Перевод Журнал встречи посвященный процессу реагирования на чрезвычайные ситуации от 2019-11-22

Тема в разделе "Журналы о Monero", создана пользователем Unholy, 30 ноя 2019.

  1. Unholy

    Unholy Well-Known Monerano

    Регистрация:
    6 мар 2018
    Сообщения:
    120
    Симпатии:
    10
    Место проведения:

    Freenode | Mattermost | Slack | Irc2P

    Пожалуйста, проверьте ретрансляцию сообщений незадолго до использования. Если есть какие-либо проблемы, пожалуйста, используйте Freenode IRC напрямую.
    • #monero-community
    Время проведения:

    23:00 UTC
    17:00 CST (Chicago)

    Используйте этот конвертер часового пояса, чтобы преобразовать UTC в ваш часовой пояс.

    Предлагаемые пункты встречи:

    Эта встреча должна стать камнем преткновения в ключе #412, а также внести ясность в ключе скомпрометированных двоичных файлов и взлома веб-сайта.
    1. Вступление
    2. Приветствие
    3. Сайт скомпрометирован: факты и обзор
    4. Запуск аварийной процедуры
      a. введение процедуры чрезвычайной ситуации
      b. классификация тяжести
      c. коммуникация (внутренняя и общественная)
      d. реакция на инцидент
      e. регулярные тесты / аудиты
      f. ключевые персонажи и их роли (включая заместителей)
      g. ваши мысли и вопросы
    5. Ключевые моменты
    6. Заключение
    Журнал встречи:

