В Москве как всегда внезапно начался ливень и шквальный ветер. Сижу на улице в кафе на Белорусской, удачно расположился под навесом и с подветренной стороны. Вокруг капли дождя летают практически горизонтально. (Видеозапись имеется в распоряжении редакции).

Подходит парень, без зонта и даже капюшона. Разумеется, мокрый насквозь. Спрашивает, в какую сторону Москва-сити. Это, надо понимать, в трёх остановках метро отсюда или чуть больше пяти километров по прямой. Показываю направление рукой. Парень не верит, спрашивает — «а вы точно уверены?» После чего грустно садится на стул прямо под дождём и начинает выжимать кроссовки.


UPD: Комментарий Зеленина: СТАРТАПЕР НЕБОСЬ.

Знаю кучу людей, которые работают лицом этого бренда!

Знаю кучу людей, предпочитающих этот бренд.

Некоторые люди, кажется, всерьёз обижаются на канал «Бывшая», считают его оскорблением всего женского рода и утверждают, что «сами давно так себя не ведут» (или даже никогда не вели). Эти ребята, кажется, не понимают одной вещи. Это же канал не про того, кто пишет. Это канал про того, кто получает сообщения. Про то как, самые невинные фразы воспринимаются по-другому в зависимости от контекста. Вы можете не писать «ничего такого» (хотя скорее всего, писали), можете вообще писать в личный твиттер или фейсбук — но дело в том, что скорее всего, это будет прочитано именно так. Deal with it.

Канал просто делает это немного гротескно, ну чтобы ни у кого не осталось сомнений и разночтений. И именно поэтому он стал так популярен — каждый вспоминает что-то своё по мотивам и ассоциациям, пусть даже оно не буквально сочетается с формулировками авторов.

Ну и конечно это не канал про глупеньких женщин. Большинство этих сообщений абсолютно интергендерные, т.е. могли бы быть отправлены любой стороной. И разумеется, могли быть «неправильно» интерпретированы другой. И конечно, вы наверняка успели побывать в обеих ролях.

И если кто-то до сих пор переживает из-за идентичности канала, то ещё с прошлой недели существует его брат-близнец «бывший». Он такой же смешной, хотя там меньше подписчиков, и он немного прямее и тупее. Надо полагать, как все «бывшие» парни.

P.S. Нет, они не могут поговорить друг с другом.

В любимое кафе завезли свежую еду для грамматических нацистов :(

Пока рано что-то говорить про новую эпидемию, поэтому вот порция дежурных шуток.

Во-первых, это как всегда похоже на антирекламу админских прав. В смысле — если бы пользователи, которые подверглись фишингу, не имели прав локального администратора, заражения бы не произошло. (А именно так, похоже, происходит первичное заражение в сети организации). Ну и нельзя, конечно, иметь одинаковый пароль локального администратора на всех компах. А лучше вообще держать его пустым — это как раз не шутка.

Во-вторых, это как всегда смахивает на очередную рекламу своевременной установки обновлений. Если червяк и правда распространяется через SMB — то скорее всего, речь идёт про того самого «Брутального кенгуру», над которым мы потешались в четверг (https://news.1rj.ru/str/dgnotes/573). [Upd: это конкретное подозрение не подтвердилось; всё гораздо тривиальнее — см. следующую запись]. На это намекает не очень грамотная рекомендация «блокировать порты» 135 и 445 — говорят, кому-то это уже помогло. Но, пожалуйста, не делайте так хотя бы на контроллерах домена, иначе это сломает механизм распространения политик, и вы не сможете применить какие-то новые важные настройки (в т.ч. для предотвращения заражений).

В-третьих, это может быть и рекламой UEFI. Потому что если червяк правда шифрует только MBR — это во-первых значит, что он не зашифрует GPT. И во-вторых, что не сможет запуститься через Secure Boot.

Опять же, если это правда, то починить MBR очень просто. Это вам не зашифрованные файлы от WannaCry.

Ну и самое главное. Если мы правда имеем дело с КЛЮЧАМИ ШИФРОВАНИЯ — то где наш доблестный Жаров? Он уже связался с авторами вируса? Потребовал заполнить анкету для включения в ОРИ? (За последнюю шутку спасибо Антоновичу).

А также астрологи объявляют неделю шуток на тему предполагаемого названия вируса — «Petya.A»

Ладно, ещё раз про многострадального вируса Петю. (https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya).

