Ладно, ещё раз про многострадального вируса Петю. (https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya).

Хорошие новости — в том, что никаких новых неизвестных науке уязвимостей этот вирус не использует.

Пожалуйста, не верьте некоторым поспешным заявлениям об «опасной комбинации» и перспективе «заражения по сети через psexec». (Ещё иногда в этом контексте упоминают WMI). PsExec и WMI — не уязвимость и не магическая астральная дыра. Это легитимный и довольно тривиальный, один из многих, способ удалённого управления. Он не может дать вам права администратора, если у вас их ещё нет. Для использования PsExec у атакующего УЖЕ должны быть права администратора на целевом компьютере. Что и получает вирус, используя сразу несколько разных способов. (Информация продолжает поступать).

Для начала он эксплуатирует уже известные уязвимости. А именно, печально известный «Eternal Blue», он же CVE-2017-0144, он же MS17-010. В точности как WannaCry месяц назад. Исправления были выпущены для всех ОС, начиная с Windows XP.

Следовательно, если вы вовремя установили все обновления — у вас этих уязвимостей уже нет, и никакой PsExec (или WMI) сам по себе злоумышленникам не поможет. Если у вас в сети ОДИН уязвимый необновлённый компьютер — только он один и будет заражён таким образом.

А плохие новости в том, что против лома нет приёма. Поэтому если вы работаете с правами локального (или, не дай Бог, доменого) администратора, а вашим пользователям можно задурить голову через социальную инженерию — вы под угрозой. К сожалению, «социальная инженерия» — это красивый термин, который только звучит сложно. Но обозначает очень простые и действенные методы — типа рассылки интересных писем, которые выглядят как настоящие и требующие срочной реакции. Именно так зараза попадает внутрь вашей сети и именно так может атаковать даже полностью обновлённые и защищённые компьютеры.

Но — более того — Петя обучен тырить пароль локального администратора! Поэтому очень важно, чтобы он был РАЗНЫМ на всех компьютерах. Либо ПУСТЫМ — в этом случае подключение по сети запрещено. В противном случае, поразив (благодаря социальной инженерии или через уязвимость, не закрытую своевременной установкой обновления) один компьютер и узнав его пароль — дальше Петя пойдёт гулять по остальным. Даже если они уже были обновлены.

Конечно, именно на такой случай и придуманы антивирусы. Это важная часть многоуровневой эшелонированной защиты (т.н. «defense in depth»). Они всегда — по определению — отстают от атакующих, т.к. действуют в ответ на уже появившиеся угрозы. В нашем случае все крупные игроки антивирусного рынка среагировали в течение нескольких часов после появления первых новостей о вирусе.

В частности, если говорить о Windows Defener, то подключенные к Интернету компьютеры с т.н. «Cloud Detection» или MAPS (включена по умолчанию — см. на картинке выше) получили обновления сигнатур около шести часов вечера по Москве.

Чуть позже вышло и обычное обновление базы антивируса (версия сигнатур 1.247.185 или выше). Это позволяет, в том числе, вылечить (до перезагрзуки) уже заражённые компьютеры. Но, к сожалению, не расшифровать уже зашифрованные файлы.

Если вы используете другие антивирусы — уточните у поставщика, какая версия сигнатур содержит противоядие.

Кроме того, в Интернетах пишут и о других способах распространения многоликого Пети. Чуть ли даже не в составе обновлений некоторых живых и легитимных программ. Поэтому будьте бдительны и на всякий случай делайте резервные копии.

Ещё хорошим методом проактивной защиты является отключение устаревшего протокола SMB1 к хуям собачим. Именно так, а не «блокировать порты»! Но это в любом случае не заменяет постоянно обновлённого антивируса и гибкую настройку полномочий (избегайте прав администратора при малейшей возможности). А также Secure Boot, LAPS и всего остального, что дал нам прогресс. Каждая из мер в отдельности, конечно, не является панацеей и не делают вас неуязвимым. Но все они вместе сильно повышают шансы на то, что зараженее не случится или будет остановлено на подступах.

Обновил предыдущую запись про Петю. Информация, вероятно, пока не полная. Но основное про методы заражения уже известно. Обновляйтесь и не полагайте на плацебо в виде «killswitch»-ей. Будьте здоровы!

Если кто-то подписался в рассчёте на регулярные новости об уязвимостях и безопасности — вынужден вас разочаровать. Обычно в этом канале чего-то не хватает.

Ответ на претензии к редакционной политике канала содержится в названии другого канала

Извините, выступлю в жанре весьма мерзкого канала «жизнь насекомых», но это правда довольно забавно. Сейчас все непримиримые комментаторы из группы поддержки борьбы с кровавым режимом вынуждены будут переобуться в воздухе (и уже начали) и объяснить, что — конечно, таки надо было регистрироваться в реестре, это ничего не значит, и правда такой изящный ход. По-моему, единственное, что это даст — выиграть время. «Не ждём, а готовимся». Надеюсь, Дуров знает, к чему они там готовятся.

Да, конечно, сведенья из британского реестра открытые, и взять их оттуда может любой желающий. Действия Дурова сейчас, какими бы они ни были, — сугубо декларативные, а практического смысла не несут. Я просто помню, как пару месяцев назад какие-то непонятные чуваки от имени «авторов каналов» (WTF?) составили целую ПЕТИЦИЮ к Дурову с просьбой официально отправить эти злосчастные данные в РКН. Как раз с целью формального соблюдения странного закона об ОРИ. Но все наши героические комментаторы и аналитики конечно же тогда писали, что делать этого ни в коем случае нельзя. Потому что это-де покажет нашу слабость перед лицом бесчеловечной государственной машины и даст повод оказывать давление и дальше — по уже более серьёзным поводам.

