Jump to content
Калькуляторы

Петя Миша шифровальщик Говорят у виндузятников новые лулзы

...и венду начнут массово щемить, как минимум с банкоматов...

Вот я из банка подался практически одновременно с массовым втюхиванием NT на место полумуха. И все из-за ленивых разрабов дров...

 

Я что-то не уверен, что история настолько циклична. :-)

Share this post


Link to post
Share on other sites

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось.

 

Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

Share this post


Link to post
Share on other sites

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось.

 

Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

 

Странно да,но в Unix оно как-то приживается? Может вопрос в компетенции/планке ответственности... Там (Windows) administrator может писать,куда заблагорассудиться; в Unix - root...

Share this post


Link to post
Share on other sites
Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Я уже 2 раза написал: сделано правильно, ничего менять не надо.

 

Если посмотришь в svn, то kib там работает совместно с Коксом и самими разработчиками эксплойта.

Ну хз, мне пока не до таких изысков :)

На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check

https://habrahabr.ru...ky/blog/331524/

 

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось. Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

На самом деле стало только веселее.

1. Семёрка не ставит уефи загрузчик, вроде как

2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца.

3. уефи хреновину накорябать сильно проще чем то что у пети под мбр - достаточно скомпелять и закинуть на фат32 раздел получившийся фалик, а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде

Share this post


Link to post
Share on other sites

На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check

Э? А разве в шланге этот флаг есть? :-)

Share this post


Link to post
Share on other sites

Я уже 2 раза написал: сделано правильно, ничего менять не надо

 

Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт.

Share this post


Link to post
Share on other sites

На самом деле стало только веселее.

Ну я и говорю, что оно страшное вышло.

2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца.

Забивать в материнку нужно же только ключ, которым подписываешь. Делается один раз при сборке системы. Вот загрузчик подписывать - да, каждый раз надо.

3. а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде

А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда.

Share this post


Link to post
Share on other sites
Э? А разве в шланге этот флаг есть? :-)

-fsanitize=safe-stack -fstack-check есть

последний вроде как вообще со всеми портами щас включается при сборке.

 

Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт.

Ты серьёзно такой дурак или тролишь?

Оно там получило права админа, админ полюбому должен иметь возможность работы с дисками.

Но даже если бы имел, то ставить дрова админу никто не запрещает, дальше пришлось бы добыть валидный сертификат для софта и накорябать драйвер для вкорячивания его по ближе к диску и записать через него что угодно в обход ОС.

В итоге результат был бы ровно тот же для юзера и куча епли с софтом для админов. Они и так бедненькие там в венде страдают от отсутствия вменяемых бесплатных системных утилит, а так бы вообще ничего не было, даже WinHEX бы не работал, и утилиты для восстановления удалённых файлов тоже по хуже/меньше были.

 

А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда.

Тогда венда не заработает %)

А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу.

Гады там всё наращивают аппаратные уровни куда юзер добраться не может никак.

Share this post


Link to post
Share on other sites

 

Ты серьёзно такой дурак или тролишь?

 

Нет,я жду когда ты спасешь человечество,скоморох :)))

 

P.S.

Типа такого,но в ит:https://www.youtube.com/watch?v=kvNJzTm6e0E

Edited by fspi

Share this post


Link to post
Share on other sites

Тогда венда не заработает %)

Почему не заработает? Заработает - просто нужно будет предварительно шасси объяснить, что да-да, вот конкретно этой подписи я доверяю.

 

А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу.

Оно идет только тогда, когда ключи заранее стоят. Если же не ставить - то идет в другую сторону. В общем, кто ключ доступа пишет - тот и главнее.

Share this post


Link to post
Share on other sites

 

Ты серьёзно такой дурак или тролишь?

 

Ваня,не валяй дурака ты заипал. Тут все все прекрасно понимают, не первый год в айти замужем. Ей богу. Бл..ть,с тобой шутишь - ты все серьезно воспринимаешь. Давай я буду специально для тебя ставить смайлики в нужных местах,ок?

Edited by fspi

Share this post


Link to post
Share on other sites

secureboot требует, чтобы были подписаны все модули BIOSа, т.е. такие UEFI-драйвера как VGA, SATA и прочие low-level. сейчас они на всех компах с secureboot подписаны сертификатом мелкомягких.

