Место проведения: Freenode | Mattermost | Slack | Irc2P Пожалуйста, проверьте ретрансляцию сообщений незадолго до использования. Если есть какие-либо проблемы, пожалуйста, используйте Freenode IRC напрямую. #monero-community Время проведения: 23:00 UTC 17:00 CST (Chicago) Используйте этот конвертер часового пояса, чтобы преобразовать UTC в ваш часовой пояс. Предлагаемые пункты встречи: Эта встреча должна стать камнем преткновения в ключе #412, а также внести ясность в ключе скомпрометированных двоичных файлов и взлома веб-сайта. Вступление Приветствие Сайт скомпрометирован: факты и обзор Запуск аварийной процедуры a. введение процедуры чрезвычайной ситуации b. классификация тяжести c. коммуникация (внутренняя и общественная) d. реакция на инцидент e. регулярные тесты / аудиты f. ключевые персонажи и их роли (включая заместителей) g. ваши мысли и вопросы Ключевые моменты Заключение Журнал встречи: <sgp_> Добро пожаловать на процесс экстренного реагирования и «вскрытия» скомпрометированных двоичных файлов. Сегодня мы обсудим и поделимся информацией, которой владеем на данный момент, и представим идеи по более эффективному реагированию на чрезвычайные ситуации в будущем <sgp_> Сегодня мы собираемся неприлично поздно, спасибо, что пришли в столь поздний час <sgp_> 1. Приветствия <needmonero90> Привет! <M5M400> Servus! <rehrar> h'lo <binaryFate> hi <pizzaburger> Добрый день! <anhdres2> hola! <mrpublic> утречко' <xmrmatterbridge><intj440> Привет <needmonero90> Самый Пушистый сегодня с нами? <sgp_> Добро пожаловать всем! Есть много того, что стоит обсудить. Нам следует уважать тех, кто не спит и присутствует сегодня с нами - Almutasim вышел (Причина: Удаленный хост разорвал подключение) <sgp_> https://github.com/monero-project/meta/issues/413 - almutasim подключился <sgp_> 2. Сайт скомпрометирован: факты и обзор <el00ruobuob_[m]> Hi <ArticMine> hi <sgp_> у нас слишком много сообщений, которые описывают ситуацию <almutasim> Привет <sgp_> Вот краткий график событий, которые произошли в начале этой недели: <sgp_> Соответствующее сообщение в блоге: https://getmonero.org/2019/11/19/warning-compromised-binaries.html <sgp_> 18 ноября в понедельник в течение приблизительно ~35 минут двоичные файлы CLI были скомпрометированы <sgp_> Злоумышленники не стали менять хэш на сайте <needmonero90> есть точные временные рамки инцидента? <sgp_> binaryFate создал сообщение в Reddit и затем сразу отправил его мне через IRC. Также он поделился этой информацией в своём личном twitter аккаунте - DarkDotFail подключился <needmonero90> уже есть логи? <sgp_> needmonero90: я напишу точные временные рамки в конце разбирательства <needmonero90> хммм <sgp_> ссылка на Reddit: https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/ * needmonero90 согласился терпеливо подождать <monerobux> [REDDIT] Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. (self.Monero) | 270 points (98.0%) | 298 comments | Posted by binaryFate | Created at 2019-11-19 - 04:51:20 <sgp_> я вначале подумал, что это нереально, чтобы оказаться правдой. Я немедленно отправил соответствующие уведомления Blockfolio, CoinGecko и Delta. Также я создал пост из аккаунта Monero в Twitter <sgp_> обратите внимание, что хоть у меня и есть доступ к учетной записи Monero в Twitter, я не являюсь ее владельцем или сопровождающим лицом, тем более что созданный мною пост был, скорее, исключением из-за сложившихся обстоятельств <sgp_> я также связался и с другими модераторами из r/CryptoCurrency, которые согласились разместить информацию о данном инциденте <sgp_> ErCiccione написал объявление на сайте примерно через 14 часов после того, как появилась первая информация. Электронная рассылка Monero-announce сработала ориентировочно в то же время <sgp_> примерно через 12 часов после отправки сообщения Blockfolio у их новости на эту тему было порядка 14673 показов и 259 переходов. Сегодня у этого сообщения уже 25308 показа и 326 переходов <sgp_> тема на Reddit получила 300 голосов и около 300 комментариев <sgp_> twitter говорит, что первоначальный твит был показан 100918 раза <sgp_> большинство новостных сайтов подхватили эту историю, в их числе Naked Security, Crypto Briefing, The Next Web, Ars Technica, ZDNet, CoinGeek, Fossbytes, CoinTelegraph, Bleeping Computer, AMBCrypto, Bitcoinist, Coingape, Finder и Decrypt. <sgp_> есть несколько записей о содержимом вредоносного ПО: <sgp_> Bartblaze: https://bartblaze.blogspot.com/2019/11/monero-project-compromised.html <sgp_> serhack: https://serhack.me/articles/cli-binaries-compromised-monero-analysis/ <sgp_> Они оба пришли к пониманию, что вредоносный код был простым похитителем монет через мнемоническую фразу. KnifeOfPi подтвердил это определение <sgp_> Теперь перейдем к информации, которая размещена на сайте <sgp_> Я могу ответить на часть вопросов, которые могли у вас возникнуть, но я пока не могу ответить на *все вопросы*, в том числе на то, как именно был взломан сайт, у меня пока нет этой информации <sgp_> Специалисты по безопасности работают в ключе этого вопроса. В дополнение основная команда занимается анализом и поиском оставшихся «хвостов» - terminalator вышел (Причина: terminalator) <sgp_> загрузки обслуживаются двумя источниками: CDN и самим хранилищем. Двоичные файлы CDN не были затронуты, что, в свою очередь, подразумевает, что атака была произведена только на хранилище <sgp_> после взлома специалисты по безопасности временно отключили вход в систему с помощью окна загрузки DR на тот случай, если кто-то попытается взломать его опять. Преимущество этого метода состоит в том, что мы узнали, что из основного хранилища обычно проходит менее 10 загрузок в час <sgp_> я также могу поручиться, что 35 минут — это максимальное время, в течение которого файлы были доступны для скачивания. Мониторинг целостности файлов (FIM) был отключен