В продолжении поста / Украина :: политика :: кибератака :: страны

Украина страны кибератака ...политика 

В продолжении поста

Приветствую всех уважаемых и здравомыслящих реакторчан! 

Я так понимаю,  я устроил нормальный срач благодаря этому посту И по этому поводу решил слегка обновить инфу: 

По состоянию на 14.01.22 18:38, сайты  МЧС Украины и Министерста Иностранных дел Украины до сих пор не работают ( Не хочу  даже знать, какую адскую боль там чувствуют админы).  Остальные ресурсы (быть может я и ошибаюсь), работают в штатном режиме.

О себе: я работаю сисадмином в одном из ведомственных учереждений города Одессы (Украина). Когда я узнал об этой новости, я мигом начал делать бэкапы виртуальных машин на своей работе.  

  

Украина,страны,кибератака,политика
Подробнее

Украина,страны,кибератака,политика
Еще на тему
Развернуть

Отличный комментарий!

Есть 2 типа админов, которые делают бэкапы и которые УЖЕ делают бэкапы.
EnSabahNurEnSabahNur14.01.202223:32ссылка
+37.8
А ты по ведомственной сети подхватишь:) помню тоже с вышестоящей сети вирусняк порты сканил))) доверенное же, чтоб сранные госресурсы работали.. звонил тем админам, говорил разберитесь
Просто ветер нъінче сильный, провода пообрывал, свет интернет немного местами пропал но вьі держитес.
Я больше скажу: Как меня учили старые, закоренелые админы: Бухгалтерию, всегда кидать в отдельную песочницу ( сов своими айпишниками, Блэк-джеками и шл......ми).
И когда, в 2017г, нагрянул вирус Petya, хорошо , что он прошёл через мой сервак( респект Мастерам-джедаям), так что моё ведомство держится на плаву. Слава Императору!!!!
Строго говоря, данное правило по хорошему должно работать не только в бухгалтерии...
Wolfdp Wolfdp 15.01.202201:58 ответить ссылка 0.8
О, коллега. А где именно, если не секрет? :)
Есть 2 типа админов, которые делают бэкапы и которые УЖЕ делают бэкапы.
которые делают бэкапы и те, которые ещё не делают
0x1d 0x1d 15.01.202200:02 ответить ссылка 0.5
которые ещё не делают, и которые уже делают
хуевые админы какие-то, я был перешел на уровень "Проверяет сделанные бекапы" когда платная панель управления в бекап не архивировала базу данных и при этом писало "бепап успешно создан", а потом ещё на уровень "хранить бекапы независимо от сервера" когда какого-то хера БП с рейдконтроллером решили спалить все диски включая для бекапирования.
ну и "хранить бэкапы в другом помещении" - на случай пожара, наводнения и прочих ихтамнетов
Я вот уже не в первый раз обращаю внимание, что в тредах про corporate IT люди упоминают железные сервера, бэкапы в других помещениях и прочие методы кошерного админства конца 90-х годов (без обид). Нет, я могу понять если речь про всякие около-государственные организации или тяжеловесные производства, где инфраструктура вся должна быть локальна, тут вопросов нет. Но для всего остального коммерческого сегмента смыл в физическом наличии 80% процентов инфраструктуры либо нулевой, либо стремится к нулю. Уже ведь не 2010 год, скорости интернетов заоблачные, цены на те самые облычнаые серивсы минимальные, а виртуализацией уже даже Марью Ивановну из бухгалтерии не удивить. Потому, что Марья Ивановна, как и все пользователи критичных для компании сервисов должна сидеть на тонком клиенте, а серера приложений и БД - на условном AWS/Google CE, да том же Azure в конце концов, где любые проблемы с бэкапами при единоразовой корректной настройке инстансов просто исключены, даже если к вам в офис заломятся ихтамнеты возглавляемые адептами культа Ктулху с поддержкой пехотинцев Хаоса. На худой конец, если уж кто-то настолько не даверяет VM инстансам которые хостятся "незнамо где", всегда можно найти локальный датацентр к которому есть доверие, арендовать в нем дедик, поднять и настроеть на нем кубернетис/докер, а бэкапы с него лить хоть на отдельный сторедж в соседнем рэке, хоть в другой солидный по вашим меркам датацентр (для дайверсити), хоть в тот же AWS cloud storage, да хоть гендиру на дропбокс, если уж сильно захочет, главное про энкрипшен не забыть.
Не обязательно. Наши американские работодатели перед запуском проекта тоже хотели хоститься, но потом посчитали и получилось что купить себе железо выгодней. Замечу, что проект со своими тараканами и вроде там уже были люди, которые умеют работать с серверным железом, что по идеи тоже немаловажно.
Wolfdp Wolfdp 15.01.202205:40 ответить ссылка 1.0
>> купить себе железо выгодней

Естественно. В долгосрочной перспективе грамотные вложения на инфраструктуру окажутся выгоднее, аренды. Но, во-первых, речь была не про экономию, а про надежность. А во-вторых, тут все упирается еще и в суммы сроков "окупаемости" железа. Тоесть условно, если проект достаточно тяжелый на хардварошные дела и со всем необходимым сервисом (специалистами) начнет становится дешевле (чем аналогичный сервис на облаках) по истечению скажем пяти лет, то такую аргументацию я нахожу сомнительной. Потому, что за эти пять лет тебе случиться еще не раз обновлять эти самые железки, 5 раз проиндексировать зарплаты специалистам которые его обслуживают и заложить около 20% на неучтенные риски. Ну и в целом, 5 лет - это достаточно большой срок, куча всего может случиться с корпоративными активами.
И да и нет.