    <sgp_>
    Добро пожаловать на процесс экстренного реагирования и «вскрытия» скомпрометированных двоичных файлов. Сегодня мы обсудим и поделимся информацией, которой владеем на данный момент, и представим идеи по более эффективному реагированию на чрезвычайные ситуации в будущем
    <sgp_> Сегодня мы собираемся неприлично поздно, спасибо, что пришли в столь поздний час
    <sgp_> 1. Приветствия
    <needmonero90> Привет!
    <M5M400> Servus!
    <rehrar> h'lo
    <binaryFate> hi
    <pizzaburger> Добрый день!
    <anhdres2> hola!
    <mrpublic> утречко'
    <xmrmatterbridge><intj440> Привет
    <needmonero90> Самый Пушистый сегодня с нами?
    <sgp_> Добро пожаловать всем! Есть много того, что стоит обсудить. Нам следует уважать тех, кто не спит и присутствует сегодня с нами
    - Almutasim вышел (Причина: Удаленный хост разорвал подключение)
    <sgp_>
    https://github.com/monero-project/meta/issues/413
    - almutasim подключился
    <sgp_>
    2. Сайт скомпрометирован: факты и обзор
    <el00ruobuob_[m]> Hi
    <ArticMine> hi
    <sgp_> у нас слишком много сообщений, которые описывают ситуацию
    <almutasim> Привет
    <sgp_> Вот краткий график событий, которые произошли в начале этой недели:
    <sgp_> Соответствующее сообщение в блоге: https://getmonero.org/2019/11/19/warning-compromised-binaries.html
    <sgp_> 18 ноября в понедельник в течение приблизительно ~35 минут двоичные файлы CLI были скомпрометированы
    <sgp_> Злоумышленники не стали менять хэш на сайте
    <needmonero90> есть точные временные рамки инцидента?
    <sgp_> binaryFate создал сообщение в Reddit и затем сразу отправил его мне через IRC. Также он поделился этой информацией в своём личном twitter аккаунте
    - DarkDotFail подключился
    <needmonero90>
    уже есть логи?
    <sgp_> needmonero90: я напишу точные временные рамки в конце разбирательства :)
    <needmonero90> хммм
    <sgp_> ссылка на Reddit: https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
    * needmonero90 согласился терпеливо подождать
    <monerobux>
    [REDDIT] Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. (self.Monero) | 270 points (98.0%) | 298 comments | Posted by binaryFate | Created at 2019-11-19 - 04:51:20
    <sgp_> я вначале подумал, что это нереально, чтобы оказаться правдой. Я немедленно отправил соответствующие уведомления Blockfolio, CoinGecko и Delta. Также я создал пост из аккаунта Monero в Twitter
    <sgp_> обратите внимание, что хоть у меня и есть доступ к учетной записи Monero в Twitter, я не являюсь ее владельцем или сопровождающим лицом, тем более что созданный мною пост был, скорее, исключением из-за сложившихся обстоятельств
    <sgp_> я также связался и с другими модераторами из r/CryptoCurrency, которые согласились разместить информацию о данном инциденте
    <sgp_> ErCiccione написал объявление на сайте примерно через 14 часов после того, как появилась первая информация. Электронная рассылка Monero-announce сработала ориентировочно в то же время
    <sgp_> примерно через 12 часов после отправки сообщения Blockfolio у их новости на эту тему было порядка 14673 показов и 259 переходов. Сегодня у этого сообщения уже 25308 показа и 326 переходов
    <sgp_> тема на Reddit получила 300 голосов и около 300 комментариев
    <sgp_> twitter говорит, что первоначальный твит был показан 100918 раза
    <sgp_> большинство новостных сайтов подхватили эту историю, в их числе Naked Security, Crypto Briefing, The Next Web, Ars Technica, ZDNet, CoinGeek, Fossbytes, CoinTelegraph, Bleeping Computer, AMBCrypto, Bitcoinist, Coingape, Finder и Decrypt.
    <sgp_> есть несколько записей о содержимом вредоносного ПО:
    <sgp_> Bartblaze: https://bartblaze.blogspot.com/2019/11/monero-project-compromised.html
    <sgp_> serhack: https://serhack.me/articles/cli-binaries-compromised-monero-analysis/
    <sgp_> Они оба пришли к пониманию, что вредоносный код был простым похитителем монет через мнемоническую фразу. KnifeOfPi подтвердил это определение
    <sgp_> Теперь перейдем к информации, которая размещена на сайте
    <sgp_> Я могу ответить на часть вопросов, которые могли у вас возникнуть, но я пока не могу ответить на *все вопросы*, в том числе на то, как именно был взломан сайт, у меня пока нет этой информации
    <sgp_> Специалисты по безопасности работают в ключе этого вопроса. В дополнение основная команда занимается анализом и поиском оставшихся «хвостов»
    - terminalator вышел (Причина: terminalator)
    <sgp_>
    загрузки обслуживаются двумя источниками: CDN и самим хранилищем. Двоичные файлы CDN не были затронуты, что, в свою очередь, подразумевает, что атака была произведена только на хранилище
    <sgp_> после взлома специалисты по безопасности временно отключили вход в систему с помощью окна загрузки DR на тот случай, если кто-то попытается взломать его опять. Преимущество этого метода состоит в том, что мы узнали, что из основного хранилища обычно проходит менее 10 загрузок в час
    <sgp_> я также могу поручиться, что 35 минут — это максимальное время, в течение которого файлы были доступны для скачивания. Мониторинг целостности файлов (FIM) был отключен за 35 минут до того, как автоматическая сборка инициировала восстановление и переключилась на резервный блок DR. Если злоумышленники заменили файлы сразу после этой процедуры, получается, что сайт был взломан в течение 35 минут
    <sgp_> Полная временная шкала:
    - jbb5959 подключился
    <sgp_>
    последняя запись в журнале FIM была создана в 16:04 UTC (10:04 CST) — файлы до этого момента не обслуживались
    <sgp_> соответствующий вопрос был открыт на Github в 16:21 UTC
    <sgp_> участник сообщества сообщил о проблеме администраторам сайта в 16:30 UTC
    <sgp_> fluffypony подключился в 16:40 UTC
    <sgp_> время, когда сайт был взломан, ориентировочно между 16:04 UTC и 16:40 UTC понедельник 18 ноября
    <sgp_> поскольку файлы были в открытом доступе в течение 35 минут, вероятно, что общее количество загрузок составило не более 10 скачиваний, часть из которых, по всей видимости, просто обновляли свои узлы, а не запускали кошельки
    <sgp_> *конец*
    <sgp_> у кого-нибудь есть вопросы или комментарии по поводу случившегося? К сожалению, я не смогу ответить на все ваши вопросы, но попытаюсь сделать всё возможное
    <M5M400> у меня только один вопрос — КАК?
    <needmonero90> специалисты по безопасности всё еще занимаются анализом
    <needmonero90> и более подробная информация появиться не раньше, чем они закончат