за 35 минут до того, как автоматическая сборка инициировала восстановление и переключилась на резервный блок DR. Если злоумышленники заменили файлы сразу после этой процедуры, получается, что сайт был взломан в течение 35 минут <sgp_> Полная временная шкала: - jbb5959 подключился <sgp_> последняя запись в журнале FIM была создана в 16:04 UTC (10:04 CST) — файлы до этого момента не обслуживались <sgp_> соответствующий вопрос был открыт на Github в 16:21 UTC <sgp_> участник сообщества сообщил о проблеме администраторам сайта в 16:30 UTC <sgp_> fluffypony подключился в 16:40 UTC <sgp_> время, когда сайт был взломан, ориентировочно между 16:04 UTC и 16:40 UTC понедельник 18 ноября <sgp_> поскольку файлы были в открытом доступе в течение 35 минут, вероятно, что общее количество загрузок составило не более 10 скачиваний, часть из которых, по всей видимости, просто обновляли свои узлы, а не запускали кошельки <sgp_> *конец* <sgp_> у кого-нибудь есть вопросы или комментарии по поводу случившегося? К сожалению, я не смогу ответить на все ваши вопросы, но попытаюсь сделать всё возможное <M5M400> у меня только один вопрос — КАК? <needmonero90> специалисты по безопасности всё еще занимаются анализом <needmonero90> и более подробная информация появиться не раньше, чем они закончат <sgp_> M5M400: это главный вопрос, и у меня нет ответа на него <sgp_> Но я уверен, что скоро мы откроем этот «черный ящик» <DarkDotFail> Привет, Джастин! Что означает «DR»? <M5M400> аварийное восстановление <needmonero90> Аварийное восстановление <DarkDotFail> «вероятно, что общее количество загрузок составило не более 10 скачиваний» - полагаю, что это основано на каких-то записях в логах? Насколько вы уверены в этом? <sgp_> Меня безумно радует тот факт, что два участника сообщества сообщили о проблеме в течение 30 минут после ее обнаружения <M5M400> когда Пушистый загружал оригинальные файлы? В смысле сколько ему потребовалось времени с момента от загрузки до замены файла? - Supportoi подключился - el00ruobuob подключился <sgp_> DarkDotFail: мы не смогли выявить *аномального* всплеска количества загрузок (3+ загрузки за текущий период). Я уверен в предоставленных цифрах на 95% <Supportoi> Ещё какие-то новости? <HungryForAvo420> Есть ли в планах периодически проверять sha256 хеши? <sgp_> Там почти никогда не бывает больше, чем 10 загрузок / час <DarkDotFail> У кого есть доступ к серверу, и как вообще выглядит процесс предоставления кому-то доступа к серверу? <Supportoi> Я читал о взломе, ручаюсь, что это русские хакеры <sgp_> Supportoi: нет никаких доказательств этой информации <anhdres> возможно, что я дилетант в этом деле, но я считаю, что нам очень сильно повезло. Я имею в виду, что мы поняли это только потому, что кто-то, скачавший CLI, проверил хэш, а злоумышленники не догадались поменять хеши на сайте <Supportoi> я скачал этот ебучий cli <needmonero90> Изменение хэшей потребовало бы компрометации альтернативного хранилища <Supportoi> Я не заражен? <Supportoi> мои деньги не украдены <Supportoi> но я беспокоюсь о своем компьютере <sgp_> Supportoi: когда именно ты скачал cli? <anhdres> needmonero90, ok <Supportoi> 18-го <sgp_> DarkDotFail: У меня нет этого списка <sgp_> Supportoi: в какое именно время и какой у тебя часовой пояс? <DarkDotFail> что касается процесса предоставления доступа, как и кто решает, кто именно должен получить доступ? <needmonero90> Как можно меньше людей, насколько это возможно <Supportoi> хеш скачанного мной архива аналогичен хешу зараженных файлов <almutasim> Это хорошо, что изменение всех хэшей потребует взлома второго способа сборки <rehrar> DarkDotFail: инфраструктура getmonero размещена в Tari и Globee <xmrscott[m]> Supportoi: просто проверьте хеши скачанного архива и вы всё поймете <rehrar> детали нужно будет уточнять у них <anhdres> Есть ли способ, чтобы бот, помимо регулярной загрузки файлов, еще делал проверку всех хешей, чтобы убедиться, что они совпадают, и если что-то не так, он инициировал сигнал тревоги? <DarkDotFail> anhdres: Я сейчас работаю именно над этим <sgp_> anhdres: технически это возможно. Просто это всё будет выполнять служба, которая, вероятно, будет заблокирована как DoS-атака. <needmonero90> Да, это своего рода DOS-атака на сервере, вот если бы он был выполнен с постоянного IP-адреса... <Supportoi> Грёбаные русские хакеры - el00ruobuob_[m] вышел (Причина: Бездействие в течение 265 секунд) <anhdres> мммм... <sgp_> Есть даже определенное число пользователей, которые постоянно пытаются загрузить 55 гигабайтный образ blockchain.raw <M5M400> когда были загружены оригинальные файлы? то есть сколько времени у них ушло от первоначальной загрузки до замены? <needmonero90> Supportoi: я повторюсь, что ваше предположение ничем не обосновано <needmonero90> всё будет понятно после того, как закончится проверка <Supportoi> я читал новость про это на каком-то русском форуме <DarkDotFail> sgp_: Есть еще какие-то признаки того, как именно был взломан сервер? <sgp_> M5M400: Вы имеете в виду время между загрузкой «правильной версии» файлов 0.15 и их последующей компрометацией? <M5M400> sgp_: да <Supportoi> и еще я видел у них статью о взломе Monero <binaryFate> M5M400, вредоносные файлы были скомпилированы прямо в источнике, они не созданы на основе оригинальных, следовательно, что нет никого «времени загрузки файлов» <Supportoi> Вездесущие русские хакерыыыыы <sgp_> DarkDotFail: да, я могу сказать, что сайт был взломан, и пока у меня нет дополнительной информации о том, как именно <anhdres> хорошо, что это был не GUI, потому что его аудитория это менее технически-подкованные пользователи, и, следовательно, намного меньше шансов, что они проверяют хэш. Нам нужно соответствующее руководство, чтобы научить их этому <needmonero90> Supportoi: последнее предупреждение <DarkDotFail> sgp_: Все соответствующие