?

Log in

No account? Create an account
Онлайн-дневник Маккавити

> Recent Entries
> Archive
> Friends
> Profile

December 6th, 2016


Previous Entry Share Flag Next Entry
09:43 am - поясните, как?

https://rg.ru/2016/12/06/hakery-pohitili-voennye-sekrety-iuzhnoj-korei.html
Неизвестные хакеры проникли во внутреннюю сеть министерства обороны Южной Кореи, похитив значительное количество военных секретов. Следователи ведут расследование инцидента, считая, что за атакой стоят компьютерные специалисты из Северной Кореи, которые действовали с территории Китая. В военном ведомстве уже подтвердили факт взлома их внутренней сети. Это стало первым подтвержденным случаем проникновения хакеров в секретную военную сеть Южной Кореи.

Как сообщило информагентство "Енхап" со ссылкой на представителя министерства обороны, все выяснилось в результате расследования инцидента с рассылкой вредоносных кодов под видом вакцины. Тогда минобороны заявило, что заражены были только те компьютеры, которые были подключены к открытому интернету и не имели связи со внутренней сетью с секретными документами.
Как оказалось, все обстоит гораздо хуже. "Мы подтвердили, что часть компьютеров, которые имели доступ ко внутренней сети, также заражены. Они одновременно подключались как к интернету, так и к закрытой сети", - пояснил военный. Это полностью опровергает предыдущие заявления минобороны Республики Корея о том, что у них полностью разделены машины, которые имеют доступ в обычный интернет, и те, с которых можно входить в закрытую сеть с секретными документами.

В военном ведомстве признали, что "некоторые секретные данные были похищены", но отказались уточнять масштабы ущерба, пояснив, что это может ухудшить ситуацию и дать дополнительную информацию злоумышленникам о системах защиты.СМИ же отметили, что военные "не скрывают своего шока", а ущерб "может быть большим, чем возможно предположить". Взломщики могли получить доступ и к закрытым документам, которые были на жестких дисках компьютеров.

По мнению южан, за всем этим стоят северокорейские хакеры. "Мы проследили IP-адреса машин взломщиков и выяснили, что атака происходила из северо-востока Китая, из Шэньяна. Вредоносный код похож на тот, что КНДР ранее уже применяла при атаках на нас", - пояснили в ведомстве, подчеркнув, что, "скорее всего, это дело рук северян".


(26 comments | Leave a comment)

Comments:


[User Picture]
From:alex_dragon
Date:December 6th, 2016 07:19 am (UTC)
(Link)
Если в кране нет воды…
[User Picture]
From:Роман Медведев
Date:December 6th, 2016 05:48 pm (UTC)

Если в кране нет воды…

(Link)
ТОЧНО. Йопнули их из столицы Шеньянского военного округа - но во всём виноват Пхеньян. Логично, ЧЁ:)
[User Picture]
From:Роман Медведев
Date:December 6th, 2016 05:51 pm (UTC)

Re: Если в кране нет воды…

(Link)
Я правильно понял, что в РК на роль сионистов и масонов назначены "северные коммунисты"?
From:asox
Date:December 7th, 2016 03:07 pm (UTC)

Re: Если в кране нет воды…

(Link)
Там всегда так было...
[User Picture]
From:khan_uzbek
Date:December 6th, 2016 07:59 am (UTC)
(Link)
"Они одновременно подключались как к интернету, так и к закрытой сети"
- какая незамутнённая беспечность =)
[User Picture]
From:snownoise
Date:December 6th, 2016 08:00 am (UTC)
(Link)
Сходу могу назвать несколько вариантов.
Во-первых, даже если сети разделены полностью, то какая-то передача информации между ними есть. То есть можно заразить флешку хитрым (специально разработанным под конкретное место трояном и заразить кого-то во внутренней сети). Та тахнология, которой сожгли иранские цнтрифуги в действительно защищённой сети (через флешки инженеров обслуживающей организации).
Во-вторых, часто у защищённой и открытой сетей всё же есть общее место - например, файлопомойка для обмена информацией. Да, формально так делать нельзя, но всё равно делают, потому что "нам работать надо", а большиство администраторов относятся к безопасникам как вредным параноикам, которым только "волю дай - они всю работу остановят".
В-третьих, в некоторых наших полудохлых секретных КБ, где сети формально защищены народ просто приходит со своими LTE-модемами, ибо надо же как-то играть в танчики на работе.
В-четвертых, защищенная сеть не всегда абсолютно полностью отделена. Например, сотруднику N нужен доступ к документации из командировок, поэтому ему дают защищённый ноутбук, с которого таки можно подключиться к внутренней сети через инет, хоть и по защищёному каналу. Кстати, вполне надёжный вариант, есть применять не защиту паролем, а нормальную криптографию с неизвлекаемыми ключами.
Пятое: сети могут быть разделены не на физическом уровне, а на логическом (разведены по разным VLAN'ам).
Шестое: какой-нибудь раздолбай при коммутации ошибся и воткнул кабель не в то гнездо. Кроссовые для обычной и защищенной сети одни, и скорее всего всё оборудование даже стоит в одних и тех же стойках, так что даже при среднем бардаке ошибиться вполне можно. Особенно есть учесть, что тянуть и втыкать провода обычно поручают не самым квалифицированным сотрудникам.

