5 июля в 00:21

Не все так просто с Petya перевод

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc.

Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Возможно, обновление от 17-го мая было неожиданным для атакующих. Но они снова загрузили уязвимость в обновление от 18-го мая, тем не менее большинство пользователей M.E.Doc уже обновились «вчерашним» патчем, и первая атака прошла не особо заметно.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.



Timestamp показывает, что троянский модуль был создан 15 мая.



Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева.

Основной класс бэкдора — MeCom, который расположен в пространстве имен ZvitPublishedObjects.Server, как это указано на картинке 3.


Класс MeCom с троянским кодом в ILSpy .NET Decompiler.

Методы класса MeCom вызываются из метода IsNewUpdate в пространстве имен UpdaterUtils и ZvitPublishedObjects.Server. Сам метод IsNewUpdate вызывается периодически, чтобы проверять доступны ли новые обновления. Зараженный модуль от 15 мая работает немного иначе и содержит меньше функций, чем модуль от 22 июня.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.


Код, который собирает ЕДРПОУ.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних серверов как контрольных центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.


HTTP-запрос от трояснкого модуля, который содержит ЕДРПОУ в cookie.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.


Код бэкдора, который добавляет cookie в запрос.

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.


Код трояна, который расшифровывает список инструкций для выполнения на зараженной машине.

Таблица возможных команд:

Command назначение

0 – RunCmd Выполнить shell команду
1 – DumpData декодировать Base64 данные и сохранить их в файл
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Можно отметить, что именно команда номер 5, названная автором зловреда как «AutoPayload», полностью подходит под то, каким образом изначально распространялся DiskCoder.C на зеро-пациентах (первых зараженных машинах).


Метод AutoPayload, который использовался для выполнения шифровальщика DiskCoder.C.

Выводы

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными?

Отдельная благодарность моим коллегам Frédéric Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Вполне даже тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько компаний — кто-то как автор, кто-то как независимый аудитор.

Совершенно очевидно, что подобный диалог нужен, и ПО, которое используется настолько широко, должно проходить сертификацию как ПО национального значения.

Update:
www.securitylab.ru/news/487160.php — файлы действительно можно расшифровать. Автора NoPetya требуют денег, и в качестве доказательства расшифровали отправленный им файл.

www.securitylab.ru/news/487159.php — С bitcoin кошелька авторов вредоноса были сняты деньги.

Update2:
blog.talosintelligence.com/2017/07/the-medoc-connection.html
Очень полезная статья на английском, где проводили исследование с подтверждениями о том, что сервер обновлений Медка действительно был сломан, и скорее всего зараза распространялась не из его офиса, а с поддельного сервера обновлений. Пруфы в виде скриншотов логов прилагаются.
Автор оригинала: Anton Cherepanov
Сергей Кулик @saboteur_kiev
карма
5,7
рейтинг 33,1
DevOps
Самое читаемое

Комментарии (335)

  • +21
    Статья написана так, как-будто сервера M.E.Doc взломали (причём сразу все — и с кодом, и билд-сервера, и сервера обновлений), всунули в код вирус, собрали, выкатили в релиз и так 4 раза.

    К чему такие дикие теории, если сам M.E.Doc — детище беглого министра доходов и сборов Клименко (времён Януковича), который со своим шефом нынче в России, но, конечно, полностью контролирует созданную им контору. Никто их не ломал, они сами всё это и написали. Ну или отдали контроль и не вмешивались в процесс.

    Бритва Оккама, знаете ли.
    • +21
      Написали сами, или один конкретный внедренный сотрудник, который получал за это отдельное вознаграждение, или один конкретный сотрудник, который был уволен, но при этом у него остались доступы — это все повод для обсуждений.

      Самому медку распространять все со своего официального сервера обновлений — как минимум глупо… Он со всей украины имеет больше, чем ненадежные 300$ на биткоин.

      А вот то, что у них все плохо с безопасностью и руками — это известно. Достаточно того, что
      1) обновления распространяются без цифровой подписи.
      2) некоторые обновления глючат, а техподдержка Медка советует запускать их в таком случае от имени администратора
      3) сам медок — сверхпопулярен не потому, что он хорош, а от безысходности — практически нет конкуренции, никто не хочет лезть в бухгалтерию, которая меняется постоянно
      • +13
        И не только запускать от имени администратора.
        На одном из форумов человек приводит диалог с чатом поддержки Медка:
        _________________________________
        Вот переписка в чате медка, 17 мая

        Тамара
        Здравствуйте!

        09:11
        Вы
        Здравствуйте,
        При попытке загрузить обновление

        ezvit.10.01.179-10.01.180.exe

        скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.

        Malware Name: Trojan:Win32/Azden.A!cl
        Number of infections: 2
        Last detection time(UTC time): 5/17/2017 11:59:04 AM

        Соответственно мы не можем получить последние обновления для M.E.DOC
        Заранее спасибо за быстрый ответ

        09:12
        Тамара
        В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту

        09:12
        Вы
        Извините, но мы не можем отключить антивирус.

        09:19
        Тамара
        или я могу Вам выслать обновление на электронную почту

        09:21
        Вы
        Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.

        09:29
        Тамара
        На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
        _________________________________
        • 0
          И что тут криминального, если эвристик антивируса лажает? Мы сами неоднократно были в такой ситуации, когда антивирус орёт «де у вас „вероятно“ зараза», мы обращаемся в саппорт антивируса и нам говорят, «ок, поставьте в исключения».
      • 0
        Самому медку распространять все со своего официального сервера обновлений — как минимум глупо… Он со всей украины имеет больше, чем ненадежные 300$ на биткоин


        Учитывая связи Клименко, самому медку с очень высокой вероятностью могла капать ещё неплохая доплата от российских спецслужб.
    • +8
      Тру, как говорилось когдато.
      Я бы еще добавил что программа не «получила популярность», а во времена Януковича ее насаждал всем. Только Медок мог гарантировать получение налоговой отчетности вовремя. Любая другая альтернатива может и подходила, но сравнительно часто налоговая не получала отчет. После чего сразу писался штраф. И врядли это было случайно :)
      • –1
        Кого-то мне это напоминает, только в другом государстве. «Переняли опыт», не иначе.
      • 0
        Как минимум одна альтернатива, есть, которой я сам пользуюсь — это приложение Sonata в бесплатном режиме как модуль отправки + бесплатно распространяемое ПО opz для генерации отчетности. Ни разу не было проблем с доставкой отчетности через эту связку.
        • +1
          Это сейчас все альтенативы работают. Но так было не всегда
    • +2
      ну про клименко это перегиб. медком пользовались, когда он еще назывался бес-звит-плюс и про клименко никто не слышал. просто в свое время эта контора бесплатно создала для налоговой систему электронной корреспонденции и получила за это эксклюзивные права на продвижение в массы своего софта. хотя, про бесплатно не уверен, но факт в том, что софт существовал еще до клименко.
      тут другой вопрос, где теперь искать нескомпрометированную библиотеку ZvitPublishedObjects.dll, чтобы хоть как-то пользоваться медком.
      • 0
        Можно поискать чистые обновления за даты, указанные в статье, и посмотреть есть ли в этих обновлениях библиотека. Но опять таки — сервера обновлений Медок и вообще все их присутствие в инете лежит, ибо скорее всего конфисковано на расследование, на телефоны они вряд ли отвечают. Официальной поддержки в ближайшие дни не ждать.
        Ближайшие аналоги — соната и арт-звит, но они не так удобны, во-вторых это нужно каждому бухгалтеру привыкать к новому софту, в-третьих у многих была интеграция 1С и Медок, а 1С с другим работает плохо — опять таки ручная работа.

        Ну и напоследок — среднестатистический бухгалтер — в силу своей деятельности более опытный пользователь, чем среднестатистический офисный сотрудник.

        Но это все равно не то, что подразумевается под опытным пользователем ПК в ИТ-мире…
        • 0
          предпоследняя 188 версия чистая и я ее нашел. прикол в том, что медок проверяет интеграцию библиотек и не запускается с библиотекой от другой версии.
          как выход ставить 188 и откатываться на сохраненные базы. при этом потеряются квитанции и отчеты с 20 июня. хотя их можно вытащить с почтового сервера.
          отчеты уходят и даже возвращаются квитанции, тут ведь серверы медка не нужны, обмен информацией происходит по почте. как временный аварийный вариант подойдет.
          • 0
            Вроде 189-й билд с библиотекой от 188 запускается?
            • 0
              Не запускается.
              • 0
                У меня — запускается.
                Копировал и ZvitPublishedObjects.dll и ZvitPublishedObjects.dll.config от 188 релиза в 189 — пока не ругается.
                • 0
                  Не верю, тем более, что конфиг не менялся с 2012 года. Так что или библиотека у Вас от другого релиза, или релиз другой, или оно вообще не работает.
                  Даже сам медок предлагает конвертировать базу из 189 к 188 релизу. Правда, особо не делятся информацией, требуют удаленный доступ и делают сами. Но перетащить базу из 189 версии в структуру 188 — не велика проблема. В принципе, вопросов уже нет, на 188 все работает после конвертации базы.
          • 0
            Стандартное для .Net поведение
            • 0
              Если речь про привязку к strong name, её можно исправить с помощью binding redirect.
          • 0

            А он сам проверяет — или рантайм .NET это делает? Если второе, то можно же прописать bindingRedirect в конфиге.

    • –6
      Конечно! Сам Путин взломал!
    • +1
      https://tsn.ua/ukrayina/m-e-doc-pidtverdila-rozpovsyudzhennya-virusu-petya-a-cherez-yihnye-po-ymovirna-nova-kiberataka-956212.html — судя по последним новостям примерно так все и было, Интеллект-сервис поменял свою точку зрения на 180 градусов и уже согласен что это они всех заразили.
      • +4
        Так ведь теперь можно все свалить на русских, оправдав собственную безалаберность.

  • +6
    По сути смогли сунуть зловреда в стране практически всем. И страна легко, в общем, отделалась. Даже простоя в 1 день всей экономике не получилось — выходной был, за который IT-службы успели более-менее всё восстановить. Финансовая, энергетическая, транспортная, телекоммуникационная инфраструктуры — практически не пострадали, глобальных сбоев с толпами застрявших (привет Хитроу) или разморозившихся зимой отопительных систем масштаба города — не было. Домны не погасли, НПЗ не взорвались, метро работало, вода в кране была. Не столь уж давние блэк-ауты (не будем уточнять где) доставили неприятностей значительно больше. Т.е. даже при таком <...> состоянии с безопасностью и администрированием — IT-составляющая хозяйства/экономики/цивилизации оказалась не столь уж уязвимой к «случайно залетевшему дятлу».

    Теперь важно — какие будут (орг)выводы.
    • +13
      Верных выводов будут единицы.
      В масс-медиа будут закатывать истерики про русский след, и оправдывать этим любые новые санкции.
      В коммерческих структурах — большей частью никаких выводов. Ну, обновы накатят, может.
      У меня на глазах пример — производство простояло 1,5 суток — ну подумаешь, склады вымылись. Восстановили — и хорошо. Зачем вкладывать бабло в обучение людей, в системы защиты? И так норм.
      Это все печально, конечно.
      • +2
        Я бы очень хотел, чтобы выводы привели к диалогу властей и руководителей топовых ИТ компаний.
        Даже предложения уже были. Многие ИТ компании готовы разрабатывать софт даже не за сверхприбыль, а практически по себестоимости, для репутации.

        Потому что если будет как обычно — власти примут решение основываясь на своих представлениях о том, как все работает (или пообщавшись со знакомым эникейщиком васей)…
        • +2
          или пообщавшись со знакомым эникейщиком васей

          Петей же!
          • 0
            Петя с Петей? =)
        • +3
          власти примут решение основываясь на своих представлениях

          Скорее, власти примут решение, основываясь на своих интересах.
      • 0
        Похоже история получила продолжение.
        Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…

        Специальные агенты департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Об этом сообщил министр внутренних дел Арсен Аваков на своей странице в Facebook.

        «Пик атаки планировался на 16.00 (вторника, 4 июля – ред.). Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc», – написал глава МВД Украины.
        По словам Авакова, атака была остановлена.

        «Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации. Спасибо спецагентам за службу!» – добавил министр.
        • +1
          http://korrespondent.net/ukraine/events/3866213-prekraschen-vtoroi-etap-kyberataky-Petya-avakov — полная версия новости, чуть больше данных.
        • +5
          Там около нуля информации.
          Ну, изъяли сервера в связи со следственными действиями — это да, это факт.
          Все, что они там обнаружили, чему воспрепятствовали — это информация, что называется, с их слов. Многие ведь верят.
          Только ленивый не использует такой инфоповод в своих корыстных целях.
          • +1
            Я поэтому и написал:
            Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…
        • 0
          Вопрос почему не изъяли сразу после первой волны для расследования…
          • –1
            https://tsn.ua/ukrayina/policiya-viluchila-serveri-kompaniyi-m-e-doc-cherez-rozsliduvannya-kiberataki-955888.html — ну так они сказали что не виноваты «мамой клянус!» :-)
            Вроде как все проверили т.д.
          • 0
            Они пригласили спецов поковыряться в «живой» на тот момент системе.

            As part of Cisco’s global response to this event, two incident response specialists from the Advanced Services group arrived in Ukraine on the evening of June 29th.
    • 0

      Беда в том что только более или менее восстановить, до сих пор около 10 компаний в моем городе испытывают проблемы. Некоторые не могут принят заказ на поставку продукта, некоторые не могут создать договор так как программа не работает.

      • +1
        football.ua лежит до сих пор. Его брат korrespondent.net восстановился только пару дней назад и подглючивает. В интернете уже теории о рейдерском захвате были ибо непонятно, что вообще можно делать столько времени. Видимо пропали исходники, иначе я этого объяснить не могу.
        • +7
          Учитывая количество бреда генерируемого корреспондентом и постоянные срачи в комментариях к новостям — я надеялся что он дольше подлежит :-)
          А насчёт долго — подозреваю что меняли админов :-)
          • 0
            тем не менее, это крупные сайты по украинским меркам и мне интересно, чисто технически, как можно было до такого докатиться
          • 0
            А насчёт долго — подозреваю что меняли админов :-)


            Лучше бы платформу поменяли, до сих пор Windows:

            HEAD http://korrespondent.net
            200 OK
            Cache-Control: private
            Date: Wed, 05 Jul 2017 14:06:16 GMT
            Server: Microsoft-IIS/8.0
            Content-Length: 152052
            Content-Type: text/html; charset=utf-8
            Client-Date: Wed, 05 Jul 2017 14:06:16 GMT
            Client-Peer: 193.29.200.159:80
            Client-Response-Num: 1
            Set-Cookie: dcw=44; domain=.korrespondent.net; expires=Thu, 05-Jul-2018 14:06:16 GMT; path=/
            

            • 0
              А вдруг там что-то на ASPX?
              • 0
                Очевидно да, там что-то на ASPX :)
                Вот и падает вебсайт(!) одновременно с бухгалтерией (ещё и бэкапов наверняка нет...)
      • +2
        Переселенцам с восточных областей остановили выплаты пособий ссылаясь на то, что даные уничтожены вирусом.
        • –3
          LOL, как вообще критичная инфраструктура может использовать Windows :(?
          • 0

            А что не так с Windows, если лишние порты закрыть?

            • –3
              Технический дизайн не тот :)

              Например, общепринятая практика писать софт так, что он не только требует админских прав, но и всё своё складывает в %programfiles%\$program_name, практика что-то хранить в %APPDATA% встречается редко.

