# Форум на русском языке  > Разное  > Оффтоп  >  Эксперты тоже заражаются или как облажался Лукацкий

## Макcим

Известный эксперт IT-безопасности Алексей Лукацкий заразился трояном и рассказал об этом на SecurityLab. Сейчас статья удалена, но благодаря Umnik'у и гуглу её удалось восстановить.  :Smiley:  http://64.233.183.104/search?q=cache...ion/312751.php

P.S.: Обсуждение на Anti-Malware.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

всё бывает , жаль что он к нам в раздел не попал - мы бы его вылечили  :Smiley:

----------


## Макcим

Какой эксперт и не смог разобраться с логом HJT. Вот что смешно...

----------


## akok

Сделайте логи по правилам :Wink:

----------


## XP user

> И вот в данном инциденте меня эта ситуация малость напрягла, *т.к.* сам антивирус обновляется регулярно и автоматически.


Использование "т.к." меня раздражает, потому что нет причинной связи между тем и другим. Это не слова эксперта - настоящий эксперт знает очень даже хорошо, что антивирусные программы мало дают - он на них особенно полагаться НЕ будет...

Paul

----------


## Shu_b

http://www.securitylab.ru/opinion/312751.php - доступно. 

ps ...очень похоже на генералов ГАИ наводящих порядок на дороге из кабинета...
pps DVi, что говорить о пользователях, если "эксперты" не знают что такое тех поддержка  :Wink: 



> Только учитывайте тот факт, что г-н Лукацкий, т.е. я, НЕ ЯВЛЯЕТСЯ администратором и вообще сотрудником ИТ-департамента. Более того. У меня совершенно иная роль в компании и иные задачи. И зарплату мне платят немного за другое. Поэтому настраивать мой комп должен не я (равно как и не любой другой не-ИТ сотрудник), а люди, которым за это платят зарплату, т.е. ИТ-персонал.

----------


## ScratchyClaws

порадовало что Симантек лучше Ксапера потому что у него базы меньше  :Wink:

----------


## DVi

> что говорить о пользователях, если "эксперты" не знают что такое тех поддержка 
> 
> 
> 
> 
> 			
> 				Поэтому настраивать мой комп должен не я (равно как и не любой другой не-ИТ сотрудник), а люди, которым за это платят зарплату, т.е. ИТ-персонал.


Ну и почему он не пошел в свой IT-отдел, которому платят зарплату за то, чтобы на компе г-на Лукацкого не заводились вирусы?

Собственно, там уже дан правильный комментарий к статье:



> Только я один заметил, что г-н пользователь натащил себе на комп всякой фигни пытаясь "поймать злобного вируса"?
> 
> В общем налицо:
> 
> 1. Грубое нарушение корпоративных стандартов
> 2. Попытка скрыть (замять, вылечить) инцидент
> 3. Техническая безграмотность и позиция "это не моя работа" с апломбом гуру ИБ

----------


## NickGolovko

Эксперт, если он действительно эксперт, знает, как не допустить инфекции - хоть на своей личной машине, хоть на рабочей, - причем вообще без охранного софта.

----------


## DVi

> Эксперт, если он действительно эксперт, знает, как не допустить инфекции - хоть на своей личной машине, хоть на рабочей, - причем вообще без охранного софта.


Вот с этим могу поспорить. При исследовании нового зверька нередко допускается заражение - бывает, что и на рабочей машине.

----------


## borka

> Вот с этим могу поспорить. При исследовании нового зверька нередко допускается заражение - бывает, что и на рабочей машине.


А не знаю, кто такой господин Лукацкий, но он явно не исследовал нового зверька...

----------


## Numb

> Эксперт, если он действительно эксперт, знает, как не допустить инфекции - хоть на своей личной машине, хоть на рабочей, - причем вообще без охранного софта.


Насколько я понимаю, гн. Лукацкий - эксперт в области продуктов Cisco Systems, а там - своя специфика. Не стоит, наверное, на основании только этой статьи, подвергать сомнению его статус эксперта. А вот с чем согласен, так это с комментарием от *DVi*: если подобное происходит на корпоративной машине, то первое, что должен делать пользователь - звать специалиста из  IT-отдела. Причем, претензии, скорее к этому самому IT-отделу, который допустил предоставление пользователю административных прав. А саму статью следует публиковать с подзаголовком: "Как *не надо* действовать в случае активного заражения".

