. Як говориться "нет худа без добра".
Як мінімум з квітня в Медку (і 1С-Звіт, як спільної розробки 1С і авторів Медка) була "діра" (бекдор), яка дозволила не тільки запустити Петю і ко, але і збирати різного роду інформацію. І якби не "Петя" - збирали би і далі.

Ну і авторам Медку треба виписати ще не одну нагороду, до цих 

Награды:

Microsoft Golden Partner
Oracle Golden Partner
Національний Олімп
ДІлова гордість країни
Бездоганна ділова репутація
Зірка Економіки України

https://www.facebook.com/pg/medoc.ua/about/?ref=page_internal

[mxm ♔]

Ну, я не сильно шарю, но люди говорят™, что еще после воннакрая был выкачен критичный апдейт винды, который заделал ту дыру. Дыра для Пети та же самая, так что кто не проапдейтил, тот уже неделю без выходных работает. Я про админов.
Ну и вообще да, за безопасностью следить надо.

Так админам упрек совершенно справедливый, но в чьих устах, судьи кто, так сказать. Сами дырищу не усмотрели, теперь отгавкиваются, что другие админы должны были получше работу делать.

[Polosatovna]

Ну, я не сильно шарю, но люди говорят™, что еще после воннакрая был выкачен критичный апдейт винды, который заделал ту дыру. Дыра для Пети та же самая, так что кто не проапдейтил, тот уже неделю без выходных работает. Я про админов.
Ну и вообще да, за безопасностью следить надо.

Так админам упрек совершенно справедливый, но в чьих устах, судьи кто, так сказать. Сами дырищу не усмотрели, теперь отгавкиваются, что другие админы должны были получше работу делать.

Не, я там дописала. Я согласна конечно.
Все молодцы.©

[Nortaga]

Ну, я не сильно шарю, но люди говорят™, что еще после воннакрая был выкачен критичный апдейт винды, который заделал ту дыру. Дыра для Пети та же самая, так что кто не проапдейтил, тот уже неделю без выходных работает. Я про админов.
Ну и вообще да, за безопасностью следить надо.

проблема в тому що для оновлення Медку, програмі були потрібні адмінські права. Тобто користувач своїми руками давав добро для трояна в Медку, і слідом шифрувальникам Петі і Ко. І так як, для оновлення Медку, потрібен інтернет, то фаервол теж не допоможе.

Що можна було зробити в плані безпеки: це виділити окремо інфраструктуру (комп'ютер та інтернет) тільки під Медок, і більше на ньому нічого не крутити. Хоча вся інформація, яка заносилася в Медок, могла зливатися наліво (не відомо чи зливалося, але така можливість була).

[Polosatovna]

Ну, я не сильно шарю, но люди говорят™, что еще после воннакрая был выкачен критичный апдейт винды, который заделал ту дыру. Дыра для Пети та же самая, так что кто не проапдейтил, тот уже неделю без выходных работает. Я про админов.
Ну и вообще да, за безопасностью следить надо.

проблема в тому що для оновлення Медку, програмі були потрібні адмінські права. Тобто користувач своїми руками давав добро для трояна в Медку, і слідом шифрувальникам Петі і Ко. І так як, для оновлення Медку, потрібен інтернет, то фаервол теж не допоможе.

Що можна було зробити в плані безпеки: це виділити окремо інфраструктуру (комп'ютер та інтернет) тільки під Медок, і більше на ньому нічого не крутити. Хоча вся інформація, яка заносилася в Медок, могла зливатися наліво (не відомо чи зливалося, але така можливість була).

Тут я не в курсі. Ми Медком не користуємось, іншим шляхом спіймали.

[mxm ♔]

проблема в тому що для оновлення Медку, програмі були потрібні адмінські права. Тобто користувач своїми руками давав добро для трояна в Медку, і слідом шифрувальникам Петі і Ко. І так як, для оновлення Медку, потрібен інтернет, то фаервол теж не допоможе.

Ну так. І, до речі, саркастичні вислови, що, мовляв, "на лінуксі ніхто не постраждав" — здається, Медок працював тільки на віндовс?
Там, можливо, не обов'язково саме адмінські права, але права на встановлення нового ПЗ точно були потрібні. Що не дуже добре характеризує в цілому Медок, коли вони хають клієнтських адмінів.