              В итоге софт может писать в ту же папку (а то и в весь %programfiles%!), куда установлен, только что бы менять свои настройки

              Приносится какая-то библиотека самой софтиной, и… не обновляется никогда! При том, что разработчик её написал не сам, и конечно дырки в ней не закрывает. В Linux, например, пакеты зависят от библиотек, которые устанавливаются независимо от приложений (это ещё и место на диске и в RAM кстати экономит)

              Это проблема изначальная проблема в ДНК — есть вроде какие-то технологии — и раздельное хранение бинарников с библиотеками — для того же дотнета библиотеки поставляются независимо от программного продукта, и UAC вроде есть, и даже какая-то имплементация аналога SELinux, но всё это так же невозможно удобно использовать, как и powershell в сравнении с bash. Всё равно единственный удобный способ использования этой экосистемы такой, что ботнеты из разу в раз распространяются, ну а Windows эксперты нам рассказывают байки о том, что а вот когда Linux станет популярнее, тогда… Да вот стал, уже под 2%, а на серверах и в cloud computing уже давно куда популярнее, а что-то там такого никогда не случается.

              Мало написать красивые технологии. Должен быть технический дизайн ОС и вообще экосистемы такой, что бы все использовали эти красивые, правильные, и безопасные технологии

              P.S. Ах да, чуть не забыла — знаете почему все отключают апдейты? По тому, что майкрософт решила сделать по своему, и в Windows файл блокируется при его открытии, в отличие от UNIX систем. Это ошибка в ДНК, которая приводит к тому, что нельзя апдейтится и пользоваться компьютером одновременно.
              • 0

                Вот только свое приложение всегда можно написать по уму, так же как и допустить в нем все перечисленные вами ошибки. И от операционной системы это не зависит.

                • –2
                  Вот только свое приложение всегда можно написать по уму,


                  Нельзя. Смотрите, какой длинный список когнитивных искажений у представителей homo sapiens. Я себе не доверяю, и другим себе доверять тоже не советую.

                  И от операционной системы это не зависит.


                  Зависит. Линуксовый говнософт не подвержен описанным выше проблемам, он обычно просто не работает, лол
                  • 0
                    Линуксовый говнософт не подвержен описанным выше проблемам, он обычно просто не работает, лол

                    Это просто означает, что вам нужно будет сначала починить чужой софт, чтобы потом запустить его под рутом. Иначе не сможете сдать отчет в налоговую...

                    • 0
                      Это просто означает, что вам нужно будет сначала починить чужой софт, чтобы потом запустить его под рутом. Иначе не сможете сдать отчет в налоговую…


                      нет, на этой платформе такой проблемы нет. На ней есть, например, Docker контейнеры, уже повсеместно распространённые. На Windows даже что-то такое тоже есть, но как обычно в таком виде, что это никто не использует.

                      Чинение чужого софта обычно заключается — если повезло — в создании симлинков на те библиотеки, с которыми приложение слинковано, или если не повезло, в написании патча (если есть исходники, на линуксовый говнософт они обычно есть)

                      Понимаете, тут просто не принято писать софт так, что бы он создавал под себя отдельную папку в /usr/bin/ и гадил туда же своими настройками. Так никто не пишет, даже начинающие кодеры!
                      И файлы не блокируются если открыты — такой дизайн ОС. И установщики для программ самих себя редко встречаются, обычно используется менеджер пакетов ОС или pip какой-нибудь, такой дизайн.
                      • +1

                        Тут вот как раз сегодня перевели статью о том, как замечательно развивается Докер: https://habrahabr.ru/post/332450/

                        • 0
                          У меня другой опыт. Впрочем, я Докер обычно не использую где HighLoad, а использую на своей рабочей станции, на станциях разработчиков, и для Continious Integration (автосборка образов с последним релизом софта, прогон тестов в Jenkins итд)
              • +3
                > Например, общепринятая практика писать софт так, что он не только требует админских прав, но и всё своё складывает в %programfiles%$program_name, практика что-то хранить в %APPDATA% встречается редко.

                Проснитесь, эти времена уже давно прошли. Единственная программа (помимо инсталляторов), которой нужны админские права — это файловый менеджер, когда нужно порыться в тех же %programfiles%.

                > В итоге софт может писать в ту же папку (а то и в весь %programfiles%!), куда установлен, только что бы менять свои настройки

                Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo.

                > В Linux, например, пакеты зависят от библиотек, которые устанавливаются независимо от приложений (это ещё и место на диске и в RAM кстати экономит)

                Только при условии, что эта библиотека из официального репозитория и не требуется её строго определённая версия, например, когда программа зависит от конкретных багов в библиотеке.

                Шаг в сторону — и уже проблемы. Иногда лучше, когда нестандартная библиотека является частью пакета, иначе его установка может оказаться весьма нетривиальной задачей.

                >… но всё это так же невозможно удобно использовать, как и powershell в сравнении с bash

                У вас однобокий взгляд со стороны разработчика. Пользователей в мире гораздо больше, чем разработчиков, и проблемы разработчиков им неведомы. А ограничивать пользование ПК для непродвинутых пользователей — это бред.
                • –2
                  Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo.


                  Такой традиции нет

                  Проснитесь, эти времена уже давно прошли. Единственная программа (помимо инсталляторов), которой нужны админские права — это файловый менеджер, когда нужно порыться в тех же %programfiles%.


                  Ага, конечно, такого софта нет, да только в новости как раз про такой софт и рассказывают.
                  + у меня в виртуалках с виндой постоянно у разных заказчиков были какие-то говноприложения для бизнеса написанные в незапамятные времена на Delphy, и бизнес от них отказаться не может. Догадываетесь, как они написаны?

                  Только при условии, что эта библиотека из официального репозитория и не требуется её строго определённая версия, например, когда программа зависит от конкретных багов в библиотеке.


                  Обычно всё собрано с нужными версиями. Если нет, то обычно просто ставится тем же пакетом другая версия библиотеки. Такие дела :(
                  В крайних случаях я иногда для работодателя сама собираю пакетик с библиотекой, и сама потом его мантайню, но такое редко когда нужно :(
                  Сейчас всегда всё есть если не в системном репозитории, то в том же pip

                  У вас однобокий взгляд со стороны разработчика. Пользователей в мире гораздо больше, чем разработчиков, и проблемы разработчиков им неведомы. А ограничивать пользование ПК для непродвинутых пользователей — это бред.


                  не бред :) Всё работает
                  • +1
                    > Такой традиции нет

                    Ну так и под винду сейчас не принято так писать.

                    > Ага, конечно, такого софта нет, да только в новости как раз про такой софт и рассказывают.

                    И это печально. Остаётся только надеяться на то, что в будущих версиях винды этот софт в принципе не будет работать, а оставаться на старых версиях будет не вариант из-за отсутствия поддержки оборудования.

                    С другой стороны, буть медок писан под линуксы, я не был бы удивлён, если бы он хотел рута.

                    > Обычно всё собрано с нужными версиями.

                    В чём же тогда заключается экономия по памяти, если каждый пакет будет хотеть свою версию? И как быть с обновлениями? Поддержка рано или поздно закончится, и заказчик будет сидеть со старой версией библиотеки, потому что так решил разработчик.
                    • +1
                      Ну так и под винду сейчас не принято так писать.


                      Никогда не было принято. Но традиция была, есть, и будет.

                      С другой стороны, буть медок писан под линуксы, я не был бы удивлён, если бы он хотел рута.


                      Не хотел бы, уверяю Вас. Тут говнософт обычно имеет другие проблемы. Скорее, он бы требовал старой версии Ubuntu, древнего RHEL, или что-то подобного, и был бы геморой его поставить, используя compat-библиотеки, на новый дистрибутив (но всё бы быстро решалось упаковкой в Docker)

                      В чём же тогда заключается экономия по памяти, если каждый пакет будет хотеть свою версию?


                      Обычно весь софт, требующий определенную библиотеку, в дистрибутиве собран с этой версией либы. Мантайнеры пишут патчи, если это возможно.
                      Если нет, то поставляют другую версию.

                      Поддержка рано или поздно закончится, и заказчик будет сидеть со старой версией библиотеки,


                      Тут обычно софт с не поддерживаемыми фреймворками просто умирает. Так устроена экосистема.
                  • 0
                    > " Ничто не мешает написать программу под Linux, гадяющую «под себя» и требующую запуск через sudo."

                    >> «Такой традиции нет»

                    то есть «sudo apt-get» всем снится?
                    • –1
                      то есть «sudo apt-get» всем снится?


                      А оно гадит? Да, кстати, aptitude в Дебианойдах лучше
                  • 0
                    Такой традиции нет
                    Если виндового разработчика заставить писать под линукс — будет и не такая традиция.
                    DistortNeo «не принято так писать» не значит что так не пишут. Ещё и не так пишут.
                    • –2
                      Если виндового разработчика заставить писать под линукс — будет и не такая традиция.


                      Будет неудобно использовать. В Windows удобны не-безопасные сценарии, безопасные вызывают чувство неудобства, а в Linux наоборот. Попробуйте посидеть в X сессии под рутом (некоторые дистрибутивы просто не дают это сделать, но на самом деле легко нагуглить, как это таки сделать), у Вас часть софта даже запускаться не будет!

                      + пользователи сами будут Вас просить использовать пакетный менеджер, а не установщик, итд. В Windows есть замечательный пакетный менеджер msi. Технологически он может быть даже лучше, чем deb. А его никто не юзает! Почему? А по тому, что такой дизайн сообщества, ОС и общепринятая практика (ошибка в ДНК т.е.).
                      В Linux же разработчики построены по-другому…

                      Посмотрите ещё на iOS например, с её джейлами на приложение. Где тут эпидемии? Майкрософт сейчас пытается переломить ситуацию, со своими «плитками» и новыми приложениями, не Win32, но инерция рынка и куча legacy кода с устаревшим дизайном (прежде всего, дизайном самой ОС) не даёт им это сделать.
                      • 0

                        Нет, это вы посмотрите на инструкции по установке программ вида wget xxx | sh (и даже sudo sh -c 'wget xxx | sh'). Это — уже существующие инструкции, которыми люди пользуются, потому что это удобно. Являются ли они безопасными?

                        • 0
                          которыми люди пользуются, потому что это удобно


                          Не особенно пользуются. Если брать AWS, тут обычно софт ставят Ansible/Puppet/Fabric/Cloudformation, а bash и всё руками — такое разве что на тестовых инстансах
                          • 0

                            Linux не ограничивается кластерами серверов в облаке с CI и CD. Его используют еще и владельцы одного-единственного сервера, где все ставится и настраивается руками. Возможно даже что этот сервер одновременно является домашним компьютером. Вот они-то и являются целевой аудиторией таких вот "удобных" скриптов.


                            И если бы не Windows — то таких пользователей Linux было бы на порядок больше.

                            • –1
                              Его используют еще и владельцы одного-единственного сервера, где все ставится и настраивается руками


                              Вымирающий класс. Если не IT-компания, то они уходят на SaaS приложения, которые поставляют те, у кого много инстансов в публичных/приватных облаках.
                              Если IT компания, то опять же облако как правило просто из-за удобства разработки, так как AGILE

                              Возможно даже что этот сервер одновременно является домашним компьютером. Вот они-то и являются целевой аудиторией таких вот «удобных» скриптов.


                              Не хочу обидеть, но Вы ведь это только что придумали, да? :(
                              • 0

                                Можете найти адекватное по цене SaaS-решение для хост-бота для третьего варика?


                                Я знаю одно, но там боты слишком сильно заточены на автохост вместо хоста по требованию (и в процессе этого затачивания были неоднократно переписаны человеком, который не является программистом). К тому же там всего один админ, и он делает все руками, безо всяких Ansible/Puppet/Fabric/Cloudformation и облаков. Кроме того, там цена за одного бота раз в шесть больше чем стоимость простейшего VDS.


                                Кстати, этот самый бот (ghost++) идет в комплекте с устаревшей версией mysql-клиента. И еще он не умеет писать в syslog — только в файл.


                                И да, в конфигурации по умолчанию он хранит реплеи в субдиректории своего места установки. Рядом со своим конфигом. На форумах рекомендуют запускать его от рута. Правда, в отличии от Медока, он не обижается если запустить его от другого пользователя, аккуратно выдав тому права на запись через ACL.


                                Не хочу обидеть, но Вы ведь это только что придумали, да? :(

                                Нет, не придумал. Именно так хостился конкурирующий бот.

                              • +1
                                > Вымирающий класс.

                                Ну да, такой же вымирающий класс, как энергетика, основанная на углеводородах. А по факту живее всех живых.

                                > Если не IT-компания, то они уходят на SaaS приложения, которые поставляют те, у кого много инстансов в публичных/приватных облаках.
                                Если IT компания, то опять же облако как правило просто из-за удобства разработки, так как AGILE

                                Не надо проецировать свой опыт на всё, что связано с компьютерами. В вашем мире существуют только разработчики и не существует пользователей, а единственный возможный сценарий использования компьютеров — это облачные технологии для разработки новых облачных технологий.

                                > Не хочу обидеть, но Вы ведь это только что придумали, да? :(

                                Ну вот у меня дома как раз и стоит сервер под линуксом. На нём крутится самба (о ужас, правда?), чтобы обмениваться файлами между локальными компами и смотреть видео с твбокса. Есть Apache, смотрящий во внешний мир с одной из директорий, доступных через самбу, чтобы легко и просто передавать большие файлы через интернет. Есть GIT, OpenVPN, BTSync для автоматической синхронизации. Ну и до кучи просто линукс-машина, где некоторые вещи делать вполне удобно.

                                А теперь давайте убеждайте меня, что я должен отказаться от всего этого и перейти на облачные технологии.
                      • 0
                        Неудобно кому? Удобство заказчика это дело даже не десятое, если в ТЗ такого не написано.
                        Замечательность msi сильно переоценена. Некоторые вещи там очень нелогичны. Да и инструментов особо нет.
              • 0
                «По тому, что майкрософт решила сделать по своему, и в Windows файл блокируется при его открытии, в отличие от UNIX систем.»

                В юникс системах хендлер открывается на inode, а не на имя файла, поэтому имя файла не блочится. Это не ошибка в ДНК, это просто другая архитектура.
                NTFS вообще сама по себе весьма неплохая файловая система с огромным количеством возможностей.
                Например права доступа там гораздо гибче, а в Линукс для temp приходится обходится костылем типа Sticky bit, который больше нигде и не используется.

                А вообще, хейтерство систем не есть гуд. У каждой системы есть свои преимущества и недостатки.
                • –2
                  В юникс системах хендлер открывается на inode, а не на имя файла, поэтому имя файла не блочится. Это не ошибка в ДНК, это просто другая архитектура.


                  Нет, это именно ошибка в ДНК :) Вот такая архитектура!
                  Видите ли, системные архитекторы тоже делают ошибки…

                  Например права доступа там гораздо гибче


                  Windows-like ACL в линупсах тоже есть, но нет традиции их юзать(то есть, по моей логике я да, должна согласится, что их нет). НО(!) Если нужна изоляция, то используют контейнеры, если нужна безопасность, то SELinux

                  А вообще, хейтерство систем не есть гуд. У каждой системы есть свои преимущества и недостатки.


                  NT хорошая система для рабочей станции не ИТ-ка и как игровая платформа, но плохая как облачный инстанс. А сейчас все сервера мигрируют в облака. Поэтому серверы на NT сейчас делать не стоит, ИМХО
                  • 0
                    «NT хорошая система для рабочей станции не ИТ-ка и как игровая платформа»

                    NT никогда не была игровой платформой, поскольку в ней тупо не было поддержки того, что нужно игровым платформам, и начало это появлятся уже в 2000, а нормально стало только в XP версии.