Плюсы аренды сервера (именно железки, производительные "облачные" варианты это пидец дорогой оверсел):
- за сетевую инфраструктуру для сервера отвечает Дата-Центра
- а железо отвечает Дата Центр, в случае выхода со строя диска или планки ОЗУ его заменят бесплатно
- возможность заказать администратора если своими силами не справляешься
- при устаревание железа тупо делаешь миграцию данный на новое железо

минусы:
- Стоимость относить своего железа
- Нужен хорошой интернет, в Украине домашний Гигабит стоит в районе 10 баксов, а вот для юр лиц х100. Банально тариф на 40/40 Мбит обходится в 25 баксов
- большой отклик, для телефонии, видеоселектора и прочего это критично
Но, фактически два последних минуса можно в твоем случае объединить. Касаемо стоимости - я уже выше написл, весь вопрос в том, какие задачи нужно решить и в течении какого срока, планируется использовадь VDS.

Насчет
>> производительные "облачные" варианты это пидец дорогой оверсел

Я не знаю, что считать оверсейлом. Я достаточно давно работал над одним проектом в Google CE, с очень банальным сетапом - один апп сервер, на которой деплоится всякий ужас и один инстанс MariaDB, в пределах 1GB. В месяц выходило что-то в районе 40-60$ при том, что я даже в айдл их не отпускал.
и цены и непредсказуемость.
Ну и, в конце концов, самому гуглу/авс тоже надо делать бекапы и хранить их в соседнем помещении
Проблемы с бекапами исключены, но включены проблемы с потерей доступа, потерей сети, санкциями.
Ну и человек для правильной настройки зоопарка сервисов будет стоить не дешевле локального админа-свитераста, а "настроить один раз и пользоваться" не получится.
Я не знаю о какой непредсказуемости можно говорить, если даже самые ортодоксальные и неповоротливые от мира IT - а именно крпупнейшие в мире инвестиционные банки и разного рода большой финтех нычне хотстят свои сервисы на AWS и счаитают свои миллиардны отчеты на Амазоновских редшифтах и афинах. Я уж думаю, что коммереческой организации среднего масштаба предсказуемости точно должно хватить ))

>> включены проблемы с потерей доступа, потерей сети, санкциями.
Тут согласшусь, но все кроме последнего закладывается в риски при таких проектах. Естественно у тебя должен быть запасной провайдер и несколько вариантов VPN. Про санкции - тут можно конечно долго придумывать сценарии. Ведь ровно так же могут наложить санкции и на поставки условных плат для серверов, альтернативы которым нету, кроме как везти контробандой из Тайваня за 100500 миллионов тэнге.

>> Ну и человек для правильной настройки зоопарка сервисов будет стоить не дешевле локального админа-свитераста, а "настроить один раз и пользоваться" не получится.

Я думаю он(и) будет стоить сильно дороже "админа-свитераста". Ибо, если речь не идет о совсем каких-то супер тривиальныз вещах, типа указанного выше сценария с 1C и двумя VM инстансами, то чаще всего такие проекты реализуются не штатными умельцами, а консалтинговыми third party компаниями, под ключ. А план саппорта уже можно под себя построить, тут как раз все в финансы упирается.
Есть нюанс. Крупнейшие банки - частные, а ряд госбанков США находятся в (вот это поворот) в США. Хранить информацию которая используется в интересах государства можно исключительно в пределах этого же государства. Т.е. нужно искать "локальный AWS" который при этом соответствует всем стандартам госспецсвязи, а подключатся к ним через провайдеров которые имеют разрешение от них же
https://cip.gov.ua/ua/news/zakhisheni-vuzli-dostupu-do-merezhi-internet

только вопрос в другом, был взломан не локальный сервер админа Пети который заправляет картриджи, а веб сервер параллельно его рабочий ПК, который он выключает когда уходит домой... а тупо ряд однотипных сайтов сделанных одним "поставщиком", т.е. нужно вести речь не о размещение и серверах, а защите програмного обеспечения, в случае если б указанные сайты были на AWS - поменялось б аж нихуя.
>> Хранить информацию которая используется в интересах государства можно исключительно в пределах этого же государства.

Так я с этим и не спорил, перечитай мой изначальынй коммент
"Нет, я могу понять если речь про всякие около-государственные организации или тяжеловесные производства, где инфраструктура вся должна быть локальна, тут вопросов нет"

>> в случае если б указанные сайты были на AWS - поменялось б аж нихуя
Ты не совсем прав. Как минимум, восстановить незакарапченую версию сайтов можно было бы за минуты и сразу же обрубить любой доступ извне, пока идет RCA и ищется технология взлома.
Можно восстановить и получить повторный взлом ведь уязвимость не устранена.
Так как мы не знаем каким образом сервера пенетрировались - можно любые догадки об использованых технологиях спорить. Можно получить, а можно и нет. Если там действительно был стил паролей, или классический man in the middle то в случае с правильно настроеным EC2 на AWS это бы не прокатило:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html
непредсказуемость, например, в стоимости.
В том смысле, что внезапный всплеск активности (дос, ддос, бага планировщика) может сделать тебя должником. Если в случае абстрактного голдманСаш это мелочи, то в случае бюджетного сайтика это совсем другое. (тут я основываюсь только на статейках на хабре и других ресурсах, личного опыта не имею)
Запасной провайдер, несколько вариантов впн - настроить это всё и поддерживать сравнимо с настройкой системы бекапов.

Облака, несомненно, хороши. Но в рекламных буклетах всё немного радужней, чем на самом деле, а по настоящему вкусные плюшки появляются в дорогих тарифах.

Если деньги не проблема - покупаешь спеца, покупаешь менеджера, который этого спеца будет контроллировать, покупаешь тариф и вперёд.