Що можна було зробити в плані безпеки: це виділити окремо інфраструктуру (комп'ютер та інтернет) тільки під Медок, і більше на ньому нічого не крутити. Хоча вся інформація, яка заносилася в Медок, могла зливатися наліво (не відомо чи зливалося, але така можливість була).

Так начебто дефендер прибивав вірус, коли вже той був запущений, але що до зливу інформації через бекдор — це питання.

[chucha]

Microsoft Golden Partner
Oracle Golden Partner

Это не награды, а сертификации. ПО ним есть четкий список критериев для получения.

[Nortaga]

Так начебто дефендер прибивав вірус, коли вже той був запущений, але що до зливу інформації через бекдор — це питання.

думаю, як мінімум був злив що стосується e-mail-ів. Клієнти Медка були ядром з якого почалося, а "клієнти" як Polosatovna (що одержали "листи щастя") - це вже наслідки зливу ядра.

Не знайду вже, читав в англійских джерелах, де була частково декомпільована злощасна dll, і там був код, який ціленаправленно збирав інформацію по ЕДРПОУ, мило, а також логіни і паролі користувачів самого Медка.

[mxm ♔]

Не знайду вже, читав в англійских джерелах, де була частково декомпільована злощасна dll, і там був код, який ціленаправленно збирав інформацію по ЕДРПОУ, мило, а також логіни і паролі користувачів самого Медка.

https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

Переклад:
https://geektimes.ru/post/290779/[perevod]-ne-vse-tak-prosto-s-petya27/

[Leo_need]

Эксперты ESET обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы.

Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта:

- 01.175-10.01.176 от 14 апреля 2017 года
- 01.180-10.01.181 от 15 мая 2017 года
- 01.188-10.01.189 от 22 июня 2017 года

Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня.

У меня возник такой вопрос к тем, кто разбирается. У меня стоит Медок. Указанные в цитате обновления я делал. Операционка Винда10, обновляется автоматом.
Могу ли я считать, что встроенный антивирус винды не пустил троян из обновлений ? Или таки у меня сидит этот троян, не проявляя себя ?

[Smooth Pimp]

Все кибератаки и взломы происходят через фейковые письма. Наши люди очень доверчивы, - глава киберполиции Демедюк

Такі от справи.

[OlegKrm]

Могу ли я считать, что встроенный антивирус винды не пустил троян из обновлений ? Или таки у меня сидит этот троян, не проявляя себя ?

У меня только что 10-ка обновила вирусные базы и заблокировала ZvitPublishedObjects.dll, а так да, сидит

[Polosatovna]

Эксперты ESET обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы.

Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта:

- 01.175-10.01.176 от 14 апреля 2017 года
- 01.180-10.01.181 от 15 мая 2017 года
- 01.188-10.01.189 от 22 июня 2017 года

Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня.

У меня возник такой вопрос к тем, кто разбирается. У меня стоит Медок. Указанные в цитате обновления я делал. Операционка Винда10, обновляется автоматом.
Могу ли я считать, что встроенный антивирус винды не пустил троян из обновлений ? Или таки у меня сидит этот троян, не проявляя себя ?

Вот этой фиговиной можно проверить уязвимость: https://forum.eset.com/topic/12029-eternalblue-vulnerability-checker-tool-released/
По идее, если винда обновляется, то дырка уже была закрыта.

[Leo_need]

Вот этой фиговиной можно проверить уязвимость:

Спасибо, говорит, что я - сейф.
(обидчиво) А я же человек... Вроде.

П.С. И дырка то закрыта для Пети-С, как я понял ? Или для бекдоров тоже ?

[Polosatovna]

Вот этой фиговиной можно проверить уязвимость:

Спасибо, говорит, что я - сейф.
(обидчиво) А я же человек... Вроде.

Доктору лучше знать.

П.С. И дырка то закрыта для Пети-С, как я понял ? Или для бекдоров тоже ?

Я не знаю. Я не настоящий сварщик.

