Slo-Tech - Izsiljevalski virus WannaCry, o katerem smo poročali včeraj, ko je onesposobil več kot deset britanskih bolnišnic, ne jenja. V zadnjih 24 urah o zaklenjenih računalniških sistemih poročajo iz 99 držav, v katerih je skupno prizadetih vsaj 75.000 računalnikov. Med žrtvami so poleg britanskih bolnišnic tudi španski operater Telefonica, Deutsche Bahn, rusko notranje ministrstvo, Energias de Portugal, FedEx in novomeški Revoz. Po poročanju Radia Slovenija so ponoči zaradi okužbe morali ustaviti proizvodnjo v novomeški tovarni avtomobilov.
Napad se širi izključno zaradi neposodobljenih sistemov, saj vektor EternalBlue izkorišča ranljivost, ki jo je Microsoft zakrpal 14. marca letos. To pomeni, da kdor uporablja posodobljen Windows 7 ali novejši, se napada nima bati. Po drugi strani je večji problem Windows XP, za katerega popravka ni in ne bo (glej dopolnitev), ker je sistem pač prestar in ga je Microsoft leta 2014 upokojil. Infekcija se je tako razširila, da je opozorilo izdala celo Služba za domovinsko varnost (DHS). Širjenje okužbe po svetu lahko spremljamo skorajda v realnem času.
Napad je olajšalo razkritje orodij in ranljivost, ki jih ima na voljo NSA, vdor Shadow Brokers pa jih je razkril svetu. Kot kaže, je v WannaCry vključena ta ista koda. V zadnjih urah se je širjenje upočasnilo, ker je eden izmed raziskovalcev ugotovil, da se virus ob naselitvi poizkusi povezati v internet in dostopiti do ene domene. Če mu uspe, se okužba ne zgodi; zato je registriral domeno in nanjo postavil stran.
Moram reči da ne razumem najbolje kako razmišljajo NSA in njim podobni. Namreč če so oni odkrili ranljivost, ki omogoča polni dostop na daljavo do kateregakoli računalnika ali strežnika in naredili za izrabo orodja je kaj takega verjetno sposoben tudi še kdo drug, lahko tudi njihov "nasprotivnik". Ampak očitno jih to ali ne briga, ali pa so prepričani, da nihče razen njih ni tako sposoben. Sam dvomim, da Microsoft za računalnike ameriških podjetji in državnih ustanov dela in distribuira posebne (skrite) popravke, ki ostalim po svetu niso na voljo. Torej NSA tu preprosto hazardira. Upam da bolj kot ta hekerska orodja varujejo biološko in nuklearno orožje.
Ampak če za izdelavo jedrske bombe ali kakšnega biološkega orožja potrebuješ znanje, veliko denarja, kader itd., ta računalniška orožja lahko dela in razpošilja naokrog praktično vsak, tudi Severna Koreja. Mogoče se bo v praksi izkazalo, da bo škoda, ki jo bodo povzročila ta hekerska orodja od NSA bistveno večja, kot pa so imeli od njih koristi.
Jah lej, če NSA ve za ene 10 hudih lukenj(med drugim skoraj gotovo tudi take, ki so jih oni naročili) pa če "ostali svet" ve samo za 3 od teh 10ih lukenj so na profitu.
Sploh recimo tale luknja z Windows Defenderjem, vse kar rabiš je izklopit(ne rabiš skritega popravka, ki bi ga kako rusko vohunstvo brez skrbi odkrilo). Bi bilo zanimivo dobiti informacijo, če je defender vklopljen na goverment računalnikih od USa:) Bi to bil konkretni namig za tako početje.
Moraš to kliknit na kakšno priponko v emailu ali se računalnik okuži že s povezavo na internet?
Samo povezava ni dovolj(drugače bi bilo okužb na miljarde), pogoj je da se datoteka pojavi na računalniku, ki ima vklopljen Windows Defender ali Security Esentials. Ampak je pa lahko poljubna(tudi TXT), tako da je načinov za okužbo mnogo.
V Sloveniji, kolikor mi je znano, že pripravljajo zakon o kibernetski obrambi.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
Moraš to kliknit na kakšno priponko v emailu ali se računalnik okuži že s povezavo na internet?
Samo povezava ni dovolj(drugače bi bilo okužb na miljarde), pogoj je da se datoteka pojavi na računalniku, ki ima vklopljen Windows Defender ali Security Esentials. Ampak je pa lahko poljubna(tudi TXT), tako da je načinov za okužbo mnogo.
Torej so tisti, ki v temi o antivirusnih programih govorijo, da je windows defender čisto dovolj za navadnega uporabnika v hudi zmoti.