инстанции были уведомлены об этом? <pizzaburger> Есть ли вероятность, что нападавшие преследовали совсем другую цель, а мы просто не поняли их скрытых мотивов? <PewPewPewPew> ^^ <M5M400> binaryFate: я пытаюсь оценить, насколько преднамеренной была эта атака... то есть если у них всё уже было готово и, возможно, уже какое-то время был доступ к сборщику, получается, что они просто выжидали момент загрузки новых файлов и затем быстро заменяли их... <sgp_> DarkDotFail: нет, мы пока не нашли подтверждений этого, и я повторюсь, что у меня нет дополнительной информации о текущем состоянии расследования, чтобы дать хоть какую-то конкретику <HungryForAvo420> есть какой-то лог, где отображены временные рамки, когда сборщик был выведен из эксплуатации? Если вы говорите, что CDN не был затронут, то мне интересно, как обстоят дела с самим хранилищем <needmonero90> Я хотел бы отметить, что атака получилась какой-то странной.... У них было так много возможностей... Которыми они не воспользовались (например, можно было заразить файлы GUI) <sgp_> pizzaburger: мы никогда не сможем узнать наверняка, каковы были их истинные мотивы, единственное, что мы знаем на данный момент, это то, что в архиве был найден относительно примитивный похититель монет, который был встроен в программное обеспечение кошелька <Supportoi> Я беспокоюсь о своей конфиденциальности... Я не программист, но кое-что понимаю и наслышан о программировании и общей концепции безопасности, и так как мой антивирус не обнаружил ничего подозрительного, я смело запустил этот файл <DarkDotFail> Как долго FIM успел проработать? Было ли что-то еще аномальное? <Supportoi> Я читал об этом на каком-то из форумов, там еще обсуждали зараженный файл <sgp_> DarkDotFail: Оу, я даже и не знаю, FIM был отключен злоумышленником <Supportoi> Кто-нибудь знает об этом что-то? <DarkDotFail> FIM когда-нибудь обнаруживал другие аномалии? <needmonero90> Supportoi: Это не имеет никакого отношения к текущему вопросу. Я попытаюсь уточнить это немного позже, спасибо <PlasmaPower> Я знаю, что вы еще не располагаете конкретной информацией о целях и умыслах злоумышленника, но каковы были потенциальные векторы атаки? Внутренняя угроза? Веб-сервер или, может, вообще SSH? <M5M400> needmonero90: это только мои мысли… я пытался понять, сколько времени им потребовалось, чтобы подменить файлы... но я так и не увидел ответа <sgp_> DarkDotFail: Я не знаю о тестовой среде, в которой его тестировали, но я знаю, что на актуальной версии сайта не было никаких других *аномалий* <DarkDotFail> Спасибо, понял <Supportoi> Я заплачу 50$ в XMR любому, кто сделает скриншот - Supportoi вышел (needmonero90 исключил Supportoi. Причина: Supportoi) - xmore подключился - Supportoi подключился <sgp_> M5M400: я не знаю, когда именно были загружены файлы 0.15, но думаю, что это можно будет выяснить - Supportoi вышел (Причина: Удаленный хост разорвал подключение) <sgp_> Другие вопросы? Еще раз, я прошу прощения, но я не знаю *всех* подробностей и нюансов, но я обязательно постараюсь всё выяснить <binaryFate> вот соответствующий пост в reddit: https://www.reddit.com/r/Monero/comments/dtt2j3/cli_v01500_carbon_chamaeleon_released/ <monerobux> [REDDIT] CLI v0.15.0.0 'Carbon Chamaeleon' released! (self.Monero) | 158 points (100.0%) | 64 comments | Posted by dEBRUYNE_1 | Created at 2019-11-09 - 07:55:00 <DarkDotFail> Я хочу поблагодарить Джастина и всю команду за оперативные мероприятия. Моя жалоба заключается в ключе скорости появления / обновлении какой-то информации на веб-сайте. Потребовалось более 14 часов, и я предлагаю (правда, еще не знаю как именно) как-то ускорить процесс вывода «Оповещений на веб-сайте» - jbb5959 вышел (Причина: Удаленный хост разорвал подключение) <M5M400> binaryFate: ага, а потом сами попробуем взломать его <rehrar> как по мне, это было самое *неочевидное* время, для того, чтобы устроить диверсию <xmrscott[m]> binaryFate: можно посмотреть историю getmonero в WebArchive <needmonero90> согласен, на такие случаи должна быть какая-то процедура, 14 часов очень много <ZaiRoX> Просто странно, почему они не стали дожидаться выхода GUI версии <M5M400> rehrar: зачем ждать 5 дней? <rehrar> я думаю, что они надеялись, что смогут поймать в свои сети «большую рыбку» <binaryFate> Согласитесь, обновление информации эта самая главная часть цепочки событий <M5M400> rehrar: да, скорее всего <anhdres> возможно, что следует посоветовать всем пользователям (в частности, новичкам) выжидать какой-то промежуток времени перед запуском свежескачанного архива? <needmonero90> Проверки хеша должно быть достаточно <needmonero90> ну и еще, конечно, подписи <sarang> через проверку подписи вы узнаете, что этот файл является именно тем, чем должен быть <rehrar> M5M400, вы имели в виду, зачем ждать 5 дней после выхода новой версии CLI? <needmonero90> Я думаю, что нужно просто перенаправить приоритет на обучение людей проверки подписи, вместо того чтобы заставлять их ждать несколько часов и надеяться, что кто-то заметит, что что-то не так <rehrar> если вы выпускаете новый релиз, вероятно, что подавляющее большинство пользователей его скачают и запустят, следовательно, они будут заражены <needmonero90> это просто моё мнение <sgp_> хотелось бы отметить, что сайт был взломан в очень «подходящее» время <M5M400> rehrar: действительно <sgp_> я про время суток <PlasmaPower> честно говоря, даже руководство по проверке подписи в Windows на сайте getmonero весьма сложное и запутанное <anhdres> хорошо, если делать выводы на основании этого «взлома», то получается, что подделать хеш для полного соответствия сумм с сайтом слишком сложно, верно? <M5M400> rehrar: Хорошо, что эта «большая рыбка» зачастую и является самой ленивой и производит обновление ПО в самый последний момент... <rehrar> PlasmaPower, я как раз говорил об этом с другим своим