    <sgp_> M5M400: это главный вопрос, и у меня нет ответа на него
    <sgp_> Но я уверен, что скоро мы откроем этот «черный ящик»
    <DarkDotFail> Привет, Джастин! Что означает «DR»?
    <M5M400> аварийное восстановление
    <needmonero90> Аварийное восстановление
    <DarkDotFail> «вероятно, что общее количество загрузок составило не более 10 скачиваний» - полагаю, что это основано на каких-то записях в логах? Насколько вы уверены в этом?
    <sgp_> Меня безумно радует тот факт, что два участника сообщества сообщили о проблеме в течение 30 минут после ее обнаружения
    <M5M400> когда Пушистый загружал оригинальные файлы? В смысле сколько ему потребовалось времени с момента от загрузки до замены файла?
    - Supportoi подключился
    - el00ruobuob подключился
    <sgp_>
    DarkDotFail: мы не смогли выявить *аномального* всплеска количества загрузок (3+ загрузки за текущий период). Я уверен в предоставленных цифрах на 95%
    <Supportoi> Ещё какие-то новости?
    <HungryForAvo420> Есть ли в планах периодически проверять sha256 хеши?
    <sgp_> Там почти никогда не бывает больше, чем 10 загрузок / час
    <DarkDotFail> У кого есть доступ к серверу, и как вообще выглядит процесс предоставления кому-то доступа к серверу?
    <Supportoi> Я читал о взломе, ручаюсь, что это русские хакеры
    <sgp_> Supportoi: нет никаких доказательств этой информации
    <anhdres> возможно, что я дилетант в этом деле, но я считаю, что нам очень сильно повезло. Я имею в виду, что мы поняли это только потому, что кто-то, скачавший CLI, проверил хэш, а злоумышленники не догадались поменять хеши на сайте
    <Supportoi> я скачал этот ебучий cli
    <needmonero90> Изменение хэшей потребовало бы компрометации альтернативного хранилища
    <Supportoi> Я не заражен?
    <Supportoi> мои деньги не украдены
    <Supportoi> но я беспокоюсь о своем компьютере
    <sgp_> Supportoi: когда именно ты скачал cli?
    <anhdres> needmonero90, ok
    <Supportoi> 18-го
    <sgp_> DarkDotFail: У меня нет этого списка
    <sgp_> Supportoi: в какое именно время и какой у тебя часовой пояс?
    <DarkDotFail> что касается процесса предоставления доступа, как и кто решает, кто именно должен получить доступ?
    <needmonero90> Как можно меньше людей, насколько это возможно
    <Supportoi> хеш скачанного мной архива аналогичен хешу зараженных файлов
    <almutasim> Это хорошо, что изменение всех хэшей потребует взлома второго способа сборки
    <rehrar> DarkDotFail: инфраструктура getmonero размещена в Tari и Globee
    <xmrscott[m]> Supportoi: просто проверьте хеши скачанного архива и вы всё поймете
    <rehrar> детали нужно будет уточнять у них
    <anhdres> Есть ли способ, чтобы бот, помимо регулярной загрузки файлов, еще делал проверку всех хешей, чтобы убедиться, что они совпадают, и если что-то не так, он инициировал сигнал тревоги?
    <DarkDotFail> anhdres: Я сейчас работаю именно над этим :)
    <sgp_> anhdres: технически это возможно. Просто это всё будет выполнять служба, которая, вероятно, будет заблокирована как DoS-атака.
    <needmonero90> Да, это своего рода DOS-атака на сервере, вот если бы он был выполнен с постоянного IP-адреса...
    <Supportoi> Грёбаные русские хакеры
    - el00ruobuob_[m] вышел (Причина: Бездействие в течение 265 секунд)
    <anhdres>
    мммм...
    <sgp_> Есть даже определенное число пользователей, которые постоянно пытаются загрузить 55 гигабайтный образ blockchain.raw
    <M5M400> когда были загружены оригинальные файлы? то есть сколько времени у них ушло от первоначальной загрузки до замены?
    <needmonero90> Supportoi: я повторюсь, что ваше предположение ничем не обосновано
    <needmonero90> всё будет понятно после того, как закончится проверка
    <Supportoi> я читал новость про это на каком-то русском форуме
    <DarkDotFail> sgp_: Есть еще какие-то признаки того, как именно был взломан сервер?
    <sgp_> M5M400: Вы имеете в виду время между загрузкой «правильной версии» файлов 0.15 и их последующей компрометацией?
    <M5M400> sgp_: да
    <Supportoi> и еще я видел у них статью о взломе Monero
    <binaryFate> M5M400, вредоносные файлы были скомпилированы прямо в источнике, они не созданы на основе оригинальных, следовательно, что нет никого «времени загрузки файлов»
    <Supportoi> Вездесущие русские хакерыыыыы
    <sgp_> DarkDotFail: да, я могу сказать, что сайт был взломан, и пока у меня нет дополнительной информации о том, как именно
    <anhdres> хорошо, что это был не GUI, потому что его аудитория это менее технически-подкованные пользователи, и, следовательно, намного меньше шансов, что они проверяют хэш. Нам нужно соответствующее руководство, чтобы научить их этому
    <needmonero90> Supportoi: последнее предупреждение
    <DarkDotFail> sgp_: Все соответствующие инстанции были уведомлены об этом?
    <pizzaburger> Есть ли вероятность, что нападавшие преследовали совсем другую цель, а мы просто не поняли их скрытых мотивов?
    <PewPewPewPew> ^^
    <M5M400> binaryFate: я пытаюсь оценить, насколько преднамеренной была эта атака... то есть если у них всё уже было готово и, возможно, уже какое-то время был доступ к сборщику, получается, что они просто выжидали момент загрузки новых файлов и затем быстро заменяли их...
    <sgp_> DarkDotFail: нет, мы пока не нашли подтверждений этого, и я повторюсь, что у меня нет дополнительной информации о текущем состоянии расследования, чтобы дать хоть какую-то конкретику
    <HungryForAvo420> есть какой-то лог, где отображены временные рамки, когда сборщик был выведен из эксплуатации? Если вы говорите, что CDN не был затронут, то мне интересно, как обстоят дела с самим хранилищем
    <needmonero90> Я хотел бы отметить, что атака получилась какой-то странной.... У них было так много возможностей... Которыми они не воспользовались (например, можно было заразить файлы GUI)
    <sgp_> pizzaburger: мы никогда не сможем узнать наверняка, каковы были их истинные мотивы, единственное, что мы знаем на данный момент, это то, что в архиве был найден относительно примитивный похититель монет, который был встроен в программное обеспечение кошелька
    <Supportoi> Я беспокоюсь о своей конфиденциальности... Я не программист, но кое-что понимаю и наслышан о программировании и общей концепции безопасности, и так как мой антивирус не обнаружил ничего подозрительного, я смело запустил этот файл
    <DarkDotFail> Как долго FIM успел проработать? Было ли что-то еще аномальное?
    <Supportoi> Я читал об этом на каком-то из форумов, там еще обсуждали зараженный файл
