«Аэрофлот» взломали потому, что глава организации не менял пароль с 2022 года, при этом, компания работала на версиях Windows XP и 2003


Страницы: (10) « Первая ... 7 8 [9] 10	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Demigod

28.07.2025 - 23:24

Статус: Offline

Воздух

Регистрация: 16.03.07
Сообщений: 7675

Цитата (Exidina @ 28.07.2025 - 17:57)

Вопрос. На кой хер главе права доменного админа? Какого болта от Братской ГЭС не было разделения прав для разных групп - DBA не должны иметь админских доступов никуда кроме своих конкретных серверов и баз на них, администраторы резервного копирования - соответственно могут иметь доступ только до своих сегментов, по остальным сервисам то же самое. Повышение прав - это вообще отдельная песня, каждый конкретный эпизод должен фиксироваться и иметь строго определенный период действия, строго определенный список операций, допустимых для повышаемой в правах УЗ. Про допуск к логину с ограниченного числа рабочих станций и подсетей речь вообще не ведется - это дефолтное поведение с примерно 1999 года.
По-хорошему обязательно должен быть внедрен поведенческий анализ - ну то есть если в течение месяца до вчера Уасся пользовался каким-нибудь keepass, mstsc и, например, mobaxterm, а сегодня пересел на powershell и putty - что-то, наверное, не то и пора ИБшнику брать паяльник и спрашивать у Уасси (с уже заблоченной и кикнутой УЗ), что с ним такое произошло.

Ну, по крайней мере, я так делал, пока убер-админом и ИБшником в одном флаконе пахал.

Видимо это было давно.
Хероваа туча уязвимостей в виндовом софте, позволяющем повышать привилегии учетки, производить запуск исполняемых файлов с нужными правами и прочее.
Своевременно обычно не патчат админы, да и до выпуска патчей проходит порой много времени после того, как сведения об уязвимости появились.
А могут и не появляться очень долго.
В итоге, если на палиться и не выдавать своего присутствия в сети жертвы - в принципе за достаточное время можно все изучить, подготовить, и потом одномоментно положить.

Самые распиздяи в ИБ - это сисадмины, не делающие как положено, потому что им неудобно, да и кроме них все равно доступа нет ни у кого.... Ну и сами ИБшники, которые нихрена не понимают как работает сеть на физических и протокольных уровнях, как происходит взаимодействие компонентов сложных распределенных систем и т.п.

Да и современные RAT вирусы делаются под заказ и не одним антивирусником не задетектится, а среди тысячи сотрудников всегда найдутся те, кто все же откроет фишинговое вложение или перейдет по фишинговой ссылке на адрес, которого ни в одном файрволе в листах нет, потому что адрес под конкретную атаку заделан и ранее не палился нигде.

Сегментирование сети тоже через жопу делают, обычно комп админа имеет доступ и к пользовательским и к серверным vlan, потому что так удобнее. И даже если есть физически отдельный админский комп в серверном vlan, админ себе пробрасывает туда доступ со своего компа, потому что ножками ходить лень, или неохота переключаться туда-сюда.... Вот и дыра между сегментами.

Вообщем вариантов куча, если есть время, находясь внутри сети все изучить, то вполне возможна атака.

Скажите сколько людей из банков, операторов связи, того же Сбера и Ростелекома посадили за утечку данных ???

Вот то то.... Потому и распиздяйское отношение ко всему этому, до тех пор пока реально всю инфраструктуру не положат.

[^]

mnumizantrop

28.07.2025 - 23:27

Статус: Offline

Приколист

Регистрация: 3.11.24
Сообщений: 310

Цитата (mrzorg @ 28.07.2025 - 23:45)

Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно.

И мы нихуя не Аэрофлот по размерам даже близко.

Да, бухгалтера рады менять пароль почаще и чтоб он был не менее 12 символов, включая заглавные буквы и спецсимволы.