знакомым <sgp_> anhdres: логичнее проверять, что хэши не изменились <rehrar> Нам нужны отдельные руководства пользователя по проверке хеша и подписи для Linux, Mac и Windows <rehrar> тогда они не будут выглядеть так ужасно и запутанно <sgp_> rehrar: хорошо, это уже конкретный пункт для дальнейших действий <rehrar> Я недавно помогал человеку в Telegram с проверкой хэшей, когда я дал ему ссылку на инструкцию, он был в ужасе от количества страницы и требуемых команд - cbster подключился <anhdres> sgp_, needmonero90 : понял, спасибо <pizzaburger> Спасибо за информацию и вашу тяжелую работу! Удачи команде Monero! Пока-пока! <PlasmaPower> rehrar: руководство для Windows весьма длинное, хотя всё не так страшно, за исключением той части, где требуется работа с командной строкой <xmrscott[m]> что касается сроков, то домен был куплен 11/14. Можно было бы сопоставить факты и подумать, что дата атаки настолько близкая к дате покупки домена, подразумевает, что она не была преднамеренной, но это просто мои сумасшедшие мысли, и вообще лучше подождать официального отчета - bot-el00ruobuob подключился <M5M400> xmrscott[m]: Хм, я забыл про эту информацию о домене <justalurk3r> sgp_: Я тоже скачал скомпрометированные файлы. Если история моего браузера верна, значит, это произошло в 12:24 CET. - pizzaburger вышел (Причина: Удаленный хост разорвал подключение) <anhdres> Интересно, сколько бы стоило разрабатывать Monero-ориентированную программу для проверки хешей, которая не требовала бы установки и работала в фоновом режиме? <M5M400> sgp_: есть какая-то информация о том, какой именно хостинг-компании принадлежит зараженный ящик? <sgp_> M5M400: Я не знаю <PlasmaPower> anhdres: Я тоже думал об этом, но что если и этот файл будет скомпрометирован <needmonero90> Andrhes: что если они компрометируют и его? <needmonero90> Уф... <anhdres> ну, тогда просто добавим третий способ <sgp_> угу, и вредоносное программное обеспечение просто ответит на запрос проверки: «Я в полном порядке, вам определённо не стоит беспокоиться» <needmonero90> <cbster> Да, если бы всё это было так просто... И вообще, что помешает обойти программу? <anhdres> если использование хеша подразумевает, что всё «хорошо», то мы можем сделать то же самое и с приложением - pca подключился <sarang> В ключе полной гарантии может выступать только проверка хеша и подписи <needmonero90> ^ <sarang> хотя, проверка только одного хеша потенциально уязвима - mrpublic вышел (Причина: Бездействие в течение 276 секунд) <cbster> Согласен, но всё больше пользователей перестают пользоваться проверкой подписи <sarang> это заставляет задуматься <tevador> одним из положительных аспектов этого инцидента является то, что большинство пользователей теперь будут проверять хэш <M5M400> sgp_: есть ли какая-то общая нить (или связь) между теми, кто сейчас занят поиском злоумышленника по горячим следам и тем, кто, возможно, имел доступ к серверу? <rehrar> честно говоря... все пространство криптографии уже давно пора адаптировать под хороший UX GUI для проверки подписей и хешей <rehrar> и что бы его можно было использовать для проверки чего угодно <needmonero90> PGP всё так же хорош <anhdres> rehrar: Да, в этом есть смысл <needmonero90> ...не <sarang> однако это работает в том случае, если вы уверены, что хэшу можно доверять и они не были изменены <PlasmaPower> что насчёт ресурсов по типу GitHub? Их можно считать более безопасными, чем, например, загрузка файла с веб-сайта? или как вообще? Я не думаю, что они подписаны GPG (хотя сами теги - возможно) <sgp_> PlasmaPower: как по мне, то проще взломать аккаунт на Github <HungryForAvo420> Как насчёт бесповоротного перехода к GitLab? Я знаю, что MS владеет GitHub и уже были случаи, когда доступ к каким-то конкретным репозиториям был заблокирован <pca> Оу, я только что пришел, извините. Получается, что был взломан сервер или как? <tevador> а мы подписываем теги? <sgp_> HungryForAvo420: Monero уже частично использует Gitlab, но это уже другая тема для разговора <M5M400> pca: не совсем - usr-admin подключился <sgp_> в целях экономии времени я предлагаю двигаться дальше. Ответы на большинство вопросов вы сможете найти в соответствующей теме на Github - DarkDotFail вышел (Причина: Бездействие в течение 260 секунд) <rehrar> окей, спасибо, пока! <PlasmaPower> tevador: Я только что проверил, и да, по крайней мере последний тег был подписан, и большинство коммитов тоже подписаны - rehrar вышел (Причина: Удаленный хост разорвал подключение) <needmonero90> Спасибо, sgp_ <sgp_> lol <sgp_> ещё совсем немного <needmonero90> Оу, покойся с миром... <sgp_> это была только небольшая часть - el00ruobuob_[m] подключился <xmrscott[m]> крепись, nm90 <sgp_> сейчас пришло время делать «настоящую работу» * needmonero90 смущённо кивает <sgp_> 3. Введение процедуры чрезвычайной ситуации <M5M400> аааа... вы про большую красную кнопку? <sgp_> Я хотел бы представить проект по разработке формализованных процедур. Этот механизм должен помочь сообществу и дать чёткие пункты действий в случае возникновения другой (аналогичной) ситуации <anhdres2> ахахаха, все уже собрались по домам, а мы еще даже не начали <sgp_> https://github.com/monero-project/meta/issues/412 <sgp_> Мы можем использовать существующие ресурсы, такие как «Группа реагирования на уязвимости Monero» и «Рабочую группу по реагированию на вредоносное программное обеспечение Monero» <sgp_> я знаю, что у сообщества Monero есть большие опасения по поводу централизации, и эти опасения отчасти оправданы и должны быть тщательно учтены. Тем не менее многие считают, что это поможет организовать всестороннюю защиту. Мы не хотим заставлять людей строго следовать рекомендуемой процедуре, участие должно носить строго добровольный характер <sgp_> каждый может придерживаться своей точки зрения <sgp_> в настоящее время я группирую процедуры