    <sgp_> DarkDotFail: Оу, я даже и не знаю, FIM был отключен злоумышленником
    <Supportoi> Кто-нибудь знает об этом что-то?
    <DarkDotFail> FIM когда-нибудь обнаруживал другие аномалии?
    <needmonero90> Supportoi: Это не имеет никакого отношения к текущему вопросу. Я попытаюсь уточнить это немного позже, спасибо
    <PlasmaPower> Я знаю, что вы еще не располагаете конкретной информацией о целях и умыслах злоумышленника, но каковы были потенциальные векторы атаки? Внутренняя угроза? Веб-сервер или, может, вообще SSH?
    <M5M400> needmonero90: это только мои мысли… я пытался понять, сколько времени им потребовалось, чтобы подменить файлы... но я так и не увидел ответа :)
    <sgp_> DarkDotFail: Я не знаю о тестовой среде, в которой его тестировали, но я знаю, что на актуальной версии сайта не было никаких других *аномалий*
    <DarkDotFail> Спасибо, понял
    <Supportoi> Я заплачу 50$ в XMR любому, кто сделает скриншот
    - Supportoi вышел (needmonero90 исключил Supportoi. Причина: Supportoi)
    - xmore подключился
    - Supportoi подключился
    <sgp_>
    M5M400: я не знаю, когда именно были загружены файлы 0.15, но думаю, что это можно будет выяснить
    - Supportoi вышел (Причина: Удаленный хост разорвал подключение)
    <sgp_>
    Другие вопросы? Еще раз, я прошу прощения, но я не знаю *всех* подробностей и нюансов, но я обязательно постараюсь всё выяснить
    <binaryFate> вот соответствующий пост в reddit: https://www.reddit.com/r/Monero/comments/dtt2j3/cli_v01500_carbon_chamaeleon_released/
    <monerobux> [REDDIT] CLI v0.15.0.0 'Carbon Chamaeleon' released! (self.Monero) | 158 points (100.0%) | 64 comments | Posted by dEBRUYNE_1 | Created at 2019-11-09 - 07:55:00
    <DarkDotFail> Я хочу поблагодарить Джастина и всю команду за оперативные мероприятия. Моя жалоба заключается в ключе скорости появления / обновлении какой-то информации на веб-сайте. Потребовалось более 14 часов, и я предлагаю (правда, еще не знаю как именно) как-то ускорить процесс вывода «Оповещений на веб-сайте»
    - jbb5959 вышел (Причина: Удаленный хост разорвал подключение)
    <M5M400>
    binaryFate: ага, а потом сами попробуем взломать его
    <rehrar> как по мне, это было самое *неочевидное* время, для того, чтобы устроить диверсию
    <xmrscott[m]> binaryFate: можно посмотреть историю getmonero в WebArchive
    <needmonero90> согласен, на такие случаи должна быть какая-то процедура, 14 часов очень много
    <ZaiRoX> Просто странно, почему они не стали дожидаться выхода GUI версии
    <M5M400> rehrar: зачем ждать 5 дней?
    <rehrar> я думаю, что они надеялись, что смогут поймать в свои сети «большую рыбку»
    <binaryFate> Согласитесь, обновление информации эта самая главная часть цепочки событий
    <M5M400> rehrar: да, скорее всего
    <anhdres> возможно, что следует посоветовать всем пользователям (в частности, новичкам) выжидать какой-то промежуток времени перед запуском свежескачанного архива?
    <needmonero90> Проверки хеша должно быть достаточно
    <needmonero90> ну и еще, конечно, подписи
    <sarang> через проверку подписи вы узнаете, что этот файл является именно тем, чем должен быть
    <rehrar> M5M400, вы имели в виду, зачем ждать 5 дней после выхода новой версии CLI?
    <needmonero90> Я думаю, что нужно просто перенаправить приоритет на обучение людей проверки подписи, вместо того чтобы заставлять их ждать несколько часов и надеяться, что кто-то заметит, что что-то не так
    <rehrar> если вы выпускаете новый релиз, вероятно, что подавляющее большинство пользователей его скачают и запустят, следовательно, они будут заражены
    <needmonero90> это просто моё мнение
    <sgp_> хотелось бы отметить, что сайт был взломан в очень «подходящее» время
    <M5M400> rehrar: действительно
    <sgp_> я про время суток
    <PlasmaPower> честно говоря, даже руководство по проверке подписи в Windows на сайте getmonero весьма сложное и запутанное
    <anhdres> хорошо, если делать выводы на основании этого «взлома», то получается, что подделать хеш для полного соответствия сумм с сайтом слишком сложно, верно?
    <M5M400> rehrar: Хорошо, что эта «большая рыбка» зачастую и является самой ленивой и производит обновление ПО в самый последний момент...
    <rehrar> PlasmaPower, я как раз говорил об этом с другим своим знакомым
    <sgp_> anhdres: логичнее проверять, что хэши не изменились
    <rehrar> Нам нужны отдельные руководства пользователя по проверке хеша и подписи для Linux, Mac и Windows
    <rehrar> тогда они не будут выглядеть так ужасно и запутанно
    <sgp_> rehrar: хорошо, это уже конкретный пункт для дальнейших действий
    <rehrar> Я недавно помогал человеку в Telegram с проверкой хэшей, когда я дал ему ссылку на инструкцию, он был в ужасе от количества страницы и требуемых команд
    - cbster подключился
    <anhdres>
    sgp_, needmonero90 : понял, спасибо
    <pizzaburger> Спасибо за информацию и вашу тяжелую работу! Удачи команде Monero! Пока-пока!
    <PlasmaPower> rehrar: руководство для Windows весьма длинное, хотя всё не так страшно, за исключением той части, где требуется работа с командной строкой
    <xmrscott[m]> что касается сроков, то домен был куплен 11/14. Можно было бы сопоставить факты и подумать, что дата атаки настолько близкая к дате покупки домена, подразумевает, что она не была преднамеренной, но это просто мои сумасшедшие мысли, и вообще лучше подождать официального отчета
    - bot-el00ruobuob подключился
    <M5M400>
    xmrscott[m]: Хм, я забыл про эту информацию о домене
    <justalurk3r> sgp_: Я тоже скачал скомпрометированные файлы. Если история моего браузера верна, значит, это произошло в 12:24 CET.
    - pizzaburger вышел (Причина: Удаленный хост разорвал подключение)
    <anhdres>
    Интересно, сколько бы стоило разрабатывать Monero-ориентированную программу для проверки хешей, которая не требовала бы установки и работала в фоновом режиме?
    <M5M400> sgp_: есть какая-то информация о том, какой именно хостинг-компании принадлежит зараженный ящик?
    <sgp_> M5M400: Я не знаю
    <PlasmaPower> anhdres: Я тоже думал об этом, но что если и этот файл будет скомпрометирован :p
    <needmonero90> Andrhes: что если они компрометируют и его?
    <needmonero90> Уф...
    <anhdres> ну, тогда просто добавим третий способ
    <sgp_> угу, и вредоносное программное обеспечение просто ответит на запрос проверки: «Я в полном порядке, вам определённо не стоит беспокоиться»
    <needmonero90>
    <cbster>
