«Аэрофлот» взломали потому, что глава организации не менял пароль с 2022 года, при этом, компания работала на версиях Windows XP и 2003

Цитата (mrzorg @ 28.07.2025 - 16:45)

Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко.

В моей нефтегазовой компании, недавно ввели смену пароля каждые 3 месяца. 2FA обязательный, авто логаут каждые 3 дня и привязка только личному телефону или рабочие компьютеры/ноутбуки. Почту скриншотить невозможно, файлы сохраняются только на авторизованных устройствах или при пересылке на сторонюю почту(клиентам). Короче намудрили пздц. Ну и раз в месяц рандомно присылают спам письмо с ссылкой. Кто попался, первое устное предупреждение и два курса по кибер безопасности, второй раз уже письменное предупреждение, на третий увольнение.
Размещено через приложение ЯПлакалъ

Цитата (Мамедыч @ 28.07.2025 - 16:54)

А цель какая у хакеров? Ну взломали, ну скачали? В чем выгода? Показать что могут? Мне вот пох. Показать что в аэрофлоте дыра в ит? Ну мне как обыаателю тоже пох. Ибо везде такой бардак куда не ткни. Вот если бы они автоваз взломали и он не мог выпускать корыта полгода год, вот это я понимаю. А тут…

Спросят немного денях чтоб не публиковать в открытую какую то инфу. Монетизация там точно есть
Размещено через приложение ЯПлакалъ

Цитата (Exidina @ 28.07.2025 - 17:17)

Цитата (pav56 @ 28.07.2025 - 21:11) Цитата (mrzorg @ 28.07.2025 - 16:45) Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко. Эта практика, теоретически умная, в жизни, как всегда работает плохо. Обычно юзеры, чтобы не париться с запоминанием нового пароля, просто добавляют к старому в конце 01, потом при очередном требовании - 02 и так далее. Или что-то подобное. Ну не любит человек усложнять себе жизнь, ничего с этим не поделаешь. А хакеры это давно просекли и с удовольствием этим пользуются даже древняя виндовая парольная политика не даст такое сделать, если мне ни с кем не изменяет память... Примерно так с 2003 advanced.

В парольной политике можно много чего настроить, но мало кто из админов этим заморачивается. Лично у меня на работе ( в немалом IT предприятии) эта схема - добавление 01, 02 и так далеее прекрасно работает уже три года. везде W11
Это сообщение отредактировал pav56 - 28 июл. 2025 г. в 19:44

Цитата (Ебений @ 28.07.2025 - 17:08)

Цитата (Branson @ 28.07.2025 - 17:05) Это все конечно хорошо, но не очень. Они вообще там знают что такое бэкапы? Или все там находилось в единственном экземпляре? Видать экономили нормально, вот и доэкономились У меня тот же вопрос. Читаешь подобные новости и охуиваешь, у вас там важнейшая система, и никаких бэкапов? Просто базу снесли, все пиздец безвозвратно утеряна. Еще бы сказали что свет мигнул хули, компуктеры были выключены неправильно и все сгорэло. Ну что за пиздец то.

О каких бэкапах может идти речь, если хакеры год в системе сидели, они все бэкапы тоже грохнули.

Цитата (awolfman @ 28.07.2025 - 19:44)

Цитата (Ебений @ 28.07.2025 - 17:08) Цитата (Branson @ 28.07.2025 - 17:05) Это все конечно хорошо, но не очень. Они вообще там знают что такое бэкапы? Или все там находилось в единственном экземпляре? Видать экономили нормально, вот и доэкономились У меня тот же вопрос. Читаешь подобные новости и охуиваешь, у вас там важнейшая система, и никаких бэкапов? Просто базу снесли, все пиздец безвозвратно утеряна. Еще бы сказали что свет мигнул хули, компуктеры были выключены неправильно и все сгорэло. Ну что за пиздец то. О каких бэкапах может идти речь, если хакеры год в системе сидели, они все бэкапы тоже грохнули.

Бэкап это не панацея от всех бед для идиотов. Там тоже надо соображать и правильно настраивать. Простейший пример - RAID 10 или, для продвинутых, RAID 5 or 6. Казалось бы, все прекрасно, данные автоматически копируются, созданы хеши, если что - все восстановится.
Однако - если система поймала вирус -он также прекрасно забэкапится на резервные диски, и восстановление с них , если и будет возможно - ничего хорошего не даст.
Это сообщение отредактировал pav56 - 28 июл. 2025 г. в 19:48

Цитата (Dantuxa @ 28.07.2025 - 19:21)

Слушайте. Можно сколько угодно рассказывать про мегакрутых кулхацкеров и прочее, но все все прекрасно понимают. Атаки на подобного рода инфраструктуры извне в принципе невозможны в таких масштабах,

Человеческий фактор никто не отменял. И да, ломают и не такое компании.

Погуглите на Хабре есть статья как ломали одну контору через несколько других, расположенных рядом.