                    По какой-то странной причине, Вы реально считаете, что ваш личный персональный опыт — это мировой опыт каждого пользователя. Но это не так.
                    Традиции Линукс распространяются исключительно на администраторов узкого круга.

                    Огромное количество современных пользователей и брендов, эти традиции не знает, и штампует из линукса Андроиды, прошивки и домашние компы без оглядки на них.

                    В облака мигрируют не все сервера, а только некоторая часть, которым это удобно. Оторвитесь от сугубо айтишных компаний, и посмотрите суровый энтерпрайз например финансовых систем — очень мало кто даже рассматривает облака как что-то полезное. Проще свой датацентр построить, чем отдавать сенситивити дата в облако. И это самые крупные компании.
                    • –1
                      NT никогда не была игровой платформой, поскольку в ней тупо не было поддержки того, что нужно игровым платформам, и начало это появлятся уже в 2000, а нормально стало только в XP версии.


                      Была. NT 6.1, например, прекрасная игровая ОС :) Причём во всех инкарнациях, хоть Win 7, хоть 2008 server

                      В облака мигрируют не все сервера, а только некоторая часть, которым это удобно. Оторвитесь от сугубо айтишных компаний, и посмотрите суровый энтерпрайз например финансовых систем — очень мало кто даже рассматривает облака как что-то полезное. Проще свой датацентр построить, чем отдавать сенситивити дата в облако. И это самые крупные компании.


                      а не-итые компании просто отдают массово всё на аутсорс и покупают SaaS'ы. Особенно маленькие не ит-ые компании. Поэтому опять же всё идёт в облака. Такие дела.
                      • 0
                        Вот не надо путать семейство NT и название конкретной версии.
                        Ваше хейтерство по отношению к Windows не дает возможности в принципе вести диалог.
                        • –1
                          Вот не надо путать семейство NT и название конкретной версии.


                          Я предлагаю относится к друг другу с уважением, а то я могу покопаться в Ваших сообщениях, и указать, где именно и что Вы перепутали (например, влезли ни к селу ни к городу со своей Windows Phone, которая вообще совершенно другая ОС, и абсолютно никакого отношения не имеет к Windows NT ветке — я же не критиковала или не хватила Win 9x? А зачем Вы делаете это? Кстати, с Windows Phone можно ещё перепутать WinCE и WinMobile — тоже совершенно другие ОС)

                          Ваше хейтерство по отношению к Windows не дает возможности в принципе вести
                          диалог.


                          Я Windows юзер как игровой платформы — мы летаем с мужем в Elite Dangerous в Windows виртуалке, в которую проброшена видеокарта с хостовой системы.
                          Так же я, бывает, сталкиваюсь по работе с NT-системами, которые Майкрософот брендировала и продаёт по подписке как серверные (2008, 2008R2, 2012 Server, etc) в гостевых системах в OpenStack.

                          Я не хейчу, а пишу объективный анализ. Никто из вас пока ничего обоснованного на последнюю редакцию аргументов не возразил. Дискуссия с вашей стороны заглохла после анализа зараженных Android смартфонов, т.к. он подтвердил мои тезисы.

                          Много ли Вы видели Linux юзеров, отдающих должное технологиям MS, и называющих MSI технологичным, особенно для своего времени, по сравнению с набором костылей в deb пакетах?

                          Как можно называть хейтерством тезис, что все популярные сценарии использования Linux (а так же Android, iOS, etc) безопасны, а популярные и удобные сценарии использования Windows нет?
                          Ну да, понимаю, назвать ситуацию своими именами, и «ошибкой в ДНК» это непозволительный грех!
                          А ведь я всегда и везде писала именно эти тезисы, может быть, в чуть другом виде. Приятно видеть, что Майкрософт делает именно то, что я бы делала на их месте — то, что они добавили магазин в Windows NT шаг в правильном направлении. Я ещё лет 5 назад говорила, что Windows NT проблемна без репозиториев, а-ля линукс и гугл плей
                          Теперь нужно переписать механизм блокировок файлов для Metro приложений и ядра (ну да, отвалится разный низкоуровневый софт), оставив легаси интерфейс,
                          и популярность отключения апдейтов резко упадёт

              • +3

                Омг, что я сейчас прочитал? Ничего лично, но из того, что вы написали, правды примерно 0%. И про отключают обновления (отключают их может дома кухарки, в любой компании крупнее шавермячной испольцуются доменные политики и там это, часто, не выбор пользователя). Апдейты на пользовательские машины ставятся не из Windows Update, а с копроративного центра обновлений и только тех что одобрили и проверили админы. Админских прав на пользовательских машинах оооочень часто просто нет (так что бред про запись в program files лучше потереть). По тем же причинам невозможно отключить UAC. Исключение могут составлять только IT компании, где большая часть работников далеко не илиоты и им дизненно необходимо иметь админские привелегии время от времени (попробуйте подключиться дебагерром к стороннему процессу с более высокими привелегиями, ага). Но у них хватает мозгов не отключать uac. То что вы описали про "технический дизайн" это чушь откроыенная. Такое может сказать в 2017 очень некомпетентный человек (или дельфин). Да и хватит кривить душой говоря что мол "вооот, в оинуксах такого небыло!!1". Было и совсем недавно (проблемы с самбой помним? А с ssl?) и бывают они регулярно! То что вы их не замечаете — это очень плохой знак. Это значит что вы просто не понимаете природы этих проблем и, случись чего, не в сострянии будете с ними справиться. Удачи.
                P.S. Пардон за опечатки, печатал с телефона с браузера.
                P.S.S. Кще забыл добавить что ни в одной половозрелой компании никто ничего не хранит на локальной машине, кроме хоум-котиков. А на серверах сами понимаете — другие настройки :)

                • –1
                  Ваш праведный гнев неуместен. В сферических компаниях в вакууме правильные групповые политики, что нельзя даже бинари левые запускать, а в реальных всё как я написала.
                  И постоянно всякие Роснефти (реальные компании! А не те, о которых Вы пишите!) шифруются шифровальщиками и падают от conficker'ов
                  • –1

                    В том то и дело, что если бы у Роснефти стояли убунты и ко, им это врятли помогло бы. Какая разница какая ОС, если используют ее на уровне школьника? Ну вот не стоит у них в приоритете ИБ, зачем? Они же Роснефть, а не РосIT. Им важнее следить за стоимость барреля, чем за документиками на компах серкретарш.

                    • –1
                      В том то и дело, что если бы у Роснефти стояли убунты и ко, им это врятли помогло бы.


                      Прецеденты массовой зашифровки Убунт в студию :)
                      Понимаете, Линупсы не ломаются в автоматическом режиме (пара прецедентов сбора ботнетов подбором простого рут-пароля только подтверждает правило)

                      Мой аргумент заключается в том, что в винде вроде и есть какие-то современные технологии, позволяющие в лаборатории сделать всё безопасно, но реализованы они через ж*пу, и в реальной эксплуатации именно только винда и является рассадником заразы. Из-за изначальной ошибки в ДНК. Из-за плохой архитектуры и технического дизайна, который никогда не оптимизировался под то, что бы не-безопасные сценарии использования ПК были неудобными.
                      • 0
                        Этот пример подойдет?
                        • 0
                          А с чего Вы взяли, что это не целенаправленный взлом? Вряд ли тут был такой же сценарий, что пользователи, сидящие за Ubuntu, щелкнули на ссылку в почте, и потом пошло-поехало по локалке, без какого-то участия взломщиков.

                          То, что Linux серверы взламываются людьми, и даже иногда ботами с использованием популярных уязвимостей(с тем же wordpress была история) это известный факт.

                          Так же известный факт, что и backdoor'ы есть, и шифровальщики, итд. Но во всех этих случаях нужен человек, что бы всё это заработало вместе :)
                      • +3
                        У вас какое-то совершенно неадекватное хейтерство Windows.
                        Обе системы пошли разными путями, и судя по тому, что обе системы лидируют на рынке в разных областях, у каждой были свои причины это делать.

                        Если взять Линукс, то его очень активно ломают массово и масштабно, это просто традиция такая, как вы говорите.
                        Пруфы?

                        https://habrahabr.ru/post/253013/
                        https://habrahabr.ru/company/eset/blog/317420/
                        https://geektimes.ru/post/253392/

                        Поэтому реально, нет смысла наезжать на ОС — современная Windows (да в принципе даже начиная с ранних версий NT или лучше Win XP sp3) вполне грамотная и состоявшаяся операционка, совсем непохожая на win9x.

                        Другое дело, что свобода у программистов гораздо больше, рекомендации MS выполняют далеко не все программисты, а пользователей, которые используют Windows в качестве домашнего компа и для игрушек на порядки больше, чем Линукс, который изначально брал вектор на сервера и ОС для опытных пользователей.
                        • 0
                          Особенно доставляет,

                          https://habrahabr.ru/post/253013/
                          https://habrahabr.ru/company/eset/blog/317420/
                          https://geektimes.ru/post/253392/


                          Что Ваши ссылки про роутеры :) Вы бы ещё заразу в гугл плее, поражающую Android привели как свидетельство уязвимости Linux (и пофиг, что не GNU/Linux, а Android/Linux)

                          То, что вендоры роутеров, особенно китайских, не в состоянии сделать нормальный дистрибутив, известный факт. Почему они не ставят OpenWRT/LEDE тот же самый, для меня загадка.

                          Давайте ссылку в студию с массовой автоматической зашифровкой домашних убунт

                          Обе системы пошли разными путями, и судя по тому, что обе системы лидируют на рынке в разных областях, у каждой были свои причины это делать.


                          Тут понимаете в чём дело — MS сейчас на нисходящей траектории. Корпоративные серверы съезжают в облака, а тут MS в числе догоняющих, и ещё более отстающих(что AWS, что Опенстек, что Kubernetes выглядят куда интереснее Azure в обоих вариантах, и в ДЦ Майкрософта и у себя, для локальной установки)

                          Сейчас Windows сервер не моден. Моден совсем другой стек. Не .NET, для стартапа, а Django или рельсы. Не групповые политики, а Ansible/Puppet/CloudFormation/Fabric, не Hyper-V, а KVM или вообще Docker.

                          MS хороша по-прежнему как игровая платформа(мы с мужем сами юзаем Windows в виртуальных машинах, с проброшенной в них дискретной видео картой). Но это чемодан без ручки. Этот рынок не растёт, поэтому Майкрософт в опасности, такие дела.
                          • 0
                            Если уязвимость на уровне ядра, значит БОЛЬШИНСТВО дистрибутивов можно сломать через нее. Вот еще пример. Вы после этого считаете что подобных уязвимостей в линуксе нет?) Я же считаю, что их просто еще не нашли/обнародовали.

                            Пока система используется не массово — писать зловреды к ней не выгодно. Как только система стает массовой — начинается R&D заинтересованных лиц.

                            Не существует сложных и совершенных систем одновременно. На данный момент Windows это священная корова зловредописателей, так как этой ОС пользуется большинство, в том числе наивных и не образованных в ИТ сфере людей.
                            • 0
                              Пока система используется не массово — писать зловреды к ней не выгодно. Как только система стает массовой — начинается R&D заинтересованных лиц.


                              Линупсов под 2% на десктопах. Это давно уже больше, чем Windows компьютеров на момент первых эпидемий. Так что это всё отговорки :(
                              • 0
                                А каков был возраст системы Windows во время первых эпидемий? :)
                                • –1
                                  Подверженность чумкам никак не связана с возрастом Windows.
                                  В Win9x просто не было безопасных технологий, а WinNT они появились, но такие, что использовать их неудобно, поэтому ничего не поменялось.

                                  Я думаю, Microsoft это понимает, поэтому форсит всех переходить на Metro/плитки, по тому, что там как раз всё будет сделано изначально нормально, в отличие от уродца-Win32, но катастрофически не успевает, т.к. у конкурентов это всё уже есть, и у них слишком большая фора
                                  • 0
                                    Я вам больше скажу, подверженность чумкам никак не связана даже с типом операционной системы. На ЛЮБУЮ систему можно найти штамм вируса, который свое грязное дело сделает, причем система здесь — это как организмы, так и программы, механизмы.

                                    Когда заинтересованным лицам будет выгодно, сломают абсолютно любой софт или систему.
                                    As part of its Vault 7 series, WikiLeaks has previously revealed similar documents showing how CIA performs various man-in-the-middle (MitM) attacks and hacks mobile phones and Samsung smart TVs


                                    Просто ЦРУ было это выгодно, и их ресурсы были направлены на поиск уязвимостей. То есть, когда с пользователей линукса, таких же наивных и не образованных в сфере ИТ, можно будет заиметь денег (не 1-2% от общей массы) будут и вирусы пачками, которые используют древние баги.
                                    Так же, как это произошло с Android.
                                    Так же, как это произошло с IOS.
                                    Так же как это произошло с MacOS.

                                    Вот вам моя точка зрения от более авторитетного источника.
                                    Conclusion

                                    People generally assume when they are using Macs they are relatively safe from malware. This has been a generally true statement, but this belief is becoming less and less true by the day, as evidenced by the increasing diversity in mac malware along with this name family. While this piece of Mac malware may not be the most stealthy program, it is feature rich and it goes to show that as OS X continues to grow in market share and we can expect malware authors to invest greater amounts of time in producing malware for this platform.
                                    • –1
                                      росто ЦРУ было это выгодно, и их ресурсы были направлены на поиск уязвимостей. То есть, когда с пользователей линукса, таких же наивных и не образованных в сфере ИТ, можно будет заиметь денег (не 1-2% от общей массы) будут и вирусы пачками, которые используют древние баги.


                                      Linux юзеры это IT-ки очень часто, а у них в среднем доход значительно выше медианы

                                      Так же, как это произошло с Android.


                                      Проблема Android в том, что куча вендоров перестаёт обновлять телефоны, пока они ещё актуальны :(
                                      Если бы за выпуск обновлений отвечало Google, проблемы бы не было.

                                      Так же, как это произошло с IOS.


                                      По сути дела, ничего с iOS не произошло. Android и iOS девайсов кстати куда больше, чем Windows компьютеров, но массовые эпидемии только про WinNT платформу, почему так?
                                      • 0
                                        Welcome to real world :)
                                        В реальном мире вот таких если бы вагон и тележка :)
                                        Проблема Android в том, что куча вендоров перестаёт обновлять телефоны, пока они ещё актуальны :(
                                        Если бы за выпуск обновлений отвечало Google, проблемы бы не было.

                                        • –1
                                          В реальном мире вот таких если бы вагон и тележка :)


                                          Если вовремя обновлять телефон, то этой проблемы нет. Что большинство людей и делает, и телефонов куда больше, чем инсталляций Windows
                                          Тем не менее, что не новость, то про «Петю» на Windows NT, а не про вирусню на Android.
                                          Android не идеален, но он и не подвержен чумкам в случае усредненного юзера-представителя среднего класса(а у нищих и нет смысла вымогать деньги).
                                          • 0
                                            Если вовремя обновлять телефон


                                            Я об этом
                                            • –1
                                              Ну так все так и делают, кто из среднего класса. Редко что телефоны покупает на десять лет.
                                              Все меняют за год-два, поэтому и чумок не бывает — ни вымогать не получится (раз в пять лет смартфоны меняют только бедные — что с них взять?), ни майнить/ddos'ть — не получится с дешёвого телефона с дешёвым тарифом интернета, итд
                                              • 0
                                                Вы пытаетесь проецировать свое поведение на всех, но так как ваш разум подсказывает что ВСЕ такими быть не могут — вы ОСТАЛЬНЫХ выключаете с группы, в которую причисляете себя (средний класс).