Если денег не то чтобы много - проблема даже найти адекватного специалиста на местном рынке.
Каждый вариант индивидуальный. Если речь идет не про "оставить сайт визитку в облаке и забыть", а платить зарплату обслуживающему персоналу, проводить модернизацию сервера и ПО да и тупо банально менять диски которые сыпятся в 24/7 - нужно смотреть все за и против, часто казалось бы дешевый вариант здесь и сейчас может вылиться в большую проблему в дальнейшем.
Иногда и отдельный схд не спасает.
ammm ammm 15.01.202206:12 ответить ссылка 0.0
Helfer Helfer 15.01.202200:57 ответить ссылка 23.1
камшоты
есть третий тип
Те кто проверяют бекапы на восстановление из них
три типа, третьи еще и проверяют что бекапы рабочие.
Никогда не понимал конкретно этой цитаты. Здесь же должно быть не "УЖЕ", а "ТЕПЕРЬ"?
хм... я прогер думал что бэкапы делаются автомато :)
chasm chasm 15.01.202218:24 ответить ссылка 0.0
Уже подняли вроде.
Так вот ты где, мы тебя нашли.
fghjk fghjk 15.01.202200:03 ответить ссылка -1.1
Блин у меня украли данные транзакций. Теперь все знают что я покупал дилдаки на днях
Я не знал. Спасибо что сообщил.
Не украли, данные транзакций они в банке хранятся.
Так что, придется тебе всем рассказывать самостоятельно.
Конечно же сайт МЧС Украины не работает
Ведь в Украине нету такого министерства)
вот что написала дия
U_V_M U_V_M 15.01.202200:28 ответить ссылка 0.6
> По состоянию на 14.01.22 18:38, сайты МЧС Украины и Министерста Иностранных дел Украины до сих пор не работают
У нас нету Министерства ЧС, у нас Государственная Служба ЧС.

> Не хочу даже знать, какую адскую боль там чувствуют админы
Никакую, точнее подняли акции производителей вазелина и ждем дальнейшие указания правохранительных органов, ГСЧС нацелена на помощь гражданам и все материалы на сайте имели информационный характер, по большому счету, всё что было на сервере и так отображалось на сайте.
Экзарх, а правда, что вордовский документ, в котором СБУ давало инструкции по устранению дыр, изначально был сохранён в Ворд Спижджено Эдишен ака репак бай специалист? Или очередная байка? Кстати, приятно, что НБУ оказался хакерам не по зубам :)
AzorAhai AzorAhai 15.01.202201:13 ответить ссылка 1.3
>>Кстати, приятно, что НБУ оказался хакерам не по зубам :)
НБУ слишком лакомый кусок, так как там не запись "Петро має 100грн. на рахунку і повинен заплатити 10грн. податку", а реальная возможность забрать эти 100грн себе. Поэтому там хочешь-не-хочешь, но про безопасность будешь думать, ибо взломают через 1 наносекунду после появления дыры.
Wolfdp Wolfdp 15.01.202201:57 ответить ссылка 2.1
мне больше интересно кто вечно эти дыры ищет? чел сидит афк годами, f5 нажимает и видит: дыр не обнаружено... дыр не обнаружено... дыр не обнаружено... ОБНАРУЖЕНА ДЫРА!!!
есть сканеры уязвимостей, есть специально обученные команды, проводящие аудиты от ежемесячных до ежегодных. Эрнст и Янг, например, делают неплохие, мягко говоря, аудиты. Ряд компаний с куда менее известными именами тоже. Знаю банковский проект где перед каждым релизом внешняя команда проводит аудит, не заделали ли рукожопы новых дырок. Пока они добро не дадут - ничего не релизится.
Если же говорить о "черных шляпах", то там выбирается цель, потом нарезаются круги вокруг неё в поисках тех же самых уязвимостей - кто-то библиотечку не обновил, апач не пропатчил, админский пароль забыл снести или вай-фай в аквариуме (тру стори) не запаролил.
В общем, мало похожего на красивый набор юниксовых команд из кино.
Maern Maern 15.01.202203:26 ответить ссылка 0.5
Хорошо если там хотя бы юниксовые команды, а не 3d графон с игрой сапера...
Ну и стоит добавить, что "безопасность" это не только про код, но и про людей или даже законы.
Wolfdp Wolfdp 15.01.202204:40 ответить ссылка 0.3
мой любимый кейс про безопасность - даже не про вай-фай в аквариуме, а про проксимити-сенсор в медицинском компе. какая-то умная американская голова решила, что врачи, которые в палату втягивают комп на специальном столике, для пущей конфиденциальности должны находиться рядом с компом. иначе датчик лочил машину, чтобы никто не подсмотрел медицинские данные пациента.
В итоге врачей настолько задолбало после каждого "дышите-недышите" заново логиниться в систему, что они датчик начали накрывать одноразовым стаканчиком. так и взломали "сесурную" и недешевую систему.
По ходу от создателей "о боже, кукисы на сайте!"
Wolfdp Wolfdp 16.01.202203:37 ответить ссылка 0.1
изи - чел мониторит сайт где все эти уязвимости публикуются для того чтоб адекватные люди приняли меры. потом он ищет сказочных долбайобов и находит. как показали события ими оказались владельцы взломанных сайтов.
Хорошо, когда учишься на чужих ошибках.
Приветствую вас, уважаемые!
Ради такого случая и ввиду моей причастности к теме, задонатил на сервера и решил что-то объяснить.
Итак. Я занимался политикой и кибербезом уже пару лет, кибербезом в последнюю очередь, так что мои технические знания точно поверхностные, но я понимаю главные принципы и технологии. Сейчас не занимаюсь, поэтому пофиг что Вождь знает моё мыло и карту:) Если вы смотрите украинские новости может быть меня даже видели там.
Почему меня задела сегодняшняя ситуация? Да потому, что всё так и задумано. Дия, сайты служб и министерств изначально делались с учётом на то, что их положат. Не потому, что мы идиоты и не понимаем что бесплатные технологии, отсутствие обновлений и хост на аптайм 95% и вообще чей-то не государственный, это не безопасно, а потому, что это практически бесплатно. Мы сознательно решили не заморачиваться с миллиардной безопасностью, её всё равно пробьют русские. Мы решили что там просто не будет ничего важного. Дия выключилась на день? Сходи в ЦНАП и реши вопрос. Если день не можешь подождать. В сегодняшних условиях нету такого сервиса, отключение которого приведёт к сколь либо значительным потерям. Все важные базы резервируються, пусть не каждый день, но достаточно регулярно и на отключённый от сети ССД. Все остальные - не важны, на их резервирование и защиту уйдёт больше денег, чем на восстановление от последствий их уничтожения. На сайтах, что сегодня положили - вообще нету ничего важного для работы.
Вы боитесь за вашу персональную информацию? Политика простая - ваши данные не нужны хакерам. Всё что можно украсть не окупится потенциально украденым. Кроме США, Канады, Японии, Англии, Германии, все страны придерживаються аналогичной точки зрения. На кой чёрт красть данные людей, у которых нечего красть? Из 42 000 000 граждан, украв персональные данные, даже номера карт, вы всё равно забрутфорсите не более 0.1%, а это 42 000. Если это США, то хорошо если у каждого вы украдёте по 100 баксов, это 4.2 млн. долл. А у нас это хорошо если 4.2 млн. грн. :) Так накой чёрт ваши данные кому либо? Более того, в гос. ораганх, кроме НБУ не храняться платёжные данные. Их можно красть только для инсайта брутфорса.
НБУ взломан небыл. Вот там реально потратили миллиарды на безопасность. Любой нац. банк стран третьего мира позавидует нашей безопасности.
Итого. Мы знали что так будет. Мы к этому готовились. Отследить атаку значительно проще чем её предотвратить. Админы - восстаньвите контроль над админкой, поднимите бэкапы, делайте их почаще, не переживайте, никто вас не уволит, вы дешевле чем новые.
Saramaka Saramaka 15.01.202203:37 ответить ссылка 7.1
Я немного позанудствую.