[^]

IvanDragoV12

28.07.2025 - 23:49

Статус: Offline

Приколист

Регистрация: 13.01.22
Сообщений: 244

Цитата (mrzorg @ 28.07.2025 - 16:45)

Много предприятий работает на говно железе. Я молчу еще про военный сектор. Я вполне не удивляюсь, что жадность и пофигизм основаны тем , что нужно менять периферийные устройства в плане тех же древних принтеров и тд) Но чтобы глава АЭРОФЛОТА))) хех ну да ладно ... пускай веселятся)

[^]

Glamour777	28.07.2025 - 23:50 [ показать ] 0
Статус: Offline Приколист Регистрация: 7.04.13 Сообщений: 396	Что то интересное намечается Размещено через приложение ЯПлакалъ
	[^]

nocturnal11

28.07.2025 - 23:56

Статус: Online

Ярила

Регистрация: 17.02.14
Сообщений: 6364

Цитата (poiloff @ 28.07.2025 - 16:45)

Пойду на Госуслугах пароль поменяю.

На рабочем столе, чтобы войти в жтот рабочий стол пароля не было?

Размещено через приложение ЯПлакалъ

[^]

IvanDragoV12

29.07.2025 - 00:00

Статус: Offline

Приколист

Регистрация: 13.01.22
Сообщений: 244

Цитата (Demigod @ 28.07.2025 - 23:24)

Цитата (Exidina @ 28.07.2025 - 17:57)

Да человеческий фактор.

[^]

AlKOnaft

29.07.2025 - 00:00

Статус: Offline

Контролёр долбоёбов

Регистрация: 2.09.13
Сообщений: 3470

Цитата (crv1972 @ 28.07.2025 - 16:51)

ты чо
password же

Не, qwerty

Размещено через приложение ЯПлакалъ

[^]

бозон

29.07.2025 - 00:14

Статус: Offline

Ярила

Регистрация: 13.03.22
Сообщений: 2018

Цитата (woy @ 28.07.2025 - 16:52)

Цитата (mrzorg @ 28.07.2025 - 15:45)

вот обьясни мене мзорг, у аэрофлота сколько там самолётов? 170? а серверов хакнули 7000? вот зачем им на каждый самолёт по 40 серверов?

а сколько бы ты поставил ?

самолёты, это же только вершина айсберга

[^]

serg2773	29.07.2025 - 00:37 [ показать ] 0
Статус: Offline Ярила Регистрация: 24.02.15 Сообщений: 4179	Думаю и госуслуги такое же дырявое решето. Просто его ещё никто не ковырял по взрослому. А может и ковыряли умные дяди, но не пиздят об этом. Доверия к системам безопасности это не добавляет. Тёрки про цифровой рубль на фоне этих событий явно преждевременны.
	[^]

Shershuster

29.07.2025 - 00:48

Статус: Offline

Болтун

Регистрация: 28.05.12
Сообщений: 1591

Цитата (mrzorg @ 28.07.2025 - 17:45)

Ну если ты что-то все таки понимаешь в секурности, тогда ты должен знать - то 90% взломов идут через хьюман-инжинириг, и никакие политики смены паролей тут не помогут.

[^]

Арба

29.07.2025 - 00:54

Статус: Offline

Весельчак

Регистрация: 5.11.24
Сообщений: 189

Цитата (Мамедыч @ 28.07.2025 - 16:54)

А цель какая у хакеров? Ну взломали, ну скачали? В чем выгода? Показать что могут? Мне вот пох. Показать что в аэрофлоте дыра в ит? Ну мне как обыаателю тоже пох. Ибо везде такой бардак куда не ткни. Вот если бы они автоваз взломали и он не мог выпускать корыта полгода год, вот это я понимаю. А тут…

В даркнете, на (ресурсах пробивщиков в т.ч.) такие массивы данных стоят очень приличных денег.
Если там есть данные покупки билетов. БД вообще можно сказать "сладкие", потому что кроме все данных пассажира, там еще есть и данные его банковской карты.

Размещено через приложение ЯПлакалъ

[^]

kf1000	29.07.2025 - 00:56 [ показать ] 0
Статус: Offline Ярила Регистрация: 7.02.24 Сообщений: 1514	Да банкоматы посмотрите - там наверняка не Виндоус 11 стоит а таже xp наверное почти везде. Размещено через приложение ЯПлакалъ
	[^]

Вольфрамыч

29.07.2025 - 01:06

Статус: Offline

Пятая автоколонна

Регистрация: 20.10.15
Сообщений: 51862

Цитата (Мамедыч @ 28.07.2025 - 16:56)

Цитата (mrzorg @ 28.07.2025 - 16:45)

Так стоп! Ты сказал что в ТерОборону ушел?