----------


## Макcим

> Вот с этим могу поспорить. При исследовании нового зверька нередко допускается заражение - бывает, что и на рабочей машине.


Но только не здесь. Название зверька тоже говорит о способе заражения.

----------


## RobinFood

Меня вот это смутило:



> Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело.


У нас ведь тоже правила далеко не из одного пункта...

----------


## ALEX(XX)

Народ, такое впечатление, что Вам от сего факта офигительно радостно  :Smiley:

----------


## Surfer

Да тему вообще в юмор имхо =))
---
Насчёт правил +500
---
Эксперта нельзя назвать экспертом, если он свято верит в сигнатурный детект.

----------


## Макcим

> Народ, такое впечатление, что Вам от сего факта офигительно радостно


Весело не потому что он заразился, а весело от того как он лечился, учитывая статус эксперта. 

P.S.: Теме здесь самое место. IMHO.

----------


## Зайцев Олег

> А не знаю, кто такой господин Лукацкий, но он явно не исследовал нового зверька...


Он написал ряд книг по ИБ ... причем там описывались и вирусные заражения, и сетевые дела... Но такой случай не новость - мне доводилось наблюдать, как ведущий курсы по ИБ человек рассказывает, типа "я вот получил непонятное письмо, открыл вложение - там фигня какая-то ... а потом оказывается, это вирус был" ... и это на курсах по защите корпоративной сети от современных угроз из уст лектора.

----------


## drongo

я зарегился там и отметился в коментах  :Smiley:  http://www.securitylab.ru/opinion/31...?pagen=2#50897 
 , думаю скоро и  виталег пожалует  :Smiley: )) Я бы такое на его месте не пропустил

----------


## maXmo

> Народ, такое впечатление, что Вам от сего факта офигительно радостно


их это возбуждает  :Cheesy:

----------


## Muffler

Прочитал... Что можна сказать, человек абсолютно не разбирается в вредоносном ПО, не говоря уже про методы борьбы с ним...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## santy

мне показалось, что это прием, возможно и сомнительный, чтобы побольше собрать мнений специалистов по антивирусной защите. (что-то близкое к тому, как продают на базаре тряпки - "очень качественные, в моей семье их все носят и довольны").

----------


## Синауридзе Александр

> Народ, такое впечатление, что Вам от сего факта офигительно радостно


Я тоже это заметил. :Smiley: 



> Прочитал... Что можна сказать, человек абсолютно не разбирается в вредоносном ПО, не говоря уже про методы борьбы с ним...


+ 1

----------


## [500mhz]

DVI



> Вот с этим могу поспорить. При исследовании нового зверька нередко допускается заражение - бывает, что и на рабочей машине.


 :Cheesy:  :Cheesy:  :Cheesy: 
я даже знаю когда )))) когда с будуна в ollydbg F7 и F9 перепутаеш ))))

----------


## Jolly Rojer

Случай напоминает то что написал Олег! Профессор теоретик учащий студентов сам делает ляпы которые не должны допускать его студенты  :Wink:  Ну на то он и профессор  :Wink: 

[500mhz] а еще бывает так когда вообще садишся за комп наетый в хлам  :Wink:  с будуна это уже не так актуально  :Wink:  хотя и бывает!

----------


## Макcим

Дальше он (А. Лукацкий) понес ахинею конкретную http://www.securitylab.ru/opinion/31...?pagen=2#50922

----------


## DVi

Действительно: зачем комментировать статью о заражении компьютера в офисе Cisco, если ты не знаешь, как вести бизнес в IT?

Глубокая мысль, без сомнения.

----------


## borka

> Он написал ряд книг по ИБ ... причем там описывались и вирусные заражения, и сетевые дела...


Возможно, он и эксперт. Наверное, теоретик. Мне показалось, что человек описывает свои эмоции как человек, впервые столкнувшийся с вирусом и пытающийся с энтузиазмом от него избавиться.




> Но такой случай не новость - мне доводилось наблюдать, как ведущий курсы по ИБ человек рассказывает, типа "я вот получил непонятное письмо, открыл вложение - там фигня какая-то ... а потом оказывается, это вирус был" ... и это на курсах по защите корпоративной сети от современных угроз из уст лектора.