    Да, если бы всё это было так просто... И вообще, что помешает обойти программу?
    <anhdres> если использование хеша подразумевает, что всё «хорошо», то мы можем сделать то же самое и с приложением
    - pca подключился
    <sarang>
    В ключе полной гарантии может выступать только проверка хеша и подписи
    <needmonero90> ^
    <sarang> хотя, проверка только одного хеша потенциально уязвима
    - mrpublic вышел (Причина: Бездействие в течение 276 секунд)
    <cbster>
    Согласен, но всё больше пользователей перестают пользоваться проверкой подписи
    <sarang> это заставляет задуматься
    <tevador> одним из положительных аспектов этого инцидента является то, что большинство пользователей теперь будут проверять хэш
    <M5M400> sgp_: есть ли какая-то общая нить (или связь) между теми, кто сейчас занят поиском злоумышленника по горячим следам и тем, кто, возможно, имел доступ к серверу?
    <rehrar> честно говоря... все пространство криптографии уже давно пора адаптировать под хороший UX GUI для проверки подписей и хешей
    <rehrar> и что бы его можно было использовать для проверки чего угодно
    <needmonero90> PGP всё так же хорош
    <anhdres> rehrar: Да, в этом есть смысл
    <needmonero90> ...не
    <sarang> однако это работает в том случае, если вы уверены, что хэшу можно доверять и они не были изменены
    <PlasmaPower> что насчёт ресурсов по типу GitHub? Их можно считать более безопасными, чем, например, загрузка файла с веб-сайта? или как вообще? Я не думаю, что они подписаны GPG (хотя сами теги - возможно)
    <sgp_> PlasmaPower: как по мне, то проще взломать аккаунт на Github
    <HungryForAvo420> Как насчёт бесповоротного перехода к GitLab? Я знаю, что MS владеет GitHub и уже были случаи, когда доступ к каким-то конкретным репозиториям был заблокирован
    <pca> Оу, я только что пришел, извините. Получается, что был взломан сервер или как?
    <tevador> а мы подписываем теги?
    <sgp_> HungryForAvo420: Monero уже частично использует Gitlab, но это уже другая тема для разговора
    <M5M400> pca: не совсем
    - usr-admin подключился
    <sgp_>
    в целях экономии времени я предлагаю двигаться дальше. Ответы на большинство вопросов вы сможете найти в соответствующей теме на Github
    - DarkDotFail вышел (Причина: Бездействие в течение 260 секунд)
    <rehrar>
    окей, спасибо, пока!
    <PlasmaPower> tevador: Я только что проверил, и да, по крайней мере последний тег был подписан, и большинство коммитов тоже подписаны
    - rehrar вышел (Причина: Удаленный хост разорвал подключение)
    <needmonero90>
    Спасибо, sgp_
    <sgp_> lol
    <sgp_> ещё совсем немного
    <needmonero90> Оу, покойся с миром...
    <sgp_> это была только небольшая часть
    - el00ruobuob_[m] подключился
    <xmrscott[m]>
    крепись, nm90 ;)
    <sgp_> сейчас пришло время делать «настоящую работу»
    * needmonero90 смущённо кивает
    <sgp_>
    3. Введение процедуры чрезвычайной ситуации
    <M5M400> аааа... вы про большую красную кнопку?
    <sgp_> Я хотел бы представить проект по разработке формализованных процедур. Этот механизм должен помочь сообществу и дать чёткие пункты действий в случае возникновения другой (аналогичной) ситуации
    <anhdres2> ахахаха, все уже собрались по домам, а мы еще даже не начали
    <sgp_> https://github.com/monero-project/meta/issues/412
    <sgp_> Мы можем использовать существующие ресурсы, такие как «Группа реагирования на уязвимости Monero» и «Рабочую группу по реагированию на вредоносное программное обеспечение Monero»
    <sgp_> я знаю, что у сообщества Monero есть большие опасения по поводу централизации, и эти опасения отчасти оправданы и должны быть тщательно учтены. Тем не менее многие считают, что это поможет организовать всестороннюю защиту. Мы не хотим заставлять людей строго следовать рекомендуемой процедуре, участие должно носить строго добровольный характер
    <sgp_> каждый может придерживаться своей точки зрения
    <sgp_> в настоящее время я группирую процедуры на тематические области: a) введение чрезвычайной ситуации, b) классификация тяжести, c) коммуникация (внутренняя и общественная), d) реакция на инцидент, e) тесты / аудиты, f) ключевые персонажи и их роли (включая заместителей)
    <sgp_> предлагаю пройтись по каждому из этих пунктов, что я привёл в качестве примера выше. Мы можем поговорить о том, какие процессы (даже неформальные) у нас уже есть и что бы вы добавили в регламент. Если вы чувствуете, что присутствует какие-то непонятные моменты или «тёмные пятна», пожалуйста, не забудьте напомнить мне о них, мы обязательно вернемся к ним
    <sgp_> a) введение чрезвычайной ситуации
    - _lza подключился
    - bot-el00ruobuob вышел (Причина: Бездействие в течение 240 секунд)
    <sgp_>
    в этом случае у нас не было подписанных сообщений о том, что «файлы скомпрометированы». Мы просто получили отчет о несовпадении хеша с нескольких аккаунтов. Что вы думаем по этому поводу?
    <sgp_> еще для размышления — что если люди хотят связаться с кем-то по поводу чрезвычайной ситуации, как вы представляете себе этот порядок / формализованный процесс?
    <needmonero90> очевидно, что люди, которые будут проверять подпись из текста предупреждения, также будут проверять подпись для скачанных файлов
    <PlasmaPower> вы рассматриваете ситуацию с точки зрения обычного пользователя, проверяющего свои файлы, или участника команды Monero?
    - el00ruobuob вышел (Причина: Бездействие в течение 265 секунд)
    <needmonero90>
    всё очевидно
    <M5M400> меньше всего беспокоюсь о «поддельных новостях», чем о самом времени отклика на инцидент
    <anhdres2> согласен
    <cbster> согласен с вами, даже если бы и была какая-то ложная тревога, то я не вижу какого-то серьезного ущерба от неё
    <sgp_> needmonero90: есть ли определённые условия, когда лично вы готовы сказать: «постойте, мне нужна дополнительная проверка»?
    - usr-admin вышел (Причина:WeeChat 1.9.1)
    <sgp_>
    ложные оповещения и новости весьма непрофессиональны и могут нанести вред самому проекту
    - usr-admin подключился
    <ArticMine>
    При условии, что для обеспечения защиты используется децентрализация
    - usr-admin теперь известен как bot-el00ruobuob
    <needmonero90>
    Если бы этот человек был мне очень хорошо знаком, тогда нет, я бы не стал как-то проверять его слова. В том случае, если я первый читаю что-то в ключе экстренной ситуации от незнакомого мне человека, конечно, я бы вручную проверил подпись
