NÚKIB: Kybernetický útok na ŘSD byl velmi profesionální, došlo k zašifrování dat

Ilustrační foto: madartzgraphics / pixabay.comIlustrační foto: madartzgraphics / pixabay.com

Úřad ví, kdo za útokem stojí.

Zpět na článek
29 Komentáře
nejnovější
nejstarší nejlépe hodnocené
Inline Feedbacks
View all comments
Pepa

To, že jim to nefunguje už 5 dnů, ukazuje na diletantské zabezpečení většiny systémů u řsd. Holt šetřit se nevyplácí a to platí všude. A staré zálohovat, zálohovat a zálohovat jakbysmet.

Jiří Kocurek

Stalo se, že pronikli i do zcela oddělené sítě. Už to tu někdo psal, rozdali zaměstnancům flash disky. Irán a jaderný výzkum, tam se to stalo.

Marian Kechlibar

No, přiznejme si, ŘSD asi nebylo cílem útoku Mossadu. To jsou spíš běžné černé klobouky, které pracují na dálku, zpoza několika hranic, a nikde nerozhazují flashky. Přejet odněkud z Ruska na území nějakého státu EU je pro takové lidi riskantní, nikdy nevědí, jestli nejsou na nějakém seznamu.

Y.K.

O struktuře sítě a systémů to přeci jen něco vypovídá. Asi si málokdo dokáže představit, že by týden nefungoval google nebo jeho banka a že to jsou organizace s balíky peněz, tedy první na ráně.

Jinak ano, většinou bývá jednodušší se někam prolomit sociálním inženýrstvím, než se zkoušet prokousat přes enterprise firewally. Když to někdo může nechtěně udělat zevnitř sítě a barikádu pěkně pomůže obejít.

Šejdr

Banky mají za zády regulátora (ČNB), který průběžně a detailně sleduje jejich počínání a pokud objeví riziko, donutí banku k nápravě. Kdyby měly státní úřady a organizace stejné zabezpečení jako banky, tak by v ŘSD nic nestalo. Nejsem si ale jistý, že v těchto organizacích lze nastavit tak přísný režim jako v bankách, včetně detailního monitoringu aktivit uživatelů na internetu (v bankách samozřejmost a nikoho ani nenapadne remcat, že to je porušování soukromí), blokování sociálních sítí, blokování bulvárních médií, on-line přenosů atd., a samozřejmě blokování všech USB portů na počítačích.

mirdus

Admina v ŘSD je evidentně člověk na svém místě. Buď ten ransomware spustil sám nebo má nastavéné práva na severech takovým způsobem, že má kdejaký jouda ve firmě právo zápisu.

Jiří Kocurek

Mailserver bez práva zapisovat odeslané a přijaté maily je dost nanic.

Kamui

Zapisovat ano, spouštět nikoli.

mirdus

Jestli máte nastavená práva email serveru stylem, že emailová služba může přepisovat svou konfiguraci nebo dokonce konfiguraci/data třetích služeb, tak se můžete hned ucházet o místo hlavního admina na ŘSD, tam evidentně takovým odborníkům dávájí prostor.

Kamui

Tak ať zašifrovaná data obnoví ze zálohy, a jedeme dál. Oh wait…

Jura

Problem zaloh je, ze pokud budou online, tak o nich spickovy utocnik bude vedet a zlikviduje je take. Pokud budou offline, tak budou stare podle toho, jak casto je delate (treba tyden stare).

Pokud to byl cileny utok na RSD, tak nepomuze nic.

Y.K.

Jsem si říkal, že to nebude DDoS, to by servery po odeznění požadavků k odbavení zase měly začaly odpovídat.

tarten

Ne nutně. Občas se stane, že nějaký server padne a nevstane. Nebo se tam rozběhnou aktualizace a skončí to v nekompatibilním stavu, to je pak radosti na Starém bělidle!

