NYT рассказала об интересе ФБР к JetBrains из-за расследования о взломе SolarWinds Статьи редакции
Эксперты по кибербезопасности утверждают, что российские хакеры могли незаметно установить закладки для клиентов JetBrains — скомпрометировав сервис TeamCity или воспользовавшись пробелами в том, как клиенты его используют.
Основанная россиянами компания JetBrains, разработчик популярных инструментов для разработки, попала под расследование ФБР в рамках дела о взломе SolarWinds, передаёт The New York Times. Спецслужбы пока не выдвинули конкретных обвинений и изучают, могли ли продукты JetBrains использоваться во взломе.
Американская SolarWinds разрабатывает сервисы для управления компьютерными сетями. Согласно отчёту компании FireEye, злоумышленники получили доступ к этим сервисам и внедрили в них свой код, который был разослан с очередным обновлением.
Таким образом хакеры получили доступ к сетям клиентов SolarWinds, среди которых были государственные организации США и крупные компании.
ФБР изучает, могли ли хакеры похожим образом использовать сервис для совместного тестирования и обмена кодом TeamCity от JetBrains, чтобы через него получить доступ к SolarWinds. TeamCity используют разработчики из около 300 тысяч компаний, отмечает NYT.
Опрошенные изданием эксперты по кибербезопасности предполагают, что речь может идти как о компрометации сервисов JetBrains, так и о пробелах в безопасности, которые могли возникнуть из-за неправильного использования сервиса.
JetBrains выпустила заявление о ситуации. Глава компании Максим Шафиров сказал, что JetBrains не получала вопросов по поводу взлома SolarWinds ни от самой компании, ни от спецслужб, но готова к сотрудничеству. Он заметил, что TeamCity требует правильной настройки и проблема могла возникнуть из-за ошибок при использовании, а не из-за какой-либо уязвимости.
Нет, не была. Зачем что-то взламывать, если можно просто попросить?
это может стать крупнейшим взломом сетей США в историиНе может, а УЖЕ стало. Даже Трамп надеялся на этот взлом, думая, что сейчас опрокинет выборы.
Дело закрыто, мсье Никита провел экспресс-расследование
А вы считаете, что такое имеет меньше вероятность, чем взлом, который не заметили специалисты? Как вы себе это представляете? Вот лежит код в репозиторий, он покрыт тестами и доками. Вот происходит взлом, добавляется код, который должен вставлять код в другие программы (это какой уровень вложенной сложности получается?). Разработчики не заметили изменение версии? Тестеры не заметили не покрытый тестами код? Менеджеры не заметили код не покрытый доками?
Комментарий недоступен
Нет
Комментарий недоступен
Находили уязвимость - это всего лишь нашли ошибку в проектировании. Никто при этом свой бекдор в интел не вставлял же?
Здесь же речь идет о том, что кто-то сознательно вставил код, который позволил сделать атаку на другую компанию, и уже эта атака позволила сделать атаку на американские правительственные сервера.
Вам не кажется, что три уровня вложенности - это слишком сложно, чтобы все сработало?
Еще раз схема. Взломать JetBrains, чтобы взломать SolarWinds, чтобы получить доступ к серверам госдепа и пр. Вы когда-нибудь что-нибудь взламывали, в чисто образовательных целях?
Более того. SolarWinds имеет подряды в Бел и Укр. Я уверен, что нужно копать в эту сторону. Это куда более понятная схема. Какой-нибудь беларус вставляет бекдор в код SolarWinds и уже с помощью этого кода все происходит. В этом случае схема проста и понятна.
Комментарий недоступен
Я не говорю, что я уверен. Мы можем лишь оперировать вероятностями. Ну например, какова вероятность, что уязвимость в Openssl была сознательной? Кто-то вставил ее специально или это лишь человеческая ошибка? А ведь эта уязвимость наделала много шуму, если вы помните. Мне вот карту перевыпускали.
уверены в обратномКак я выше сказал, я вообще думаю, что JetBrains не причем. Ну и опять же, достаточно посмотреть на то, что сейчас происходит. Кто был абсолютно уверен, что подсчет голосов скомпрометирован? Ну и далее по тексту моего предыдущего сообщения.
Я лично не верю, что можно провести атаку такой степени сложности и вложенности. Для того, чтобы это сделать нужно а) иметь доступ к исходному коду б) внести изменения в репозиторий так, чтобы это не заметила ни программа, ни люди.
