To, že jim to nefunguje už 5 dnů, ukazuje na diletantské zabezpečení většiny systémů u řsd. Holt šetřit se nevyplácí a to platí všude. A staré zálohovat, zálohovat a zálohovat jakbysmet.
No, přiznejme si, ŘSD asi nebylo cílem útoku Mossadu. To jsou spíš běžné černé klobouky, které pracují na dálku, zpoza několika hranic, a nikde nerozhazují flashky. Přejet odněkud z Ruska na území nějakého státu EU je pro takové lidi riskantní, nikdy nevědí, jestli nejsou na nějakém seznamu.
O struktuře sítě a systémů to přeci jen něco vypovídá. Asi si málokdo dokáže představit, že by týden nefungoval google nebo jeho banka a že to jsou organizace s balíky peněz, tedy první na ráně.
Jinak ano, většinou bývá jednodušší se někam prolomit sociálním inženýrstvím, než se zkoušet prokousat přes enterprise firewally. Když to někdo může nechtěně udělat zevnitř sítě a barikádu pěkně pomůže obejít.
Banky mají za zády regulátora (ČNB), který průběžně a detailně sleduje jejich počínání a pokud objeví riziko, donutí banku k nápravě. Kdyby měly státní úřady a organizace stejné zabezpečení jako banky, tak by v ŘSD nic nestalo. Nejsem si ale jistý, že v těchto organizacích lze nastavit tak přísný režim jako v bankách, včetně detailního monitoringu aktivit uživatelů na internetu (v bankách samozřejmost a nikoho ani nenapadne remcat, že to je porušování soukromí), blokování sociálních sítí, blokování bulvárních médií, on-line přenosů atd., a samozřejmě blokování všech USB portů na počítačích.
mirdus
1 rok
Admina v ŘSD je evidentně člověk na svém místě. Buď ten ransomware spustil sám nebo má nastavéné práva na severech takovým způsobem, že má kdejaký jouda ve firmě právo zápisu.
Jestli máte nastavená práva email serveru stylem, že emailová služba může přepisovat svou konfiguraci nebo dokonce konfiguraci/data třetích služeb, tak se můžete hned ucházet o místo hlavního admina na ŘSD, tam evidentně takovým odborníkům dávájí prostor.
Kamui
1 rok
Tak ať zašifrovaná data obnoví ze zálohy, a jedeme dál. Oh wait…
Problem zaloh je, ze pokud budou online, tak o nich spickovy utocnik bude vedet a zlikviduje je take. Pokud budou offline, tak budou stare podle toho, jak casto je delate (treba tyden stare).
Pokud to byl cileny utok na RSD, tak nepomuze nic.
Y.K.
1 rok
Jsem si říkal, že to nebude DDoS, to by servery po odeznění požadavků k odbavení zase měly začaly odpovídat.
Ne nutně. Občas se stane, že nějaký server padne a nevstane. Nebo se tam rozběhnou aktualizace a skončí to v nekompatibilním stavu, to je pak radosti na Starém bělidle!
Nastavit atuomatické aktualizace na serveru při každém rebootu … snad nikdo nedělá.
Normální postup je udělat zálohu dat, udělat snapshot, nainstalovat aktualizace a …. když se to pokazí, tak máme snapshot, což je kompletní záloha disku. Samozřejmě že se to dá automatizovat. Vítejte v roce 2000 VMware již existuje.
No, dovedu si představit, že se server přetlakem požadavků při DDoS hryzne (ale s velkými weby firmy by na to měly mít síťové prvky, které útok poznají a začnou likvidovat, právě aby to nemusel odbavovat server), na Windows doufám servery nemají, aby si to dělalo aktualizace samo a bez jejich vyzkoušení na nějakém paritním stroji. 😉
A i kdyby, obnoví poslední vhodný snapshot, restartují a do půl hodiny je server on-line (počítám, že server bude nabíhat déle).
O zálohách se zmiňoval už někdo výše, je težké a drahé udělat zálohy tak, aby při ransomware útoku nešly do kytek taky.
Pokud to byl profesionálně vedený útok, nejspíš začal phishing e-mailem, následně ten, kdo získal iniciální přístup pomocí ukradených hesel, tento prodal lidem provozujícím ransomware, a ti nejspíš nejprve dobře zjistili kde jsou, dostali se kam potřebovali a teprve potom zaútočili.