 :Smiley:

----------


## Geser

> Ну и почему он не пошел в свой IT-отдел, которому платят зарплату за то, чтобы на компе г-на Лукацкого не заводились вирусы?


Напримет в нашем ИТ отделе понятия не имеют что такое троян, и как с ним бороться. А антивирус у нас стоит ТМ, у которого базы обновляются раз в 2-3 дня. Так что все глюки лечатся только format c:

----------


## Синауридзе Александр

> Напримет в нашем ИТ отделе понятия не имеют что такое троян, и как с ним бороться. А антивирус у нас стоит ТМ, у которого базы обновляются раз в 2-3 дня.


Плохо дела обстоят. :Sad:

----------


## DVi

Geser, если все проблемы в Вашей конторе решаются форматированием, то где в Вашей конторе хранятся электронные документы? И как обеспечивается их защита и сохранность?

----------


## Макcим

> Напримет в нашем ИТ отделе понятия не имеют что такое троян, и как с ним бороться. А антивирус у нас стоит ТМ, у которого базы обновляются раз в 2-3 дня. Так что все глюки лечатся только format c:


Да... И один из работников основатель VirusInfo.  :Smiley:

----------


## akok

Ничего format c: это хороший тренинг рефлексов, следующий этап развития попытки понять, а почему люди не летают как птицы :Wink: . Ну а дальше возможно дорастут до лечения или хранения образов системного диска... :Smiley:

----------


## Geser

> Geser, если все проблемы в Вашей конторе решаются форматированием, то где в Вашей конторе хранятся электронные документы? И как обеспечивается их защита и сохранность?


Документы хранятся на сетевом диске. Особо важные документы бекапятся каждый день.

----------


## ALEX(XX)

> Ничего format c: это хороший тренинг рефлексов, следующий этап развития попытки понять, а почему люди не летают как птицы. Ну а дальше возможно дорастут до лечения или хранения образов системного диска...


Э... Моё мнение таково, если зверь проник в систему, мы его удаляем, нужную инфу сливаем, систему восстанавливаем из образа (актуально для корпоративного сектора) ибо неизвестно какие чёрные ходы зверь мог оставить в системе. В данном случае перестраховаться. Для домашней машины и лечения хватит, ну кроме тех случаев, когда система переколбашена как от ЛСД

----------


## akok

Ну...конечно для корпоративного сектора бекап уже скорее стандарт...ну неумение опознать, что это было? Может повлечь серьезную утечку информации  (если уже не повлекло) со всеми вытекающими чистакми IT отдела :Smiley:

----------


## ALEX(XX)

> Ну...конечно для корпоративного сектора бекап уже скорее стандарт...ну неумение опознать, что это было? Может повлечь серьезную утечку информации (если уже не повлекло) со всеми вытекающими чистакми IT отдела


А может там и утекать то нечему?  :Smiley:

----------


## akok

Ну на уровне менеджмента среднего звена согласен...но на уровне топ-менеджмента я бы поспорил...

----------


## Jolly Rojer

> Ну...конечно для корпоративного сектора бекап уже скорее стандарт...ну неумение опознать, что это было? Может повлечь серьезную утечку информации  (если уже не повлекло) со всеми вытекающими чистакми IT отдела


+1

----------


## DVi

> Документы хранятся на сетевом диске. Особо важные документы бекапятся каждый день.


А что им мешает заразиться на сетевом диске, к которому сотрудники имеют полный доступ? И что мешает зловреду унести эти документы?

----------


## borka

> Э... Моё мнение таково, если зверь проник в систему, мы его удаляем, нужную инфу сливаем, систему восстанавливаем из образа (актуально для корпоративного сектора) ибо неизвестно какие чёрные ходы зверь мог оставить в системе. В данном случае перестраховаться.


+1. 




> Для домашней машины и лечения хватит, ну кроме тех случаев, когда система переколбашена как от ЛСД


Тоже образы рулят.  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Так что все глюки лечатся только format c:


'Flatten & Rebuild'... Это для меня тоже единственный верный путь 'лечения' - другие варианты даже не рассматрываются - malware слишком хитрым стал. Самое главное чтобы потом пересматрывали политику безопасности...

Paul

----------