                                                Каждое ЕСЛИ — это ваш когнитивный диссонанс. Вы, как и каждый, имеете представление об устройстве мира, основанное на вашем опыте, и вы пытаетесь поведение ВСЕХ подогнать под устройство ВАШЕГО мира. Так вот каждое ЕСЛИ — это защита этого мира, исключение из правил, который явно не соответсвует вашему шаблону.
                                                Само по себе это ни хорошо, ни плохо, но вы пытаетесь убедить других, что кроме вашего восприятия мира, других не существует.

                                                Весь опус выше написан дабы показать что существует мир моей бабушки, мамы, ребенка, которые знать не знают что такое ОБНОВЛЕНИЕ телефона. При чем они успешно используют устройства с зеленым роботом.
                                                Как вы уже писали выше — смартфоны не обновляются производителями, не обновляются по незнанию пользователей. И все они работают на одной версии ядра системы, в которой могут быть уязвимости. Именно этим(фрагментацией клиента) и пользуются вирусописатели. И пока с линуксом работают в основном более образованные в сфере ИТ пользователи, которых по определению меньше, никто не будет вкладывать деньги в разработку вымогателей для этой несущественной аудитории (1-2%).

                                                Вопрос, почему же обыкновенных пользователей среди линукс систем так мало, уже совсем другого плана :)
                                                • –2
                                                  Слушайте, но чумок-то как не было, так и нет на Android
                                                  Редкие случаи связаны с очень старыми телефонами. И, например, я своей маме регулярно покупаю новые Android телефоны. И не только я. Кто-то и дорогие iPhone покупает.

                                                  Т.е. смотрите — целевая группа атаки для Android систем крайне малочисленная группа людей, кто телефоны не обновляет, но при этом богат (т.е. купившие флагманы, но потом резко переставшие их покупать, но не экономящие на мобильном интернете).

                                                  Типовой человек с типовым сценарием использования не подвержен. В частности, и китайские телефоны не средний класс тоже часто покупает новые — и так же раз в пару лет.

                                                  А вектор атаки в случае Windows юзеров направлен на большинство пользователей. Что ни новость, то новой чумке именно на NT платформе. Новости про другие платформы, даже более популярные, такие как Android и iOS, встречаются на порядки реже.

                                                  Т.е. опять же мой тезис — что типовые и самые удобные сценарии использования Windows не оптимизированы под безопасность пользователя, в отличие от всех других систем, т.е. ошибка в ДНК.

                                                  Каждое ЕСЛИ — это ваш когнитивный диссонанс


                                                  Нет никаких «если» — есть строго установленные факты, что эпидемии NT систем случаются постоянно. Чаще чем эпидемии любых систем, хоть менее популярного Linux, хоть более популярного Android
                                                  • –1
                                                    Т.е. смотрите — целевая группа атаки для Android систем крайне малочисленная группа людей, кто телефоны не обновляет

                                                    Графики показывают что это не так.

                                                    но при этом богат (т.е. купившие флагманы, но потом резко переставшие их покупать, но не экономящие на мобильном интернете).

                                                    Опять же нет :) если моей маме напишут, что её телефон заблокирован, все фоточки зашифрованы и нужно заплатить 1 бакс для дешифровки — она пойдет и заплатит. Она крайне не богатая пенсионерка, но фотки для нее важны, а спрашивать у меня она постесняется, так как сама сможет разобратся взрослая уже… Еще и сына по мелочам беспокоить не будет, итак у него проблем хватает… И еще ОЧЕНЬ много отговорок для самой себя.

                                                    Это 1 конкретный пример, у большинства моих знакомых, которые не связаны с ИТ будет своя история и мотивы, и многие просто заплатят, так как ценят информацию с телефона больше чем оплата дешифровки.

                                                    Кстати что для вас чума?
                                                    10млн устройств это чума?
                                                    Или 18млн устройств?

                                                    Это лишь вершина айсберга, сколько устройств уже сейчас инфецированны — не знает никто. Это же касается не только Андроида, но и пользователей Mac, Linux, Windows
                                                    • 0
                                                      Опять же нет :) если моей маме напишут, что её телефон заблокирован, все фоточки зашифрованы и нужно заплатить 1 бакс для дешифровки — она пойдет и заплатит. Она крайне не богатая пенсионерка, но фотки для нее важны, а спрашивать у меня она постесняется, так как сама сможет разобратся взрослая уже… Еще и сына по мелочам беспокоить не будет, итак у него проблем хватает… И еще ОЧЕНЬ много отговорок для самой себя.


                                                      У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT, и только один человек на Android (у него как раз Galaxy S2, и не с cyanogenmod'ом, обновляевшимся, а со стоком)

                                                      Графики показывают что это не так.


                                                      Что именно не так?

                                                      Кстати что для вас чума?


                                                      Вот в Африке сейчас разная чума (не прям чумная палочка, но своей гадости хватает), а в развитых странах нет.
                                                      Ваш доход в случае с Android прямо коррелирует с количеством уязвимостей вашего смартфона. В случае с Windows это не так.

                                                      Тоже самое, что со средневековьем. В средневековье болели все, и бедные, и богатые, и благополучные, и нет. Просто такой дизайн общества был, что люди не мылись, считали клопов наказанием божьим, а кошек прислужницами дьявола.

                                                      1-в-1 как с Windows. Windows отдаёт по факту на аутсорс распространение приложений, не занимаясь этим как другие платформы, вот мы и получаем кривое написание приложений, и вообще очень сильный отрицательный буст к безопасности.

                                                      Когда(если!) плитки вытеснят обычные приложения под Windows, то все эти Пети благополучно закончатся.
                                                      • 0
                                                        У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT, и только один человек на Android (у него как раз Galaxy S2, и не с cyanogenmod'ом, обновляевшимся, а со стоком)

                                                        Я никогда не ловил вирус ни на одной из своих машин с операционками от MS, начиная от MS-DOS 6.22. Несмотря на их общепризнанную дырявость.
                                                        У меня множество знакомых (никак не связанных с IT) ловили вирусы на Android. Просто потому, что они не понимают что это за штука такая и зачем: «безопасное поведение». Перекидывают друг другу APK по bluetooth, по инструкции с «доверенного» сайта рутают телефон — обычно такие сценарии. И это подтверждает мое личное убеждение: безопасность системы — в голове и поведении пользователя, дизайн системы вторичен. И массовый «обычный пользователь», который не умеет вести себя безопасно, словит вирусов и на Linux когда (если) на него пересядет. До тех пор пока массово он сидит не на нем — нет и шифровальщиков. Начал массово садится на Android — развился сегмент разработчиков дряни и для него.
                                                        • –1
                                                          Перекидывают друг другу APK по bluetooth,


                                                          LOL, это же слишком сложно, Вы что? Как раз типовой юзер так делать не будет. Он умеет только с гугл плея ставить.
                                                          Это как раз в тему, что в других ОС небезопасное поведение является неудобным.
                                                          Даже я не буду перекидывать apk по bluetooth(именно по тому, что геморно!), я его залью через adb shell на телефон по wifi, с компьютера, т.к. там хоть клавиатура нормальная есть на компе.
                                                          • 0
                                                            Это делают дети в школе в первом классе. Реально. Мне неудобно, им норм.
                                                            • –1
                                                              Это делают дети в школе в первом классе. Реально. Мне неудобно, им норм.


                                                              Тем не менее, из моего круга общения так никто не делает. Зато почти все ставят приложения в Windows через гугл (и поиск кряка)

                                                              Обратите внимание на Steam и GoG. Как там всё удобно сделано — Майкрософт не осилила, вместо них это сделали сторонние компании. И игровое пиратство пошло на спад, и распространяемая с играми гадость тоже.
                                                              Плитки должны сделать тоже самое с обычными приложениями для мира Windows. Но смогут ли, это вопрос. Мне кажется, плиточная Windows просто проиграет конкуренцию другим ОС.
                                                              • 0
                                                                Обратите внимание на Steam и GoG. Как там всё удобно сделано — Майкрософт не осилила, вместо них это сделали сторонние компании. И игровое пиратство пошло на спад, и распространяемая с играми гадость тоже.
                                                                Плитки должны сделать тоже самое с обычными приложениями для мира Windows. Но смогут ли, это вопрос. Мне кажется, плиточная Windows просто проиграет конкуренцию другим ОС.


                                                                Хм, был Internet Explorer, сейчас антивирус, вы предлагаете еще и магазин приложений?) В виду своей распространенности антимонопольщики их съедят.
                                                                • 0
                                                                  вы предлагаете еще и магазин приложений?)


                                                                  Так он уже есть, Вы видели Win10?
                                                      • 0
                                                        «У меня есть множество знакомых, которые сталкивались с разнообразной вируснёй на Win NT»
                                                        Все эти знакомые — продвинутые айтишники? Но вы же утверждаете, что продвинутые айтишники сидят на Линукс? Что же не так?

                                                        «Когда(если!) плитки вытеснят обычные приложения под Windows, то все эти Пети благополучно закончатся.»
                                                        Плитки вообще никак не связаны с безопасностью или еще чем-то, кроме интерфейса, который связан с тем, что MS попыталась сделать единую систему для десктопов и мобильных устройств, чтобы одна и таже версия ПО запускалась и на PC и на планшете и на телефоне.
                                                        • –1
                                                          Плитки вообще никак не связаны с безопасностью или еще чем-то,


                                                          Напротив, связаны — Metro приложения ставятся из магазина, а туда всякий траш не понятно как написанный не попадает. Те, кто туда пишут, форсятся майкрософтом писать код хотя бы минимально нормально, единообразным образом, используя единообразные API, итд. Тот же медок, даже если бы был написан под Metro, туда бы просто не пустили :)

                                                          Можно ожидать, что когда(если?) Metro приложения вытеснят дома и в корпоративной среде old-style софт, количество эпидемий Windows NT семейства, какую бы торговую марку оно к тому моменту не носило (майкрософт вроде обещает перейти на роллинг и больше не релизить новых торговых названий, вроде теперь всегда будет Win10?) пойдёт на спад.

                                                          Хотя другие ошибки в ДНК, вроде механизма блокировок файлов, останутся, и всё равно до конца проблема, ИМХО, не решится.
                                                          • 0
                                                            Metro приложения просто пишутся как метро, их никто не обязывает ставиться из магазина. Просто в магазин другие не попадают, потому что как я уже говорил раньше, некоторое время назад MS взяли курс на единую систему для всех устройств — и десктопов и мобильных. А на мобильные устройтсва — только из магазина.
                                                            В корпоративной среде Metro в принципе не вытеснят приложения. В вашем облачном мире вы как-то не улавливаете вектор энтерпрайза, это только для пользователей.
                                                            Ну и да, наверное нет смысла с вами общаться на эту тему — вы слишком по-хейтерски относитесь ко всему, что не Линукс и не Linux-way.
                                                            • –1
                                                              В корпоративной среде Metro в принципе не вытеснят приложения. В вашем облачном мире вы как-то не улавливаете вектор энтерпрайза, это только для пользователей.


                                                              Полноте Вам! Энтерпрайз это не отдельный мир, а мир стартапов -5-6 лет назад.
                                                              Они всегда начинают использовать те же технологии, что и лидеры, просто с лагом

                                                              Ну и да, наверное нет смысла с вами общаться на эту тему — вы слишком по-хейтерски относитесь ко всему, что не Линукс и не Linux-way.


                                                              Нет, просто аргументы закончились, переходим на оппонента (что я там якобы что-то перепутала, а теперь что я якобы что-то хейчу. Так всегда бывает, когда возразить по сути нечего)
                                                              • 0
                                                                «Полноте Вам! Энтерпрайз это не отдельный мир, а мир стартапов -5-6 лет назад.
                                                                Они всегда начинают использовать те же технологии, что и лидеры, просто с лагом»
                                                                Вы очень ошибаетесь. Многие вещи, подходящие небольшим стартапам, вообще не подходят для финансового энтерпрайза и крупного энтерпрайза.

                                                                «Использовать те же технологии, что и лидер» — это фраза обманка. Новые технологии используют не стартапы-лидеры, а просто лидеры, которые могут быть как энтерпрайз, так и стартапы, так и просто обычные компании, если им это выгодно и удобно.
                                                                • –1
                                                                  «Использовать те же технологии, что и лидер» — это фраза обманка. Новые технологии используют не стартапы-лидеры, а просто лидеры, которые могут быть как энтерпрайз, так и стартапы, так и просто обычные компании, если им это выгодно и удобно.


                                                                  Стартапы-лидеры вырастают до энтерпрайза, перестают развиваться, а технологии 2-3летней давности у них остаются

                                                                  Многие вещи, подходящие небольшим стартапам, вообще не подходят для финансового энтерпрайза и крупного энтерпрайза.


                                                                  Поэтому и облака :) Приложения, написанные на них, очень scale. Их и придумали, что бы пережить проблемы роста.
                                                                  (на всякий случай напоминаю, что cloud это не только публичные облака, но и private cloud это тоже оно)
                                                        • –1
                                                          Все эти знакомые — продвинутые айтишники?


                                                          нет, что Вы! У меня главное хобби любительская астрономия, + просто есть подруги походить, пошопиться скажем.
                                                    • –1
                                                      Кстати что для вас чума?
                                                      10млн устройств это чума?
                                                      Или 18млн устройств?


                                                      Карта из Вашего PDF доставляет :) Вы сами-то открывали? Китай самый фиолетовый — так там Google Play нет. Индия тоже так себе, так там мобильный интернет тоже не фонтан, как и вообще развитие инфраструктуры.

                                                      Карта как раз подтверждает мои тезисы.

                                                      Россия чуть фиолетовее нормы имхо из-за того, что соотечественники любят пиратский, ломанный софт, тоже что-то ставя не из Google Play или тем более F-Droid, но это не важно имхо
                                                      • –1
                                                        Проведите кореляцию на количество зараженных от общего количества населения страны. Там не плотность, а количество.
                                                        • 0
                                                          А Вы сами проверяли? Таки китай и индия впереди США и на один разряд на душу населения у них больше инфицированных устройств (кстати, в Индии ещё больше, чем в Китае. Вероятно, наличие хорошего доступа к инету важнее доступности Google Play, наверное, китайские андроидовские репозитории )

                                                          Даже больше того, предлагаю Вам самостоятельно взять поправку на распространённость смартфонов в США, Китае, Индии, и посмотреть, как ещё больше скорректируются цифры пагубным образом для тех, у кого нет удобного и более безопасного способа распространения приложений
                                                          • 0
                                                            я не о той кореляции.

                                                            Страна | Население, млн | Заражений | Плотность | Google play 
                                                            ------------------------------------------------------------------
                                                            Китай  | 1371           | 1606384   | 853,5     | Нет 
                                                            Индия  | 1311           | 1352772   | 969,1     | Есть 
                                                            США    | 321,4          | 286800    | 1120,6    | Есть 
                                                            


                                                            Но кажется я перестал понимать что именно вы пытаетесь доказать :) прошу прощения
                                                            • 0
                                                              Я о том, что уровень проникновения смартфонов разный.

                                                              моя табличка, с поправкой на распространнённость смартфонов, сорри, что не так красиво отформатированная:

                                                              Страна  | распространённость инфицированных смартфонов
                                                              США     |  0.127%
                                                              Индия   | 0.446%
                                                              Китай   | 0.224%
                                                              
                                                              


                                                              Я довольна дискуссией, кажется, я получила из неё новую информацию — судя по всему, наличие централизованных репозиториев не самого идеального качества важнее качества интернета, и поэтому Китай впереди Индии по безопасности Android устройств.