    <xmrscott[m]> Не мешало бы обзавестись открытыми ключами основной команды getmonero
    <needmonero90> «Личная сеть доверия» работает намного быстрее и эффективнее, чем все эти подписи
    <sgp_> действительно, есть такое
    <needmonero90> И это то, на что нужно делать приоритет
    <xmrmatterbridge><cff97476> всем привет
    <needmonero90> если есть вопросы, нужно их обсудить здесь и сейчас
    <sgp_> Я получил сообщение от binaryFate и уже через 2 минуты написал соответствующий новостной пост
    <xmrmatterbridge><cff97476> есть какие-то новости?
    <needmonero90> Да, через минуту после того, как я получил твоё сообщение, я уже закреплял его в reddit канале
    - bot-el00ruobuob вышел (Пользователь закрыл приложение)
    <sgp_>
    cff97476: прокрутите вверх и сможете найти основную часть обсуждения
    - usr-admin подключился
    - usr-admin теперь известен как bot-el00ruobuob
    <sgp_>
    полагаю, что в этом отношении у нас нет вопросов
    <M5M400> +1
    <sgp_> действительно, зачем придумывать что-то, что может замедлить передачу важной информации
    <cbster> +
    <sgp_> ок, второй вопрос
    <needmonero90> Ложные срабатывания лучше, чем отложенные последствия
    <ArticMine> Да, согласен
    <sgp_> у нас есть какой-то алгоритм на эти случаи? с кем люди должны связаться?
    <sgp_> как тому, кто обнаружил что-то подозрительное или явную проблему, инициализировать процесс обращения?
    <binaryFate> Я не думаю, что мы можем услышать от большинства пользователей то, что-то не так. Это можно сравнить с тем, как программисты находят ошибки, которые техники попросту не замечают и считают обыденностью
    - fiachdubh подключился
    <sgp_>
    я уверен, что в случае обнаружения какой-то ошибки, *матёрые* члены сообщества Monero откроют соответствующий вопрос на Github или спросят о проблеме в IRC
    <cbster> Моей первой мыслью было бы обратиться за помощью на Reddit, но не все знают про него
    <sgp_> первый человек, который начал бить тревогу в этом случае, сделал это именно через Github
    <anhdres2> я бы обратился в первую очередь за помощью на Reddit, и я далеко не технически подкованный пользователь
    <needmonero90> Я полагаю, что независимо от того, где бы ни был задан вопрос (irc, github, gitlab, reddit), о нём довольно скоро узнают всё
    <needmonero90> у нас есть очень много *тихонь*
    <needmonero90> и тех, кто просто *наблюдает со стороны*
    <cbster> можно добавить на сайт раздел, разъясняющий, что делать в чрезвычайной ситуации
    <binaryFate> Я думаю, что первая мысль пользователя будет совсем другой, большинство не станет пытаться разобраться в ошибке и, скорее всего, после нескольких безуспешных попыток подумает, что это именно они где-то допустили ошибку
    <cbster> Да, действительно, это вариант, или отдельный канал в irc / reddit с подробными комментариями
    - bot-el00ruobuob вышел (Пользователь закрыл приложение)
    <sgp_>
    да, что-то можно разместить в Readme на GitHub
    <cbster> с другой стороны, это может привести к ложным тревогам, не все смогут грамотно классифицировать чрезвычайную ситуацию
    <sgp_> я скажу больше, что большинство пользователей будут сообщать о ложных тревогах, когда столкнутся с трудностями
    <PlasmaPower> это может создать отдельный поток ложных ситуаций и срабатываний
    <PlasmaPower> sgp_, вы описали моё видение ситуации
    - OWLHACKATHON подключился
    <ArticMine>
    да, и лучше сразу на нескольких платформах
    <almutasim> ложные тревоги имеют свою цену
    <M5M400> binaryFate: согласен
    <binaryFate> Я считаю, что более важно иметь четко отлаженный процесс реагирования внутри команды
    <M5M400> +1
    <ArticMine> +1
    <OWLHACKATHON> привет мир
    <PewPewPewPew> Можно ли предположить, что если кто-то снова обнаружит аналогичную проблему, он будет достаточно технически подкованным, чтобы сообщить о ней через git или irc
    <sgp_> должны ли мы еще раз рассказать всем пользователям, что в случае возникновения проблем они должны обращаться в #monero?
    <M5M400> PewPewPewPew: нет
    <needmonero90> разве они еще не знают это?
    <cbster> Думаю, что это логично
    <cbster> или наоборот — нелогично (выбрать и подчеркнуть нужное)
    <needmonero90> Заставлять людей использовать IRC это то еще преступление...
    <sgp_> needmonero90: нужно просто объяснить, что в канале #monero вам помогут с любой возникшей проблемой
    <needmonero90> В этом что-то есть
    <needmonero90> Да, думаю так и поступим
    - needmonero90 вышел
    <sgp_>
    как быть в ситуации, когда это майнинговый пул или какой-то сервис?
    - needmonero90 подключился
    - ChanServ установил режим: +o
    needmonero90
    <needmonero90>
    Ой
    <OWLHACKATHON> пусть приходят в #churchofmonero ;)
    - needmonero90 установил режим: -v OWLHACKATHON
    <binaryFate>
    рабочий вариант, но большинство людей никогда не видело в глаза IRC клиент
    - Guest28 вышел (Причина: Удаленный хост разорвал подключение)
    <cbster>
    Это просто вариант, мы могли бы организовать несколько каналов связи
    <cbster> да и вообще IRC – отличное место
    <needmonero90> binaryFate: у нас есть ссылка для запуска каналов через kiwiirc
    <sgp_> согласен, человек должен думать нестандартно, чтобы заметить такое отклонение в ходе работы программы, как повторный ввод пароля
    <needmonero90> Webirc
    <needmonero90> никаких загрузок или учетных записей
    <_XeN_> я люблю IRC =)
    <binaryFate> не забывайте, что мы просто даём рекомендации, а не заставляем им следовать
    <sgp_> binaryFate: конечно нет, мы просто хотим, чтобы людям было проще понять, что они должны делать в таких ситуациях
    <sgp_> Что-нибудь еще для а)?
    <PlasmaPower> в r/Monero есть много сообщений от людей, которые потеряли свои средства из-за того, что столкнулись с фальшивым веб-кошельком или сайтом, поэтому я не думаю, что создавать новый пост из-за того, что у кого-то что-то не получилось, хорошая идея. А вот IRC — напротив, весьма удобен для таких целей
    - OWLHACKATHON вышел (Причина: Удаленный хост разорвал подключение)
    <cbster>
    да, как вариант
    - fluffyunicorn подключился
    <sgp_>
    b. классификация тяжести
    <sgp_> какой мы должны использовать приоритет: низкий, средний, высокий или как? Есть мысли?
    <fluffyunicorn> ВСЯ ВАША ИНФОРМАЦИЯ ТЕПЕРЬ ПРИНАДЛЕЖИТ СОВАМ!
    <fluffyunicorn> > )>
    <fluffyunicorn> ЧТОЖЖЖЖЖ
    <needmonero90> Эм
    <needmonero90> Вы ошиблись каналом? Тут проходит встреча
    <fluffyunicorn> Я ЗДЕСЬ ДЛЯ ТОГО, ЧТОБЫ ВЗЛОМАТЬ ВАС
     