Je obtížné se tomuto bránit. Potřebujete profesionály, drahé profesionály, a infrastrukturu a hodně dobře proškolené zaměstnance.
Nicméně pár otázek ŘSD bych položil. Měli například všude dvoufázovou autentizaci?
Běžný uživatel počítače prostě tuhle chybu jednou udělá. Klidně i týden po školení, kde se dozví že to dělat nemá. Ověřeno různými testy… Stačí někde na chodbě „zapomenout“ flešku. Vás by po nalezení nelákalo hned zjistit co na ní je?
Pokud jde o cílený útok, pomůže jen vytažení kabelu z počítače.
Jde o to, že chyba běžného uživatele by neměla vést ke kompromitaci celé sítě, ve které pracuje. Nanejvýš jeho počítače a řekněme pár dalších pracovních stanic.
Ale ano, lidem, co toto nikdy nedělali, to někdy připadá jak válka Hurvínkovi. Útočníci bývají chytří a jde jim o velké peníze, takže mají motivaci být technicky napřed.
Je více serverů než kvalifikovaných adminů, trend nedostatku lidí je všude, i v IT.
U státních úřad bych navíc tipoval, že musí platit almužnu, aby na ně nezakleklo Ušaté torpédo a nevyhrožovalo jim 10 lety vězení za to, že se snažili platit tržní mzdu.
Hm, jeden problém s takovými infekcemi je ten, že útočníci bývají trpěliví.
Infikují vás dejme tomu v lednu a v květnu to spustí. Takže zálohy za čtyři měsíce dozadu jsou infikované taky. Obnovíte je a vzápětí vás napadnou znovu.
To, že jim to nefunguje už 5 dnů, ukazuje na diletantské zabezpečení většiny systémů u řsd. Holt šetřit se nevyplácí a to platí všude. A staré zálohovat, zálohovat a zálohovat jakbysmet.
Stalo se, že pronikli i do zcela oddělené sítě. Už to tu někdo psal, rozdali zaměstnancům flash disky. Irán a jaderný výzkum, tam se to stalo.
No, přiznejme si, ŘSD asi nebylo cílem útoku Mossadu. To jsou spíš běžné černé klobouky, které pracují na dálku, zpoza několika hranic, a nikde nerozhazují flashky. Přejet odněkud z Ruska na území nějakého státu EU je pro takové lidi riskantní, nikdy nevědí, jestli nejsou na nějakém seznamu.
O struktuře sítě a systémů to přeci jen něco vypovídá. Asi si málokdo dokáže představit, že by týden nefungoval google nebo jeho banka a že to jsou organizace s balíky peněz, tedy první na ráně.
Jinak ano, většinou bývá jednodušší se někam prolomit sociálním inženýrstvím, než se zkoušet prokousat přes enterprise firewally. Když to někdo může nechtěně udělat zevnitř sítě a barikádu pěkně pomůže obejít.
Banky mají za zády regulátora (ČNB), který průběžně a detailně sleduje jejich počínání a pokud objeví riziko, donutí banku k nápravě. Kdyby měly státní úřady a organizace stejné zabezpečení jako banky, tak by v ŘSD nic nestalo. Nejsem si ale jistý, že v těchto organizacích lze nastavit tak přísný režim jako v bankách, včetně detailního monitoringu aktivit uživatelů na internetu (v bankách samozřejmost a nikoho ani nenapadne remcat, že to je porušování soukromí), blokování sociálních sítí, blokování bulvárních médií, on-line přenosů atd., a samozřejmě blokování všech USB portů na počítačích.
Admina v ŘSD je evidentně člověk na svém místě. Buď ten ransomware spustil sám nebo má nastavéné práva na severech takovým způsobem, že má kdejaký jouda ve firmě právo zápisu.
Mailserver bez práva zapisovat odeslané a přijaté maily je dost nanic.
Zapisovat ano, spouštět nikoli.
Jestli máte nastavená práva email serveru stylem, že emailová služba může přepisovat svou konfiguraci nebo dokonce konfiguraci/data třetích služeb, tak se můžete hned ucházet o místo hlavního admina na ŘSD, tam evidentně takovým odborníkům dávájí prostor.
Tak ať zašifrovaná data obnoví ze zálohy, a jedeme dál. Oh wait…
Problem zaloh je, ze pokud budou online, tak o nich spickovy utocnik bude vedet a zlikviduje je take. Pokud budou offline, tak budou stare podle toho, jak casto je delate (treba tyden stare).