Он ещё немножко шьёт на дому

[^]

doommm	29.07.2025 - 01:07 [ показать ] 0
Статус: Offline Юморист Регистрация: 2.10.09 Сообщений: 405	Всё они починят и думаю достаточно быстро. Сталкивался с разными крупными коммерческими компаниями. Как правило полный бекап всех баз раз в квартал (связанных так или иначе с работой систем или пользователями), инкрементальный бекап раз две недели. Бекапы всегда хранятся офлайн, так что уничтожить их можно только физически. Откатятся на месяц по информации, утрутся, сделают выводы и продолжат работать. В нашей стране за случайный слив данных их не накажут. Для западной компании такой слив бы грозил банкротством компании из-за десятков тысяч исков P,S. Не может в принципе такого быть что нет бекапов! Какая бы мощная система безопасности ни была - всегда есть человеческий фактор. Какого-нить SQL админа бросит жена, у него слетит кукуха и он дропнит базы, или всех юзеров этой базы, или отформатирует сервера где они крутятся. Везде есть кто-то у кого прав на это хватит. Я уже не говорю про возможный проеб разрабов, когда DELETE скрипт выполнил не 10 строк а 100 милионов )) Это сообщение отредактировал doommm - 29.07.2025 - 01:29
	[^]

GhosT333

29.07.2025 - 01:16

Статус: Offline

Ярила

Регистрация: 25.04.06
Сообщений: 8458

Цитата (Dgunus @ 28.07.2025 - 17:18)

давно уже всем говорю, не ебите голову с придуманными паролями. Они почти все есть в общедоступном файлике для брута. Пароли надо генерить сейчас.
Берёшь оффлайн кипер паролей и генеришь себе то, что брутом будешь перебирать семь вечностей. Ну и 2фа никто не отменял.

Да берёшь и ставишь любую русскую фразу символов на 15-20.
123КаКая#ХоРошаЯ@ПоГода321
Хоть забрутфорся

Размещено через приложение ЯПлакалъ

[^]

Swenum

29.07.2025 - 01:22

Статус: Offline

Ярила

Регистрация: 28.12.11
Сообщений: 2497

Цитата (Dantuxa @ 28.07.2025 - 19:21)

Слушайте. Можно сколько угодно рассказывать про мегакрутых кулхацкеров и прочее, но все все прекрасно понимают. Атаки на подобного рода инфраструктуры извне в принципе невозможны в таких масштабах, так как политика нулевого доверия и прочие вещи - это маст хэв, и если бы было по-другому, что все бы эти сайты (не только аэрофлот, а подобные) - лежали бы днями и ночами, изза атак, ддосов и прочего.

Это как взломать амазон, ибей и прочее - сливы там были и будут, но не изза атак извне, а в силу другой причины. И называется она - работа изнутри, все прекрасно понимают, что именно изнутри это было сделано, но никак не снаружи. Само собой, снуружи тоже помогли, но без инсайда - такое было бы не возможно в принципе.

Более чем уверен, что поиски крысы ведутся и ее найдут, само собой.

Говорят, что хакнули МСЭ Checkpoint, как раз полтора года назад уязвимость была и пошло-поехало.

[^]

Bitner

29.07.2025 - 01:37

Статус: Online

Ярила

Регистрация: 28.10.18
Сообщений: 2586

Цитата

пруф говно.
сейчас каждый второй школьник в телеге будет говорить что это он хакер и именно он взломал. и выдумывать басни про пароли "123456"

п.с.
в самом факте взлома не сомневаюсь.

