Сегодня в родном офисе имел возможность пообщаться тет-а-тет с ИТ менеджером Одного Большого Российского Банка (ОБРБ :)). Всё про ту же скучную тему безопасности, и куда всё катится. И что бы вы думали? Да, ОБРБ очень масштабно потерзал Conficker. Причем, по признаниям самого ИТ-менеджера, причин заражения было 2 - апдейты (в каких-то ветвях могучей структуры банка самые осторожные админы всё тестировали и тестировали и тестировали обновление перед тем как его установить, а потом как-то и забыли, наверно...) и пароли. Про пароли чуть подробнее. Вот ну что ты будешь делать, если не может большая часть начальствующей популяции придумать и запомнить сильный пароль, удовлетворяющий грамотно настроенной политике безопасности? Правильно, разрешишь ему либо записать пароль (ну он вообще-то и разрешения-то не спросит), либо разрешишь использовать пароль попроще. Короче, это я всё к тому, что, пожалуйста, будьте аккуратнее, когда создаете политику паролей для домена – почему-то может оказаться, что у критической массы пользователей пароли из ТОП10 хит-парада самых распространенных (читай бесполезных) паролей.

Чтобы история была не только поучительная, но и познавательная вот интересный доклад на TechDays про Fine-Grained Password Policy в AD на Windows Server 2008. Правильное использование этого инструмента могло бы реально помочь ОБРБ и многим-многим-многим другим...

Почитал тут обсуждение на Securitylab про Conficker.. Цитирую - "Надо еще найти дыру, которую предстоит заделать..." И ведь много таких цитат. Как бы так чтобы честно, но сдержанно ответить… Если кратко, то МЕСЯЦ (!!!) до появления первой вариации Conficker в сети уязвимость была полностью закрыта. Под угрозой оказались только ПК не установившие обновления в течении месяца! Ну я не знаю как сделать так, чтобы народ понял ценность галочки "устанавливать обновления автоматически"…

Если же развернуто отвечать на.. кхм.. такие реплики, то большинство вирусов последнего времени пишутся так (упрощенна версия объяснения): 

1. Производители ПО работают, продолжая копаться в своем коде, находя недочеты, уязвимости или пути оптимизации, инвестируя в это много труда и денег.

2. Производители ПО выпускают обновление и информацию о том как противодействовать потенциальной заразе. 

3. Легальные пользователи получают обновление и устанавливают его.

--- Таймер вкл. ----

4. Преступники, охотящиеся за наживой, скачивают тот же апдейт и происходит…

• декомпиляция
• поиск деталей уязвимости
• поиск возможностей использовать эту уязвимость
• написание вредоносного кода
• запуск вредоносного кода в Интернет

---- Таймер выкл. ----

5. Производители антивирусов или самого обнаруживают заразу и обновляют сигнатуры. (в случае MS, производитель ПО = производителю антивируса, см. Microsoft Forefront)

6. Успевшие похватить заразу ПК с помощью антивирусов, админов, вспоминающих какую-то мать, восстанавливаются и возвпащаются к работе.

ВАЖНО: Между моментом выпуска обновления и появления реальной опасности в Интернет (см. таймер вкл. и выкл.) проходит тот самый МЕСЯЦ или около того! И если бы все просто установили вышедшее вовремя обновление, то вообще никакиз проблем! Приведу ещё одну интересную табличку о хронологии событий вокруг обнаружений вирусов:

	Baster (август  2003)		Sasser (апрель 2004)	Zotob (август 2005)	Conficker (ноябрь 2008)
предупреждение пользователей	через 1 день		через 2 часа	за 2 дня до	за 1 мес до
выход  детальной инструкции по противидействию	через 10 дней		через 2 дня	в тот же день	в тот же день
выпуск средства борьбы уничтожения	через 38 дней		через 3 дня	через 3 дня	в тот же день
Арест преступника			через 7 дней	через 11 дней	надеюсь, скоро

Личная просьба ко всем читателям. Посмотрите на этот пост и убедитесь, что эти нехитрые меры безопасности всё таки предприняты в вашей организации. Заранее большое спасибо!

Эмоциональная часть будет в другом посте. Сейчас пока про базовые технические вещи. Искренне надеюсь, что для вас это всё боян, и все ваши ПК и серверы вне опасности, но не повредит проверить, что они надежно защищены от червя Conficker.

Вся информация доступна на TechNet - Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B

Но это заслуживает повторения. Я знаю множество админов, которые уже в кровь обгрызли себе локти, от того, что вовремя не сделали совсем базовые вещи (цитирую инструкцию с TechNet)

 Установите обновление по безопасности, описанное в MS08-067. .

 Убедитесь, что вы используете обновленное антивирусное ПО от надежного поставщика, например, Microsoft Forefront Client Security или Windows Live OneCare. Пробная версия Forefront Client Security быть загружена с сайта Microsoft.

 Изолируйте машины, на которых ещё не установлено обновление MS08-067, и устаревшие системы, с помощью способов, описанных в статье Microsoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide.

 Применяйте «сильные» пароли, как описано в статье Creating a Strong Password Policy whitepaper.

 Отключите функцию Автозапуска (AutoPlay) через реестр или используя групповые политики, как описано в Microsoft Knowledge Base Article 953252.

На вский случай, также повторю, что все обращения в службу Техподдержки MS по инцидентам, связанным с информационной безопасностью абсолютно бесплатны (тел. +7 (495) 916-7171 в Москве, 8 (800) 200-8001 Регионы РФ)

Ну, во-первых, стыдно, что так долго не писал. Во-вторых, за последнее время слишком часто думал что-то типа “о! надо написать это в блог! это #вставить_здесь_мысль# полезно/интерено/возмутительно/маловероятно/требует обсуждения”, а возвращаться к написанию блога как-то так с наскока тоже нехорошо…

Короче, не удивляйтесь сумбурному потоку впечатлений и мыслей в этом блоге в ближайшие дни – нужно выговориться :)