[Игрек]

У меня возник такой вопрос к тем, кто разбирается. У меня стоит Медок. Указанные в цитате обновления я делал. Операционка Винда10, обновляется автоматом.Могу ли я считать, что встроенный антивирус винды не пустил троян из обновлений ? Или таки у меня сидит этот троян, не проявляя себя ?

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

Если у тебя такая ветка реестра есть, значит не только сидит, но и пароли утянул. Если нет, то возможно, не сидит.

[Фрипп]

Ага, для бэкдора скорее всего дырка открыта.

[Leo_need]

Если у тебя такая ветка реестра есть, значит не только сидит, но и пароли утянул. Если нет, то возможно, не сидит.

Пасиб, такой ветки в реестре нету )

[Старина Z]

Если у тебя такая ветка реестра есть, значит не только сидит, но и пароли утянул. Если нет, то возможно, не сидит.

Пасиб, такой ветки в реестре нету )

Значит, не только пароли утянул, но и следы преступления за собой подчистил. 

[Leo_need]

Значит, не только пароли утянул, но и следы преступления за собой подчистил. 

Сэр Петросян ? ))

[sergk1]

В Ощаде сегодня говорят втораяі волна.

[Фрипп]

МИННЫЕ ПОЛЯ КИБЕРВОЙНЫ

[Старина Z]

Заехал сегодня в "Ашан" после работы. Ассортимент за неделю существенно оскудел. Подозреваю, что последствия вирусной атаки.
Вообще беспрецедентный удар вышел.

Кстати, общался сегодня со знакомой, которая работает главным бухгалтером в государственной компании (не бюджет). Вспоминала незлым тихим словом, как их заставляли во времена Клименко переходить на "Медок" насильственным путем. При том, что был бесплатный софт для сдачи отчетности, а "Медок" был для их скудного бюджета ощутимой затратой.

[mxm ♔]

Заехал сегодня в "Ашан" после работы. Ассортимент за неделю существенно оскудел. Подозреваю, что последствия вирусной атаки.
Вообще беспрецедентный удар вышел.

Кстати, общался сегодня со знакомой, которая работает главным бухгалтером в государственной компании (не бюджет). Вспоминала незлым тихим словом, как их заставляли во времена Клименко переходить на "Медок" насильственным путем. При том, что был бесплатный софт для сдачи отчетности, а "Медок" был для их скудного бюджета ощутимой затратой.

Для себя я, помимо прочего, делаю вывод, насколько еще не развит наш айти-рынок. Причины, конечно, разные, в т.ч. монополизация или попытки монополизации некоторых ниш путем применения административных методов со стороны чиновников.
Но, думаю, не только. Еще просто банально мало денег на рынке, вот и не видят многие, за что бороться. Специалистам платить затратно, а профит не очевиден. Особенно, если нужно бороться с де факто монополистом.

[Старина Z]

Еще просто банально мало денег на рынке, вот и не видят многие, за что бороться. Специалистам платить затратно, а профит не очевиден.

Именно так и есть. Внутренний рынок хромой на обе ноги уже давно, а в этом году еще и стал ареной боевых действий.

Я вот сегодня с коллегой делился впечатлениями о нашей работе: "Всё выглядит как будто по полю идет тощая лошадь, а за ней - крестьянин возле плуга. Время от времени на поле разрываются снаряды и крестьянин с лошадью аккуратно обходят воронки от них. Снаряды ложатся всё ближе. Потом люди в форме у крестьянина отбирают лошадь и он сам впрягается в плуг и пытается идти дальше."

Спрашиваю у коллеги: "Что будет дальше в этой картине?" Он отвечает: "Дальше у крестьянина отберут весь урожай".
 

[mxm ♔]

Я вот сегодня с коллегой делился впечатлениями о нашей работе: "Всё выглядит как будто по полю идет тощая лошадь, а за ней - крестьянин возле плуга. Время от времени на поле разрываются снаряды и крестьянин с лошадью аккуратно обходят воронки от них. Снаряды ложатся всё ближе. Потом люди в форме у крестьянина отбирают лошадь и он сам впрягается в плуг и пытается идти дальше."

Спрашиваю у коллеги: "Что будет дальше в этой картине?" Он отвечает: "Дальше у крестьянина отберут весь урожай".
 

Довольно точная аналогия, да.