Ну и разные варианты с инсайдерами, конечно, но это сильно меняет дело в любом случае.

Резюмируя:
Защищённая сеть не делает взлом невозможным в принципе, а только значительно усложняет проникновение, иногда вплоть до практически-нереального.

Edited at 2016-12-06 08:46 am (UTC)
[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 01:06 pm (UTC)
(Link)
И добавить нечего.

А админов мы нещщадно бьем, ибо криворуки есмь, как правило. Умные админы сами безопасники еще те 8)
From:asox
Date:December 6th, 2016 04:46 pm (UTC)
(Link)
а большиство администраторов относятся к безопасникам как вредным параноикам, которым только "волю дай - они всю работу остановят".

Это плохие, неправильные и совершенно бесполезные сисадмины!
Хороший сисадмин - сам безопасник в первую очередь.
[User Picture]
From:snownoise
Date:December 6th, 2016 07:45 pm (UTC)
(Link)
Как правило в месте с плохими админами и безопасники тоже плохие, с минимальным пониманием вопроса и максимально обострённым запрещанием и непущанием.
Для госконтор характерно. У них там и запреты совершенно идиотские как правило, и бардак соответствующий.

А если обе стороны нормально подходят к работе, то и решение находят компроминное и вменяемое.

[User Picture]
From:saiscea
Date:December 7th, 2016 01:32 pm (UTC)
(Link)
На одной из своих работ я еще застал журналирование выходов в интернет. Это когда ты в большом разлинованом журнале шариковой ручкой записываешь ФИО, время начала и окончания сидения в интернет и адреса сайтов, которые посещаешь.
From:asox
Date:December 7th, 2016 03:05 pm (UTC)
(Link)
А если обе стороны нормально подходят к работе, то и решение находят компроминное и вменяемое.

Всё-таки мне хотелось бы посмотреть на сисадмина,
Про "госконторы" - забавно, конечно.
[User Picture]
From:Роман Медведев
Date:December 6th, 2016 05:53 pm (UTC)

ибо надо же как-то играть в танчики на работе.

(Link)
Танчики - зло. Картошка (особенно жаренная) - тоже.
From:il_lungo
Date:December 8th, 2016 06:11 pm (UTC)
(Link)
Насколько я слышал, в Иране использовали для размещения трояна прошивку жёстких дисков.
[User Picture]
From:zaharov
Date:December 6th, 2016 09:38 am (UTC)
(Link)

Во время работы в очень большой компании Л выяснил, что тамошние айтишники физическим разделением сетей называют межсетевой экран, который не дает офисному планктону лазить в интернет. То есть неайтишное начальство свято верит, что там кабели перерезаны ножницами. При этом само - ха-ха - в интернет с рабочего компа ходит, и это его не удивляет : )

[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 01:06 pm (UTC)
(Link)
Не удивлен 8)
[User Picture]
From:sasa
Date:December 6th, 2016 11:20 am (UTC)

Мульт про хатуля-рецидивиста

(Link)
[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 01:09 pm (UTC)
(Link)
По последнему абзацу
1. Шэеньянский IP я могу хоть щас заиметь, это ваще не проблема
2. Коды в общем-то все немного похожи, ловят по сигнатурам
3. А вообще ребята и вправду могли.
[User Picture]
From:sasa
Date:December 6th, 2016 01:29 pm (UTC)
(Link)
как сказали американцы про хакеров "взломавших" сервера демократов - "Мы определили что это руский код, потому что там в первой версии была строка "Феликс Эдмундович" "