>>Да потому, что всё так и задумано.
Фигово задумано. Правда я хочу пообщатся с человеком, который шарит как это донести "верхам", ибо это задача пиздец какая не легка. И вопрос безопасности за частую не только в деньгах, а в банальной политике доспута и разграничения прав, просто работать "на доверии" проще, вот зачастую и не парятся. Ну и как бы спец по этому вопросу нужен, такие на дороге не валяются.

>>Политика простая - ваши данные не нужны хакерам.
Почему же? Свежие БД всегда в цене, для всяких "колцентров" начиная от разводняков и заканчивая навязыванием очередной услуги. Но, строго говоря, для этого не обязательно взламывать "Дія", есть гораздо более дешевые и надежные способы.

>>кроме НБУ не храняться платёжные данные.
Строго говоря, только по номеру карточки/счета угнать деньги проблематично. Хотя желательно чтобы лишние люди их таки не знали. Другой инфы вроде как не должно быть в принципе.

В этой истории интересно другое:
1) хакеры явно обозначили "вы взломаны". Т.е. они должны понимать, что после этого все и вся кинутся откатывать, перепроверять и латать. Если стоит задача нанести максимальный урон, нужно как можно дольше оставаться незамеченым, в этом случае даже бекапы уже не так эффективны.

2) Та же "Дія" вроде в основном отображает инфу из других сервисов. Можно подать декларацию и прочее, но строго говоря всю эту инфу можно перепроверить и переподать (вроде).

3) Так как нам не расскрывают технических подробностей, нельзя с увереностью утверждать что "БД не слили" -- пиздешь (обратное впрочем тоже). Есть варианты атаки, когда можно заменить скажем всю vps, а значит доступ к БД априори не получили.
Wolfdp Wolfdp 15.01.202206:11 ответить ссылка 1.0
>>> 1)
Я ещё не вникал во всю новость и не общался со знакомыми безопасниками, но из того, что читал здесь и в других тредах - подохли в основном порталы министерств всяких. То бишь, веб-морды. Ну и характер атаки, как бэ, тоже на это намекает. Если то, что скинули на скриншоте, правда ( то бишь, подломали инфраструктурную компанию которая отвечала за часть ресурсов), то там только можно оценить ущерб зная какие возможности и какой апи есть на админской части этого поставщика. Я почти на 100% уверен, что наше дорогое правительство хостилось где-нибудь в КиевСервера.Ру, с соответствующим уровнем безопасности и возможностей, вместо того, чтобы пользоваться AWS или Azure на крайняк. Но тут масса нюансов с этим связанных. Если коротко, то отечественные хостинги ну так себе по уровню безопасности, кмк. (Чисто мои предположения, мб я не прав и там всё на уровне ISO 27001/NIST)

Подводя итог. Если подломали админку хостинга и из неё нет АПИ/функционала который позволяет получать доступ на машинку напрямую без ключей/паролей или есть сервисы баз данных, из которых можно сделать дамп через монитор, то особо страшного не произошло нифига. Полежат фронты некоторое время.

В качестве косвенного доказательства тут можно считать что портал Дии лежал, а приложенько по прежнему работало. Что как бы намекает. Надо будет поспрашивать коллег.
Судя по всему таки ломанули админку CMS (еще один аргумент в пользу апдейтов, хотя строго говоря ими же можно и сломать)
https://focus.ua/uk/digital/503159-ne-obnovlyali-octobercms-s-maya-eksperty-nashli-uyazvimost-cherez-kotoruyu-vzlomali-gossayty

Причем там уже пипец какие теории выдвигают, так как все это было опубликовано со стороны русской компании на том же хабре
https://habr.com/ru/company/solarsecurity/blog/579854/
Напиши в ФБ заму Федорова, личка в ФБ читаеться и на неё реагируют. Последние 2 года твоя активность в ФБ это оценка твоей политической ценности. Если ты готов поработать за бесплатно или дать ресурс своей компании - с благодарностью приймут твою помощь. Пара замов Федорова так ими и стала. Если найдёшь донора который даст на твою работу денег - вообще супер. Работает это так, рассказываешь свою идею и что хочешь делать, получаешь официальное письмо от министра о том, что ему это нужно, идёшь с письмом в посольство, ООН, делегацию ЕС, просишь дать на это денег, они выделяют деньги или из имеющейся программы или делают новою на следующий фин. год. Но есть нюанс, твоя компания должна соответствовать критериям донора. Если ты просто ФОП, то денег не дадут, но можно сделать консорциум с большой четвёркой, например, или другим известным грантоедом. Они, конечно, сожрут большую долю денег, но свой рейт ты заработаешь.
Просто умных людей с правильными идеями - валом. Желающих поработать за их реализацию - единицы. Тех кому удалось их реализовать ещё меньше. Многие крутые спецы просто обламыються на бюрократии.

