ŘSD oznámilo možný únik osobních i cenových údajů. Děravého partnera zveřejnit nechce
Demolice mostu přes Chlumeckou ulici. Foto: ŘSD
Útočníci zašifrovali ŘSD přes 800 serverů včetně záloh, obnova potrvá měsíce.
Útočníci zašifrovali ŘSD přes 800 serverů včetně záloh, obnova potrvá měsíce.
Ani se jim nedivím, že nechtějí zveřejnit jméno děravého partnera, alespoň do doby, než si to on sám dá dopořádku.
Taky asi nerozhlásíte, že mladá paní Nováková bytem v … chodí v noci sama z odpolední šichty od autobusu, protože má auto v servisu. A je tak jednoduchým cílem.
Tak ono je dost otázka, co se za tím kryptickým a opatrně neurčitým vyjádřením skrývá… to taky může znamenat, že útok proběhl přes infrastrukturu společnosti, která dodává připojení k internetu žejo…
Nakonec, u benešovský nemocnice se taky tak různě mlžilo o nezabezpečeném do světa otevřeném RDP ale realita je taková, že někdo v mailu blbě kliknul a nejmenovaný slovenský antivir zůstal v klidu…
Prostě klasické – já za nic nemohu, já jsem tady pouze ředitel.
Být v ČR skutečný ministr dopravy, tak Mátl už dávno letěl na hodinu. Nejen z této kauzy je ale jasné, že Kupka má stejné loutkovodiče jako Mátl, takže se jede dál…
Mátl možná měl udělat security audit u všech firem, se kterými si ŘSD vyměňuje data, vč. policie. A celé to záplatovat.
Myslíte, že jinému ministrovi by se to nestalo?
A ještě drobnost: V tak obrovském rozsahu (tj. ŘSD+všichni partneři) se za půl roku od voleb ten audit možná stihnout dá (auditora by museli vysoutěži). Ale náprava vč. migrace ze starých systémů už sotva.
Jestli tam opravdu měli krtka, tak tomu se neubránila ani CIA, ani KGB.
Klasický názor českého Pepíka co o tom neví vůbec nic.
Proč neodstoupili všichni ministři zdravotnictví když byly útoky na nemocnice?
Proč nikdo nevolal po jejich odstoupení?
Jsou snad nemocnice méně důležité jak ŘSD?
Nebo je to tak, že lidi chápou, že ne všechno jde na 100% ochránit?
V praxi platí, že když se někdo rozhodne podniknout útok takovéhoto rozsahu tak je jen otázka času a financí než se mu to podaří.
Neexistuje 100% ochrana.
Jediný způsob je komplet se odstřihnout od vnější sítě. Zaslepit všechny porty. A mít v podstatě nepoužitelný systém 😀
Netahejte do diskuse nemocnice, já komentuji situaci na ŘSD a MD: 1, Za celou dobu jsem nečetl ani neslyšel jediné Mátlovo vyjádření, kde by alespoň naznačil možné pochybení i na straně jeho firmy. Podle něj bylo vše v naprostém pořádku. NEBYLO. Kdyby bylo vše na 100%, tak to nedopadlo takto. 1, Za celou dobu jsem nečetl ani neslyšel jediné Kupkovo vyjádření ve smyslu, že od Mátla, jako svého přímého podřízeného, do tehdy nebo tehdy požaduje vyřešení situace. Nic takového totiž Kupka v jeho slabosti a nicovatosti není schopný udělat. I proto, že tady evidentně vztah šéf – podřízený od počátku… Číst vice »
Marná snaha 😀 By mě zajímalo k čemu by nám asi takové vyjádření, že to chce mít do měsíce opravené bylo. K ničemu. I kdyby řekl, že to chce mít opravené do roka tak nám je to k ničemu. Silnice to neopraví. Systém to neprovozní. Nebo si snad myslíte, že když ministr usmyslí, že to má být do měsíce vyřešené tak oni to do měsíce vyřeší? Navíc ministr, který tomu IT systému rozumí asi tak dobře jako já (vůbec v životě jsem ho neviděl). Stejně by to vyjádření bylo předem domluvené kdy by mu ředitel ten datum prostě řekl s… Číst vice »
Mne na tom šokuje, že ŘSD má 800 napadených serverů
(pro vysvětlení – vyrostl jsem na mainframe).
Mě to nešokuje… ale jen pro vysvětlení pro osoby ze století páry… ono to neznamená, že měli v provozu 800 fyzických počítačů. Ty systémy jsou virtualizované a je to konsolidované na nějaké mnohem menší farmě fyzického železa. Z hlediska obsluhy je dneska naprosto běžné, že se pro jednotlivé úlohy vyčleňují vlastní instance operačního systému (a stále tomu říkáme server). Těch 800 systémů mohlo dokupy běžet v jednom racku (jak výpočetní výkon tak storage).
Na mainframe se da taky zvirtualizovat několik set serveru v jedne fyzicke „lednici“.
Ze století páry Enigma, ne? Plula na lodích poháněných parní turbínou s kotlem na uhlí. Hackli ji, ale trvalo to.