Говно да Аэрофлот крайний а пиздюлей это вот сюда

В Российской Федерации контроль за соблюдением законодательства в области критической информационной инфраструктуры (КИИ) осуществляет ФСТЭК России (Федеральная служба по техническому и экспортному контролю). Именно ФСТЭК России является уполномоченным органом в этой сфере и отвечает за ведение реестра объектов КИИ, формирование требований по обеспечению их безопасности и контроль за выполнением этих требований. Также, ФСБ России участвует в регулировании и координации деятельности субъектов КИИ, особенно в части обнаружения и реагирования на компьютерные атаки.

Размещено через приложение ЯПлакалъ

[^]

Swenum

29.07.2025 - 01:37

Статус: Offline

Ярила

Регистрация: 28.12.11
Сообщений: 2497

Цитата (TrueLyaLya @ 28.07.2025 - 23:06)

Откуда у людей столько места на дисках, чтоб столько чужой инфы пиздить, а потом в сеть сливать?

А в чём собственно говоря проблема? Было бы что сливать и потом продавать.

«Аэрофлот» взломали потому, что глава организации не менял пароль с 2022 года, при этом, компания работала на версиях Windows XP и 2003

[^]

doommm

29.07.2025 - 01:40

Статус: Offline

Юморист

Регистрация: 2.10.09
Сообщений: 405

Цитата (GhosT333 @ 29.07.2025 - 01:16)

Цитата (Dgunus @ 28.07.2025 - 17:18)

Да берёшь и ставишь любую русскую фразу символов на 15-20.
123КаКая#ХоРошаЯ@ПоГода321
Хоть забрутфорся

Брутфорс уже давно не работает, если политики настроены правильно. Максимум чего можно добиться это блокировки учётки какого-то пользователя, логин которого ты знаешь.
3-5 попыток и учётка залочена, дальше разбор полетов с админами: кто, как, откуда, зачем!
Если правильно настроена двухфакторная авторизация, то и блокировки не будет, просто ничего не сможешь сделать.

[^]

Den3605

29.07.2025 - 01:56

Статус: Offline

Ярила

Регистрация: 22.01.13
Сообщений: 6535

Цитата (crv1972 @ 28.07.2025 - 16:51)

ты чо
password же

Guest

Размещено через приложение ЯПлакалъ

[^]

Vsmart	29.07.2025 - 02:01 [ показать ] -1
Статус: Offline Шутник Регистрация: 13.01.25 Сообщений: 40	бля ебнуть бы ядеркой по Америке
	[^]

Shershuster

29.07.2025 - 02:34

Статус: Offline

Болтун

Регистрация: 28.05.12
Сообщений: 1591

Цитата

БД вообще можно сказать "сладкие", потому что кроме все данных пассажира, там еще есть и данные его банковской карты.

Слава Богу это так не работает.

[^]

MorfeiSYS	29.07.2025 - 02:56 [ показать ] 0
Статус: Offline Ярила Регистрация: 8.11.19 Сообщений: 7945	Есть серьезные подозрения, что помогали изнутри, раз они там год сидели. Где то использовалось легитимное ПО. Ждали хешей пароля суперадмина домена.
	[^]

Krogot	29.07.2025 - 03:56 [ показать ] 0
Статус: Offline Хохмач Регистрация: 29.03.12 Сообщений: 778	Что они там на XP делали?...древний софт юзали? Размещено через приложение ЯПлакалъ
	[^]

Juk312

29.07.2025 - 04:50

Статус: Offline

Мизантроп

Регистрация: 19.01.18
Сообщений: 4761

Цитата (Babuin1980 @ 28.07.2025 - 17:54)

Ага, XP, сборка Zver, с предустановленными прогами и обновленной крутой Косынкой.

Их есть у нас

Храню и оберегаю, отличная сборочка. Времена волнительные, всякое может случится. Потом копиями торговать буду в даркнете.

Это сообщение отредактировал Juk312 - 29.07.2025 - 04:50

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

23 Пользователей читают эту тему (1 Гостей и 1 Скрытых Пользователей)	Просмотры темы: 34609
21 Пользователей: step48, SerjMSK, grigmich, Maldoon, Camelot999, APMATyPЛФ, Zony, Makrus, Alexloz, Menshchikoff, megacave, Pohmelniy, nymHuk, montolivo, SamePerson, valyok, blazpochta, Медбрат, Buzzkill, Shinouta, kaziban