ИМПОРТОЗАМЕЩЕНИЕ! )))
а, ой, не это опять не в ту колитку.
мы обосрались. опять )
Размещено через приложение ЯПлакалъ

Цитата (yellowmew @ 28.07.2025 - 16:48)

Ну главу Аэрофлота зря приплели он вряд ли сам пользуется компом и имеет доступ к важным сервисам - он начальник, не исполнитель вот WinXP и 2003 - это да, куча уязвимостей известных, если и держать приходится - то только в полностью закрытом контуре А так - парольная политика, видимо, отсутствует, и безопасники по рукам не бьют за пароли на рабочем столе..

Ну как бы нет, в учебниках есть такая атака на компанию. Белый кит или что-то такое. Когда получают учётную запись одного из топовых сотрудников, у которых везде доступы есть...

а не похуй- почему?
главное -нахуя..
всем ,
пиздящим о торговле/ оплате еблетом- отдельная сковородка в аду...

вот ж странно - такого уровня прибыли компания на винде, а не на иксах....

Цитата (RedBullios @ 28.07.2025 - 19:37)

Цитата (mrzorg @ 28.07.2025 - 16:45) Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко. В моей нефтегазовой компании, недавно ввели смену пароля каждые 3 месяца. 2FA обязательный, авто логаут каждые 3 дня и привязка только личному телефону или рабочие компьютеры/ноутбуки. Почту скриншотить невозможно, файлы сохраняются только на авторизованных устройствах или при пересылке на сторонюю почту(клиентам). Короче намудрили пздц. Ну и раз в месяц рандомно присылают спам письмо с ссылкой. Кто попался, первое устное предупреждение и два курса по кибер безопасности, второй раз уже письменное предупреждение, на третий увольнение.

благостно.
частая смена паролей конечно спорно - приводит к тому что они записаны на бумажках где-то в пределах досягаемости.
а вот регулярные тренировки на фишинг - отличная практика. В 2024 году половина всех успешных атак на организации была проведена с применением социальной инженерии, в этом году может и еще больше будет. Человек всегда самое слабое звено - как ты не подпирай его техническими средствами, все равно всё введет и еще и вторым фактором подтвердит. Просто потому что "а кому я нужен", "айтишники что-то намудрили", "лень разбираться". Понятно, что обмануть можно почти любого, но если постоянно ждет и знает что будет взгрет - на порядки работа хакера усложняется.
ну и если три раза попался зная что проверяют - наверное и не нужен вам работник с такими уровнем интеллекта.

Цитата (Dgunus @ 28.07.2025 - 16:49)

Ага. Кто-то тут писал про отсутствие Касперского на компах ))) Вот всё это не важно, а Касперский бы был и ничего у хакеров не получилось бы.

Это шутка?
Можно поподробнее?
Размещено через приложение ЯПлакалъ

Я думаю, что уволили какого-нить админа, он обозлился и слил доступы в даркнет. А то, что они год что-то там ломали- мне кажется, туфта.
Размещено через приложение ЯПлакалъ

Цитата

А как же переход на все отечественное? За что эти манагеры получают свои несусветные бабки?!

в прошлом году видел статью на одном ресурсе что даже те, кто по аукционам купил российской ПО, не спешат его внедрять, поскольку дело это нихера не быстрое и зачастую трудновыполнимое.
в итоге на бумажке у нас ура и импортозамещение и выручка это как бы показывает.
а по факту многие просто купили, чтобы отъебались.

Цитата

Я думаю, что уволили какого-нить админа, он обозлился и слил доступы в даркнет. А то, что они год что-то там ломали- мне кажется, туфта.

в любой нормальной организации после увольнения админа меняются все пароли на критические ресурсы, если учетка неперсонифицированная.
это блин азы.
если контора этого не делает, они долбоебы и сами себе враги.

Цитата (Dgunus @ 28.07.2025 - 16:49)

Ага. Кто-то тут писал про отсутствие Касперского на компах ))) Вот всё это не важно, а Касперский бы был и ничего у хакеров не получилось бы.

Был бы у них каспер на компах- еще б эпичное все отрыгнуло бы)))
Размещено через приложение ЯПлакалъ

Цитата (mrzorg @ 28.07.2025 - 16:45)

Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко.

Групповой политикой это всё устанавливается на сервере, а не беганием по юзерам.

Цитата (Exidina @ 28.07.2025 - 16:57)

Вопрос. На кой хер главе права доменного админа? Какого болта от Братской ГЭС не было разделения прав для разных групп  - DBA не должны иметь админских доступов никуда кроме своих конкретных серверов и баз на них, администраторы резервного копирования - соответственно могут иметь доступ только до своих сегментов, по остальным сервисам то же самое. Повышение прав - это вообще отдельная песня, каждый конкретный эпизод должен фиксироваться и иметь строго определенный период действия, строго определенный список операций, допустимых для повышаемой в правах УЗ. Про допуск к логину с ограниченного числа рабочих станций и подсетей речь вообще не ведется - это дефолтное поведение с примерно 1999 года. По-хорошему обязательно должен быть внедрен поведенческий анализ - ну то есть если в течение месяца до вчера Уасся пользовался каким-нибудь keepass, mstsc и, например, mobaxterm, а сегодня пересел на powershell и putty - что-то, наверное, не то и пора ИБшнику брать паяльник и спрашивать у Уасси (с уже заблоченной и кикнутой УЗ), что с ним такое произошло. Ну, по крайней мере, я так делал, пока убер-админом и ИБшником в одном флаконе пахал.

