Аэрофлот все?

Сами не приходят, но принудительно конечно можно и нужно ставить. Например через sccm или wsuse назначенный на внутренний сервер обновлений.

 

Факт. Открытая консоль вовсе не означает, что это домен. Это может быть тестовая машина.

 

Критические приходят. Ну и ручками ставить можно, да.

 

тебе резюме в аэрофлот нужно отправить, вольешься в коллектив
https://www.trendmicro.com/en_us/what-is/zerologon.html

 

Ты читал эту статью сам, бро? )
Во первых, это актуально для атак внутри локальной сети, во вторых, этой уязвимости больше пяти лет, патчи на неё давно уже вышли и у всех стоят.
Более того, NTLM это дичайше устаревший протокол, по умолчанию он вообще нахрен выключен в AD на 2016 сервере. Чтобы его включить, нужно специально лезть в политики, где тебя ещё 15 раз предупредят, что включать его не надо.
Ебать, специалист, лол.

 

конечно читал, поэтому если ты пропустил то просто напомню, атака была внутри сети и патчи не стояли.

 

Это откуда информация?) от тех хакеров которые "удалили все"?
Что именно через NTLM уязвимость они получили доступы? )

 

Это пока только гипотеза сторонних наблюдателей.

 

А вас ну ровным счётом ничего не смутило, ну мне просто интересно????? Или вы так говна накинуть заодно)))

Атехникс это дочка флота , там 20+ огромных ангара по всей стране, там они чинят самолёты, раньше это была небольшая компания, но как санкции начались, им пришлось стать больше, сейчас в штате около 2500 сотрудников, к пассажирским базам Аэрофлота им не зачем доступ давать.

 

Мне даже неудобно спрашивать, такие базовый вещи, я правильно понимаю, что ты вдруг поверил, каким то левым анонимам о масштабе взлома, людям которых, ты вчера даже не знал. При этом все СВО, хохлы только и делали, что врали, когда их тыкали пальцем, они опять врали с удвоенной силой, но эти кипер супер партизане они не такие, они не врут?)))))
Они даже часть базы не куда ещё не выложили, которую они якобы украли, по крайней мере не видел новости, что кто нить веривицировал свои данные из какой либо выложенной базы и сказал да это мои данные.

Курс акций флота был на утро 28го числа был 59,сча 56.9 если бы там была полная жопа он бы хотя на треть сложился.

Нарисовать скриншотов, сча каждый дурак в телеге может.

Да взлом был, но уже все кроме Аэрофлотбонуса работает как раньше , билеты за деньги покупаются и на сайте и у агентов , люди летают, билеты переносят как обычно быстро, золотая и платиновая линия работает в штатном режиме без особых задержек.

 

Какая связь, милейший, про говно и ангарами и ИТ безопасностью?

 

Какое отношение имеет размер зарплаты в Аэрофлот Атехникс из вашего скриншота, к самому взлому в Аэрофлоте если это другая компания не связанная с пассажирскими перевозками ?

 

Юмор народный, в ты из системы безопасности Аэрофлота?

 

Сколько тут экспертов я смотрю.... вставлю свои 5 копеек (20 лет в IT на топовых позициях, сейчас свой бизнес)

1) Ломают всех, даже Apple, особенно сейчас. Нейросети облегчили работу хакеров просто на порядок. Основная задача в том, чтобы построить инфраструктуру правильно, своевременно вносить изменения, снизить эффект между разными сегментами инфры в случае успешной атаки и восстановиться максимально быстро. Это возможно. (снапшоты с СХД теже самые и т.д.). Тут у Аэрофлота полный провал. Такие атаки каждый день происходят, лично меня ломали дважды за пару лет. Многих моих клиентов ломают раз в год минимум, 99% бизнесов с этим справляются, 1% попадает в СМИ. (СДЭК, Аэрофлот)

2) 99% российского ПО, наверное кроме ИБ, а особенно "платформы виртуализации" - лютое говно, так как это, по сути допиленный опенсорс, со всеми своими плюсами и минусами. Сделать хорошо невозможно из-за ёмкости рынка, кому это продавать? Вложить нужно миллиарды зелени, продажи в РФ отобьют 10%. Зарубежом никому не нужно, а уже и нереально будет найти клиента. Но ачивка за "импортозамещение" получена.

3) Очень много атак идёт на уязвимости в ИБ ПО и Оборудования. Ни в коем случае не камень в огород наших ИБ компаний, и в Позитиве и в Коде Безопасности работают талантливые ребята, но у них десятки тысяч инсталляций, а у Фортинета и Чекпоинта условно миллионы по всему миру. Ломают чаще, больше, быстрее реагируют и исправляют. У меня фортик на активной учётке в другом государстве (чтобы была поддержка), на почту прилетают описания патчей и уязвимостей которые они исправляют - волосы дыбом встают... Ежу понятно, что статистически, с православным решением будет ещё больше дыр.

4) Очень много отраслевого ПО, импортозаместить его невозможно, миллиарды инвестиций, и единичная продажа, проект который никогда не окупится даже в ноль. Условно, 2 конторы по всему миру пилят софт для авиакомпаний, для всех в мире, и кроме РФ и Ирана всем проще купить "готовое". И так во многих отраслях.

5) Большая беда, что затраты на ИБ и современную IT инфраструктуру для ТОП менеджеров считаются чем-то не понятным, не нужным, на чём можно сэкономить, пока не наступит час Х. Видел сотни случаев, где IT директор не может сделать ничего, ему просто не дают на это денег так как всем пофиг, пока не выстрелит - "и так сойдёт". Особенно это актуально для госкомпаний или около госкомпаний где в правлении старые деды, у которых другие интересы. В их молодости компьютеров не было... плюс накладываем на это коррупцию при выборе технических решений и закупке. В тот же Аэрофлот, поставщику, с улицы не зайти....