Edited at 2016-12-06 01:29 pm (UTC)
[User Picture]
From:sasa
Date:December 6th, 2016 01:34 pm (UTC)
(Link)
да, демокатов то "ломанули" как раз с помощью человеческого фактора - прислав большим шишкам фальшивое письмо о необходимости смены пароля в гугле, со ссылкой на левый сайт, откуда и подсадилась кака.
[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 02:05 pm (UTC)
(Link)
80% всех успешных взломов - это социалка
[User Picture]
From:Роман Медведев
Date:December 6th, 2016 06:05 pm (UTC)

Шэеньянский IP я могу хоть щас заиметь

(Link)
1) Тогда почему йопнули именно через Шеньян? Почему - не через Яньбянь? Макао? Гонконг? 2) Не спорю 3) Вот именно, если могли "хоть щас заиметь" любой КНР-ский IP - то почему IP конкретно шеньнянский?
[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 06:56 pm (UTC)

Re: Шэеньянский IP я могу хоть щас заиметь

(Link)
Вот это не спрашивайте. Может удобнее было, может чего еще.

Лично мое мнение, что знание корейского все равно нужно было - в их документах копатся. А тов место секретов меню столовой офицерской украдешь.
[User Picture]
From:Роман Медведев
Date:December 6th, 2016 07:52 pm (UTC)

знание корейского все равно нужно было

(Link)
Ну так - а в чём проблема? У КНР этих корейцев - 38% Яньбяньского автономного округа (кстати, входит в состав Шеньянского военного)... Совпадение? Не думаю:)
[User Picture]
From:shadow_of_raven
Date:December 6th, 2016 08:26 pm (UTC)

Re: знание корейского все равно нужно было

(Link)
Мы все знаем что это агенты коварного Темнейшего, под руководством Маккавити!
[User Picture]
From:sasa
Date:December 6th, 2016 01:27 pm (UTC)
(Link)
Да просто все. Обычное распиздяйство, прикрываемое байками о суперхакерах.

Может и есть в корейсокм МО полностью автономная секретная сетка, даже наверняка есть. Но пасут ее сурово, поэтому работают с документами не там где надо, а там, где удобно (см например "документы хранились на жестких дисках"). А там, где удобно, для большего удобства есть и доступ в интернет по пропускам. Вот там и ломанули немного.

Секретную автономную сеть ломать конечно можно, и даже залезть туда трояном может получится, но вот слить оттуда что-то в больших объемах будет крайне затруднительно. Если не использовать человеческий фактор.

А человеческий фактор это вечная тема, это везде так.

У меня вот одногрупник служил на секретнейшем ВЦ при центер связи еще при Горбачеве. Переписывались в тескстовых чатиках с Владивостоком, распечатывали на казенных принтерах всякую литературу, хранившуюся на секретных лентах (за что, кстати, одногрупник был отправлен на гауптвахту - его отловили на КПП когда он выходил в город с полным чемоданчиком распечаток).

Однажды в момент визита высокого начальства, начальство местное, желая показать новую технологию, взяло первую попавшуюся ленту и со словами "а вот тут у нас хранится записаная информация" сдуру показало каталог файлов. Выглядело это примерно так

razvedenie ohotnichix sobak
scastlivaya prostitutkf
skazka o troyke
pesennik bitlz

Блин, да в нашей копоративной сетке я нашел в свое время подборку зоофильских гифов - оказалось, что кто-то добренький купил на развале диск "обои для Виндовз" и не просмотрев скопировал целиком на сервер в общий доступ, чтобы тети из бухгалтерии могли котиков на десктоп налепить. А сволочи составители к котикам подмешали всякое. Хорошо еще что тогда винда гифы анимированые не понимала без дополнительных програмок.

[User Picture]
From:makkawity
Date:December 6th, 2016 09:10 pm (UTC)
(Link)
"Подтвердилась утечка части данных, в том числе, и содержащих военную тайну. Мы предполагаем, что это преступление Севера", — сообщил на пресс-конференции во вторник официальный представитель министерства обороны Южной Кореи Мун Сан Гюн.

Министерство обороны заподозрило, что внутренняя сеть министерства, существующая для обмена информацией между различными подразделениями, подверглась атаке хакеров. В результате расследования в нескольких компьютерах, подключенных к внешним сетям интернет, были обнаружены вирусы.

Внутренняя сеть министерства обороны подверглась хакерской атаке впервые. Адрес интернет-протокола в китайском Шеньяне, а также особенности вредоносной программы очень похожи на те, что ранее использовались северокорейскими хакерами.

Летом этого года были украдены почтовые пароли у 50 правительственных сотрудников, которые занимаются внешней политикой и безопасностью. Эту атаку также приписывают хакерам из Северной Кореи.

https://ria.ru/world/20161206/148297201​5.html

> Go to Top
LiveJournal.com