                                                              Хотя, может, тут есть и другое объяснение — китай богаче, и китайцы чаще покупают новые телефоны (с новыми версиями, с меньшим числом уязвимостей).

                                                              Нужно делать подробное исследование, и смотреть срезы по ВВП на душу населения и по проникновению LTE
                                                              • 0
                                                                О, кстати, Вы смотрели количество абсолютных юзеров в smartphone penetration? Там множество развитых стран, которые в топ-20 инфицированных не попали (наличие России и Украины в топерах и там и там объяснимо высоким уровнем образования, не характерного для их GDP per capita, и сильной пиратской культурой)
                                              • 0
                                                «Все меняют за год-два, „
                                                Я не понимаю, почему вы личный опыт проецируете на весь мир.

                                                Я айтишник, доход выше медианы. Один телефон жил у меня 5 лет, другой 7, третий 8, сейчас вот второй или третий год — вообще не планирую его менять. Телефон на windows, ни вирусов, ни глюков — очень надежная машинка. Достаточно топовая даже по текущим меркам.

                                                По какой причине вы выкидываете “непродвинутых пользователей», непонятно. Именно они составляют большинство населения и соответственно потребителей, а не «айтишники».
                                                • 0
                                                  Я айтишник, доход выше медианы. Один телефон жил у меня 5 лет, другой 7, третий 8, сейчас вот второй или третий год — вообще не планирую его менять. Телефон на windows, ни вирусов, ни глюков — очень надежная машинка. Достаточно топовая даже по текущим меркам.


                                                  Я не одобряю то, что в мире андроид индустрия форсит менять телефон каждые пару лет.
                                                  К слову, у меня всегда были телефоны с кастомной прошивкой на базе Cyanogenmod'а, по тому, что раньше в Android не было возможности снимать права с уже установленных приложений, а в Cyanogenmod это можно было делать всегда. Так же права с приложений можно снимать с помощью Xposed, но оно работает неудобно — часто после обновления Xposed не может понять, что это тоже самое приложение и применить старые политики.
                                                  Поэтому я тоже могла не обновлять телефоны из-за того, что они сняты с поддержки производителем. Но речь не обо мне, айтишники слишком специальный случай, поэтому раньше про это не писала.

                                                  Но речь не об этом. Речь о том, что в развитых странах — а Россия, и, увы, Украина таковыми не являются — нормально менять телефоны достаточно часто(впрочем и в России даже после краха рубля почти все мои знакомые так же меняют телефоны раз в пару лет, просто перешли на китайские бренды)

                                                  И вектор атаки не направлен на средний класс, и богатых людей. В принципе и на бедных не направлен, т.к. с них взять нечего. Напомню, что в случае с Windows, как и со средневековыми эпидемиями, вектор атаки направлен на всех(как минимум всех непродвинутых юзеров независимо от их социального статуса).
                                                  При стандартных сценариях использования, которые удобны (т.е. поставить приложение из Гугл плея, а не apk — обычный юзер такого не умеет), Android достаточно безопасная ОС, в отличие от Win NT, для которой стандартный сценарий гуглинг приложений, а потом часто и вообще кряков к ним.
                                                  То, что установка не-приложений в Windows отдана на аутсорс, одна из тех самых ошибок в ДНК, о которых эта ветка комментариев.

                                                  Посмотрите мои цифры внизу, у нас был спор с таблицей и выкладкой цифр. В Индии с плохим интернетом апдейты приложений (гугл например часто просто удаляет вирусы с телефонов пользователей, когда их находит в Гугл плее) ожидаемо уровень инфицированности оказался выше.
                                                  А некоторые развитые страны, которые в топерах по абсолютному числу пользователей Android, вообще не попали в топ20 инфицированных Android устройств.

                                                  Ну и аргумент про то, что якобы Win NT атакуют по тому, что он популярнее Linux, а Linux не атакуют по тому, что он якобы не популярный (хотя я уже писала, что абсолютное число Linux юзеров уже давно больше абсолютного числа Windows машин на момент начала массовых эпидемий на Windows...) полностью разбивается тем, что новый телефон с Android, и хорошим мобильным инетом, с подключением к Google Play, и стандартными сценариями использования достаточно (в среднем!) безопасное устройство. Таких массовых эпидемий нет. А ведь с корпоративных и домашних юзеров смартфонов запросто тоже можно было бы вымогать деньги.
                                                  • 0
                                                    То, что установка не-приложений в Windows отдана на аутсорс, одна из тех самых ошибок в ДНК, о которых эта ветка комментариев.


                                                    Опечатка, не-метро приложений
                                                  • 0
                                                    «При стандартных сценариях использования, которые удобны (т.е. поставить приложение из Гугл плея, а не apk — обычный юзер такого не умеет), Android достаточно безопасная ОС, в отличие от Win NT, для которой стандартный „

                                                    Простите, но вы совсем запутались. Стандартный сценарий для WinPhone — ставить приложения из Windows Store. Я, продвинутый айтишник, и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.
                                                    Это совершенно безопасный сценарий.
                                                    И опять таки, использовать фразу Windows NT не есть корректно. С Windows NT началась линейка современной винды, но само название относится все-таки к конкретной версии, время которой было в середине — конце девяностых. Современная система, особенно если мы говорим про телефоны — windows 8 и windows 10. Отличий более чем.
                                                    • 0
                                                      Простите, но вы совсем запутались. Стандартный сценарий для WinPhone — ставить приложения из Windows Store. Я, продвинутый айтишник, и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.


                                                      Про WinPhone в этой ветке писали только и исключительно Вы. Я только про Win NT

                                                      и даже не интересовался возможностями поставить на свою Windows 8.1, а затем и Windows 10 на телефоне что-то не из store.


                                                      Вы читали мою дискуссию? Просто Вы сейчас подтверждаете мои же аргументы.

                                                      И опять таки, использовать фразу Windows NT не есть корректно.


                                                      Нет, вполне корректно, гуглите. Почему я про Вашу предпочитаемую платформу знаю факты, которые не знаете Вы? Гуглите «Windows NT 10.0», к слову это настоящее название операционной системы

                                                      с трейд марками (спрятаны под спойлером)
                                                      Содержимое спойлераWindows 10 Home
                                                      Windows 10 Pro
                                                      Windows 10 Pro Education
                                                      Windows 10 Enterprise
                                                      Windows 10 Enterprise LTSB
                                                      Windows 10 Education
                                                      Windows 10 Mobile
                                                      Windows 10 Mobile Enterprise
                                                      Windows 10 IoT Core
                                                      Windows 10 IoT Enterprise
                                                      Windows 10 IoT Mobile Enterprise

                                                      Windows Server 2016 Essentials
                                                      Windows Server 2016 Standard
                                                      Windows Server 2016 Datacenter


                                                      Это всё одно и то же, с одним ядром, просто разными коомбинациями утилит в юзер-моде. А NT 5.2, например, была только Windows Server 2003, пользовательской версии NT 5.2 не было, хотя интерфейс и был похож на NT 5.1(торговое название Windows XP)

                                                      Забавно, что Вы берётесь поучать, не разобравшись в вопросе. А ещё ставите минусы моим постам, и, наверное, в карме. Кстати, один из немногочисленных плюсов в Вашей карме это мой плюс. Я его не буду убирать не смотря ни на что, так как в большинстве случаев мне нравится, что Вы пишите.

                                                      У меня устойчивое впечатление, что Вы читали только небольшую часть ветки, так как Ваш последний пост выглядит написанным очень не в попад
                                                      • 0
                                                        Вы сильно путаете то, как выпускают Линукс — отдельно ядро, отдельно дистрибутив, и поэтому указание внутренней версии ядра имеет большое значение.
                                                        И внутреннее «рабочее» название версии и название конечного продукта. Не нужно называть версию виндовс через NT чего-то там, это не Линукс.
                                                        Весь продукт пишет одна компания, нет «разных» дистрибутивов, с разными условиями распространения от разных брендов.

                                                        Очень интересно, что вы интересуетесь минусами, но на самом деле я не могу ставить минуса, карма не та, так что снова промах.
                                                        • 0
                                                          И внутреннее «рабочее» название версии и название конечного продукта. Не нужно называть версию виндовс через NT чего-то там, это не Линукс.


                                                          А я именно о внутренних, рабочих версиях. Торговое название не имеет значения :)

                                                          В общем, это всем понятно, что имеется ввиду под NT, кроме почему-то Вас. Тут куча людей в комментариях использует схожую терминологию, например, Win 9x вместо маркетинговых названий «Win 95, Win98, WinMe», итд

                                                          Очень интересно, что вы интересуетесь минусами, но на самом деле я не могу ставить минуса, карма не та, так что снова промах.


                                                          ОК, я не буду её портить. Я думаю, тут ещё многие участники дискуссии пользовались клонами — с R&C холиварили, а с реального аккаунта минусовали.

                                                          И да, я же не скажу для Вас откровение, что так называемый Win server несложным тюнингом превращается в игровую машину?
                                                          Там-то всех значимых отличий это несколько графических панелек для установки нужных ролей, их бэкэнды и чуть другие сетевые настройки и лимиты (которые в Win XP как минимум тоже можно хакнуть, думаю, что в Win7 и Win10 тоже)
                                          • 0
                                            А как же тихая установка вирусов полученных через mms на Андроиде? Только в 5 версии поправили.
                              • 0
                                А доля Windows 89%, вот и подумайте где охват будет больше, и зачем тратить время на 2% если за это же время можно охватить 89% рынка. И смотреть надо не в абсолютных числах, а именно в долях рынка
                                • 0
                                  Ну вот в долях рынка, шифровальщики, майнеры, DDoS'ры тоже конкурируют с друг другом — часто удаляют конкурирующее вредоносное ПО после повторого заражения.
                                  У многих 0.01% или меньше. Им было бы выгодно заразить другую платформу, где нет конкурентов, ан нет.

                                  Дело именно в ДНК. Помните как в DOS, каждая программа сама выводила видео и звук, а ОС это не умела?
                                  Вот так и Windows, вроде и есть чоко инсталл(в десятке), и MSI, уже кучу лет, а никто это не использует, и каждая программа сама себя ставит (как правило криво)
                                  В случае Metro приложений изначально есть репозиторий, как в линуксе, андроиде, iOS, итд
                                  • 0
                                    Ну конкуренция между вирусами явно не главная проблема для вирусо-писателей, и надо понимать, что найти жертву среди 89% рынка среди которых много неопытных пользователей гораздо проще даже не смотря на конкуренцию. Плюс не забывайте, что 2% суммарно у всех сборок, а у каждой отдельной сборки этот показатель еще ниже. А вирус написанный под убунту не факт, что заработает на Сусе
                                    • 0
                                      Ну конкуренция между вирусами явно не главная проблема для вирусо-писателей,


                                      Тогда почему они борятся с друг другом(удаляют итд) и даже публикуют ключи для дешифровки того, что натворил конкурент?

                                      А вирус написанный под убунту не факт, что заработает на Сусе


                                      Именно :)

                                      Как и уязвимость в роли Ansible только сработает в с одной жертвой…
                                      • 0
                                        Не главная — не значит, что ее нет. Но те вирусы, которые начинают войну друг с другом уже имеют зараженный парк больше, чем если бы они каким-то чудом захватили ВСЕ машины на линукс.
                                        • 0
                                          А вирус написанный под убунту не факт, что заработает на Сусе

                                          Ну вот смотрите, этот тезис как раз и работает на то, что экосистема у Linux и технический дизайн менее подверженен чумкам, чем экосистема Windows. О чём мы спорим, если Вы начинаете подтверждать мои тезисы?

                                          Мой тезис, что Win10/Metro тоже безопасная платформа(удобные сценарии использования безопасны), как и Linux, iOS, итд, но не Win32/NT — на практике она не лучше Win32/Win9x.
                                          Но Metro никому не нужно…
                                          • 0
                                            Я ваших тезисов не подтверждал, разнообразный зоопарк сборок линукс — это не плюс платформы а лишняя головная боль для администратора и пользователя и уж тем более разработчика. Не знаю на сколько вин10 безопасная платформа, но данным вирусом она тоже шифровалась на ура.
                                            • 0
                                              Я ваших тезисов не подтверждал,


                                              Подтвердили — зоопарк это свойство экосистемы? Да. Оно усложняет жизнь вирусописателям, как и централизованная установка подписываемых пакетов, как и не сидячка под рутом? Да!

                                              а лишняя головная боль для администратора и пользователя и уж тем более разработчика.


                                              Вообще-то это головная боль мантайнера. А админы кстати не нужны, их сейчас массово заменяют на DevOps. А в Ansible/Puppet различия между дистрибутивами это просто языковые конструкции, хорошо документированные.

                                              Не знаю на сколько вин10 безопасная платформа, но данным вирусом она тоже шифровалась на ура.


                                              Там же не было только «плиточных» приложений. До тех пор, пока не исчезнут старые приложения, всё это будет продолжаться
                                              • 0
                                                Так, я кажется понял… Вы видимо из тех специалистов ИТ, которые пользователей видиели только в зоопарке за стеклом. Есть такая профдеформация у людей, которые не работают на производствах, а только в ИТ компаниях и модных стартапах. Зоопарк — это негативное свойство экосистемы и отсутствие стандартизации в плюс ну никак нельзя записывать. И у вас все рассуждения строятя вокруг сферического коня в вакуме, а работать приходится в реальных полевых условиях.
                                                • –1
                                                  Зоопарк — это негативное свойство экосистемы и отсутствие стандартизации в плюс ну никак нельзя записывать


                                                  Это почему ещё? А внутренняя конкуренция? А большая безопасность? Причём не важно плюс это или минус, важно, что это свойство (эко)системы, которое Вы сами подтвердили, что мешает вирусописателям, т.е. стали работать на мои аргументы.

                                                  Вы видимо из тех специалистов ИТ, которые пользователей видиели только в зоопарке за стеклом.


                                                  В начале карьеры (сейчас я cloud devops) работала в техподдержке крупного хостера, и общалась с тысячами пользователей (не с десятками тысяч, как в коллцентре, но зато вдумчиво закрывала по 50 переписок в день, потом в end-line support по 5-10 сложных проблем в день)
                                                  • 0
                                                    Это почему ещё? А внутренняя конкуренция? А большая безопасность? Причём не важно плюс это или минус, важно, что это свойство (эко)системы, которое Вы сами подтвердили, что мешает вирусописателям, т.е. стали работать на мои аргументы.

                                                    Потому что это мешает не только вирусописателям, но вообще всем. От пользователей до разработчиков.

                                                    В начале карьеры (сейчас я cloud devops) работала в техподдержке крупного хостера, и общалась с тысячами пользователей (не с десятками тысяч, как в коллцентре, но зато вдумчиво закрывала по 50 переписок в день, потом в end-line support по 5-10 сложных проблем в день)


                                                    Ну то есть я угадал, на производстве вы никогда не админили и ситуацию там в глаза не видели. Тогда все понятно. )
                                                    • –1
                                                      Потому что это мешает не только вирусописателям, но вообще всем. От пользователей до разработчиков.


                                                      За это отвечают специальные люди — мантайнеры. Они помогают разработчикам и пользователям, а вирусописателям нет. Давайте судить по результату :)?
                                                      Судя по нему, всё замечательно.

                                                      Ну то есть я угадал, на производстве вы никогда не админили и ситуацию там в глаза не видели. Тогда все понятно. )


                                                      Работала operation админом в том же хостере(сотни серверов, постоянно что-то красное в мониторинге и всё такое). В современном мире почти всё, что делает оперейшен администратор можно автоматизировать.