Чтобы угнать деньги нужна банковская инф (номер, дата, cvv) и личная (пин - обычно дата рождения члена семьи, пароль, ответ на секретный вопрос - тоже что-то семейное обычно). Из гос. БД можно взять эту инфу и перебирать. Сколько-то совпадений да будет.

Всё что есть в БД всех гос. служб давно продаёться более-менее открыто и это один из способов заработка директоров по ИТ. Перекрывать этот канал не будут, ИТшники дорогие, а так они сами себе на хлеб зарабатывают. Да, принцип дали пистолет - вертись как хочешь, всё ещё работает повсеместно.
>>Перекрывать этот канал не будут, ИТшники дорогие
Дык, а айтишники что сделают, если проблема в том что человек работающий с населением (принимающий бумажки) работает за 2*минималка и по сути имеет доступ ко всей БД? Тут больше вопрос к различным СБ.

>>Если ты готов поработать за бесплатно или дать ресурс своей компании - с благодарностью приймут твою помощь.
>>Желающих поработать за их реализацию - единицы.
Я даже не знаю что по этому поводу сказать...
> Дия выключилась на день? Сходи в ЦНАП и реши вопрос. Если день не можешь подождать.
Раз уж альфач в треде, то поинтересуюсь:
а разработаны ли алгоритмы решения спорных вопросов в таких ситуациях? дия выключилась, а я в эропорту, дия не работает, а меня приняли пенты и требуют документ? Последний день сдачи декларации, я в ебенях, а сайт налоговой лежит. Есть методичка для органов, указания, как решать такие моменты? Или на конечных потребителей пофиг?

> Мы сознательно решили не заморачиваться с миллиардной безопасностью, её всё равно пробьют русские

зачем стирать носки, они всё равно испачкаются.
Безопасность - это не результат, безопасность - это процесс. Да, избежать того, что подрядчик не профукает креды к админке, тяжело. Но и похуистически относится к этому тоже неправильно. Завтра будет не дефейс, а подмена номера телефона и фишинг, и в таком состоянии сайт будет забекаплен "на отдельно лежащий ссд"
ЖЖБа ЖЖБа 15.01.202210:04 ответить ссылка -0.1
>>а разработаны ли алгоритмы решения спорных вопросов в таких ситуациях?
Ну, как бы сейчас "Дія" -- альтернатива, а не единственное возможно решение.
Wolfdp Wolfdp 15.01.202210:49 ответить ссылка 0.7
Ну да, сейчас модно не снимать плашку "бета-версия" годами.
Но цифровые сервисы для того и вводятся, чтобы ими пользовались.


Вот в сабжевом случае дефейснули информационные сайты. Вроде фигня, но на тех же информационных сайтах лежит, например, инструкция "как подать заявления не объединение медкарточек", предписывающая выслать сканы документов на имейл.
Обычно смотрю на ".gov.ua" и доверяю сайту.
Но доверять после заявлений "та зачем, всё равно русские хакеры взламают"?
ЖЖБа ЖЖБа 15.01.202214:14 ответить ссылка -0.4
Не доверяй. На сайтах областных органов я видел майнеры и линки на казино. И висели они там месяцами. Телеграм каналы могут быть на личных номерах сотрудников. Нормально следят за сайтами куда ходит много народу и где публикуються оригинальные новости. Остальное на ответственности таких админов как ОП.
Отправлять по почте что-то, если не договорился с человеком - не стоит. Позвони в службу от которой тебе что-то нужно, пусть подтвердят. Даже не потому, что это может быть фишинг, а потому, что служба может тупо забить на почту.
Несмотря на такую безопасность сервисами пользуються с каждым днём всё больше и больше. Банально, но они работают и удовлетворяют потребности в 95% случаев. Последний 5%, ну сорри, это не парашут, тут можно и ошибиться.
Нехватает инфы "с полей". Например, не подтягиваеться сертификат в Дию. Кто виноват? Доктор прививочник? Семейный? Хелси? Мне, условно, нужно самому ехать на место и проверять кто напортачил. Тут очень помогали ребята которые сами ездили, находили кто не сделал свою работу и сообщали об этом. Мы поняли за что нужно ебать исполнителей и что проверять.

Сорри, но любой, цифровой или традиционный, сервис делаеться чтобы удовлетворить потребности большинства. Если случаев когда он не работает 1 на 10 рабочих, то это хороший сервис. Плюс, сервис должен ложиться в привычки гос. апарата. Вот тут, думаю все согласяться, есть перемога:)
Да, про сервисы "для большинства" я, увы, должен согласиться.

И спорю я не с самим решением "быстрое восстановление бекапа вместо 100% доступности для некритичных сервисов"
Я хотел бы, чтобы фраза "фигня, перезальём" обязательно сопровождалась "а пока не перезальём, спорные вопросы решаются так-то и так-то".
И чтобы "фигня, перезальём" не означала "та хай хоть на мейлру себе почту делают и майнеры ставят, нам то што".

> Если случаев когда он не работает 1 на 10 рабочих, то это хороший сервис.
только в том случае, если есть работающие механизмы починки или обхода сервиса для лузера. А не так как с дией и сертификатами.

> Плюс, сервис должен ложиться в привычки гос. апарата.
соглашусь, гос.аппарат исторически имеет много очень хороших и полезных привычек - бюрократия, игнорирование, отписки. И сервис должен ложиться в эти привычки. А то шо получается - человек будет приходить к уважаемому госаппаратчику с одной айди картой? нетушки, пусть ещё хотя бы справку о прописке несёт.

В целом появление онлайн сервисов мне нравится, я за автоматизацию и унификацию.
Но ещё более в целом я сторонник подхода "меньше, но лучше", а не "перезальём, если что, а лузеров будет максимум 15%, это допустимые потери"
мобильная "дия" не слегла, только портал. Налоговую декларацию можно распечатать и подать в бумаге, как в старые добрые времена.