Pokud to byl cileny utok na RSD, tak nepomuze nic.
Jsem si říkal, že to nebude DDoS, to by servery po odeznění požadavků k odbavení zase měly začaly odpovídat.
Ne nutně. Občas se stane, že nějaký server padne a nevstane. Nebo se tam rozběhnou aktualizace a skončí to v nekompatibilním stavu, to je pak radosti na Starém bělidle!
Nastavit atuomatické aktualizace na serveru při každém rebootu … snad nikdo nedělá.
Normální postup je udělat zálohu dat, udělat snapshot, nainstalovat aktualizace a …. když se to pokazí, tak máme snapshot, což je kompletní záloha disku. Samozřejmě že se to dá automatizovat. Vítejte v roce 2000 VMware již existuje.
No, dovedu si představit, že se server přetlakem požadavků při DDoS hryzne (ale s velkými weby firmy by na to měly mít síťové prvky, které útok poznají a začnou likvidovat, právě aby to nemusel odbavovat server), na Windows doufám servery nemají, aby si to dělalo aktualizace samo a bez jejich vyzkoušení na nějakém paritním stroji. 😉
A i kdyby, obnoví poslední vhodný snapshot, restartují a do půl hodiny je server on-line (počítám, že server bude nabíhat déle).
Mate mit jen papiry v kartotekach a byl by klid.
Tento příspěvek jste napsal prostřednictvím psacího stroje předpokládám?
To měl být asi sarkasmus. Ale že by data měla být profesionálně zabezpečená i zálohovaná, to by se asi očekávat mělo. Snad z toho bude nějaké poučení.
O zálohách se zmiňoval už někdo výše, je težké a drahé udělat zálohy tak, aby při ransomware útoku nešly do kytek taky.
Pokud to byl profesionálně vedený útok, nejspíš začal phishing e-mailem, následně ten, kdo získal iniciální přístup pomocí ukradených hesel, tento prodal lidem provozujícím ransomware, a ti nejspíš nejprve dobře zjistili kde jsou, dostali se kam potřebovali a teprve potom zaútočili.
Je obtížné se tomuto bránit. Potřebujete profesionály, drahé profesionály, a infrastrukturu a hodně dobře proškolené zaměstnance.
Nicméně pár otázek ŘSD bych položil. Měli například všude dvoufázovou autentizaci?
Běžný uživatel počítače prostě tuhle chybu jednou udělá. Klidně i týden po školení, kde se dozví že to dělat nemá. Ověřeno různými testy… Stačí někde na chodbě „zapomenout“ flešku. Vás by po nalezení nelákalo hned zjistit co na ní je?
Pokud jde o cílený útok, pomůže jen vytažení kabelu z počítače.
Kdybych dělal cílený útok, tak tam v době spuštění nebude nikdo, kdo by kabel vytáhnul. Pustím to v jednu v noci. Nebo ve tři ráno.
Jde o to, že chyba běžného uživatele by neměla vést ke kompromitaci celé sítě, ve které pracuje. Nanejvýš jeho počítače a řekněme pár dalších pracovních stanic.
Ale ano, lidem, co toto nikdy nedělali, to někdy připadá jak válka Hurvínkovi. Útočníci bývají chytří a jde jim o velké peníze, takže mají motivaci být technicky napřed.
Je více serverů než kvalifikovaných adminů, trend nedostatku lidí je všude, i v IT.
U státních úřad bych navíc tipoval, že musí platit almužnu, aby na ně nezakleklo Ušaté torpédo a nevyhrožovalo jim 10 lety vězení za to, že se snažili platit tržní mzdu.
Tož tak.
Hm, jeden problém s takovými infekcemi je ten, že útočníci bývají trpěliví.
Infikují vás dejme tomu v lednu a v květnu to spustí. Takže zálohy za čtyři měsíce dozadu jsou infikované taky. Obnovíte je a vzápětí vás napadnou znovu.
A poslal poštou 😂😂 to by tu ale byl příští týden. 😂😂
Žádná škoda
Naopak byste hackerům ušetřil práci.
Přijde k archivu, škrtne zápalkou a zašifruje celý archiv trvale.
Což mi připomíná vypálení knihovny v Babylóně.
Nebo v Alexandrii…