А также вспоминаю разговоры года два назад, когда случился якобы «инсайд» от несправедливо уволенного (?) разработчика из команды Телеграма. Инсайд свидетельствовал, что нихуя на самом деле нет распределённой инфраструктуры, это только красивые заявления для параноиков. А на самом деле все данные лежат в одном месте. Я тогда особого внимания этому не придал; вообще не люблю анонимные инсайды, и тем более — такие, которые выглядят как беспочвенный наброс на хорошую штуку.

Но если на минуту допустить, что это было правдой хоть отчасти и остаётся правдой по сей день — можно пофантазировать, что вот под угрозой реальных блокировок Дуровы всё-таки решили изменить архитектуру. И на это, очевидно, требуется время. Которое можно выиграть такими играми в поддавки. Либо, наоборот, вынести всех российских пользователей на отдельную ферму серверов. Весёлую ферму, ха-ха.

По-прежнему призываю не верить инсайдам и не делать далеко идущих выводов — тем более, что всю правду мы вряд ли узнаем в ближайшем будущем.


P.S. А вот на подготовку к продаже Телеграма это выглядит совсем не похоже.

«Может быть, вы заметили, что я не провожу опросов с целью понять, какой контент нравится аудитории. Это потому что мне похуй» — пишет тот самый канал. Хочется ответить: НЕТ НЕ ЗАМЕТИЛИ, ПОТОМУ ЧТО НАМ ТОЖЕ ПОХУЙ.

Кстати, проголосуйте, если кто ещё не. Это интересно. https://news.1rj.ru/str/tehnolozhka/910

Слушайте, какой же всё-таки ТУ-144 красивый, а! Лучше него — только Конкорд в ливрее Бритишей.

https://news.1rj.ru/str/letach/561

К посту про флирт Чехова всё в том же канале. В моей любимой кофейне вот уже месяц, если встречаются в одну смену бариста и уборщица, они воспроизводят один и тот же диалог.

— Да ты меня крысой назвала! (В сторону, любому слушателю). Представлете? Меня — крысой!
— Да не называла я её крысой. Ты что?
— Ты назвала меня крысой!
— Да не крысой! Ты пришла такая в кимоно. Я сказала — Сплинтер! Понимаешь? УЧИТЕЛЬ СПЛИНТЕР!!!

Выступил в оригинальном жанре «поучи американцев критиковать Трампа». Хватит это терпеть!

http://telegra.ph/To-My-Dear-American-Friends-06-28

Почему-то очень лень что-то писать, хотя сегодня много интересного чтения, и я НЕ УСПЕВАЮ. Наверное, надо будет потом ещё раз написать, чему нас всех должна была научить история с Петей. Но леееееень. Поэтому вот мемасик.

https://twitter.com/pronichkin/status/880136610494468096

Если в МТС ещё осталось что-то благодатное — то это СММ. Я сначала не поняла, а потом немного поняла. Прямо в голосину.

https://news.1rj.ru/str/vishka_mts/306

Попил сатанинского кофе

запилиль

Вот ето поворот

https://news.1rj.ru/str/tgbeta/1898

Похоже, сторонняя чёрная тема теперь станет нинужна.

На 20% больше. (Когда снимал — продавец спросил: «Это что, важно, да, это фотографировать?» — Я ответил: «Конечно, надо запомнить»).

Сегодня весь день испытываю слабомотивированную ненависть ко всему сущему, поэтому сделал странное наблюдение. Учение об эволюции сильно запутывает то, как мы привыкли говорить о причине и следствии. Ну то есть, например, у утки перепончатые лапы и широкий клюв не для того, ЧТОБЫ плавать и ловить рыбу. А ОТТОГО ЧТО она плавает и ловит рыбу.


UPD. Оказывается, на этот счёт есть старая паста — ищется, например, по словам «Когда дети спрашивают почему у бобра большие передние зубы». Уже два человека мне её прислали. (Я вас тоже всех люблю). Ладно, я не претендую на оригинальность. Просто сегодня что-то заебали мудаки.

Внезапно обнаружил у себя около сорока подарочных сертификатов Эльдорадо, каждый на тысячу рублей. Истекают послезавтра (6.07). Что бы такого придумать?

Такой гаджет. Телефонная трубка с витым проводом. Подключается к планшету.

Меня сложно заподозрить в симпатиях к нашему государству, высосанным из пальца проектам, а также навязанным услугам. Но вот если честно, не очень понимаю, почему все так попоболят с карты «Мир». Если вы уже обслуживаетесь в российском банке, то неудобства обещают быть минимальны.

1. Делаете кредитную карту любой нормальной системы (Visa или MC) с той программой лояльности, которая вам нравится (мили, бонусы, баллы и т.п.).
2. Расплачиваетесь ею везде, в т.ч. за границей и в Интернете.
3. Гасите кредит ежемесячно (можно автоматически) с трёклятого «Мира».
4. Поскольку перевод внутрибанковский и в той же валюте, он бесплатен.
5. Когда нужны наличиные, снимаете их с «Мира» (предполагается, что вы находитесь в шаговой доступности от какого-то российского банкомата).

Т.е. абсолютно такая же схема, какая должна быть с любой другой дебетовой картой, на которую вам приходит зарплата. От того, что это внезапно стал «Мир», вам не тепло и не холодно. Странно, что про такой простой вариант Медуза не упоминает, а например про экзотическую возможность получать зарплату наличными — пишет. (https://meduza.io/cards/ya-byudzhetnik-mne-vydali-zarplatnuyu-kartu-mir-ot-nee-mozhno-otkazatsya)

Единственный серьёзный минус — нельзя снять наличные, находясь за границей. Но насколько часто это вам бывает нужно? (А если нужно часто — очевидно, у вас для этого уже есть какие-то другие дебетовые карты).