>>Завтра будет не дефейс, а подмена номера телефона и фишинг, и в таком состоянии сайт будет забекаплен "на отдельно лежащий ссд"

И что? кто-то узнает что у тебя в подъезде вода пропала? подход именно такой - что дефейснутые сайты не связаны с жизненно важной информацией или услугами. Может выглядит тупо, но в целом есть определенная рациональность
Maern Maern 15.01.202215:04 ответить ссылка 0.0
"В такому випадку, перше, що потрібно зробити пацієнту - переконатись, що це дійсно так. Це можна дізнатись у кабінеті свого сімейного лікаря, або у оператора контакт-центру НСЗУ за номером 16-77. Друге - потрібно подати офіційне звернення до НСЗУ про об'єднання реєстраційних даних. Звернення пишеться з зазначенням актуального номера паспорта та індивідуального податкового номеру. Копії цих документів потрібно додати до звернення.

Документи можна відправити:
1. Звичайною поштою за адресою проспект Степана Бандери, 19, м. Київ, 04073
2. Електронною поштою на скриньку info@nszu.gov.ua."

узнает что пропала вода, а заодно получит скан паспорта и код. И возможность дальнейших разнообразных социнженерных экспериментов. Достаточно подменить адрес почты
усложняешь жизнь из любви к усложнению жизни и подтверждении теорий? твои личные данные уведут через дубликат твоей симки у опсоса без таких сложностей, как дефейс и фишинг госсайта. И всё.
Оленей, которые номер для банк-ид все еще не привязали - дохулион.
ну и да, отдельно все давно и прочно течет через хелси, но никто почему-то не поднимает вой на болотах об этом
Maern Maern 15.01.202218:51 ответить ссылка 0.0
я тебе показываю конкретное место, незаметное изменение которого приведёт к утечке персданных. А ты мне за дубликат симки. А ещё, если что, в америке негров линчуют.

В этой ветке не обсуждается хелси, дубликаты карточек, суды линча.
В этой ветке чувак, прикинувшийся причастным, заявил Мы сознательно решили не заморачиваться с миллиардной безопасностью, её всё равно пробьют русские. Мы решили что там просто не будет ничего важного.
это разумная рабочая стратегия. Но она не отменяет мер обеспечения безопасности в принципе.
И уж тем более не дает повода заявлять "та всёравно поломают, пох". це какая-то дичь.

"мы не обновляли цмс больше чем пол года, и ничего не произошло" (кто-то с доу)
ты рофлер, кому там всрались твои кода и паспорт? Подобные вещи уже 300+ раз слились еще через кучу и малу организаций начиная от получения диплома, заканчивая сменой места жительства или покупкой тура. И уже не говоря что реестр фопов и тд тупо открыты.

Как минимум паспорт и код бесполезная хурма, но лишь особо одаренные думают, что это прям топ секретные данные.
если это бесполезная хурма, почему тогда каждый первый сервис собирает всё что можно о клиентах и потом торгует этими данными? Наверное особо одарённые там сидят, занимаются фигнёй.

То, что информация где-то утекла и утекает, не даёт права забивать на утечки у себя.
Инфобез должен быть, и быть не "на отъебись". Нельзя заявлять "мы решили не париться с этим".
Потому что знание это вася пупкин заказал ряд кухонных вещей, это уже возможность рекламу зафорсить. А вот твои паспорта и иин это бесполезность. У тебя на проззоро куча тендеров где просят грузить паспорт директора и тд.

И все эти утекает низя утечки сводится в солидную сумму. Инфобез должен быть там где нужен, а не пихать его всюду, хоть там просто сайт анонсник новостей и ряда открытых реестров.
> А вот твои паспорта и иин это бесполезность.
а тупые европендосы придумали gdpr для лулзов, отмыва евробабла и для неудобства погромистов.
Любая персонализированная информация - вектор атаки для криминал скама.
И абстрагируйся от паспорта, там может быть подменён телефон доверия для геепидоров, например, да что угодно. Если гос. сайту нельзя доверять, то чем он лучше какого-нить раша тудей?

> Инфобез должен быть там где нужен, а не пихать его всюду, хоть там просто сайт анонсник новостей и ряда открытых реестров.

Нет.
У разных ресурсов может быть разный уровнень, но меры безопасности должны быть даже на сайтике новостей.
1. Если ты один с такой проблемой, то это твои проблемы. Конечно такие варианты обсуждаються, но условно, это не наша проблема, если ты потерял пасспорт по дороге в аэропорт или отложил на последний день подачу декларации. Не очень приятно, но, повторюсь, один негативный случай на пару тысяч это приемлемо, если изменить его на позитивный стоит усилий и денег. Если, например Дия ляжет и весь Борисполь не сможет показать сертификат на входе, то дадут команду его не проверять, в телефонном режиме. Даже налоговая даёт отсрочку, если медок или кабинет не работает.

2. Безопасность - это не результат, безопасность - это процесс. Именно. У процеса есть стоимость, у отсутсвия процеса тоже есть стоимость. Сейчас стоимость отсутствия процеса для власти меньше, чем стоимость процеса. Когда хакеры будут подменять номера телефонов - я буду очень рад, это будет означать, что украинцы стали богатыми.
>>это не наша проблема, если ты потерял пасспорт по дороге в аэропорт или отложил на последний день подачу декларации
Чисто поржать -- мне налоговая один раз в предпоследний день звонила "у нас тут что-то случилось и ваша делкарация не засчиталась". Но вообще повторюсь -- вроде же есть альтернативы, как по мне это более весомый аргумент, так как единый сервис может лежать не только из-за хакерских атак.