а вы вынесли вердикт "виновен" не говорит ли это о вашей однобокой зачастую неадекватной оценке происходящего?ну вот суд по боингу еще не состоялся (решение в смысле) но у кого-то есть сомнения в том, кто сбил боинг?
Это ЛЕГКО. В день происходит 1000 коммитов, каждый просмотреть невозможно, да никто и не будет. Application Security Scanner явной ошибки не выдал (ну пусть он выдал 1000 False Positives) и все считают что всё хорошо!
Я не суд.
зачастую неадекватной оценке происходящего?Вы забыли добавить. Я считаю, что неадекватной. Иначе получается, что вы просто так, голословно назвали мою оценку неадекватной?
Ну и для того, чтобы оценить, адекватна оценка или нет нужно просто посмотреть, сбудется ли некие предположения человека, правильно? Я вот лично сильно сожалею, что прошлые свои предположения, которые сбылись (только я со сроками факапнул) я не записал где-нибудь в интернете. Нужно чтоли твиттер завести.
Комментарий недоступен
Эм, а вы не видите тут знак вопроса? Вы не отличаете утверждение и вопрос? Как все сложно. Проходите мимо, Василий.
У Месье проблемы с головой?
Да, проблема. Месье подлечиться?
P.s. оно?
Какой наивный молодой(?) человек.
Не только уязвимости, но и бэкдоры. И все о них знают. Но это кого надо бэкдоры, так что не считается.
Кодовое имя хакеров, 'бабы яги'
Бугивуманы же
А теперь еще и сложите информацию. Взлом находят прямо перед выборами. И заявляет это сама SolarWinds. Т.е. как минимум несколько лет никто о такой атаке и не подозревал. Но именно перед выборами спецы SolarWinds нашли? и Трамп очень сильно надеялся на этот взлом. Он был абсолютно уверен, что бекдор работает и его мув про то, что у него украли голоса был бы подтвержден первичным анализом подсчета. Но тут что-то пошло не так.
По моему такая вероятность сильна мала.
Что было по моему мнению. SolarWinds попала в просак с подрядами в бывшие постсоветские страны. Компания вообще не знала о бекдоре. Американские спецслужбы каким-то образом получили информацию (думаю это был обычный слив, видя какая у нас дырявая фсб удивляться не стоит). Но поскольку заявление спец. службами скомпрометировало бы источник, то SolarWinds позвали и принудили сотрудничать. Т.е. через них легализовали этот слив.
Про этот феномен давно писали в журнале "Квант": 80% закоренелых преступников ели солёные огурцы.
Ниче не понял. При чем тут ваши огурцы? Ваша шутка про манипулирование статистическими данными.
Комментарий недоступен
Никиты ответ
https://news.ycombinator.com/item?id=25622015
Заметили и заблокировали далеко не сразу
Ага, несколько десятков человек (программисты, тестировщики, джуны, руководители) заметили бэкдор и им директор JetBrains такой говорит "короче, не обращайте внимание на этот код, и никакие вопросы не задавайте, это секретная операция фсб". И все такие "ок, конечно!" козырнули и дальше сели работать. Ты правда считаешь это более реалистичным сценарием?
Если уж исходить из того, что атака проводилась именно через jetBrains (пока что даже фбр в этом неуверенно, исходя из публикаций в прессе), то наиболее вероятный сценарий следующий: threat actor сумел незаметно для JetBrains интегрировать в продукт бэкдор. Возможно для этого подкупили одного рядового программиста. Возможно для этого тайно проникли в офис, возможно взломали внутреннюю сеть JetBrains чтобы разобраться как там все работает. Никто в jetBrains был не в курсе. Ну а дальше уже развивали атаку: я не читал все эти статьи, но вероятно через solar winds обновляли какой-то продукт JetBrains (?) и вместе с обновлением распространили бэкдор.
Ну кто-то же в конце концов слил информацию в американские спец. службы?
Нет, я считаю куда более реалистичным сценарием, что бекдор был вставлен сразу в SolarWinds
(программисты, тестировщики, джуны, руководителиОбычно каждый занимается своим кодом, правильно? Почему бы не предположить, что команда фсб-программистов просто работала над определенным модулем, куда и был внедрен код? Который был покрыт тестами и доками? Это куда более реалистичный сценарий, чем верить в том, что атака с тремя уровнями вложенности прошла успешно и не была годами замечена.
Именно так в 99.99% случаев и бывает.