                                                      Сейчас есть целые команды, где есть только SRE/DevOps, как подразновидность разработчиков, но нет админов. Если что-то упало из-за софтовых ошибок, то можно откатится на прошлый спринт. Если нагрузка, то все приложения сейчас пишут так, что бы они горизонтально масштабировались в облаке.
                                                      • 0
                                                        За это отвечают специальные люди — мантайнеры. Они помогают разработчикам и пользователям, а вирусописателям нет.


                                                        Даешь каждому домашнему пользователю личного мантайнера (простите за выражение). Ну ерунду же пишете. В том и прелесть Виндоус систем, что они не требуют лишних сущностей в виде каких-то там мантайнеров(что вообще это значит?)

                                                        Работала operation админом в том же хостере(сотни серверов, постоянно что-то красное в мониторинге и всё такое). В современном мире почти всё, что делает оперейшен администратор можно автоматизировать.

                                                        Сейчас есть целые команды, где есть только SRE/DevOps, как подразновидность разработчиков, но нет админов. Если что-то упало из-за софтовых ошибок, то можно откатится на прошлый спринт. Если нагрузка, то все приложения сейчас пишут так, что бы они горизонтально масштабировались в облаке.


                                                        Простите, но тут у меня уже передозировка вашей терминологии и жаргонизма. Все эти умные иностранные слова отлично, наверно, работают в иностранной компании специализирующейся на ИТ, и абсолютно не работают в суровых российских реалиях, где на завод тысячник есть только 10 админов, 8 из которых эникейщики, а остальные двое что-то умеют, и основной контингент пользователей — это бабушки бухгалтера, которым воообще налпевать на ваши проблемы, а за слово мантайнер они своим гроссбухом тебя еще и по голове огреют, ибо не гоже при старших выражаться. При этом на серверах половина прикладного ПО — это наследие ранних 90, когда на заводе только начинали ставить компьютеры и с тех пор их никто не трогал, а на новое оборудование, а тем более новый заказной софт у завода денег нет, да и зачем, «работает же». И такого производства подавляющее большинство, в этом и приходится жить.
                                                        • 0
                                                          Даешь каждому домашнему пользователю личного мантайнера (простите за выражение). Ну ерунду же пишете. В том и прелесть Виндоус систем, что они не требуют лишних сущностей в виде каких-то там мантайнеров(что вообще это значит?)


                                                          Ну да, и в DOS тоже не было лишних сучностей — зачем ОС должна отвечать за вывод графики и звука, если это может делать каждая программа отдельно?

                                                          В Windows тоже есть профессия мантайнера и даже DevOps, т.к. обратная совместимость между версиями хромает, просто распространена не так сильно.

                                                          Собственно, по мере распространения Metro приложений, экосистема Windows всё больше будет похожа на экосистему Linux — всё тот же Cloud Computing, всё та же замена админов (заметьте, я не пишу тут про эникейщиков) на SaaS приложения в не-ИТ компаниях, и на DevOps/SRE в IT

                                                          Вангую, что скоро MS выкатит язык программирования для деплоя облачных окружений, т.к. powershell слишком низкоуровневый (нечто вроде Puppet/Ansible)

                                                          и абсолютно не работают в суровых российских реалиях,


                                                          у вас всё тоже самое будет, с отставанием на несколько лет, и более неудобно. Просто завод разместит свою серверную инфраструктуру в каком-нибудь облаке Ростелекома, админов уволят, альтернативы как на западе (где можно выбрать между DO, AWS, rackspace, итд) не будет, но всё равно всё станет работать лучше.
                                                          И Metro приложения тоже будут юзаться, где с Windows не уйдут.
                                                          • 0
                                                            у вас всё тоже самое будет, с отставанием на несколько лет, и более неудобно. Просто завод разместит свою серверную инфраструктуру в каком-нибудь облаке Ростелекома, админов уволят, альтернативы как на западе (где можно выбрать между DO, AWS, rackspace, итд) не будет, но всё равно всё станет работать лучше.


                                                            И снова вы не понимаете реалий российских заводов. Никто никогда не разместит там инфраструктуру в облаках, потому что облако неподконтрольно службе безопаснсоти завода. Наши СБ хотят иметь физический доступ к своим серверам и при этом, что бы этого доступа не было ни у кого другого. Админы и СБ работающие сейчас в Роснефти например ще помнят времена, когда они работали в Юкосе, и помнят те маски-шоу с выносом серверов через стену, и никогда они не отдадут свои данные в облака третьих компаний.
                                                            • 0
                                                              И снова вы не понимаете реалий российских заводов. Никто никогда не разместит там инфраструктуру в облаках, потому что облако неподконтрольно службе безопаснсоти завода.


                                                              Зато облако Ростелекома подконтрольно гэбне. Гэбня федеральная сильнее гэбни на местах.
                                                              Если же компания крупная, и локальная гэбня у неё сильная, то опять же будет облако, но на весь холдинг. Какая-нибудь Роснефть сделает сервисное подразделение, которое будет обслуживать её, Роснефти, исталяцию OpenStack/Kubernetes/Azure/etc, и пустит админов точно так же под нож.
                                                              Нефть дешевеет, нужно снижать издержки…
                                                              • 0
                                                                Роснефть -это не единая компания, это группа компаний объединенных одной головой. Каждый НПЗ — это отдельное АО, каждое сервисное подразделение в каждом регионе — это отдельное АО или ООО, и у каждого из них возможности, в том числе финансовые, очень разные, и не все из них готовы делиться информацией с соседом. По этому централизованное облако там крайне маловероятно.
                                                                • 0
                                                                  . По этому централизованное облако там крайне маловероятно.


                                                                  Договорятся. В крайнем случае, будут шифровать инстансы или bucket'ы. По-одиночке их федеральная гэбня заломает, а вместе они справятся :)
                                                                  • +1
                                                                    У вас уже какие-то буйные антиутопичные фантазии пошли о «гэбне» которая кого-то там заламывать собралась. Думаю продуктивная часть дискусии уже закончилась.
                                                                    • 0
                                                                      Посмотрим. Я не очень верю в либеральную революцию, но, может, я и не права, и тот сценарий, на который намекаю, к счастью не случится.
                                                          • 0
                                                            > В Windows тоже есть профессия мантайнера и даже DevOps,

                                                            Всегда считал, что DevOps это OS-независимая профессия. И наоборот DevOps больше линуксоид, ибо всякие докеры и сервисы чаще работают под *nix или просто кроссплатформенно — есть кроссплатформенные компиляторы, позволяющие под юниксом собирать бинарники для юникса, линукса и windows, чтобы не делать зоопарк из jenkins-нод.

                                                            Могу даже предположить, что тот же bash я знаю лучше вас.
                                                            • 0
                                                              Всегда считал, что DevOps это OS-независимая профессия.


                                                              Ну Вы же знаете, что DevOps на всяких indeed и линкедин это по-умолчанию чувак, пишущий на Ansible и питон инфраструктуру под AWS и докеры :)?
                                                              И да, без Windows

                                                              И наоборот DevOps больше линуксоид,


                                                              Да

                                                              ибо всякие докеры и сервисы чаще работают под *nix или просто кроссплатформенно


                                                              Не распарсила предложение — первая часть противоречит второй. Как ни странно, все нужные технологии в Windows есть. Есть даже контейнеры, есть свой MAC(хотя про него мало кто знает — я сама год назад не знала, а многие отключают даже UAC), есть Linux подсистема, есть powershell…
                                                              Но всё какое-то тухлое, скучное, неудобное :( В итоге это никто так и не юзает, как и божественный MSI придуманный очень давно.

                                                              Вся экосистема Win NT устроена таким образом, что безопасные и технологичные подходы неудобны. В отличие от Linux.

                                                              — есть кроссплатформенные компиляторы, позволяющие под юниксом собирать бинарники для юникса, линукса и windows, чтобы не делать зоопарк из jenkins-нод.


                                                              Напоминает удаление гланд через пупок, и Вы это знаете
                              • 0
                                Вы готовы бросить свою текущую работу, и начать разрабатывать проект, мировая целевая аудитория которого — 2%?
                                Или лучше все же под 98%, и неважно сколько фактически цифр.

                                Например, первый вирусный червь был под *nix, просто потому, что на тот момент именно он был самый популярный. Нашли уязвимость, заразили.

                                Например, можно было бы разрабатывать проект для мировой 2% аудитории, но с условием, что в моем городе, где я смогу продать продукт, эта аудитория будет составлять 50-70%.

                                Но нет таких мест, где Линукс настолько преобладает в пользовательской среде, или точнее в потребительской среде в виде клиента — огромное количество опенсорса усложняет создание мелких продуктов за деньги.

                                Если же взять серверную инфраструктуру, то это редко бывает атака неспосредственно на *nix, как на ОС — в основном это атака против конкретной компании, а в этом случае социальная инженерия делает гораздо больше вещей, чем технологии.

                                Это не отговорки, это банально трезвый взгляд на вещи.
                                • 0
                                  Вы готовы бросить свою текущую работу, и начать разрабатывать проект, мировая целевая аудитория которого — 2%?


                                  Конечно, это огромный рынок же!
                                  Посмотрите на Элона Маска — его аудитория ещё меньше :)

                                  Но нет таких мест, где Линукс настолько преобладает в пользовательской среде, или точнее в потребительской среде в виде клиента — огромное количество опенсорса усложняет создание мелких продуктов за деньги.


                                  Android/Linux популярнее не только GNU/Linux, который я выше имела всегда ввиду под словом Linux (но не имела ввиду Busybox/Linux в роутерах, о котором тоже кто-то писал), но и Windows, и он не страдает от массовых чумок. Это клиентское устройство, так что популярность тут ни при чём :(

                                  Вы невнимательны, этот аргумент звучал несколько раз
                • +2
                  P.S.S. Кще забыл добавить что ни в одной половозрелой компании никто ничего не хранит на локальной машине, кроме хоум-котиков


                  При чём тут это кстати? Шифровальщикам ни перемещаемые профили, ни VDI никак не помешают. Помешают только бэкапы :(
                  • 0

                    Тут я имел ввиду, что даже безовсяких групповых политиках и админских правах на клиентских тачках, при хранении важных документов где-то на специальном сервера, за которым следят квадифицированные админы. Шанс потерять эти документы немного ниже, т.к. велика вероятность, что админы то на сервере права поурезают, заплатки вовремя поставят и вообще да — бэкапы настроят :)

                    • 0
                      С большой долей вероятности, серверные шары подключены как диски на пользовательских компах. Сколько я слышал про шифровальщиков, им всем было до лампочки что шифровать — есть диск? писать можем? — шифруем!
                      Так что да, только бэкапы.
                      • 0

                        Вы поймите, я не беру в расчет тех, у кого сетевые ресурсы подкючены как гары. У таких и uac отключен и прочее. Это все плохие присеры, т.к. если так делать — это не значит что виндовс плохая (а с этого и начался этот бубнеж про технологический дизайн). Что мешает смонтировать такую шару на убунте? Ничего. Вы зацепились за этот один пункт, но сообщение то не об этом. Соотбщение о том, что не важно чей вы фанат — майкрософт или линукс, в энтерпрайзе надо серьезно подходить к ИБ и заниматься этим должны квалифицированные люди. А не ье кто "отключили обновления, потому что перезагрузку требуют". Про бэкапы могу в свою очередь сказать то же самое — это точно такие же файлы, ничем не отличающиеся от фоток. Они так же монут быть зашифрованы.

                        • –1
                          Вы поймите, я не беру в расчет тех, у кого сетевые ресурсы подкючены как гары. У таких и uac отключен и прочее. Это все плохие присеры,


                          Это реальные примеры. А Вы о каких-то сферических компаниях в вакууме. Windows удобно использовать небезопасно, а Linux удобно использовать безопасно. Об этом и тред, поэтому я и пишу об ошибке в ДНК, и о просчётах системных архитекторов в команде разработки NT ветки
                          • 0
                            они не сферические. ну что вам названия называть? или вы из тех кто уперся и «вывсеврети»? я конретно проработал в такой «сферической» компании 7 лет. Все на стеке майкрософт, абсолютно все. Компания крупная, международная с кучей офисов и филиалов. И за все 7 лет ни одного подобного случая. Догадываетесь почему? Потому что администрировали не дельфины. Сейчас работаю в другой компании, не менее крупной — ситуация 1 в 1. Нет, в компаниях отвественно подходящих к ИБ такое невозможно (я имею ввиду массовое заражение, а не целенаправленную атаку).
                            В первой компании (она занимается ИТ аутсорсом) админские права были у всех пользователей (у всех!), но при этом что-то ваши шифровальщики не пролезли. Не было ни 1 часа простоя за всю историю. Ни у одного пользователя не было никаких неудобств абсолютно. Т.е. совсем никаких, они пользовались рабочими компами точно так же как дома. А вы мне тут рассказываете про то что там неудобно пользоваться. Линуксом то впринципе неудобно пользоваться ну и что теперь? Как говориться — если вы не любите кошек — вы просто не умеете их готовить.
                            • –1
                              дминские права были у всех пользователей (у всех!), но при этом что-то ваши шифровальщики не пролезли. Не было ни 1 часа простоя за всю историю.


                              Ошибка выжившего же. Так же напомню, что шифровальщики лишь один подкласс заразы. Запросто такое может быть, что комп юзера, скажем, майнит криптовалюту, когда комп простаивает, или DDoS'ит кого-то, а юзер об этом и не знает, или ему пофиг (такое тоже часто встречается, увы...)
                  • –1
                    > При чём тут это кстати? Шифровальщикам ни перемещаемые профили, ни VDI никак не помешают. Помешают только бэкапы :(

                    Вот тут вы немного ошибаетесь. Перемещаемые профили и сетевые диски мешают — шифровальщики их не шифруют. И для этого есть вполне объективные причины.
                    Совершенно нет смысла шифровать файлы, доступные по сети, поскольку тогда будет непонятно какая из зараженных машин их зашифровала, и с каким публичным ключом писать шифровальщику, чтобы расшифровать конкретный файл. Поэтому шифровать сетевые файлы с целью наживы не будет никто.
                    • +1
                      Но тем не менее шифруют, поверьте горькому опыту. ((
              • 0
                Мне кажется, Вы не правы. Апдейтиться и пользоваться — можно, по моему опыту. И потом, есть такое понятие, как неэксклюзивная блокировка. Если вы пишете каким-то софтом WAV или AVI файл, вы в любой момент можете открыть его плеером, и он воспроизведётся (до того места, до которого записан на момент открытия).
                • 0

                  Смысл в том, что любой запущенный исполнимый файл на винде заблокирован от записи. Это — поведение загрузчика исполнимых файлов, системного компонента. Его нельзя так просто изменить.

              • 0
                практика что-то хранить в %APPDATA% встречается редко.

                Возможно потому, что %APPDATA% лежит на диске C, а он у многих пользователей весьма невелик? К тому же, перенести эту несчастную папку на другой диск — весьма нетривиальная задача.
        • 0
          В отдельных районах — вполне возможно. Если в райуправление соцзащиты пришел Петя, то выплаты вообще всех пособий успешно остановлены :)
  • 0
    Жду аналогичных фейлов от одной не без известной желто-красной конторы.
    • +1
      Почему? Чтобы и у соседа корова сдохла?
      • 0
        Чтобы быть готовым, в случае чего.
      • +5

        Потому что новый вектор задан. Механизм доказал свою эффективность. И глупо думать что им не захотят воспользоваться.