>>Сейчас стоимость отсутствия процеса для власти меньше, чем стоимость процеса.
Вот не совсем, пока из всплывшей инфы выглядит как-то так:
- заказали сайт. Скорее всего с тендерами и всем вот этим.
- его сделали на CMS, выкатили, отчитались. Проверяли ли на базовую безопасность -- загадка, но в контексте произошедшего это не сыграло роли.
- в середине 2021 для используемой CMS нашли уязвимость. Т.е. это не забытые проверки прав доступа от разработчиков, не распиздяйство админов, не слитые пароли от уволеного сотрудника, а именно незакрытая уязвимость софта.
- если действительно абузили уязвимость CMS, скорее всего данные действительно слиты, но есть подозрения что там все было с доступом readonly, так как пройдясь по сайтам заметил только поиск, но что либо отправить можно только на почтовом сервисе mail.gov.ua (причем сайт спокойно мог выступать в роли прокси, но не факт).

Теперь заглянем на разработку изнутри: когда проект только пишется, обновить фрейморк, библиотеки, ОСь, софт до последнего еще ок (и то это больно). После релиза -- только если есть последующее сопровождение. Включить автообновление опасно: после очередной обновы сервис может спокойно превратится в тыкву. Вывод вроде напрашивается сам собой -- нужно закладывать бюджет на сопровождение, которое будет подразумевает обновление сервисов на новые версии (в этом случае при возникновении проблем админ откатит).

Из всего вышеперечисленого я пытаю только одну надежду: бюрократы сделают правильные выводы, а не придумают очередные 100500 бесполезных правил.

p.s. это при условии что там действительно абузили уязвимость CMS, пока это единственное обьяснение которое выкатили.
Wolfdp Wolfdp 16.01.202204:21 ответить ссылка 0.4
> Вывод вроде напрашивается сам собой -- нужно закладывать бюджет на сопровождение
Я бы добавил, что нужно также следить за этим сопровождением. Тоесть это должен быть процесс контроля за безопаснотью. Просто выделить денег и подписать договор == потратить денег впустую.
> Если, например Дия ляжет и весь Борисполь не сможет показать сертификат на входе, то дадут команду его не проверять, в телефонном режиме

Вот "телефонных режимов" и не хочется видеть. Телефонное право оно такое, своеобразное.
Есть сервис, есть ситуации, когда сервис не работает.
Замечательно, если предусмотрены работающие механизмы обхода таких ситуаций.
И НЕ замечательно, если включён режим "ну если поломается кто-то кому-то позвонит, будем смотреть по факту"

> Сейчас стоимость отсутствия процеса для власти меньше, чем стоимость процеса
я, всё таки, надеюсь, что это неудачно сформулированная фраза, а не реальное положение дел
ЖЖБа ЖЖБа 16.01.202211:36 ответить ссылка -0.6
Это положение дел во всём мире. Ровно также в гугле, майкрософте, ФБ и т.д. От них же спецы и прилетали. Важен горизонт планирования. Если он 2 года, как у нас, то стоимость убытков от низкого уровня безопасности одна, если как у майкрософта 20-50 лет, то другая, в сотни раз большая.

>И НЕ замечательно, если включён режим "ну если поломается кто-то кому-то позвонит, будем смотреть по факту"
Государство не программа. Это люди. Мир не симуляция, все возможные проблемы нельзя перечислить. Систему сломает то, о чём мы даже не подумали и о чём не знаем и это случается постоянно. Поэтому всегда должен быть вариант ручника. Уровень развития общества - это то, как часто его нужно включать. С уровня "не подмажешь - не поедешь" мы перешли на уровень "если кто-то специально сломает".
Был даже целый зам офиса президента Шимкив - целый директор Майкрософт Украина. Заебался. :)
> Поэтому всегда должен быть вариант ручника
с этим не спорю, а даже и поддерживаю. Если где-то официально записано "в случае чего вот этот человек имеет право/обязаность принять решение". Потому что в противном случае получится вариант неуправляемого ручника.

> Это положение дел во всём мире.
> Важен горизонт планирования. Если он 2 года, как у нас...

Т.е. вот прямо вот тут вот я вижу заявление "главное, чтобы до конца каденції продержалось, а дальше нас не интересует"? Или я неправильно понимаю причину такого близкого горизонта?

Камон, это же безопасность. Предусмотреть всё невозможно, но возможно разработать механизмы реагирования на непредусмотренное. Тот же ручной режим. Та же воможность отсрочки. Официально предусмотренные механизмы реагирования, к которым я могу апеллировать в суде, в налоговой, в военкомате.


Я в этом треде совсем не против использования механизма "дёшево и сердито". можно вспомнить Ingenuity на марсе, собраный с использованием дешёвой потребительской электроники. Если не ошибаюсь, есть даже целые направления в теории управления - надёжное управление, построенное на ненадёжных компонентах.
Просто хочется, чтобы из такого паттерна кроме части "дёшево" применяли также и "надёжно".


Ну а майкорософт и гугель приводить в пример не надо. Последние несколько лет они прям явно антипримеры, увы (
Федоров, ты? )))
Maern Maern 15.01.202215:08 ответить ссылка 1.0
Нет, но стоял рядом :)
>Я занимался политикой и кибербезом уже пару лет

По тексту видно что пиздеж чуть более чем полностью, так что в политическу активность охотно верю.

>аптайм 95%
чего блядь ?
Может кваптал 95?

>пусть не каждый день, но достаточно регулярно и на отключённый от сети ССД.

что за дедсадовский бред ?
дальше не читал, ибо нет смысла
>>Может кваптал 95?
судя по всему подразумевается что сервис гарантирует аптайм 95% в год. Т.е. 5% -- техработы и прочее.

>>что за дедсадовский бред ?
Скорее всего подразумеватся что админ лапками вставляет ssd (довольно странное решение, hdd в этом плане надежнее, да и каждый раз вставлять диск... ну такое) в нужный сервак, копирует бекапы и отключает чтобы ничего не случилось.
А вот от такого поведения всех предостерегаю (если, конечно, не цель просто высказать своё презрение ко всем). Самые удобные недовольные. Пришёл, обложил говоном, нихрена не объяснил и с гордой головой ушёл. Ну и скатертью дорога. Нафига приходил то? Второй раз просто посылаются нафиг - писать официальные запросы.
Хм, таки ваша правда, что-то на жопной тяге набросал пару строчек и с криком ‘Я д’Артаньян а вы пидорасы’ ушел.