 

Ну ладно уж полный провал, они же восстановили менее чем за сутки. Значит не так все и плохо устроено.
Полный провал был бы еслиб они как сдэк до сих пор лихорадили.

Абсолютная истина. Импортозамещение ПО - популизм и очковтирательство.
ИБ это информационная безопасность в данном контексте? А то я как раз хотел написать, что у нас есть РЕАЛЬНО хорошие DLP. Я использую Infowatch, это просто офигенно. Ну и дрвеб с касперычем достойные антивирусы вполне мирового уровня. Жирное хорошее ПО, полностью свое с широкими возможностями управления и масштабирования.
Касательно межсетевых экранов, не знаю, мы пробовали Ideco - кривое г, недалко ушел от болгенос. Другие, по отзывам, ещё хуже. Остановили на pfsence и продуктах от микротик для небольших и средних компаний. С фортинетом быстро не смогли решить проблему с подписками, так что как есть. Знаю, что сейчас гораздо проще все, чем было в конце 22 года, но уже назад не вернемся. Специфику контор уровня эрофлота не знаю, не работал никогда в таких.

С остальными тезисами могу только согласиться, и лично и от коллег слышал то же самое.

 

любая атака подобного рода возможна только внутри сети и никак иначе, про NTLM я не писал ничего а лишь привел как пример на тезис мол 2016 сервер вполне себе, только полностью обновленный, а там даже активации нет, скорее всего как развернули так и оставили, в OSVersion даже билда не указано.

да это так, но не в случае аэрофлота, там денег как раз очень много на разные цели тратилось, более того они соглашение в области безопасности только недавно подписали на каком то форуме.

 

Ессно внутри сети, это очевидно. Но ты то как раз скинул ссылку на уязвимость протокола NTLM, которой 5 лет и который фактически не используется уже в нормальных сетях. Может все же стоит корректнее пытаться строить гипотезы, а на на основе одного непонятного скриншота и своих обрывочных познаний?) Какие есть доказательства, что на скрине прод аэрофлота, а не непонятный какой-то сервер хз где на котором что-то открыто?) АД на 16 винде без обновлений и активации в прод едва ли выпустит даже Вася эникей с годом опыта работы после рязанского пту.

 

тут немного вопрос по другому надо ставить, если касательно аэрофлота то они работали на zVirt в рамках импортозамещения, ну понятное дело похуже чем vSphere, но вариантов то нету, нужно же лицензировать, да и как понять похуже, сложнее и неудобнее, а так большинство функционала такое же.

 

там у хакеров этих ещё есть один кейс взлома системы ЕМИАС, там вот там всё на 2012R2 было, никто ничего не обновлял, это так про пту рязанское.
Ты видимо с бюджетниками мало работал, там далеко не боги горшки обжигают, специалистов мало и никто не пойдет за те деньги работать.

 

Работал с бюджетниками, как раз с системой емиас соприкасался. На рядовых позициях да, все очень плохо. Но где надо, нормально там бабла заливают и персоналу и на оборудование. В целом, понятное дело, сильно хуже рынка. Но аэрофлот не бюджетники, это все же полноценный частный бизнес, пусть и под управлением государства.

 

Это говно даже близко рядом не стояло с вмваре. Если уж использовать виртуализацию под никсами, то это должен быть проксмокс. И лицензировать его не нужно.

 

не в этом вопрос, софт должен иметь сертификацию ФСТЭК согласно требованиям регулятора, zVirt имеет, а проксмокс нет, выбирать приходится из того что есть.

 

Только для работы с персональными данными, насколько я помню.
Во всех остальных случаях частный бизнес не ограничен выбором софта.

 

Посмотрел эту ересь, очередная надстройка на КВМ, которых уже сотни наплодилось, большая часть модулей перекочевало из опенсорса, по сути взяли бесплатный oVirt, заменили одну букву и продают, как за такое можно деньги брать?

 

ну так российская действительность, для работы ПО нужна сертификация, на бесплатный продукт её получать никто не будет, ну какой смысл, делают платный продукт не бог весть какой, получают документы и поставляют в рамках импортозамещения, с техникой тоже самое, собрал - наклеил шильдик - получил документы - продал с наценкой в три раза.

 

Короче в итоге Аэрофлот, не торопится Аэрофлотбонус запускать, просто не заходит в кабинет и нельзя мили списать, может редиски там эту базу грохнули . А за бабло все как обычно работает. Итого вообще флот не особо и пострадал, пострадали те, кто хотел мили потратить) уже третий день не могут зайти в кабинет.

 

Скорее всего приоритет в восстановлении отдан более критичным сервисам, а бонусная программа просто отодвинута и ждёт пока разберутся с основным… Это логично. То что билеты можно купить, это не значит что уже всё полностью починили.

 

Очень смелое и безапелляционное заявление.
Вполне себе используется.

 

Плохо помните.
Есть еще КИИ, а еще есть организации, имеющие стыки с госами, например, для налогового мониторинга.
Ситуация с АФЛ вполне может тянуть на инцидент в КИИ 1 категории по социальной значимости. Нарушение функционирования транспортной инфраструктуры в нескольких субъектах РФ, 100 рейсов по 500 человек. Вот и приехали.
А вообще в любой организации есть кадровая служба, которая работает с перс.данными.
В организациях побольше кадровая служба располагается в нескольких городах.
Будете строить отдельную инфру под их задачи?
А если в AD по сотруднику заполнять не только ФИО, то это тоже вполне может стать системой с перс.данными.