Потому что большинство делает свою работу на отъе..стань
Типичная картина:
Разработчики не особо себя утруждают писать точный, подробный комментарий к каждому коммиту. Код. ревью проверяет выборочно и не проверяет сильных / опытных разработчиков (==под их учетной записью твори чего хочешь). Офицеры безопасности (если такие и есть) ленятся разбираться с устройством системы, а админы (ну хорошо ДевОпсеры) не хотят, чтобы кто-то лез в их дела и препятствуют тем же офицерам безопасности. Тестеры, порой, не могут даже объяснить что и как они тестируют и путаются в том "что будет, какой экран отобразится у приложения, если поменяется такое-то значение данных в такой то структуре" Сами тесты протухают и не обновляются и степень доверия к ним далеко не 100%. Менеджеры не умеют программировать и вообще далеки от технологий, их устраивают бодрые рапорты разработчиков и диаграммы бёрнинг чарт. Документация дай бог, если на уровне общих слов, концепций существует...
и т.д .и т.п.
Вы хотите сказать, что такой балаган происходит в компании, которая разрабатывает программное обеспечение для разработки программного обеспечения? Как у них интерпретатор вообще работает тогда?
А почему это вас удивляет?
Чем раскрученнее и знаменитее компания, тем хуже в ней обстоят дела с процессами, дисциплиной и качеством.
Снаружи мило, а внутри гнило (С) вот как раз про это.
Что касается данной конторы, то вы поинтересуйтесь на каком году жизни их основного продукта в нём всё таки додумались/догадались/дошли руки вынести логику Application обработки из треда Main GUI в отдельный тред.
Про супер-пупер Яндекс, у которого разработчик смог украсть и вынести весь код поисковой системы из репозитория, я уже ссылку на новость кидал.
В какой дыре вы работаете то?
Моя прежняя работа заключалась в том, чтобы раскрывать глаза менеджменту / собственникам на то, что у них на самом деле происходит в компании. Много лет занимался внутренними расследованиями и инцидентов типа того, что в статье, тоже.
Почти 10 лет этим занимался и реакция сперва всегда как у вас: "у нас всё хорошо, у нас такого нет", а потом, когда факты им покажешь в отчете - хватаются за голову)).
А вы расскажите, где не так. Но только сразу скажу: если вы уверены, что "у нас такого нет", то возможно (и скорее всего) вы просто не знаете, что происходит у вас на самом деле или у вас команда из 2-3-5 человек.
Взломы не на пустом месте происходят, а из-за перманентного бардака, который в больших или долгоживущих организациях - обычная практика.
Плавали, знаем.
Вот, была новость:
Экс-сотрудник «Яндекса» Дмитрий Коробов в середине декабря 2015 года осуждён Тушинским судом Москвы на два года условно, сообщает «Коммерсант». Он похитил исходный код поисковой системы компании, который оценивается в «миллиарды рублей», и попытался продать его за $25 тысяч и 250 тысяч рублей, чтобы на вырученные деньги открыть свой стартап.https://vc.ru/flood/12686-ya-steal
Так что ничего сложного нет.
Эм, как эта новость имеет отношение к взлому или не взлому JB?
У семи нянек дитя без глазу - вот как влияет. Новость подтверждает наглядно очень простое и действенное эмпирическое правило: чем громче имя конторы, тем хуже в ней дела с безопасностью и контролем.
В понятных вам терминах: идёте на локальный артефактори и заливаете jar своего разлива, в мавене проверка sha почти всегда выключена по умолчанию, сервисы которые используют его с радостью скачивают и используют. Тестеры не заметили, разработчики не заметили, менеджеры не заметили.
Не говорю что все вот прямо так было, но не надо думать что единственный способ внедрить свой код это закоммитить что-то куда-то, вариантов миллион.
В больших американских корпорациях вообще в легкую. У всех своих дел полно, много legacy кода вообще без юнит-тестов. Про версии вообще смешно :) особенно когда у тебя сотни, тысячи деплоев ежедневно.
Код можно заинжектить прямо в бинарники, можно сделать нинзя-коммит (хотя это более палевно, все таки). И никакие тесты при этом не заваляться, так как добавленный код ничего не ломает.
Комментарий недоступен
О, вы у путина учитесь общаться?
Комментарий недоступен
Спасибо, что хоть не "этот пациент".
Ну это как частное дело, будем считать что это частный детектив. Ну чет наподобие Коломбо)