Как я подхватил троянца. Послесловие

Прошел уже месяц после опубликования материала «Как я подхватил троянца«. Страсти поутихли и я не думал возвращаться к этой теме, если бы случайно не наткнулся на второе бурное обсуждение этой темы, которое я изначально пропустил. Речь идет о блоге arcanoid’а. Взыграло ретивое и я решил вновь вернуться к этой теме.

Итак тезисно:

  1. Статья писалась в процессе лечения, поэтому у нее отсутствует нормальное начало и концовка.
  2. Я специально не разбирал ситуацию, почему и где я подхватил троянца. Собственно не так это важно. Возможно для ИБ-исследователя или аналитика — это было бы интересно, но не для меня. Я давно не занимаюсь сугубо технической работой, которой увлекался еще несколько лет назад. Сейчас у меня малость иная роль как в компании, так и по жизни. Поэтому причина заражения должна интересовать наш ИТ, а не меня. И уж поверьте, выводы ими были сделаны 😉
  3. Я не раскрывал всех секретов нашей работы нашего ИТшного подразделения, из чего многие сделали выводы, что я лох и занимался не своим делом. Повторюсь в очередной раз — я не являюсь сотрудником ИТ-службы. Более того, я сотрудник бизнес-подразделений и поэтому не по рангу мне заниматься этой работой — мне платят за другое. И такова будет позиция 99% людей. Но эти 99% моих статей не читают (за редким исключением), в отличие от оставшегося 1% айтишников и безопасников, которым мои действия показались лоховскими 😉
  4. Я не занимаюсь выбором софта для компании и даже не влияю на его выбор. Этим занимается отдельное подразделение. Более того, в любой уважающей себя (и крупной) компании процесс выбора и тестирования софта занимает время и ресурсы. В таких компаниях НЕВОЗМОЖНО встретить самые последние версии софта сразу после их появления (исключая бета-тестеров). Поэтому рекомендации снести «винду», «осла», mcafee и т.д. я считаю неконструктивными и проистекающими от того, что люди не работали в крупных компаниях и не понимают их специфики.
  5. Если статья написана от первого лица, не значит, что все в ней описанное происходило от первого лица.
  6. Если в статье не написано что-то, не значит что этого не было. Мне казалось это логичным, но, например, многие стали меня обвинять в том, что я не обратился в ИТ-службу. А кто-то посчитал, что я целенаправленно скрыл от ИТ этот инцидент (не забыв его пропиарить в Интернете). Где это на написано? Правильно, нигде. Тему взаимодействия с ИТ и правоохранительными органами Украины (оттуда был зафиксирован адрес, на который троян пытался влезть) я вообще в статье не рассматривал. И сделал это целенаправленно.
  7. Только один человек обратил внимание на временные нестыковки, но никто не сделал из этого никаких выводов. Никто не подумал, что время, отмеченное в статье может отличаться от реального в разы.
  8. Никто не удосужился разобраться в мотивации именно таких моих действий. Как обычно читатели смотрели на статью с позиции читателя, более того, со своей позиции. Но это классический грех.

Ну и напоследок… Никому даже в голову не пришло, что это может быть всего лишь литературный труд, замаскированный под реалити 😉 Кстати, мотивов для такой статьи «радетели земли русской» тоже напридумывали множество, начиная от рекламы Cisco Security Agent и саморекламы меня любимого и заканчивая рекламой Касперского. Я сам могу подбросить еще парочку мотивов — «просто писАлось», проводилось социологическое исследование на тему реакции широкой общественности на такой материал и его автора, надо было деть куда-нибудь наброски статьи и я быстро склепал такое творение…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. arkanoid

    Ну я принципиально несогласен, что «почему и где — интересно только аналитикам». Даже если де-факто это так, это сугубо ненормальная ситуация 😉

    Ответить
  2. Алексей Лукацкий

    Ну мне может и интересно почему, но нет времени разбираться. А большинству рядовых сотрудников вообще неинтересно почему и где. Вылечили и хорошо… до следующего раза.

    В отличие от венерических заболеваний источников заражения в Интернете полно и все не вычислишь. Да и последствия не столь печальны 😉 Поэтому немногие заморачиваются.

    Ответить
  3. Алексей Лукацкий

    И кстати, это нормальная ситуация. Кесарю кесарево… Я занимаюсь бизнесом, а не изучением источников заражения 😉

    Когда я подхватываю простуду, мне важно вылечиться, а не думать, где и почему я ее схватил. Причем на понятийном уровне я знаю, где и почему, но не до деталей. На то врачи и нужны, чтобы меня вылечить. Они своим делом занимаются, я своим. Идеально, конечно, заниматься своим иммунитетом, но абсолютно здоровых людей почти нет. Так и в компьютерах…

    Ответить
  4. arkanoid

    Не согласен. Это в любом случае ЧП, и я объяснял подробно, почему. Что касается технической стороны — то это или zero-day, или проблема с обновлениями, и то и другое весьма серьезно.

    http://arkanoid.livejournal.com/191324.html — вот здесь я довольно детально все рассказал.

    Ответить
  5. Алексей Лукацкий

    ЧП, только не для меня, а для ИТшника, который отвечает за эксплуатацию моей машины.

    Моя задача-максимум — обнаружить подозрительную активность и сообщить куда надо. А дальше я буду снова зарабатывать деньги 😉

    Ответить
  6. arkanoid

    Ну так тем более — задача пользователя — не подвергнуться заражению (и понимать основные факторы риска), а задача IT-отдела — принять меры по расследованию инцидента, определению и нейтрализации последствий.

    То есть надо было описать ту часть, которая осталась за кадром, а то, что описано, можно было и не рассказывать 😉

    Ответить
  7. Алексей Лукацкий

    Основные факторы я понимал 😉 Более того. Был сделан максимум того, что можно было в той ситуации. Защитный софт стоял, антивирус обновлялся, патчи ставились своевременно…

    А последствия не было — я же писал. Никакой утечки не было. Да и сам троян не смог связаться с своим хостом — его попытки блокировались.

    А все, что осталось за кадром, оно там и должно было остаться — не могу же я всю нашу кухню раскрывать.

    Что получилось, то получилось 😉

    Ответить