Хорошие новости — в том, что никаких новых неизвестных науке уязвимостей этот вирус не использует.

Пожалуйста, не верьте некоторым поспешным заявлениям об «опасной комбинации» и перспективе «заражения по сети через psexec». (Ещё иногда в этом контексте упоминают WMI). PsExec и WMI — не уязвимость и не магическая астральная дыра. Это легитимный и довольно тривиальный, один из многих, способ удалённого управления. Он не может дать вам права администратора, если у вас их ещё нет. Для использования PsExec у атакующего УЖЕ должны быть права администратора на целевом компьютере. Что и получает вирус, используя сразу несколько разных способов. (Информация продолжает поступать).

Для начала он эксплуатирует уже известные уязвимости. А именно, печально известный «Eternal Blue», он же CVE-2017-0144, он же MS17-010. В точности как WannaCry месяц назад. Исправления были выпущены для всех ОС, начиная с Windows XP.

Следовательно, если вы вовремя установили все обновления — у вас этих уязвимостей уже нет, и никакой PsExec (или WMI) сам по себе злоумышленникам не поможет. Если у вас в сети ОДИН уязвимый необновлённый компьютер — только он один и будет заражён таким образом.

А плохие новости в том, что против лома нет приёма. Поэтому если вы работаете с правами локального (или, не дай Бог, доменого) администратора, а вашим пользователям можно задурить голову через социальную инженерию — вы под угрозой. К сожалению, «социальная инженерия» — это красивый термин, который только звучит сложно. Но обозначает очень простые и действенные методы — типа рассылки интересных писем, которые выглядят как настоящие и требующие срочной реакции. Именно так зараза попадает внутрь вашей сети и именно так может атаковать даже полностью обновлённые и защищённые компьютеры.

Но — более того — Петя обучен тырить пароль локального администратора! Поэтому очень важно, чтобы он был РАЗНЫМ на всех компьютерах. Либо ПУСТЫМ — в этом случае подключение по сети запрещено. В противном случае, поразив (благодаря социальной инженерии или через уязвимость, не закрытую своевременной установкой обновления) один компьютер и узнав его пароль — дальше Петя пойдёт гулять по остальным. Даже если они уже были обновлены.

Конечно, именно на такой случай и придуманы антивирусы. Это важная часть многоуровневой эшелонированной защиты (т.н. «defense in depth»). Они всегда — по определению — отстают от атакующих, т.к. действуют в ответ на уже появившиеся угрозы. В нашем случае все крупные игроки антивирусного рынка среагировали в течение нескольких часов после появления первых новостей о вирусе.

В частности, если говорить о Windows Defener, то подключенные к Интернету компьютеры с т.н. «Cloud Detection» или MAPS (включена по умолчанию — см. на картинке выше) получили обновления сигнатур около шести часов вечера по Москве.

Чуть позже вышло и обычное обновление базы антивируса (версия сигнатур 1.247.185 или выше). Это позволяет, в том числе, вылечить (до перезагрзуки) уже заражённые компьютеры. Но, к сожалению, не расшифровать уже зашифрованные файлы.

Если вы используете другие антивирусы — уточните у поставщика, какая версия сигнатур содержит противоядие.

Кроме того, в Интернетах пишут и о других способах распространения многоликого Пети. Чуть ли даже не в составе обновлений некоторых живых и легитимных программ. Поэтому будьте бдительны и на всякий случай делайте резервные копии.

Ещё хорошим методом проактивной защиты является отключение устаревшего протокола SMB1 к хуям собачим. Именно так, а не «блокировать порты»! Но это в любом случае не заменяет постоянно обновлённого антивируса и гибкую настройку полномочий (избегайте прав администратора при малейшей возможности). А также Secure Boot, LAPS и всего остального, что дал нам прогресс. Каждая из мер в отдельности, конечно, не является панацеей и не делают вас неуязвимым. Но все они вместе сильно повышают шансы на то, что зараженее не случится или будет остановлено на подступах.

Обновил предыдущую запись про Петю. Информация, вероятно, пока не полная. Но основное про методы заражения уже известно. Обновляйтесь и не полагайте на плацебо в виде «killswitch»-ей. Будьте здоровы!

Если кто-то подписался в рассчёте на регулярные новости об уязвимостях и безопасности — вынужден вас разочаровать. Обычно в этом канале чего-то не хватает.