A tak jsem si trochu zapřeháněl no… ostatně já se taky narodil a dospělosti dosáhl v minulém tisíciletí…
Zabezpečení ŘSD rozhodně v pořádku nebylo, jestli nemají zálohy z kterých by mohli velkou část obnovit.
Online zalohy proti cilenemu utoku Vam nepomuzou, protoze utocnik je zlikviduje taky.
A offline zalohy jsou zastarale po dokonceni zalohovani. Zde zalezi jak casto zalohujete a jestli i zalohovaci proces uz neni napaden. Pokud ano, tak mate zalohovany leda nahodna data.
Offline zálohy (air gap) jsou normální poslední instance a na ransomware útoky fungují dobře. Lepší mít 24 hodin stará data než nic.
Ale vy nevite, kolik poslednich offline zaloh jsou validni, protoze utocnik muze nejakou dobu radit a zalohy poskodit.
Kolik organizaci po kazde offline zaloze zkousi system obnovit?
Jen rikam, ze zalohovani (jakekoliv) je odolne do urcite miry.
Offline zálohy asi nemusí zkoušet všechny, ale po jejich nastavení a jednou za čas ano. Protože bez jistoty schopnosti obnovy nemáte prakticky žádnou zálohu. To přece neznamená, že se nemusí zálohovat. Naopak to znamená, že se to musí dělat pořádně a systematicky. Zrovna dnes jsem prováděl obnovení systému do předchozího bodu ze včerejška. Sice mi to nepomohlo při řešení problému, ale proces fungoval a o data jsem nepřišel.
Zalohovat se samozrejmne musi, protoze pomuze proti nekterym problemum.
Jak se rika, svet se deli na dve skupiny, ti kteri zalohuji, protoze uz o data prisli a ti, kteri nezalohuji, protoze o data jeste neprisli.
Presne tak. Ruzne UPS, zalohovani, klimatizace apod mohou byt zarizeni, kde nikdo moc bezpecnost neresi. Nejednou to byvaji zarizeni, kde muzou byt nastavena default nebo primitivni hesla, neaktualni firmware, software. Na overoveni domenou asi kazdy kasle nebo tam ani nejde zprovoznit. Po tehle zarizenich jdou hackeri prioritne. Navic vygenerovat falesnou notifikaci, ze backup probehl v pohode i kdyz vubec nejel asi take nemusi byt nijak obtizne.
Nevíme, jak dlouho ten útok trval, netušíme, jak dlouho (měsíce?) zůstal nepovšimnut, protože žádné příznaky nevykazoval.
To nevíme, ale ty útoky pokud vím netrvají moc dlouho (vlastní škodění), protože jak to začne šifrovat soubory, jak v userspace tak v systému, tak to vše pochopitelně začne dost rychle kolabovat a to se nedá přehlédnout (a zatímco admini panikaří a snaží se chytit, dílo dokoná). Že tam někde seděla mrcha s nataženým budíkem a čekala chvíli na svůj den nelze vyloučit, ale to nezničí zálohy. Maximálně je na nich její kopie, ale doufám, že firma nemá v jedné záloze otisky systému spolu s daty. To nemám ani doma, protože to je nerozumné.
Zrovna u smluv, starých protokolů, dokumentace… často není nutné mít zálohu každých 24 hodin, prakticky se jedná o archiv.
A nemusí to být nutně ani offline záloha (byť ta je asi nejjistější), řada poskytovatelů nabízí nějakou formu object lock s fixní retencí pro označení dat jako neměnných.
Pokud utocnik ovladl operacni system na takove urovni, ze dokaze obejit souborovy system, tak nejake aplikacni hratky s bity na disku pro detekci zmeny jsou k nicemu. Proste soubor na disku zmeni bez ohledu co si nejaka aplikace nastavi a klidne ho podepise jmenem reditele RSD.
Pokud je to dobry poskytovatel, tak ma nemenna data bud na paskach, nebo se aspon da spolehnout, ze ma dobre zabezpeceni.
Proto se taky bavíme o poskytovatelích externí storage, kde útočník nemá přístup k filesystému. Pokud se zálohuje vše in-house na vedlejší server ve stejném racku (a ano, v řadě podniků nic neobvyklého), pak tomu asi není pomoci.
Opravdu velké firmy zálohují do datacentra v sousedním kontinentu. A mají to propojené přes VPN.
A co se Openstacku a jiných cloud řešení týká, tak tam dole pod tím síťovým interface je taky operační systém, který se dá napadnout.
Jistě, všechno se dá napadnout, ale kvůli tomu neodepíšeme celý systém záloh. Nejčastěji je napadený hlavní systém, daleko za tím je pak napadení zálohovacího systému. Pokud mám nastavené zálohování, že se mi kompletně přepíše úložiště každý týden, tak je to prostě moje chyba, ne těch ukládaných dat.
Kdesi jsem četl, že útočník sbíral data více než půl roku… Dixons snad?
Samozřejmě, že to není důvod pro odepsání záloh, jen dodám, že ani „papírová“ knihovna není odolná všemu.