    #1 Unholy, 30 ноя 2019
    Последнее редактирование модератором: 30 ноя 2019
  2. АВТОР
    АТ
    Unholy

    Unholy Well-Known Monerano

    Регистрация:
    6 мар 2018
    Сообщения:
    120
    Симпатии:
    10
    <xmrscott[m]> (Извините, что не посмотрел заранее, может, стоит использовать процесс эскалации из Tails / Qubes)
    - needmonero90 установил режим: +b fluffyunicorn!*@*
    - fluffyunicorn вышел (needmonero90 исключил fluffyunicorn. Причина: fluffyunicorn)
    <needmonero90>
    я заблокирую этого хулигана после встречи
    <sgp_> xmrscott[m]: да, можно подсмотреть, что делают другие проекты в таких ситуациях
    <sgp_> эти классификации весьма распространены в других проектах
    <cbster> Я думаю, что низкий, высокий и критический дают более понятный акцент
    <sgp_> мы используем такие классификации в ключе HackerOne
    <sgp_> Есть ли кто-нибудь, кто считает эту классификацию ненужной?
    - satoshinakamoto подключился
    - satoshinakamoto вышел (Причина: Удаленный хост разорвал подключение)

    - ksf22 вышел (Причина: Бездействие в течение 252 секунд)
    <binaryFate>
    какова цель? Создание соответствующей новости? или внутренний приоритет, пока мы работаем над проблемой?
    <sgp_> binaryFate: зависит от того, как он используется. Возможно всестороннее применение
    - satoshijnakamoto подключился
    <sgp_>
    как вы себе это представляете?
    <anhdres2> меняются ли классификации от того, в каких каналах они используются? или это носит только информативный характер?
    <cbster> Я думаю, что они должны быть стандартными на всех доступных платформах
    <binaryFate> Я не вижу в этом смысла, просто потому что эти инциденты единичны
    - needmonero90 установил режим: +b *!18cdb83a@gateway/web/cgi-irc/kiwiirc.com/ip.24.205.184.58
    <sgp_>
    anhdres2: скорее всего
    <anhdres2> например, критический уровень ретранслировать во все возможные каналы, а низкий - только в reddit
    <cbster> Имейте в виду, что Monero развивается семимильными шагами, и возможно, что инциденты станут носить массовый характер
    - satoshijnakamoto вышел (needmonero90 исключил satoshijnakamoto. Причина: satoshijnakamoto)
    - el00ruobuob подключился
    <sgp_>
    действительно, это случает настолько редко, что никогда ранее
    <xmrscott[m]> Если это используется для эскалации, пользователи могут определить неправильный флаг важности для данного события
    <PlasmaPower> У кого-нибудь есть пример чрезвычайной ситуации с низкой степенью серьезности?
    <anhdres2> в точности!
    - TheoStorm подключился
    <PlasmaPower>
    но я не совсем уверен, как классифицировать аварийную ситуацию низкой важности, даже если предположить, что мы не берём в расчёт сторонние сервисы
    <anhdres2> *желтые* предупреждения зачастую используются для классификации тривиальных проблем
    - boogie73 подключился
    <anhdres2>
    красные предупреждения означают, что средства могут быть в опасности
    <anhdres2> это как вариант
    - asymptotically подключился
    <sgp_>
    возможно, что-то низкий приоритет будет доминировать, как в случае добавления RingCT, где блоки были переполнены
    <sgp_> нет опасности возможной атаки, просто ухудшается работа сети
    - el00ruobuob_[m] вышел (Причина: Бездействие в течение 265 секунд)
    <anhdres2>
    да, что-то подобное
    - cbster вышел
    <binaryFate>
    это всё немного другое
    <sgp_> если нет других комментариев по этому пункту, мы можем перейти к c)
    <ArticMine> Это просто хорошее прикрытие
    <sgp_> c. коммуникация (внутренняя и общественная)
    <sgp_> это про стандарты связи и внутренние процессы
    <sgp_> Например: все ли мы должны быть доступны на одной определенной платформе (большинство пользователей не хотят использовать IRC)
    <sgp_> как вариант — использование таких сервисов, как Twitter, Reddit, Blockfolio
    <needmonero90> Я вообще всегда доступен для пинга, даже когда сплю, поэтому я могу ответить всегда, когда что-то случается
    * needmonero90 подумывает над идеей брать плату за такую *доступность*...
    <sgp_>
    на этот раз мы потратили слишком много времени, чтобы создать соответствующий пост на сайте и еще на рассылку из списка monero-announce
    - cbster подключился
    <M5M400>
    да, сайт должен быть приоритетом
    <asymptotically> !tip needmonero90 0.001
    <tippero> перевёл для пользователя needmonero90 1 millinero (0.001 Monero)
    - boogie73 вышел (Причина: Удаленный хост разорвал подключение)
    - HungryForAvo420 вышел
    <binaryFate>
    внутреннее общение между членами сообщества для решения проблемы сработало как никогда эффективно
    <sgp_> Есть ли другие платформы, которые мы забыли?
    <xmrscott[m]> нужен какой-то *КПП* для таких сообщений
    <M5M400> это обычное промедление... думаю, что все согласятся, что обновления на сайте должны иметь высокий приоритет по умолчанию
    <needmonero90> Ваша доброта не будет забыта
    <xmrscott[m]> предыдущее сообщение было кем-то предварительно утверждено?
    <binaryFate> нам нужен конкретный график событий
    <xmrscott[m]> точно
    <sgp_> мы можем встроить системы уведомлений для Cake Wallet, Monerujo и т. д.?
    <xmrscott[m]> (лучше обсудить это после встречи)
    <needmonero90> Я думал, что мы отключили автоматическое обновление сайта
    <needmonero90> мы просто долго решались
    <needmonero90> но как только всё было утверждено, мы сразу опубликовали новость
    <sgp_> именно поэтому этот процесс важен для нас, это даст нам контрольный список, чтобы помочь сработать в другой раз оперативнее
    <asymptotically> sgp_: Раньше в bitcoin-qt была встроенная система уведомлений, но зачем-то она была удалена
    <M5M400> sgp_: как система аварийного оповещения, которая с минимальными задержками ретранслирует события в сеть?
    <anhdres2> sgp_, не совсем понимаю, но ведь это добавит определённый централизованный элемент
    <cbster> Я думаю, что встроенные системы уведомлений весьма разумны, но их использование ограничено, так как те, кого это касается, вероятно, не используют их (потому что они уже загрузили кошелек)
    <xmrscott[m]> Встроенные уведомления добавляют вектор атаки
    <M5M400> Да, что-то вроде суперсистемы FUD
    <cbster> я бы не был так уверен в работоспособности этой системы
    <PlasmaPower> Bitcoin уже на пенсии: https://en.bitcoin.it/wiki/Alert_system
    <sgp_> PlasmaPower: спасибо за ссылку
    <xmrscott[m]> что-то из разряда «Эй, ваш кошелек взломан, загрузите обновление по этой ссылке (вредоносной)»
    <PlasmaPower> cbster: да, хотя, например, атака связывания может быть полезной
    <cbster> Я думаю, что вы правы, это больше добавляет возможных векторов для атак, чем пользы
    - el00ruobuob_[m] подключился
    <sgp_>
    хорошо, никаких дополнительных платформ / служб не будет добавлено, продолжайте думать о лучших способах взаимодействия и контактирования с участниками
    <sgp_> *это всё, что мне приходит сейчас на ум
    <sgp_> d. реакция на инцидент
    <M5M400> Я хотел бы взглянуть на этот список рассылки. У кого еще есть доступ к почте, кроме Пушистого?
    <sgp_> M5M400: хороший вопрос, я не знаю
    <binaryFate> Каждый может публиковать сообщения, но электронные письма утверждаются на индивидуальной основе (через pigeon и Пушистого)
    <M5M400> думаю, что это хороший способ оповещения, но от этого не будет никакой пользы, если уведомления отправляются на день или два позже
    <binaryFate> просто в этот раз между мной и Пушистым получилось недоразумение. Он думал, что я сам отправлю сообщение, я думал, что он
    - el00ruobuob вышел (Причина: Бездействие в течение 256 секунд)
    <binaryFate>
    (У меня не было доступа к моему PGP ключу)
    <M5M400> справедливо
    <sgp_> примером процесса коммуникации, который должен помогать в таких ситуация, является конкретное закрепление определенных задач за людьми
    <PlasmaPower> существует ли еще какое-то решение для «реакции на инцидент» помимо прямой связи?
    - sinaptik подключился
    <sgp_>
    PlasmaPower: хороший сегвей
    - bot-el00ruobuob подключился
    <sgp_>