    • 0
      Очень надеюсь, что в жёлто-красной и других конторах, выпускающих распространённое и часто обновляющееся ПО, уже услышали звоночек и лишний раз проверяют существующую систему безопасности, защищенность своих серверов и т.д. Хорошо, что такой инцидент произошел всего-то в рамках одной страны, а не в куда больших масштабах…
    • 0
      С версии 8.0 она просто желтая. Но мем «читайте ЖКК» остался.
    • +1
      Кажется, летом 2016 года небольшой «ой» у желто-красной случился — была написана обработка, что-то типа «обновление справочника банков» с шифровальщиком внутри. Вывод был сделан — в новых версиях платформы добавилась роль, по умолчанию отключенная, разрешающая пользователю выполнять внешние обработки — теперь их могут выполнять только те, кому можно, а не всех бухи подряд.
      И в этом году был «ой» — не шифровальщик, а вор — отслеживает появление файла обмена между банком и 1С, парсит его и меняет реквизиты платежа так, чтобы деньги ушли не куда хочет фирма, а куда хочет вирус. И тоже желтые подсуетились — сейчас этот файл обмена после создания сразу блокируется — его нужно сразу загрузить в банк, иначе 1С его удалит.
      Так что все в порядке у желтых и с проблемами и с их решениями.
  • +8
    Не люблю конспирологию, но недавнее исследование о том, что крупные заговоры быстрее раскрываются, имеет обратную сторону — заговоры с меньшим количеством участвующих, раскрываются медленнее. Я это к дате, промелькнувшей в этом посте — 15 мая. Напомню, что 12 мая бушевал WannaCry.

    Хотелось бы рассказать про свой случай. Пронаблюдать в тот день случай заражения компьютера вирусом WannaCry мне не довелось, поскольку на подконтрольном мне парке компьютеров всегда были включены все обновления, и уязвимости в ПО на от момент у нас не было. Зато она была в другом месте. Именно 12 мая, на мыло организации, где я работаю, пришло письмо от соседней организации, с волшебными словами СРОЧНО и НДФЛ в заголовке. Эти слова напрочь парализовали волю пары наших сотрудников. Письмо вместо документа ворд, содержало скрипт, который скачивал вирус SPORA, который, в свою очередь зашифровал всю очень важную информацию на паре компьютеров.

    Я бы может не обратил внимания на это совпадение по времени, шифровальщики в письмах к нам приходят регулярно. Но эта модификация вируса SPORA, на мой взгляд, был спроектирована грамотнее, чем большинство подобных вредоносов. Злее, что-ли. В отличии от большинства шифровальщиков — которые я до этого видел — этот вирус зачищал каталог с теневыми копиями, и не менял имя зашифрованного файла, что делало невозможным спасение файлов при помощи программ восстановления, типа R-Studio.
    Если раньше в подобных случаях я просто доставал удалённые файлы из теневой копии, то на этот раз пришлось восстанавливать из довольно несвежего бекапа.

    Вирус оставлял ярлык на сайт, где предлагались услуги расшифровки данных, стоимостью от 40, до 150 $ в зависимости от того, сколько нужно было восстановить, один файл или все. На сайте был даже функционирующий чат техподдержки.

    На одном компьютере был установлен касперский, на другом — dr.web. Касперский оказался неэффективен полностью. (разумеется, ведь в базах эта модификация отсутствовала на тот момент, 0 срабатываний на virustotal) Dr.web же не дал процессу, запущенному неподписанным приложением и загруженным с сети; зашифровать тысячи файлов и удалить оригиналы. Т.е сработала базовая эвристика антивируса. (Что не помешало сотруднику скопировать «неоткрывающееся» письмо на другой комп — тоже с каспером — и зашифровать там всё)

    Так вот, я заимел личную теорию заговора, согласно которой некой небольшой группой лиц, с недавних пор осуществляются попытки скоординированных атак на мир. Вирусы не просто распространяются эпидемиями, они запускаются разными, на первый взгляд, создателями в одно и то же время, либо в приблизительно одни и те же дни.

    Отдельным пнём стоит неспособность продукта отечественной компании распознать элементарные признаки вредоносной деятельности, несмотря на громкие слова об «эвристической» защите. Уж не знаю, применить ли тут бритву Хэнлона, и считать это обычным головотяпством, либо тут что-то другое.

    Скорее, конечно, первое, поскольку этот антивирус и до этого не раз позволял шифровальщикам из писем заражать компьютеры. Я всё сваливал на то, что антивирус не может отличить деятельность шифровальщика, запущенного пользователем, от деятельности обычной пользовательской программы. Непонятно только, почему они используют термин «эвристика» в своём простом как пробка сканере файлов на соответствие с записями в вирусной базе.
    • 0
      Эвристика разная бывает. И настройки разные. И результат тоже. Тут пррблема не в том, что один из крупнейших антивирусов не имеет эвристрики, а в том, как он настроен, мне думается.
      • +3
        Эвристика разная бывает.

        Конечному пользователю, извините, плевать на то, какая бывает эвристика, если настроенный по умолчанию антивирус не может отличить пользовательскую программу от вредоноса из e-mail.
        • +1
          Я видел множество ситуаций, когда из-за того, что компы в организации слабые, и пользователи жалуются на тормоза, админ сам отключает эвристику, оставляя антивирус включенным с минимальным количеством модулей.
          • 0
            По мягким местам нужно бить таким админам.
            • +6

              Просто вы не так хорошо себе представляете насколько все бывает плохо с железом.
              Т.е. случается что выбор такой — либо рабочая машина без антивируса, либо с защитой, но работать невозможно от слова совсем.

              • 0
                Насколько плохо может быть с железом я себе отлично представляю. Первым моим компьютером был БК-0010, еще с "пленочной" клавиатурой в 1993 году, а первым PC был Cyrix 6x86 200 MX с 32 МБ памяти в 2001 году. Однако всегда можно найти выход, где-то помогает добавить память, а где то в биосе настройки подкрутить. Да, с установкой антивируса производительность резко проседает, но админ не должен быть хотя бы ССЗБ — ему же потом с заражением разбираться.
                • 0
                  Насколько плохо может быть с железом я себе отлично представляю. Первым моим компьютером был БК-0010, еще с "пленочной" клавиатурой в 1993 году, а первым PC был Cyrix 6x86 200 MX с 32 МБ памяти в 2001 году.

                  Замечательно. Но давайте согласимся, в те времена ситуация была другой. А мы говорим про сейчас. Ведь 2001 году вам не требовалось поставить минимум winXP (а желательно win7) на дохлое железо, а сверху антивирь, который в запросто съедает 70% всей доступной ОЗУ. С ужасом ожидаем звершение поддержки winXP со стороны антивирусных компаний. win7 в минималках здорово поднимет требования железу.
                  Может предложите защититься от вирусов из "2001" устаревшими, но нетребовательными антивирами? У непрожорливых антивирусов базы давно протухли, и они остались в только в мечтах о прошлом.

                  • 0
                    А разве это норма, когда на борца-тяжеловеса пытаются впихнуть в пачку балерины? У любого железа есть физический срок службы, не считая пресловутого морального устаревания. Если руководство предприятия не выделяет совсем денег на обновление железа, то может не стоит работать на такого работодателя? Как вариант решения проблемы. Ведь для личных нужд люди находят минимальное количество денег, чтобы совсем не сесть в лужу.

                    Я сам сторонник даунгрейда в отношении ПО, но должен же быть разумный рационализм! На крайний случай есть же куча дистрибутивов Linux, с гораздо меньшим потреблением ресурсов. Не обязательно переводить все компьютеры. Подавляющее большинство парка ПК который вы упоминаете используется для работы с текстовыми файлами и таблицами.
                    • +1

                      Вы говорите образами и теоретически о ситации которую не можете представить. Я же пытаюсь донести что нередко случается реальная задача натянуть сову на глобус (пачка на тяжеловесе, если хотите) и антивирус использовать ну никак не получится.


                      И видите ли сушествует более чем много организаций в которых по сути рабочего процеса IT на последних ролях и даже, вообразите, нет такого подразделения как такого. Потолок задач почитать ворд, проверить почту и залезть по работе в инет. А компьютер, который справлялся с этим 10 лет, вдруг превратился в тыку как раз из-за антивируса и браузеров. Хотя ничего более не менялось все эти 10 лет, ни система ни окружение.


                      А Вы, вероятно, судите с позиции работника из IT сектора, где плохое оборудование это сапожник без сапог и часто встречается проф. деформация на этот счет. Тут компьютер это основной, едвали не единственный рабочий инструмент и поэтому так трудно вообразить как кто-то вообще может выделять недостаточно ресурсов на комп. оборудование. Даже в неIT организациях.

                      • 0
                        Вообще то я работаю сисадмином в мелком провайдере, по совместительству еще и эникейщик (за спасибо разумеется). Повидал я кучу разных компов. Кому мог помочь настройкой — помогал, кому мог помочь рекомендацией — помогал. Соглашусь, что ситуации бывают разные, но выход нужно искать всегда.Это же не покупка какой нибудь циски. Если начальство настолько тупое, что не может оценить критическое снижение оперативности работы от дважды устаревшего железа, то может ну его нафиг такое начальство и такую работу?
                • 0
                  Чорт, подскажите какие настройки в биос нужно подкрутить, чтобы комп без антивируса и комп с антивирусом (с включенной эвристикой) работали с одинаковой скоростью.
                  Особенно в ноутбуках 8-10 летней давности, под которые уже и память найти сложновато, особенно по безналу.
                  • 0
                    Ноутбуки 8-10 летней давности у меня не живут. Не нужно заниматься мазохизмом. А вообще, чтобы не повторяться я изложил свою точку зрения в ответе предыдущему комменатору.
              • 0
                это точно… увы… сам отключал… правда данных было не жаль… (нуу… мне не жаль)
          • 0
            А как отключить в касперском эвристику? Я могу отключить там сетевой экран, веб фильтр, фильтр электронной почты, модуль обновления программ, что бы это ни значило… Отключения эвристики там нет.
            • 0
              Я сейчас немного ушел от администрирования рабочих машин, но в детальных настройках файлового и почтового фильтра в Касперском была возможность указать уровень эвристики.
        • +1
          Конечному пользователю, разумеется, плевать вообще не все и он начинает ныть «А че у меня у все тормозит?! Какой плохой антивирус! И UAC ваш говно! Отключите мне его! И вообще, хочу бесплатно кофе и печеньки.» Человек он вообще скотина ненасытная.
      • 0
        Не знаю как сейчас, но раньше хакеры боялись только Авиры — т.е. в принципе, при продаже, гарантировали что криптер/джойнтер не будет палиться большинством актуальных антивирусов, но только не Авирой. Поскольку именно у Авиры была более-менее адекватная эвристика. Все остальные работали по базам сигнатур. А вот обойти засвеченную сигнатуру не так уж и сложно.
        • 0
          Но здесь есть и обратная сторона — годная эвристика очччень сильно снижает производительность ПК. Настолько, что в большинстве случаев проще работать на машине с повышенным риском подхватить потенциальную малварь, чем страдать на тормозящей машине. Зависит от специфики работы.
          • 0
            Белый список софта, остальное через эвристику или вплоть до запрещения.
            • +6
              И Медок в этом белом списке.
              • 0
                Ну и пусть… А вот Payload уже не запустится. Если только саму нагрузку в модуль не вшивать, но это тогда отдельная история.
              • 0
                Программы имеющие регулярные обновления нельзя в исключения добавлять, но например один популярный антивирус, визжащий как свинья, строго рекомендует в лучших традициях добавлять в исключения все БД и некоторые прочие директории.

                С повышенной эвристикой для ПО не в белом списке согласен, не надежное решение, лучше проверять всех первый раз, а прошедших, с контрольными суммами, второй раз не проверять глубоко.
    • 0
      А может дело в том, что желающих заработать на такой деятельности стало неприлично много. Вот и толкаются локтями.
    • 0
      В феврале этого года столкнулся с этим вирусом, за 3(!) месяца не добавить его сигнатуры в антивирусные базы, это просто за гранью добра и зла имхо. Действительно интересный экземпляр шифровальщика, и ярлык на сайт с личным кабинетом и чатом поддержки был, и демоверсию дешифратора скачать можно было(1 или 2 файла расшифровывал), и суммы выкупа на разных машинах отличались, видимо от количества зашифрованого зависят.
      • 0
        за 3(!) месяца не добавить его сигнатуры в антивирусные базы

        Ну, тут думаю, всё просто. Как уже написал mayorovp, вирмейкеры постоянно изменяют код вируса так, чтобы записи об нём в антивирусных базах теряли актуальность.
    • 0

      Упомянутое вами исследование никак не может ни подтвердить, ни опровергнуть теорию о том, что крупные заговоры быстрее раскрываются. Там же из исходных данных всего три раскрытых заговора...


      Смысл того исследования — в рамках постулированной вероятностной модели оценить параметры этой модели, ничего более.

    • 0
      Отдельным пнём стоит неспособность продукта отечественной компании распознать элементарные признаки вредоносной деятельности, несмотря на громкие слова об «эвристической» защите. Уж не знаю, применить ли тут бритву Хэнлона, и считать это обычным головотяпством, либо тут что-то другое.

      Все просто: любой массовый антивирус в деле обнаружения новых угроз всегда бесполезен. Просто потому что вирусописатели не "выпустят" вирус до тех пор, пока тот не перестанет обнаружаться антивирусом. У них неограниченное время на перебор вариантов. И любые эвристики тут бесполезны.

      • 0
        не всегда. для ваннакрая доктор веб брал его эвристиком, касперский — облаком(по их официальной информации пострадали те, кто поотключал модули), для непети по слухам доктор веб брал часть модулей, каспенрские вроде тоже частично поведенческим анализатором.

        У них неограниченное время на перебор вариантов

        Есть такое дело, вы абсолютно правы, тем не менее — выпускают.
        • 0

          WannaCry — вирус западный, а там что касперский, что доктор веб распространены далеко не повсеместно.

          • 0
            Тестируют очень часто через ВирусТотал или подобные сервисы. Там сразу много антивирусов
            • 0

              Тестировать-то тестируют, но на какие бренды при этом смотрят?

              • 0
                Западные сервисы такого типа не смотрел, русскоязычные предлагают считай все существующее в мире
                • 0

                  Важно не то, что сервис предлагает — а куда смотрит хакер. Вот представьте, пишите вы мега-вирус ХочуПлакать. Проверяете его антивирусами — и выясняете, что его ловят африканский антивирус и китайский. Будете ли переделывать или так выпустите?

                  • 0
                    Будете ли переделывать или так выпустите?

                    Вот не надо антивирусные компании подлавливать!

                    Если серьезно — это уже советы вирусописателям получаются, с вашего позволения отвечать в общую тему не буду

            • 0
              Какая-то фигня с ним. ZvitPublishedObjects.dll из обновления 10.01.188 (предпоследнее) показывает Касперский (и ещё один антивирь) что есть бекдор.
              А по факту Каспер с сегодняшними обновлениями (и ДрВеб) ничего там не видят.
              А в этом файле из последней версии 10.01.189 — оба видят бекдор.

              Тут мне знакомые пишут что вроде вторая волна пошла, достаточно крупные конторы стали отключать компы от греха подальше.

              Ну и вишенка на торт:
              Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі.
              • 0
                По аналогичному отчету есета видно, что вредоносный код добавляли и убирали
                • 0
                  https://tsn.ua/ukrayina/m-e-doc-pidtverdila-rozpovsyudzhennya-virusu-petya-a-cherez-yihnye-po-ymovirna-nova-kiberataka-956212.html — авторы Медка завязал идти в отказ и уже согласны что это они всех заразили.
            • 0
              Так то только сканеры. Поведенческий анализ — штука не менее интересная.
      • +1
        Вообще, я считаю, что ПО такого масштаба, использующееся для отправки отчетности в государственную налоговую службу обязано быть.