Вроде была же уязвимость учетки кербероса, точнее дефолтный пароль на нее. Наверное, через нее и взломали. Ну и стандарт - наверняка не было сегментации на L3 при доступе по впн. Залез в контур и дальше уже куда душе угодно. Самое интересное - у них недавно были вакансии в ИТ-сегменте. Не исключено, что козлов отпущения искали.
Это сообщение отредактировал lexm - 28 июл. 2025 г. в 20:32

Цитата (idk @ 28.07.2025 - 20:19)

в прошлом году видел статью на одном ресурсе что даже те, кто по аукционам купил российской ПО, не спешат его внедрять, поскольку дело

Какие аукционы? какое купил? какие не спешат?
Сверху приходит приказ - перейти на новое ПО, оно-же и спускается сверху.
А то, что нет грамотных, кто сможет установить и наладить - это совсем другой разговор...

Цитата (Andrey2564 @ 28.07.2025 - 17:36)

— Не понимаю, как они смогли взломать пароль у меня на ноуте? — А что у тебя за пароль был? — Год канонизации святого Доминика папой Григорием IХ. — А это какой год? — 1234.

Цуко ты, слил мой пароль от порнхаба!
Размещено через приложение ЯПлакалъ

То есть меня в колледже дрюкали и требовали импортозаместить то что невозможно заместить. Аэрофлот нормально на экспишке сидел
Размещено через приложение ЯПлакалъ

Цитата (kreative @ 28.07.2025 - 17:54)

Цитата (mrzorg @ 28.07.2025 - 16:45) Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко. Тоже далеко не аэрофлот у нас. Но админами заведено: пароль на рабочих ПК действует 60 дней. Потом замена. Другого не дано.

Строго у вас
Такое только в IT-конторах можно, т.к. "обычные" юзвери сразу ныть про "аа-а-а-аа, как мне их все запоминать?" начинают. Это из моего скромного опыта.

Цитата (Buzzkill @ 28.07.2025 - 17:40)

Цитата (Ubix @ 28.07.2025 - 16:43) «Аэрофлот» взломали потому, что глава организации не менял пароль с 2022 года, при этом, компания работала на версиях Windows XP и 2003 Во, ща их на импортозамещенку в виде астралинукса переведут Не хотели соблюдать безопасность на виндях - пусть страдают на звездах

А вы думаете это так просто? Вот сказали-го на линукс, и все дружно поскакали... Это если вам для работы только офисные пакеты нужны-то наверное не заметите особо перехода. Я в НИИ работаю, которое в свою очередь на минобороны работает. Так у нас до сих пор большая часть компов на WIN XP. Я начальника нашего IT отдела спрашивал еще до того как вся эта бодяга с санкциями началась почему хотя бы на семерку не переходите? А потому, говорит, что у нас овердохрена софта, без которого мы работать не можем, написанных нашими сотрудниками. И этот софт работает только под XP, и ни в какую не хочет работать под более свежими виндами. Переписывать этот софт не кому-люди те, которые его писали, они уже давно на пенсии, а кто и вовсе помер. Денег, на то чтобы нам этот софт по новой написали, под другие ОС нам не выделяют а денег там нужно ну очень много. Вот и сидим на XP. Вот так то, тут рамках одной линейки ОС, у которой более менее обратная совместимость есть, не могут решить проблему, а что говорить о переходе на вообще другую систему?

Я очень сейчас не завидую ибшникам Аэрофлота...
Размещено через приложение ЯПлакалъ

Цитата (viktorbenc @ 28.07.2025 - 20:31)

А вы думаете это так просто? Вот сказали-го на линукс, и все дружно поскакали... Это если вам для работы только офисные пакеты нужны-то наверное не заметите особо перехода. Я в НИИ работаю, которое в свою очередь на минобороны работает. Так у нас до сих пор большая часть компов на WIN XP. Я начальника нашего IT отдела спрашивал еще до того как вся эта бодяга с санкциями началась почему хотя бы на семерку не переходите? А потому, говорит, что у нас овердохрена софта, без которого мы работать не можем, написанных нашими сотрудниками. И этот софт работает только под XP, и ни в какую не хочет работать под более свежими виндами. Переписывать этот софт не кому-люди те, которые его писали, они уже давно на пенсии, а кто и вовсе помер. Денег, на то чтобы нам этот софт по новой написали, под другие ОС нам не выделяют а денег там нужно ну очень много. Вот и сидим на XP. Вот так то, тут рамках одной линейки ОС, у которой более менее обратная совместимость есть, не могут решить проблему, а что говорить о переходе на вообще другую систему?

Есть такое. И не только в вашем НИИ... Это очень большая проблема.
Размещено через приложение ЯПлакалъ