Ответ на претензии к редакционной политике канала содержится в названии другого канала

Извините, выступлю в жанре весьма мерзкого канала «жизнь насекомых», но это правда довольно забавно. Сейчас все непримиримые комментаторы из группы поддержки борьбы с кровавым режимом вынуждены будут переобуться в воздухе (и уже начали) и объяснить, что — конечно, таки надо было регистрироваться в реестре, это ничего не значит, и правда такой изящный ход. По-моему, единственное, что это даст — выиграть время. «Не ждём, а готовимся». Надеюсь, Дуров знает, к чему они там готовятся.

Да, конечно, сведенья из британского реестра открытые, и взять их оттуда может любой желающий. Действия Дурова сейчас, какими бы они ни были, — сугубо декларативные, а практического смысла не несут. Я просто помню, как пару месяцев назад какие-то непонятные чуваки от имени «авторов каналов» (WTF?) составили целую ПЕТИЦИЮ к Дурову с просьбой официально отправить эти злосчастные данные в РКН. Как раз с целью формального соблюдения странного закона об ОРИ. Но все наши героические комментаторы и аналитики конечно же тогда писали, что делать этого ни в коем случае нельзя. Потому что это-де покажет нашу слабость перед лицом бесчеловечной государственной машины и даст повод оказывать давление и дальше — по уже более серьёзным поводам.

А также вспоминаю разговоры года два назад, когда случился якобы «инсайд» от несправедливо уволенного (?) разработчика из команды Телеграма. Инсайд свидетельствовал, что нихуя на самом деле нет распределённой инфраструктуры, это только красивые заявления для параноиков. А на самом деле все данные лежат в одном месте. Я тогда особого внимания этому не придал; вообще не люблю анонимные инсайды, и тем более — такие, которые выглядят как беспочвенный наброс на хорошую штуку.

Но если на минуту допустить, что это было правдой хоть отчасти и остаётся правдой по сей день — можно пофантазировать, что вот под угрозой реальных блокировок Дуровы всё-таки решили изменить архитектуру. И на это, очевидно, требуется время. Которое можно выиграть такими играми в поддавки. Либо, наоборот, вынести всех российских пользователей на отдельную ферму серверов. Весёлую ферму, ха-ха.

По-прежнему призываю не верить инсайдам и не делать далеко идущих выводов — тем более, что всю правду мы вряд ли узнаем в ближайшем будущем.


P.S. А вот на подготовку к продаже Телеграма это выглядит совсем не похоже.

«Может быть, вы заметили, что я не провожу опросов с целью понять, какой контент нравится аудитории. Это потому что мне похуй» — пишет тот самый канал. Хочется ответить: НЕТ НЕ ЗАМЕТИЛИ, ПОТОМУ ЧТО НАМ ТОЖЕ ПОХУЙ.

Кстати, проголосуйте, если кто ещё не. Это интересно. https://news.1rj.ru/str/tehnolozhka/910

Слушайте, какой же всё-таки ТУ-144 красивый, а! Лучше него — только Конкорд в ливрее Бритишей.

https://news.1rj.ru/str/letach/561

К посту про флирт Чехова всё в том же канале. В моей любимой кофейне вот уже месяц, если встречаются в одну смену бариста и уборщица, они воспроизводят один и тот же диалог.

— Да ты меня крысой назвала! (В сторону, любому слушателю). Представлете? Меня — крысой!
— Да не называла я её крысой. Ты что?
— Ты назвала меня крысой!
— Да не крысой! Ты пришла такая в кимоно. Я сказала — Сплинтер! Понимаешь? УЧИТЕЛЬ СПЛИНТЕР!!!

Выступил в оригинальном жанре «поучи американцев критиковать Трампа». Хватит это терпеть!

http://telegra.ph/To-My-Dear-American-Friends-06-28

Почему-то очень лень что-то писать, хотя сегодня много интересного чтения, и я НЕ УСПЕВАЮ. Наверное, надо будет потом ещё раз написать, чему нас всех должна была научить история с Петей. Но леееееень. Поэтому вот мемасик.

https://twitter.com/pronichkin/status/880136610494468096

Если в МТС ещё осталось что-то благодатное — то это СММ. Я сначала не поняла, а потом немного поняла. Прямо в голосину.

https://news.1rj.ru/str/vishka_mts/306

Попил сатанинского кофе