на тематические области: a) введение чрезвычайной ситуации, b) классификация тяжести, c) коммуникация (внутренняя и общественная), d) реакция на инцидент, e) тесты / аудиты, f) ключевые персонажи и их роли (включая заместителей) <sgp_> предлагаю пройтись по каждому из этих пунктов, что я привёл в качестве примера выше. Мы можем поговорить о том, какие процессы (даже неформальные) у нас уже есть и что бы вы добавили в регламент. Если вы чувствуете, что присутствует какие-то непонятные моменты или «тёмные пятна», пожалуйста, не забудьте напомнить мне о них, мы обязательно вернемся к ним <sgp_> a) введение чрезвычайной ситуации - _lza подключился - bot-el00ruobuob вышел (Причина: Бездействие в течение 240 секунд) <sgp_> в этом случае у нас не было подписанных сообщений о том, что «файлы скомпрометированы». Мы просто получили отчет о несовпадении хеша с нескольких аккаунтов. Что вы думаем по этому поводу? <sgp_> еще для размышления — что если люди хотят связаться с кем-то по поводу чрезвычайной ситуации, как вы представляете себе этот порядок / формализованный процесс? <needmonero90> очевидно, что люди, которые будут проверять подпись из текста предупреждения, также будут проверять подпись для скачанных файлов <PlasmaPower> вы рассматриваете ситуацию с точки зрения обычного пользователя, проверяющего свои файлы, или участника команды Monero? - el00ruobuob вышел (Причина: Бездействие в течение 265 секунд) <needmonero90> всё очевидно <M5M400> меньше всего беспокоюсь о «поддельных новостях», чем о самом времени отклика на инцидент <anhdres2> согласен <cbster> согласен с вами, даже если бы и была какая-то ложная тревога, то я не вижу какого-то серьезного ущерба от неё <sgp_> needmonero90: есть ли определённые условия, когда лично вы готовы сказать: «постойте, мне нужна дополнительная проверка»? - usr-admin вышел (Причина:WeeChat 1.9.1) <sgp_> ложные оповещения и новости весьма непрофессиональны и могут нанести вред самому проекту - usr-admin подключился <ArticMine> При условии, что для обеспечения защиты используется децентрализация - usr-admin теперь известен как bot-el00ruobuob <needmonero90> Если бы этот человек был мне очень хорошо знаком, тогда нет, я бы не стал как-то проверять его слова. В том случае, если я первый читаю что-то в ключе экстренной ситуации от незнакомого мне человека, конечно, я бы вручную проверил подпись <xmrscott[m]> Не мешало бы обзавестись открытыми ключами основной команды getmonero <needmonero90> «Личная сеть доверия» работает намного быстрее и эффективнее, чем все эти подписи <sgp_> действительно, есть такое <needmonero90> И это то, на что нужно делать приоритет <xmrmatterbridge><cff97476> всем привет <needmonero90> если есть вопросы, нужно их обсудить здесь и сейчас <sgp_> Я получил сообщение от binaryFate и уже через 2 минуты написал соответствующий новостной пост <xmrmatterbridge><cff97476> есть какие-то новости? <needmonero90> Да, через минуту после того, как я получил твоё сообщение, я уже закреплял его в reddit канале - bot-el00ruobuob вышел (Пользователь закрыл приложение) <sgp_> cff97476: прокрутите вверх и сможете найти основную часть обсуждения - usr-admin подключился - usr-admin теперь известен как bot-el00ruobuob <sgp_> полагаю, что в этом отношении у нас нет вопросов <M5M400> +1 <sgp_> действительно, зачем придумывать что-то, что может замедлить передачу важной информации <cbster> + <sgp_> ок, второй вопрос <needmonero90> Ложные срабатывания лучше, чем отложенные последствия <ArticMine> Да, согласен <sgp_> у нас есть какой-то алгоритм на эти случаи? с кем люди должны связаться? <sgp_> как тому, кто обнаружил что-то подозрительное или явную проблему, инициализировать процесс обращения? <binaryFate> Я не думаю, что мы можем услышать от большинства пользователей то, что-то не так. Это можно сравнить с тем, как программисты находят ошибки, которые техники попросту не замечают и считают обыденностью - fiachdubh подключился <sgp_> я уверен, что в случае обнаружения какой-то ошибки, *матёрые* члены сообщества Monero откроют соответствующий вопрос на Github или спросят о проблеме в IRC <cbster> Моей первой мыслью было бы обратиться за помощью на Reddit, но не все знают про него <sgp_> первый человек, который начал бить тревогу в этом случае, сделал это именно через Github <anhdres2> я бы обратился в первую очередь за помощью на Reddit, и я далеко не технически подкованный пользователь <needmonero90> Я полагаю, что независимо от того, где бы ни был задан вопрос (irc, github, gitlab, reddit), о нём довольно скоро узнают всё <needmonero90> у нас есть очень много *тихонь* <needmonero90> и тех, кто просто *наблюдает со стороны* <cbster> можно добавить на сайт раздел, разъясняющий, что делать в чрезвычайной ситуации <binaryFate> Я думаю, что первая мысль пользователя будет совсем другой, большинство не станет пытаться разобраться в ошибке и, скорее всего, после нескольких безуспешных попыток подумает, что это именно они где-то допустили ошибку <cbster> Да, действительно, это вариант, или отдельный канал в irc / reddit с подробными комментариями - bot-el00ruobuob вышел (Пользователь закрыл приложение) <sgp_> да, что-то можно разместить в Readme на GitHub <cbster> с другой стороны, это может привести к ложным тревогам, не все смогут грамотно классифицировать чрезвычайную ситуацию <sgp_> я скажу больше, что большинство пользователей будут сообщать о ложных тревогах, когда столкнутся с трудностями <PlasmaPower> это может создать отдельный поток ложных ситуаций и срабатываний <PlasmaPower> sgp_, вы описали моё видение ситуации - OWLHACKATHON подключился <ArticMine> да, и лучше сразу на нескольких платформах <almutasim> ложные тревоги имеют свою цену <M5M400> binaryFate: согласен <binaryFate> Я считаю, что более важно иметь четко отлаженный процесс реагирования внутри команды <M5M400> +1 <ArticMine> +1 <OWLHACKATHON> привет мир <PewPewPewPew> Можно ли предположить, что если кто-то снова обнаружит аналогичную проблему, он будет достаточно технически подкованным, чтобы сообщить о ней через git или irc <sgp_> должны ли мы еще раз рассказать всем пользователям, что в случае возникновения проблем они должны обращаться в #monero? <M5M400> PewPewPewPew: нет <needmonero90> разве они еще не знают это? <cbster> Думаю, что это логично <cbster> или наоборот — нелогично (выбрать и подчеркнуть нужное) <needmonero90> Заставлять людей использовать IRC это то еще преступление... <sgp_> needmonero90: нужно просто объяснить, что в канале #monero вам помогут с любой возникшей проблемой <needmonero90> В этом что-то есть <needmonero90> Да, думаю так и поступим - needmonero90 вышел <sgp_> как быть в ситуации, когда это майнинговый пул или какой-то сервис? - needmonero90 подключился - ChanServ установил режим: +o needmonero90 <needmonero90> Ой <OWLHACKATHON> пусть приходят в #churchofmonero - needmonero90 установил режим: -v OWLHACKATHON <binaryFate> рабочий вариант, но большинство людей никогда не видело в глаза IRC клиент - Guest28 вышел (Причина: Удаленный хост разорвал подключение) <cbster> Это просто вариант, мы могли бы организовать несколько каналов связи <cbster> да и вообще IRC – отличное место <needmonero90> binaryFate: у нас есть ссылка для запуска каналов через kiwiirc <sgp_> согласен, человек должен думать нестандартно, чтобы заметить такое отклонение в ходе работы программы, как повторный ввод пароля <needmonero90> Webirc <needmonero90> никаких загрузок или учетных записей <_XeN_> я люблю IRC =) <binaryFate> не забывайте, что мы просто даём рекомендации, а не заставляем им следовать <sgp_> binaryFate: конечно нет, мы просто хотим, чтобы людям было проще понять, что они должны делать в таких ситуациях <sgp_> Что-нибудь еще для а)? <PlasmaPower> в r/Monero есть много сообщений от людей, которые потеряли свои средства из-за того, что столкнулись с фальшивым веб-кошельком или сайтом, поэтому я не думаю, что создавать новый пост из-за того, что у кого-то что-то не получилось, хорошая идея. А вот IRC — напротив, весьма удобен для таких целей - OWLHACKATHON вышел (Причина: Удаленный хост разорвал подключение) <cbster> да, как вариант - fluffyunicorn подключился <sgp_> b. классификация тяжести <sgp_> какой мы должны использовать приоритет: низкий, средний, высокий или как? Есть мысли? <fluffyunicorn> ВСЯ ВАША ИНФОРМАЦИЯ ТЕПЕРЬ ПРИНАДЛЕЖИТ СОВАМ! <fluffyunicorn> > )> <fluffyunicorn> ЧТОЖЖЖЖЖ <needmonero90> Эм <needmonero90> Вы ошиблись каналом? Тут проходит встреча <fluffyunicorn> Я ЗДЕСЬ ДЛЯ ТОГО, ЧТОБЫ ВЗЛОМАТЬ ВАС
<xmrscott[m]> (Извините, что не посмотрел заранее, может, стоит использовать процесс эскалации из Tails / Qubes) - needmonero90 установил режим: +b fluffyunicorn!*@* - fluffyunicorn вышел (needmonero90 исключил fluffyunicorn. Причина: fluffyunicorn) <needmonero90> я заблокирую этого хулигана после встречи <sgp_> xmrscott[m]: да, можно подсмотреть, что делают другие проекты в таких ситуациях <sgp_> эти классификации весьма распространены в других проектах <cbster> Я думаю, что низкий, высокий и критический дают более понятный акцент <sgp_> мы используем такие классификации в ключе HackerOne <sgp_> Есть ли кто-нибудь, кто считает эту классификацию ненужной? - satoshinakamoto подключился - satoshinakamoto вышел (Причина: Удаленный хост разорвал подключение) - ksf22 вышел (Причина: Бездействие в течение 252 секунд) <binaryFate> какова цель? Создание соответствующей новости? или внутренний приоритет, пока мы работаем над проблемой? <sgp_> binaryFate: зависит от того, как он используется. Возможно всестороннее применение - satoshijnakamoto подключился <sgp_> как вы себе это представляете? <anhdres2> меняются ли классификации от того, в каких каналах они используются? или это носит только информативный характер? <cbster> Я думаю, что они должны быть стандартными на всех доступных платформах <binaryFate> Я не вижу в этом смысла, просто потому что эти инциденты единичны - needmonero90 установил режим: +b *!18cdb83a@gateway/web/cgi-irc/kiwiirc.com/ip.24.205.184.58 <sgp_> anhdres2: скорее всего <anhdres2> например, критический уровень ретранслировать во все возможные каналы, а низкий - только в reddit <cbster> Имейте в виду, что Monero развивается семимильными шагами, и возможно, что инциденты станут носить массовый характер - satoshijnakamoto вышел (needmonero90 исключил satoshijnakamoto. Причина: satoshijnakamoto) - el00ruobuob подключился <sgp_> действительно, это случает настолько редко, что никогда ранее <xmrscott[m]> Если это используется для эскалации, пользователи могут определить неправильный флаг важности для данного события <PlasmaPower> У кого-нибудь есть пример чрезвычайной ситуации с низкой степенью серьезности? <anhdres2> в точности! - TheoStorm подключился <PlasmaPower> но я не совсем уверен, как классифицировать аварийную ситуацию низкой важности, даже если предположить, что мы не берём в расчёт сторонние сервисы <anhdres2> *желтые* предупреждения зачастую используются для классификации тривиальных проблем - boogie73 подключился <anhdres2> красные предупреждения означают, что средства могут быть в опасности <anhdres2> это как вариант - asymptotically подключился <sgp_> возможно, что-то низкий приоритет будет доминировать, как в случае добавления RingCT, где блоки были переполнены <sgp_> нет опасности возможной атаки, просто ухудшается работа сети - el00ruobuob_[m] вышел (Причина: Бездействие в течение 265 секунд) <anhdres2> да, что-то подобное - cbster вышел <binaryFate> это всё немного другое <sgp_> если нет других комментариев по этому пункту, мы можем перейти к c) <ArticMine> Это просто хорошее прикрытие <sgp_> c. коммуникация (внутренняя и общественная) <sgp_> это про стандарты