т.е. если из shim удалить сертификат мелкомягких удалить, то secureboot не будет.

 

из этого следует, что в ходе эксплуатации кое-кто-нехороший может запихать во флешку с UEFI BIOS ещё один package с нехорошим UEFI-драйвером, подписанным сертификатом мелкомягких. и никто этого не заметит. много в этом всём "секурности"?

Share this post


Link to post
Share on other sites

Насколько я понимаю, всё что в биосе подписано вендором и его ключём, его ключ удалить нельзя.

Сам бивис подписан ключом зашитым в платформу=железо.

Share this post


Link to post
Share on other sites

А вот я опять сошлюсь на Opennet. Оно, конечно, не для винды. Всего-лишь для:

За крутую надежность соплярки (хоть на спаркуе хоть на x86) очень классно показал список ломаных ЦРУшниками серверов. 7/8 из которых были под соляркой.

 

У нас с вымогателем тоже зацепило. В городе пять заправок РосНефти прикурили. При том буквально перед этим они у себя провели оптимизацию для "зарезания костов и выправления ебидттьтьтвоюнелево". Названивают уволившимуся бывшему работнику, рассказывают за командный дух.

Share this post


Link to post
Share on other sites

Это наоборот хорошо, повышает сознательность и ответственность.

Слишком уж все расслабились за последние лет 30-50: то доступ вообще не закроют, то пароль простой, то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда), то под админом работают на десктопах, то говнокодят код и конфиги, то какие то докеры и готовые вертуалки качают невесть откуда, говнокод в виде тонны скриптов на каждом сайте с котиками....

То что сейчас это следствие того что ИТ занимаются на ***ись люди без мозгов, а другие их подгоняют чтобы делали по быстрее да по дешевле.

Ну вот теперь появилось средство как заставить всех этих дебилов заплатить более грамотным людям.

 

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

Share this post


Link to post
Share on other sites

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

 

:-)

 

Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Share this post


Link to post
Share on other sites

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

Так была же история эпичного факапа какого-то git/svn-хостера, помножившего на ноль клиентские репозитарии. Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN

Share this post


Link to post
Share on other sites

то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда),

 

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Share this post


Link to post
Share on other sites
Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Ну а чо, нормально.

Секурность не поднимали, не апдейтились.

 

Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN

Не понял, почему любителям SVN хуже пришлось?

Share this post


Link to post
Share on other sites

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

Share this post


Link to post
Share on other sites

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

 

Вот-вот. Сталкивался с просьбой: сделайте мне г...но, но за такую цену.

Share this post


Link to post
Share on other sites

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

 

А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix". Фраза "защищенные ОС" (они типа априори защищенные,ага) - уже диагноз,особенно когда версия ОС легко палиться через фингерпринтинг какого-нибудь netcraft.com. Далее ищется эксплойт итд.... Ну вы знаете,пока петух жареный в попу не клюнет.

 

P.S. Да что-тут долго разглагольствовать,читайте.

Edited by fspi

Share this post


Link to post
Share on other sites

А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix".

Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны. Что при кривых руках админа - всё равно что нету ничего. Вообще федералы - они сильно разные, у неких филиалов и админов нету от слова совсем, аналогично и у филиалов всероссийских сетей, даже банковских :) Из последнего - чтобы заменить сдохший медиаконвертор в банчке, в представителях был местный руководитель филиала и две гориллы-охранника. Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно.

Share this post


Link to post
Share on other sites

Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны

 

Которые отключают потом,ибо "не работает нормально из-за него"? Видел и такое. Получается фаервол на бумаге.

 

Вообще федералы - они сильно разные

 

Проходил тут МРТ недавно. Предложили выслать на электронку. На мой вопрос: "Вы отправите мне в смысле на *@mail.ru? А ниче,что это незащищенный канал связи?",ответили "Ну многим же так это удобно,особенно иногородним". Ниче,что это ПДН К1 класса?

 

Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно.

 

Не знаю,про какой ты Сбер,но мне безопасник оттуда как-то отправил запароленный архив вместе с паролем в одном письме. Я долго угарал.

Edited by fspi

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now