Jiří Kocurek

Nastavit atuomatické aktualizace na serveru při každém rebootu … snad nikdo nedělá.
Normální postup je udělat zálohu dat, udělat snapshot, nainstalovat aktualizace a …. když se to pokazí, tak máme snapshot, což je kompletní záloha disku. Samozřejmě že se to dá automatizovat. Vítejte v roce 2000 VMware již existuje.

Y.K.

No, dovedu si představit, že se server přetlakem požadavků při DDoS hryzne (ale s velkými weby firmy by na to měly mít síťové prvky, které útok poznají a začnou likvidovat, právě aby to nemusel odbavovat server), na Windows doufám servery nemají, aby si to dělalo aktualizace samo a bez jejich vyzkoušení na nějakém paritním stroji. 😉

A i kdyby, obnoví poslední vhodný snapshot, restartují a do půl hodiny je server on-line (počítám, že server bude nabíhat déle).

none

Mate mit jen papiry v kartotekach a byl by klid.

Vitapb

Tento příspěvek jste napsal prostřednictvím psacího stroje předpokládám?

Stepan

To měl být asi sarkasmus. Ale že by data měla být profesionálně zabezpečená i zálohovaná, to by se asi očekávat mělo. Snad z toho bude nějaké poučení.

Kolemjdoucí

O zálohách se zmiňoval už někdo výše, je težké a drahé udělat zálohy tak, aby při ransomware útoku nešly do kytek taky.

Pokud to byl profesionálně vedený útok, nejspíš začal phishing e-mailem, následně ten, kdo získal iniciální přístup pomocí ukradených hesel, tento prodal lidem provozujícím ransomware, a ti nejspíš nejprve dobře zjistili kde jsou, dostali se kam potřebovali a teprve potom zaútočili.

Je obtížné se tomuto bránit. Potřebujete profesionály, drahé profesionály, a infrastrukturu a hodně dobře proškolené zaměstnance.

Nicméně pár otázek ŘSD bych položil. Měli například všude dvoufázovou autentizaci?

None

Běžný uživatel počítače prostě tuhle chybu jednou udělá. Klidně i týden po školení, kde se dozví že to dělat nemá. Ověřeno různými testy… Stačí někde na chodbě „zapomenout“ flešku. Vás by po nalezení nelákalo hned zjistit co na ní je?
Pokud jde o cílený útok, pomůže jen vytažení kabelu z počítače.

Jiří Kocurek

Kdybych dělal cílený útok, tak tam v době spuštění nebude nikdo, kdo by kabel vytáhnul. Pustím to v jednu v noci. Nebo ve tři ráno.

Marian Kechlibar

Jde o to, že chyba běžného uživatele by neměla vést ke kompromitaci celé sítě, ve které pracuje. Nanejvýš jeho počítače a řekněme pár dalších pracovních stanic.

Ale ano, lidem, co toto nikdy nedělali, to někdy připadá jak válka Hurvínkovi. Útočníci bývají chytří a jde jim o velké peníze, takže mají motivaci být technicky napřed.

Marian Kechlibar

Je více serverů než kvalifikovaných adminů, trend nedostatku lidí je všude, i v IT.

U státních úřad bych navíc tipoval, že musí platit almužnu, aby na ně nezakleklo Ušaté torpédo a nevyhrožovalo jim 10 lety vězení za to, že se snažili platit tržní mzdu.

Tož tak.

Marian Kechlibar

Hm, jeden problém s takovými infekcemi je ten, že útočníci bývají trpěliví.
Infikují vás dejme tomu v lednu a v květnu to spustí. Takže zálohy za čtyři měsíce dozadu jsou infikované taky. Obnovíte je a vzápětí vás napadnou znovu.

Karel

A poslal poštou 😂😂 to by tu ale byl příští týden. 😂😂

Petr

Žádná škoda

A.O

Naopak byste hackerům ušetřil práci.
Přijde k archivu, škrtne zápalkou a zašifruje celý archiv trvale.

Jiří Kocurek

Což mi připomíná vypálení knihovny v Babylóně.

Hajnej

Nebo v Alexandrii…