связи и внутренние процессы <sgp_> Например: все ли мы должны быть доступны на одной определенной платформе (большинство пользователей не хотят использовать IRC) <sgp_> как вариант — использование таких сервисов, как Twitter, Reddit, Blockfolio <needmonero90> Я вообще всегда доступен для пинга, даже когда сплю, поэтому я могу ответить всегда, когда что-то случается * needmonero90 подумывает над идеей брать плату за такую *доступность*... <sgp_> на этот раз мы потратили слишком много времени, чтобы создать соответствующий пост на сайте и еще на рассылку из списка monero-announce - cbster подключился <M5M400> да, сайт должен быть приоритетом <asymptotically> !tip needmonero90 0.001 <tippero> перевёл для пользователя needmonero90 1 millinero (0.001 Monero) - boogie73 вышел (Причина: Удаленный хост разорвал подключение) - HungryForAvo420 вышел <binaryFate> внутреннее общение между членами сообщества для решения проблемы сработало как никогда эффективно <sgp_> Есть ли другие платформы, которые мы забыли? <xmrscott[m]> нужен какой-то *КПП* для таких сообщений <M5M400> это обычное промедление... думаю, что все согласятся, что обновления на сайте должны иметь высокий приоритет по умолчанию <needmonero90> Ваша доброта не будет забыта <xmrscott[m]> предыдущее сообщение было кем-то предварительно утверждено? <binaryFate> нам нужен конкретный график событий <xmrscott[m]> точно <sgp_> мы можем встроить системы уведомлений для Cake Wallet, Monerujo и т. д.? <xmrscott[m]> (лучше обсудить это после встречи) <needmonero90> Я думал, что мы отключили автоматическое обновление сайта <needmonero90> мы просто долго решались <needmonero90> но как только всё было утверждено, мы сразу опубликовали новость <sgp_> именно поэтому этот процесс важен для нас, это даст нам контрольный список, чтобы помочь сработать в другой раз оперативнее <asymptotically> sgp_: Раньше в bitcoin-qt была встроенная система уведомлений, но зачем-то она была удалена <M5M400> sgp_: как система аварийного оповещения, которая с минимальными задержками ретранслирует события в сеть? <anhdres2> sgp_, не совсем понимаю, но ведь это добавит определённый централизованный элемент <cbster> Я думаю, что встроенные системы уведомлений весьма разумны, но их использование ограничено, так как те, кого это касается, вероятно, не используют их (потому что они уже загрузили кошелек) <xmrscott[m]> Встроенные уведомления добавляют вектор атаки <M5M400> Да, что-то вроде суперсистемы FUD <cbster> я бы не был так уверен в работоспособности этой системы <PlasmaPower> Bitcoin уже на пенсии: https://en.bitcoin.it/wiki/Alert_system <sgp_> PlasmaPower: спасибо за ссылку <xmrscott[m]> что-то из разряда «Эй, ваш кошелек взломан, загрузите обновление по этой ссылке (вредоносной)» <PlasmaPower> cbster: да, хотя, например, атака связывания может быть полезной <cbster> Я думаю, что вы правы, это больше добавляет возможных векторов для атак, чем пользы - el00ruobuob_[m] подключился <sgp_> хорошо, никаких дополнительных платформ / служб не будет добавлено, продолжайте думать о лучших способах взаимодействия и контактирования с участниками <sgp_> *это всё, что мне приходит сейчас на ум <sgp_> d. реакция на инцидент <M5M400> Я хотел бы взглянуть на этот список рассылки. У кого еще есть доступ к почте, кроме Пушистого? <sgp_> M5M400: хороший вопрос, я не знаю <binaryFate> Каждый может публиковать сообщения, но электронные письма утверждаются на индивидуальной основе (через pigeon и Пушистого) <M5M400> думаю, что это хороший способ оповещения, но от этого не будет никакой пользы, если уведомления отправляются на день или два позже <binaryFate> просто в этот раз между мной и Пушистым получилось недоразумение. Он думал, что я сам отправлю сообщение, я думал, что он - el00ruobuob вышел (Причина: Бездействие в течение 256 секунд) <binaryFate> (У меня не было доступа к моему PGP ключу) <M5M400> справедливо <sgp_> примером процесса коммуникации, который должен помогать в таких ситуация, является конкретное закрепление определенных задач за людьми <PlasmaPower> существует ли еще какое-то решение для «реакции на инцидент» помимо прямой связи? - sinaptik подключился <sgp_> PlasmaPower: хороший сегвей - bot-el00ruobuob подключился <sgp_> как вариант, можно рассмотреть привлечение независимых экспертов - cbster вышел <M5M400> sgp_: Обычно независимые эксперты оценивают ущерб безопасности, чтобы свести к минимуму риск того, что скомпрометированные объекты будут участвовать в расследовании <sgp_> правильно, как мы можем сделать это, не выписав чек Deloitte на 10 миллионов долларов? <M5M400> следовательно, мы возвращаемся к моему вопросу, что если люди, которые ведут расследование, причастны к инциденту и просто подчищают следы в ходе расследования? <asymptotically> лучше выпишите мне чек на 9 миллионов долларов <needmonero90> я согласен и на 8 миллионов <M5M400> sgp_: скорее, это вопрос на все 8 миллионов <PlasmaPower> Будет ли это всё применимо в ключе RCE для протокола? Я не уверен, насколько *полезным* окажется это расследование, кроме как попытки установить личность злоумышленника <needmonero90> я подразумеваю делегирование <binaryFate> Я не считаю этот вариант жизнеспособным или полезным в такой чрезвычайной ситуации. Может быть, только если в ключе самого расследования. Какие еще фирмы (и на какие средства?)