    как вариант, можно рассмотреть привлечение независимых экспертов
    - cbster вышел
    <M5M400>
    sgp_: Обычно независимые эксперты оценивают ущерб безопасности, чтобы свести к минимуму риск того, что скомпрометированные объекты будут участвовать в расследовании
    <sgp_> правильно, как мы можем сделать это, не выписав чек Deloitte на 10 миллионов долларов?
    <M5M400> следовательно, мы возвращаемся к моему вопросу, что если люди, которые ведут расследование, причастны к инциденту и просто подчищают следы в ходе расследования?
    <asymptotically> лучше выпишите мне чек на 9 миллионов долларов
    <needmonero90> я согласен и на 8 миллионов
    <M5M400> sgp_: скорее, это вопрос на все 8 миллионов :)
    <PlasmaPower> Будет ли это всё применимо в ключе RCE для протокола? Я не уверен, насколько *полезным* окажется это расследование, кроме как попытки установить личность злоумышленника
    <needmonero90> я подразумеваю делегирование
    <binaryFate> Я не считаю этот вариант жизнеспособным или полезным в такой чрезвычайной ситуации. Может быть, только если в ключе самого расследования. Какие еще фирмы (и на какие средства?)…. Займитесь делом и помогите в ключе решения реальной проблемы
    <PlasmaPower> тоже верно
    <sgp_> binaryFate: правильно, поэтому я рассматриваю все варианты
    <binaryFate> Поскольку мы не являемся большой компанией или корпорацией и у нас нет круглосуточной службы поддержки, я думаю, что мы должны реально сосредоточиться на самих процедурах. У нас нет ответственных в ключе какой-то проблемы, следовательно, у нас нет *узкого места*, если сейчас кто-то оффлайн или спит
    <M5M400> sgp_: внутреннее распределение обязанностей внутри сообщества будет началом
    <sgp_> M5M400: можете немного уточнить?
    <M5M400> назначение аналитических и криминалистических рабочих групп
    <binaryFate> Сопоставление текущих возможностей (в основном для обновления сайта) было бы хорошим началом. Какие процессы потребуются для каждого из этапов, и у кого есть разрешения на их исполнение?
    <sgp_> binaryFate: чертовски верное замечание
    <sgp_> и всё равно странно, что они не стали дожидаться GUI
    <PlasmaPower> нужно создать документацию и держать ее на виду
    <M5M400> не уверен, как это вообще организовано и работает сейчас... но из предыдущих разговоров я понял, что непонятно, кто вообще имеет доступ к серверу (возможен такой вариант, что доступ есть у нескольких человек)
    <PlasmaPower> вы хотите предоставить злоумышленникам руководство о том, как конкретно нужно действовать? :D
    <M5M400> PlasmaPower: очень сложно провести черту для круга доверия в проекте с открытым исходным кодом
    <M5M400> любой на этой встрече может быть потенциальным злоумышленником
    <sgp_> M5M400: Я согласен, всё весьма стандартно, нужно поддерживать коммуникацию
    - xiphon вышел (Причина: Бездействие в течение 240 секунд)
    <PlasmaPower>
    M5M400: любой, у кого есть доступ на github, может быть злоумышленником
    <sgp_> какие-либо другие комментарии? мы вернемся к этому пункту позже
    <sgp_> e. регулярные тесты / аудиты
    <sgp_> в идеале мы должны отлаживать уже существующие процессы и предлагать способы их улучшения
    <sgp_> именно поэтому в школах проводятся пожарные учения
    <binaryFate> Я хочу подчеркнуть, что люди, которые доверяют друг другу и заходят в IRC-канал, чтобы обсудить сложившуюся ситуацию, остаются, безусловно, наиболее *эффективным процессом* для принятия каких-то решений. Я считаю, что нужно устранить потенциальные узкие места, а именно такие, как попытки руководить этим самым процессом принятия решений
    <binaryFate> Ладно, мне нужно идти, sgp_ , спасибо за встречу
    <sgp_> binaryFate: спасибо, что пришли
    <M5M400> +1 за устранение этих *узких мест*
    <sgp_> я еще не знаю, как именно это будет выглядеть, но в идеале я бы создал еще одну рабочую группу
    <sgp_> хорошо, все молчат, двигаемся дальше
    <sgp_> f. ключевые персонажи и их роли (включая заместителей)
    <sgp_> это проект с открытым исходным кодом, здесь не платят за какую-то работу, поэтому всё основывается на энтузиазме и инициативе участников
    <M5M400> что касается пожарных учений... мы могли бы периодически проводить «тестовые учения» с какими-то простыми заданиями (куда-то перейти или что-то скачать) и таким образом проверять насколько это работает
    <sgp_> нужно составить список первостепенных и дополнительных контактов
    <M5M400> что-то я промедлил, извините
    <needmonero90> Одним из вариантов решений этой проблемы является создание соответствующей роли
    * needmonero90 подкладывает бумажку со своим именем в шляпу
    <sgp_>
    needmonero90: я дам вам $1
    <needmonero90>
    <needmonero90>
    я составлю требования к кандидату
    <sgp_> было бы здорово
    <sgp_> например: Джастин является ответственным по связям с Blockfolio, Twitter и т. д.
    <sgp_> ещё мысли? Нужно заканчивать встречу
    - el00ruobuob подключился
    <M5M400>
    роли будут где-то опубликованы?
    - bot-el001 подключился
    <sgp_>
    M5M400: я рекомендую оглашать их только доверенному кругу лиц
    <sgp_> дайте людям только то, что им действительно нужно
    <sgp_> g. ваши мысли и возникшие вопросы
    <sgp_> если у вас есть какие-то темы, которые, по вашему мнению, не были затронуты, или другие моменты, которые требуют уточнения, пожалуйста, дайте нам знать
    <M5M400> тишина...
    <ArticMine> Я бы поднял вопрос о пост-инцидентном отчёте
    <M5M400> да
    <asymptotically> уже опубликовано «посмертное вскрытие» того, как именно файл оказался на сайте?
    <M5M400> вначале нужно закончить экспертизу
    <asymptotically> спасибо, что ответили на мой вопрос :p
    - bot-el00ruobuob вышел (Причина: Бездействие в течение 240 секунд)
    <M5M400>
    напрашивается вопрос, что сделает DR хост менее уязвимым?
    <needmonero90> у меня всё
    <ArticMine> Да, только ужесточение процесса проверки файлов
    - el00ruobuob_[m] вышел (Причина: Бездействие в течение 262 секунд)
    - anhdres вышел (Причина: Бездействие в течение 265 секунд)
    <ArticMine>
    или как ранее предлагал rehrar
    <ArticMine> верификация ВСЕХ файлов без исключения
    <M5M400> я подумаю над этим
    <sgp_> ArticMine: Мне нечего добавить
    <sgp_> Что-то еще?
    <sgp_> 4. Ключевые моменты
    <sgp_> я соберу все рекомендации в один документ и поделюсь его черновиком
    <sgp_> после публикации, пожалуйста, не стесняйтесь и прокомментируйте его
    <sgp_> пожалуйста, подумайте о конкретно своей роли во всём этом и где бы вы бы чувствовали себя наиболее комфортно
    <sgp_> rehrar уже озвучивал ключевые моменты в самом начале встречи
    <sgp_> самый главный ключевой момент — это определить, у кого есть доступ к серверу getmonero
    <sgp_> что-то еще?
    <ArticMine> еще обновление руководства пользователя по проверке подписи и хеша
    <xmrmatterbridge><rehrar> Господи! Вы еще здесь?
    <sgp_> окей, добавил в заметки :)
    <sgp_> rehrar, мы почти закончили
    <xmrscott[m]> и сделайте упоминание, почему получилась такая задержка между событием и новостью на сайте
    <sgp_> xmrscott[m]: хорошо, я сделаю наглядный график с временными отметками
    <sgp_> у вас есть последний шанс что-то сказать
    <sgp_> 5. Заключение
    - _lza вышел (Причина: Бездействие в течение 260 секунд)
    <sgp_>
    Спасибо, что приняли участие в этой чрезвычайно важной встрече
    <almutasim> Спасибо
    <M5M400> thx
    <sgp_> Я очень рад, что так много людей откликнулись и пришли на эту встречу, нам определённо есть над чем работать
    - sinaptik вышел (Причина: WeeChat 2.6)
    <sgp_>
    увидимся позже! Всем большое спасибо! :)

    Источник: Emergency Response Process and Compromised Binaries Post-Mortem Meeting: 22 November 2019 23:00 UTC #413

    Перевод:
    Unholy (@Unholy)
    Редактирование:
    Mr. Pickles (@v1docq47)
    Коррекция:
    Kukima (@Kukima)
     
    #2 Unholy, 30 ноя 2019
    Последнее редактирование модератором: 30 ноя 2019
    Am1n нравится это.
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.