Snazim se rici, ze neexistuje postup pro zalohovani, ktery odola vsem utocnikum. Ale neznamena to, ze se nema zalohovat. Zalohovani neco stoji a tedy ma sve limity. Tezko date milion za zalohovani vaseho oblibeneho filmu, kdyz jeho realna cena je tisicovka.
My nevime, jak schopny utocnik byl. Vzdyt nevime, ani pres jakou firmu se do RSD dostal a co ta firma tam delala. Pokud to byla IT firma pro spravu site, pak si klidne utocnici mohli delat co chteji, pokud nejaka firma zajistujici obcerstveni na dnech otevrenych dveri, tak je silene co se stalo. Proto moje puvodni reakce.
Neni toto vlakno nejakym vyberkem pro headhuntery na IT security? 😉
Snad ne. Toto je IT úroveň, kterou se baví holky u kafe. 🙂
No vzhledem k tomu, co jste napsal výš, jste zřejmě právě na té úrovni holek u kafe v kuchyňce…
Já bych holky nepodceňoval. Sebe za odborníka na IT security fakt nepovažuji, jsem jen prosťáček co se IT týče, ale alespoň si umím pořádně a strukturovaně zazálohovat své linuxové servery a počítače.
„Takže já vůbec nejsem přesvědčen o tom, že u nás byla nedostatečná. “
Pán je evidentně hodně tvrdohlavý.
Pořád se motáme kolem otázky, jak má firma A zajistit smazání účtu v externí firmě B po bývalém zaměstnanci externí firmy B.
Kdyby firma A viděla účty zaměstnanců ve firmě B, tak by to bylo špatně.
Dodavatel ŘSD, firma B, má máslo na hlavě a doufám, že ŘSD se z toho poučí a zbytek jejich dodavatelů taky.
Takto: po bitvě je každý generál a trivializovat kybernetickou bezpečnost je velmi snadné. To chci předeslat, ať to nevyzní nesprávně. S tímto vědomím se ale přesto trochu podivuji rozsahu. Pokud je navíc pravda, že byl zneužit přístup bývalého zaměstnance (byť dodavatelské firmy), bude to o to víc alarmující. V praxi to byl buďto člověk s extrémně širokými přístupovými právy, nebo byly s jeho pomocí kompromitovány účty další. Jasně, lidé jsou nejslabší článek, dobře cílený phishing udělá hodně, ale i tak: celá řada systémů najednou včetně záloh?! Nechci z toho dělat hon na čarodějnice, nejdůležitější je poučit se z toho –… Číst vice »
Správné dořešení odchodu zaměstnance je bohužel největší slabinou českých firem. A nejedná se jen o kybernetické problémy, o existující počítačové účty, ale třeba i o nezrušené přístupy do eshopů, nevyměněné, nepřestavené zámky u dveří, nezměněná hesla u EZS…
Je to pravda. Na druhou stranu i kdyby vše všude odstranili, stejně to nepomůže protože lidi. Zkoušel jsem to. Brnkl jsem do jedné nejmenované velké gumárny až jsem se dostal k vysokému managerovi, který mi uvěřil že jsem jejich nezávislý dodavatel IT a prozradil mi své uživatelské jméno i heslo. Mimochodem práva měl jako doménový administrátor (!)(tady selhalo jejich IT, na co byl jako AD admin to člověk nepochopí) a do všeho měl stejné přístupové údaje. Takže člověk pak ani nemusí být hacker a hledat „díry v systému“. Žádnou škodu jsem jim tam neudělal, proč taky, jen jsem jim pak… Číst vice »
Tak ono se to tam víceméně píše… je to o nějakém balancu nákladů, komfortu provozu a bezpečnosti. On nejbezpečnější je systém, co je mimo provoz žejo… jenže se tak nějak obtížně používá. Je to tak, že bezpečnost je nákladná. A ty vysoká cena neleží ani tak v těch krabičkách v racku a SW řešeních ale ve znalostech lidí, co to nastavují a provozují. ŘSD je státní organizace a podle toho asi platí IT specialisty a podle toho to pak zase vypadá. Pak je dobré jaksi brát ohled na to, že ten útok není hotový za hodinu. To jsou hotový ty… Číst vice »
Pro státní firmy je zase možnost dělat společné metodiky včetně způsobu zapezpečení a zálohování a není potřeba aby každé ředitelství mělo specifické IT experty, kteří si to budou řešit každý podle úrovně vlastních znalostí.
No to mě pobavilo… možnost tu samozřejmě je, leč nefunguje to tak… A v realitě by to ani nefungovalo. byl by to tak strašlivě velký a složitý proces, že by nikdy nedospěl k aplikovatelnému konci a ty organizace by se s tím stejně z různých důvodů neřídily… Mám vhled do prostředí univerzit v ČR a mnoho z nich nemá centrální IT na úrovni univerzity (resp. často mají jen nějaký nezbytný základ typu konektivita a elementární IS – obvykle ekonomický) a je to zcela rozdrobené na úroveň jednotlivých fakult a ústavů. A to taková průměrná univerzita je sice docela velká organizace… Číst vice »