…. Займитесь делом и помогите в ключе решения реальной проблемы <PlasmaPower> тоже верно <sgp_> binaryFate: правильно, поэтому я рассматриваю все варианты <binaryFate> Поскольку мы не являемся большой компанией или корпорацией и у нас нет круглосуточной службы поддержки, я думаю, что мы должны реально сосредоточиться на самих процедурах. У нас нет ответственных в ключе какой-то проблемы, следовательно, у нас нет *узкого места*, если сейчас кто-то оффлайн или спит <M5M400> sgp_: внутреннее распределение обязанностей внутри сообщества будет началом <sgp_> M5M400: можете немного уточнить? <M5M400> назначение аналитических и криминалистических рабочих групп <binaryFate> Сопоставление текущих возможностей (в основном для обновления сайта) было бы хорошим началом. Какие процессы потребуются для каждого из этапов, и у кого есть разрешения на их исполнение? <sgp_> binaryFate: чертовски верное замечание <sgp_> и всё равно странно, что они не стали дожидаться GUI <PlasmaPower> нужно создать документацию и держать ее на виду <M5M400> не уверен, как это вообще организовано и работает сейчас... но из предыдущих разговоров я понял, что непонятно, кто вообще имеет доступ к серверу (возможен такой вариант, что доступ есть у нескольких человек) <PlasmaPower> вы хотите предоставить злоумышленникам руководство о том, как конкретно нужно действовать? <M5M400> PlasmaPower: очень сложно провести черту для круга доверия в проекте с открытым исходным кодом <M5M400> любой на этой встрече может быть потенциальным злоумышленником <sgp_> M5M400: Я согласен, всё весьма стандартно, нужно поддерживать коммуникацию - xiphon вышел (Причина: Бездействие в течение 240 секунд) <PlasmaPower> M5M400: любой, у кого есть доступ на github, может быть злоумышленником <sgp_> какие-либо другие комментарии? мы вернемся к этому пункту позже <sgp_> e. регулярные тесты / аудиты <sgp_> в идеале мы должны отлаживать уже существующие процессы и предлагать способы их улучшения <sgp_> именно поэтому в школах проводятся пожарные учения <binaryFate> Я хочу подчеркнуть, что люди, которые доверяют друг другу и заходят в IRC-канал, чтобы обсудить сложившуюся ситуацию, остаются, безусловно, наиболее *эффективным процессом* для принятия каких-то решений. Я считаю, что нужно устранить потенциальные узкие места, а именно такие, как попытки руководить этим самым процессом принятия решений <binaryFate> Ладно, мне нужно идти, sgp_ , спасибо за встречу <sgp_> binaryFate: спасибо, что пришли <M5M400> +1 за устранение этих *узких мест* <sgp_> я еще не знаю, как именно это будет выглядеть, но в идеале я бы создал еще одну рабочую группу <sgp_> хорошо, все молчат, двигаемся дальше <sgp_> f. ключевые персонажи и их роли (включая заместителей) <sgp_> это проект с открытым исходным кодом, здесь не платят за какую-то работу, поэтому всё основывается на энтузиазме и инициативе участников <M5M400> что касается пожарных учений... мы могли бы периодически проводить «тестовые учения» с какими-то простыми заданиями (куда-то перейти или что-то скачать) и таким образом проверять насколько это работает <sgp_> нужно составить список первостепенных и дополнительных контактов <M5M400> что-то я промедлил, извините <needmonero90> Одним из вариантов решений этой проблемы является создание соответствующей роли * needmonero90 подкладывает бумажку со своим именем в шляпу <sgp_> needmonero90: я дам вам $1 <needmonero90> <needmonero90> я составлю требования к кандидату <sgp_> было бы здорово <sgp_> например: Джастин является ответственным по связям с Blockfolio, Twitter и т. д. <sgp_> ещё мысли? Нужно заканчивать встречу - el00ruobuob подключился <M5M400> роли будут где-то опубликованы? - bot-el001 подключился <sgp_> M5M400: я рекомендую оглашать их только доверенному кругу лиц <sgp_> дайте людям только то, что им действительно нужно <sgp_> g. ваши мысли и возникшие вопросы <sgp_> если у вас есть какие-то темы, которые, по вашему мнению, не были затронуты, или другие моменты, которые требуют уточнения, пожалуйста, дайте нам знать <M5M400> тишина... <ArticMine> Я бы поднял вопрос о пост-инцидентном отчёте <M5M400> да <asymptotically> уже опубликовано «посмертное вскрытие» того, как именно файл оказался на сайте? <M5M400> вначале нужно закончить экспертизу <asymptotically> спасибо, что ответили на мой вопрос - bot-el00ruobuob вышел (Причина: Бездействие в течение 240 секунд) <M5M400> напрашивается вопрос, что сделает DR хост менее уязвимым? <needmonero90> у меня всё <ArticMine> Да, только ужесточение процесса проверки файлов - el00ruobuob_[m] вышел (Причина: Бездействие в течение 262 секунд) - anhdres вышел (Причина: Бездействие в течение 265 секунд) <ArticMine> или как ранее предлагал rehrar <ArticMine> верификация ВСЕХ файлов без исключения <M5M400> я подумаю над этим <sgp_> ArticMine: Мне нечего добавить <sgp_> Что-то еще? <sgp_> 4. Ключевые моменты <sgp_> я соберу все рекомендации в один документ и поделюсь его черновиком <sgp_> после публикации, пожалуйста, не стесняйтесь и прокомментируйте его <sgp_> пожалуйста, подумайте о конкретно своей роли во всём этом и где бы вы бы чувствовали себя наиболее комфортно <sgp_> rehrar уже озвучивал ключевые моменты в самом начале встречи <sgp_> самый главный ключевой момент — это определить, у кого есть доступ к серверу getmonero <sgp_> что-то еще? <ArticMine> еще обновление руководства пользователя по проверке подписи и хеша <xmrmatterbridge><rehrar> Господи! Вы еще здесь? <sgp_> окей, добавил в заметки <sgp_> rehrar, мы почти закончили <xmrscott[m]> и сделайте упоминание, почему получилась такая задержка между событием и новостью на сайте <sgp_> xmrscott[m]: хорошо, я сделаю наглядный график с временными отметками <sgp_> у вас есть последний шанс что-то сказать <sgp_> 5. Заключение - _lza вышел (Причина: Бездействие в течение 260 секунд) <sgp_> Спасибо, что приняли участие в этой чрезвычайно важной встрече <almutasim> Спасибо <M5M400> thx <sgp_> Я очень рад, что так много людей откликнулись и пришли на эту встречу, нам определённо есть над чем работать - sinaptik вышел (Причина: WeeChat 2.6) <sgp_> увидимся позже! Всем большое спасибо! Источник: Emergency Response Process and Compromised Binaries Post-Mortem Meeting: 22 November 2019 23:00 UTC #413 Перевод: Unholy (@Unholy) Редактирование: Mr. Pickles (@v1docq47) Коррекция: Kukima (@Kukima)