Обьясню: 95% аптайма даже в очень преземленном энтерпрайзе - ужасное значение. Такой ‘официальный’ аптайм для критической инфраструктуры - нонсенс.
К примеру согласно SLA аптайм MS AZURE = 99.95 - 99.99%.
Понимаете ? Разница в 3 порядка ! И это Азур - насквозь бизнес решение, а не какой-то там сервер белого дома или ЦРУ.
Заявить подобное ит спецу - все равно что сказать главе Минздрава - по нашему плану каждый десятый гражданин болен космическим спидом и мы этого плана придерживаемся.

> пусть не каждый день, но достаточно регулярно и на отключённый от сети ССД
Здесь просто бурлеск тупости и бреда.
Опять таки пример из сааамого простого бизнесс кейса: на самом дешовом тарифе для базы данных (его дают на год бесплатно на ‘поигратся’)) AWS по дефолту делает снэпшоты (скажем так: точки восстановления базы данных) каждые 5 минут. Банкинг - фактически каждая операция являтся снэпшотом сама по себе. Сервисы с большим и постоянным потоком данных (если они имеют ценность) бекапятся просто на лету.

И здесь ЭТО ‘раз в пару дней’ .
Это же блядь фантазии пятиклассника

РУКАМИ ПЕРЕНОСИТЬ ДАННЫЕ НА ССД…
Тут даже комментировать не хочется полную абсурдность такого заявления.

Вот после пары таких заявлений я и делаю вывод что автор сего опуса просто ряженный пиздобол, который не имеет ни малейшего представления о современном IT в принципе и критически важных структурах в частности’
.
Другое дело!
Смотри, когда ты, молодой ИТшник, для совего будущего единорога делаешь бесплатный азур, то это один прайс. Когда ты говоришь азуру что ты из госсектора и тебя будут ломать, то прайс становиться несколько другим и за заявленные 99.95% никто не подписываеться. Даже у тебя в пользовательском соглашении написано, что твои 99.95% аптайма это без учёта ВСЕХ внешних рисков, условно "мы гарантируем, что в 99.95% мы не напортачим", это также означает, что 99.95% это для тебя, а не для твоего клиента, если через уязвимость КМС у тебя лёг фронт, то азуру пофигу твоя криворукость. Потом ты понимаешь, что на том же кластере что и твоя БД работает ещё и Хуйвейбен и майор Пронин, и это вектор атаки который ты не контролируешь. Тогда ты берёшь выделенный кластер, и у тебя уже затраты выросли до сотен тысяч баксов в месяц. И не забывай, что тебе ещё нужен сервис бэкапов, снапшотов, и репозитория, а ты же в курсе что это разные вещи и твои снапшоты операций в случае удаления прода удалёться тоже? Еще, репозиторий должен быть физически отделён от основной БД и не иметь автоматического бэкапа. Какой прайс будет на такой продактлист?
А потом приходит понимание, что это всё тупо БД, и никакого отношения к кибербезу не имеет отношения. Ты конечно можешь заукупать СаС, но тогда прайс в месяц уже будет меряться в миллионах долларов. А ешё спецы которые с этим работают.
И в конце, как я и говорил, это всё равно сломают. И никто тебе деньги не вернёт. И это же момент появится армия таких дАртаньянов которые будут кричать что просрали кучу денег, а всё равно зрада. Так может лучше их не тратить?
В итоге ты приходишь к выводу, что серверную сделать ты можешь и сам, что обеспечить защиту от 95% атак можно соблюдая банальную кибер гигиену и имея репозитарий и умения его восстанавливать. Опять же, ты не стартап, у тебя в сервисе ничего не меняеться годами.
В общем я рекомендую выйти из сумрака продакт менеджера большой галеры и проскейлить хоть одно решение до доп. разработки. После чего кидать оскорбления. А пиздунов про божественный азур у нас хватает.
в мемориз
но отпездки конечно смешные
А теперь откройте профиль этого ‘Великого политика в Украинском IT’
И поймите что весь срач вы развели с обычной консервой…
консервированные аккаунты разве ходят на сайт регулярно? Всмысле есть какой-нить безголовый хром, захаживающий от имени аккаунта хотя бы раз в два дня?

господин политик начал с Приветствую вас, уважаемые!
Ради такого случая и ввиду моей причастности к теме, задонатил на сервера и решил что-то объяснить.
, чтто не очень похоже на консерву.
а нахуя вообще нужны сайты минобороны и т. п.? хоть год пусть лежат.
Для небольшого меньшенства, которое активно что-то просит, что-то предлагает. Для бизнеса который связан с работой этого министерства. Достаточно часто на громадських обговоренях бывают дельные идеи. С бизнесом в сотни разы легче говорить и согласовывать какие-то моменты, когда он понимает что и почему делаеться и если хочет, то может принять участие.
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
EepiMop, що це за нове виття на болотах? ФОПи до a¿ÍTÍujHÍKÍB приедналися. Разом тепер рад1ють... ДщжиталЬащя, Сер! GC3NI
подробнее»

Украина страны политика песочница

EepiMop, що це за нове виття на болотах? ФОПи до a¿ÍTÍujHÍKÍB приедналися. Разом тепер рад1ють... ДщжиталЬащя, Сер! GC3NI
Андрей Кудря 27 апреля 2019 г. 0 Ольга Юрьевна Русина ► ПАРЛАМЕНТ - СЛУГИ НАРОДУ 11 апреля 2019 г. Люди за Зеленского,власть за Пороха. Это борьба не двух кандидатов,это борьба НАРОДА И ВЛАСТИ
подробнее»

Украина страны политота,Приколы про политику и политиков

Андрей Кудря 27 апреля 2019 г. 0 Ольга Юрьевна Русина ► ПАРЛАМЕНТ - СЛУГИ НАРОДУ 11 апреля 2019 г. Люди за Зеленского,власть за Пороха. Это борьба не двух кандидатов,это борьба НАРОДА И ВЛАСТИ