        1) с открытым исходным кодом, чтобы любой мог делать анализ
        2) регулярно проходить открытый аудит
        3) бесплатным и распространяемым государством
        4) в связи с пунктом 3, несущим некоторую ответственность за актуальность, либо быть напрямую связанным с законопроектами касательно бухгалтерии. А то завели привычку издать законопроект, меняющий калькуляцию налогообложения, и требовать обновленные отчеты на вчера. А так выпустили законопроект, обновите свой государственный софт, а потом уже требуйте отчеты в новом виде.

    • 0
      Что не помешало сотруднику скопировать «неоткрывающееся» письмо на другой комп — тоже с каспером — и зашифровать там всё


      Только пару дней назад мелькала такая шутка. Оказывается это не шутка :(.
      • +2
        какие уж тут шутки
        точно так же одна клиентка получила письмо от ФСБ, уж не помню, чем ей там угрожали в теме, на телефоне приложенный файл blah-blah.doc.exe, естественно, не открылся, зато открылся на компе
  • +4
    Статья, напротив, дала ответ на вопрос, почему с «петей» всё именно просто. Тотальный бардак, потому подобное и возможно, и срабатывает.
  • +4
    Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc.

    К чему такая паранойя? Вспомните скандал с Apple, когда зловред был внедрён в XCODE и линк на его скачивание был заменён на сторонний сервер в некоторых DNS. Девелоперы собирали программы с бэкдором и сами честно отсылали своё взломанное «произведение» в applestore. Здесь могла произойти подобная схема. Нужна тщательная независимая экспертиза.
    • +1
      Китайские девелоперы специально скачивали Xcode с местных сайтов из-за медленной связи с внешним миром.
  • +6
    Подобные теории заговора, режутся насмерть бритвой Хэнлона и самой теорией заговора: «каждый план, выполнение которого зависит от более чем трёх различных событий, в реальной жизни обречён на провал» ©
    • +2
      Ну я могу возразить — лично я не очень понимаю, зачем нужно было распространять вирус.

      Судя по исследованию, в руках злоумышленников был полноценный и надежный бэкдор, чтобы управлять практически любой конторой.
      Можно было сидеть тихо, и не высовываясь контролировать всю деятельность.
      Пустить туда шифровальщик это уже как у шпионов «стрельба из пистолета», когда уже все пропало.
      • +3
        А Вы не допускаете, что этот бэкдор «спалила» другая группа хакеров? Раньше, когда было модно, в качестве канала обратной связи с ботом, использовать irc каналы, были хакеры которые «обносили» irc каналы и уводили ботов. Если это так, то это объясняет, почему так топорно был сделан шифровальщик.
    • 0

      Не насмерть, ибо минимальный шанс появления черного лебедя есть всегда. К сожалению (или счастью) он очень мал, поэтому повсюду искать его не стоит, конечно.

    • 0
      Подобные теории заговора, режутся насмерть бритвой Хэнлона и самой теорией заговора...
      Как игрок онлайн игр могу возразить, десяток и даже три десятка человек которые никогда не видели друг-друга могут сговориться (ну обычно они и так в одном альянсе) и тихо ночью выпилить Рим и даже гуси не вякнут.

      И это всего-лишь какие-то геймеры. Конечно провалы и сливы информации случались не сильно реже epic win. Но IRL epic win / fail со сговорами не такое уж и редкое дело. Армия со своими приказами и секретами просто создана делать заговоры (большинство непосвященно и только выполняет, а все знают только десяток-два).
  • +3

    А что насчет российских компаний? Знаю точно, что в Роснефти были проблемы.

    • +2

      брызгами задело

      • 0
        Но эти брызги ведь явно не медок, а нечто еще?
        • +1
          Медок использовался для первоначального распространения зловредов.
          Но у самих зловредов были и свои возможности — через почту, а там и через уязвимость в самбе.
          • 0
            Вроде внутри вируса не отмечено наличие модуля самостоятельной рассылки через почту?
            Наверное все-таки вручную рассылали?
            Да и вообще — при​ предыдущих эпидемиях я хотя бы на один из своих адресов получал письма от «налоговой», «ПриватБанка» и т.д.
            А вот с Петей — тишина, ничего не происходило.
            И по знакомым ничего не было замечено.
            Более адресная а не общая была рассылка?
            Или упоминания о том, что Петя по почте приходил это информационный шум для отвода глаз от Медка?
            • +1
              Вирусу достаточно было попасть хоть на одну машину в сети, дальше он уже сам справлялся со своим распространением.
    • +4
      Видимо у них есть офис в Украине, и возможно ВПН, обьединение офисов и т.п.
      Или банально по почте отправили.
      • 0
        А ну чего, типично,
        Как-то читал статью о том, как парень в метро стянул у соседа из сетчатого кармана сумки флешку, на которой было написано 128. Пришел домой, вставил в ноутбук и спалил пол компа… Написал на флешке 129 и теперь носит в наружном кармане своей сумки.
        • +1

          Это была цитата на башорге, а не статья. И там была плашка памяти, а не флешка. И не 128 там было, а 256. И 257 никто на ней не писал, это было шуточное предложение.

  • 0
    В прошлом квартале, обновление квартальных форм отчетности для 7.7 содержало ********. Его оперативно заменили. А поскольку 7.7 сейчас пользуется крошечная часть бухгалтеров, то ни кто и не заметил. Но прецедент был.
  • 0
    Осталось заразить Петя3 сервера wsus Майкрософт и пол мира ляжет.
  • +9
    Такое впечатление, что парни заколотили гвоздь карманным термоядерным реактором. Ну вот как можно было обменять полный контроль над инфраструктурой целой страны с возможностью кражи кучи критически важных данных на пару сотен баксов в биткоиновом эквиваленте?
    • +1
      Вот это и удивляет…
      Складывается впечатление что какие-то пионеры криворукие порезвились офигев от масштабов получившегося…
      Если бы хотели денег — была бы возможность восстановления данных.
      Если гипотетически предположить акцию на государственном уровне — почему-то думается что тотальный контроль по тихому над ИТ-инфраструктурой страны гораздо более интересная штука чем одноразовая акция вандализма с уничтожением данных.
      • +1
        Рано или поздно зловред бы спалился, и контроль бы кончился. А так собрали инфу, а дальши прикинулись тушкой обыкновенной, чтоб по меньше причин было обвинять тех, кто не хочет славы — вымагателус вульгарис, так сказать.
        • 0
          Вспомнил первый сезон mr Robot там чтобы украсть мелочь эмитировали атаку на офис компании занимающейся защитой.
    • +2
      Может какой робин гуд в стане врага решил хоть как-то сообщить о проблеме ;)
    • +2
      А что, если создатель не злодей а герой. Может это тот самый момент, когда один из разрабов устал говорить начальству что «нужен глубокий рефакторинг а нескучные обои подождут».

      На сколько известно из статей хабра, расшифровывать данные вирь не умеет. An end, once and for all.
      • 0

        An end переводится как "средство"

        • 0
          Это отсылка к масс эффекту.
          • +1

            Не подскажите, в Mass Effect эта фраза в каком контексте и как переводится? Не смог сходу нагуглить.

            • 0

              ну я на звание знатока английского не претендую =) Это название музыкальной темы смерти (самопожертвование) главного героя. Умирает он не первый раз, но, вроде как последний. А как правильно понимать? Я честно поверил гугл переводчику.


              ** музыка легко гуглиться, очень приятная, советую послушать.

    • 0
      и не факт, что снимали. Такое впечатление, что некая система сама случайно сработала неизвестно зачем
  • +2
    Не понимаю, почему тиражируется мнение, что атака направлена именно против Украины. В Википедии то же самое: «Конечной целью атаки является дестабилизация ситуации в экономике Украины». Интересно, откуда вообще может быть известна конечная цель атаки? Почему бы не предположить, что атака направлена против M.E.Doc, а не против всей страны?
    Даже версия независимого хакера, решившего для своего ЧСВ устроить атаку века, мне кажется более реалистичной, чем версия атаки против целого государства.
    • +4
      1. Потому что медок пострадал репутационно, и никакой финансовой выгоды от этого нет — конкуренция очень невелика, и такой способ им мало что даст.
      2. Пользователи пострадали, но на биткоин-кошелек за все это время перечислено крайне мало, а потом и емайл авторов заблокировали, то есть финансовой выгоды опять нет.

      Зато однозначно было понятно, что финансовая система в Украине пострадает сильно — сервера обновлений Медка все еще лежат.

      Заменить оперативно Медок без потерь удобства и комфорта — невозможно — ни одна другая программа подобный функционал в полной мере не предоставляет. Множество бухгалтеров вынуждены отправлять отчетность практически вручную, что занимает в разы больше времени. Ну и плюс да — потеря зашифрованных документов у тех, кто не делал бэкапы.
      • +1
        Вчера рассказали прекрасное — оказывается налоговая сервера которой в конце месяца не принимали отчётов из-за вирусной активности не считает произошедшее форс-мажором и будет штрафовать тех, кто не успел отправить отчёты.
        • +1
          Считать произошедшее форс-мажором может только торгово-промышленная палата. По букве закона все ок. По уму — идиотизм, конечно.
        • +2
          А вот и нашли кому выгодно! (ежели что — шутка)
        • +1
          Сегодня кабмин заявил, что штрафовать не будут — внесту закон, дающий исключение по этому случаю.
          • 0
            А вот и ссылка
            Теперь все зависит от того, как будет сформулирован соответствующий закон.

            Вдруг для того, чтобы иметь возможность сдать отчеты позже, нужно предъявить нотариально заверенные скриншоты или вообще заключение киберэксперта из полиции, что в компании действительно был заражен комп?

            Я уже несколько лет не доверяю даже самым благим намерениям, пока не увижу фактические результаты…
            • 0
              и сдать зараженные компы как вещественные доказательства
            • 0
              И анализ мочи в придачу. Даже появление текста закон ещё ни чего не гарантирует — налоговая нюансы текста может по своему трактовать.
              • 0
                Я не шутил, между прочим, обязательным условием будет заявление в полицию, которое подразумевает следственные действия с оборудованием.
      • 0
        Ну а насчёт крайне мало — перечислено 46 платежей, пришло 3.99BTC итого.
        Но согласен — по уму, с восстановлением данных и т.д. было бы получено ГОРАЗДО больше.
      • +1
        За сегодня уже позвонило несколько знакомых с вопросом что делать?
        • 0
          Типа работать с медком надо а антивирь косит в нем библиотеку с бекдором после чего Медок не работает.
          Представители Медка на местах разнообразием версий не блещут — вируса там нет, добавляйте файл в исключения антивируса.
          • 0
            Отключить от сети и не перезагружать поможет? (В смысле сделать бекап, отключить от сети и от бекапа, отключить антивирус, делать отчеты)
            • 0
              Чисто теоретически — да.
              Если до сих пор комп не перезагрузился/не зашифровался — то есть шанс шанс что не получив команду на это по сети и далее будет себя мирно вести.
              Но бекапы на флешку/внешний винт все равно не помешают :-)
      • +1
        Из того, что вы сказали, нельзя сделать заключения, что это была атака против Украины. Лишь только то, что это вряд ли сама контора.
        Это мог провернуть и недовольный сотрудник конторы и хакер, получивший доступ к их исходникам. История, когда хакер случайно вторгается в сеть конторы, обнаруживает исходники и хочет это монетизировать — вполне реальна. Если это не профессиональный вирусописатель, он легко может понаделать таких архитектурных ошибок, как один биткоин-кошелек и связь через почту.
        То, что это была целенаправленная атака на Украину, как государство, нужно аргументированно доказывать.
        • +1
          Согласен. С той же логикой можно сказать следующее: В моём городе пару дней с перебоями работали заправки Роснефть и Лукойл, а значит это атака США с участием Украины на топливно-энергетическую индустрию России. Это же так же очевидно, и относиться скорее к домыслам, чем к фактам.
          • 0
            ну например в отчете Cisco указано «organizations inside of Ukraine and multinational corporations with operations in Ukraine», однако сам отчет касается только атаки через Медок. Были еще фишинговые письма, о которых намного меньше информации. Ссылка на отчет: http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
  • 0
    Если-бы хоть одна антивирусная компания ответила за зашифрованные данные (при условии что базы обновлены) деньгами, то на мой взгляд, такого-бы меньше было.
    Или пусть тогда называют себя, антивирус вчерашнего дня.
    • 0
      Циски говорили, что могут отвечать пр соблюдении тучи условий
    • +2
      Это как если бы онколог головой отвечал за результат лечения пациента, а не за корректность лечения в соответствии с общепринятыми методиками. Даже того, кто пришел с терминальной стадией заболевания.
      • 0
        В данном случае, пациент априори здоров.
        • +1
          При такой бизнес модели антивирусов просто не останется, потому что невозможно гарантировать защиту от 0-day, тем более невозможно отследить всю ту ересь, которую на компе творит пользователь или админ. Антивирус снижает вероятность заразиться от уже известных зараз, ну и чуть чуть от неизвестных но тупых.
          • 0
            При такой бизнес модели, антивирусная компания будет заинтересована в создании такого модуля, который-бы напрочь отбил-бы попытки шифровки файлов.Проблема эта не первый год висит и времени у них было достаточно.
            • 0
              Они и сейчас заинтересованы, ибо это вполне бы стало киллер-фичей их продукта. Вот только не так это просто, как вам кажется. Нельзя придумать 100% действенный механизм, который отличил бы правомерное изменение файла от вирусной активности, может вы сами этот фаил шифруете, или архивируете? НЕ говоря о том, что этот вирус вообще подменял MBR и шифровал еще до загрузки оси, не говоря уж об антивирусе.
              • +2
                Именно поэтому принцип минимальных прав — это правильно.
                И для запуска и обновления пользовательских программ никогда недолжно например требовать прав администратора или отключения антивируса. Ругается антивирус — разбирайтесь что не так напрограммировали, а не «добавьте в исключения». Случаи ложного срабатывания насклько я знаю, достаточно редки, по сравнению со случаями, когда реально есть подозрительный код.
                • 0
                  А в идеальном мире еще и пользователи не должны подозрительные письма открывать, но, к сожалению, как только разработчик какого-то ПО становится монополистом даже на одном предприятии, они начинают хаметь и сами выдвигают требования к инфраструктуре сети по принципу — не сделаете — работать не будет. И заказчик, как правило, не начинает с ними спорить, потому что производству откровенно плевать, им главное план вовремя закрыть и отчет предоставить, а проблемы админов их не волнуют. Надеюсь после последних событий это хоть как-то изменится, но я слабо в это верю.
                • 0

                  Антивирус может ругаться вообще на все. Регулярно сталкиваюсь с тем, что Windows Smartscreen блокирует работу моих программ (не Defender). Ну и ложные срабатывания случаются, чаще всего у Dr.Web'a.

                • +1
                  Ложные срабатывания по своей разрушительности сравнимы с осуждением невиновного. Как бы редко это ни происходило — пострадавшие теряют кучу времени, а после «оправдания» в лучшем случае услышишь «ну извините».
                  Лет 10 назад Касперский несколько раз прибивал .exe файлы сервера «Ирбис» (каждый раз срабатывание — ложное) и пару раз отправлял в карантин .bat файл. Обновлений сервера не происходило, т.е. вчера и сегодня утром файл — обычный, а после обеда тот же файл — подозрительный. Батники писал я, в них был только запуск известных приложений и логирование результата. Каждый раз ложное срабатывание — это остановка работы организации, в лучшем случае — на час, иногда на полдня. Счастье, что библиотека — не электростанция.
                  Я не пошел по простому пути «проигнорирова