Ta virus kaže samo na nesposobnost sistemskih adminov in IT služb po svetu.
Neposodabljanje varnostnih lukenj (ker se vsakomur fučka za to) in neprimerno zavarovana mreža.
Delno se strinjam. Enim se res fucka, meni osebno kot sistemskem adminu sigurno ne.
Jaz konstnano pritiskam na sefa okrog tega, ampak on ocitno ne steka. V nasem podjetju smo v fazi preselitve infrastrukture v oblak in v prvi fazi gre za migracijo 1 na 1. To dela moj sodelavec. Jaz si ga pa v tem casu mecem na roke in ko recem sefu, da imam cas in da naj gremo cimprej v investicije okrog posodobitve antivirusnega programa, okrog enkripcije, okrog vsega povezano s tem, pravi sedaj ni taprav cas, mormo to najprej koncat, bomo to pol...ko se bo delala konzulidacija masin bla bla..
Ko mu recem, pa ti resnicno razumes kaj pomeni, ce dobimo ponovno ransomware? Njegov odgovor: Jah kot da je novi antivirusni program resnicna garancija, da ga ne bomo dobili. Mu recem, zato pa se poskusis maksimalno zascititi in pac upas, da te ne doleti ta problem. Pa ce te vseeno doleti, si vsaj probal in nisi pustil infrastrukture taksne kot je sedaj.
Casi navadnih virusov so mimo. Kot da je komu zanimivo napopat virus, ki random zaklepa in sesuva OS...ransomware je prihodnost.
Tako da...res je veliko nesposobnega folka zunaj, predvsem nesposobnih ljudi na IT vodstvenih polozajih.
Torej so tisti, ki v temi o antivirusnih programih govorijo, da je windows defender čisto dovolj za navadnega uporabnika v hudi zmoti.
Iz ene varnoste luknje enega programa ne moreš ničlesar sklepati o tem programu, tudi glede verjetnosti iz NSA inštaliranega backdoora so kar se mene tiče vsa Ameriška podjetja na istem, ni Microsoft nič bolj od ostalih susceptibilen na te fore. Tako kot Kaspersky in ruske agencija.
Skoraj gotovo ima vsak antivirusni vsaj nekaj varnostnih lukenj, samo pač ležijo neodkrite(ali pa o njih ve zelo ozek krog), pač krasni novi svet digitalne varnosti.
Ali mi lahko prosim kdo razloži, kako v firmah, kjer je več sto ali celo tisoč PC spremljate stanje posodobitev če nimate nekega centralnega sistema za distribucijo popravkov? Ali so zaposleni naučeni da vsak dan gredo gledat zgodovino popravkov in se pritožijo komu, če se kaj zaustavi, ali imate ekipo ljudi ki vsak dan skače okrog PC...? Moram reči da si tega ne predstavljam najbolje.
Moraš to kliknit na kakšno priponko v emailu ali se računalnik okuži že s povezavo na internet?
Samo povezava ni dovolj(drugače bi bilo okužb na miljarde), pogoj je da se datoteka pojavi na računalniku, ki ima vklopljen Windows Defender ali Security Esentials. Ampak je pa lahko poljubna(tudi TXT), tako da je načinov za okužbo mnogo.
Torej so tisti, ki v temi o antivirusnih programih govorijo, da je windows defender čisto dovolj za navadnega uporabnika v hudi zmoti.
Windows Defender je preveč za katerega koli uporabnika. Antivirusni povzročajo več škode kot koristi.
Ali mi lahko prosim kdo razloži, kako v firmah, kjer je več sto ali celo tisoč PC spremljate stanje posodobitev če nimate nekega centralnega sistema za distribucijo popravkov? Ali so zaposleni naučeni da vsak dan gredo gledat zgodovino popravkov in se pritožijo komu, če se kaj zaustavi, ali imate ekipo ljudi ki vsak dan skače okrog PC...? Moram reči da si tega ne predstavljam najbolje.
V primeru Windowsev imajo seveda vse resne firme centralne strežnike, ki imajo admin dostop do vseh računalnikov povezanih v AD(tudi če ga imaš doma na WiFiju) in potem rihtajo te zadeve. Smo recimo v ITju določeni v "testni" grupi in dobimo posodobitve in razne spremembe prej kot ostali del firme in take fore.
V primeru Windowsev imajo seveda vse resne firme centralne strežnike, ki imajo admin dostop do vseh računalnikov povezanih v AD(tudi če ga imaš doma na WiFiju) in potem rihtajo te zadeve. Smo recimo v ITju določeni v "testni" grupi in dobimo posodobitve in razne spremembe prej kot ostali del firme in take fore.
Upam, da res samo doloceni, ker resnicno najslabse kar se lahko zgodi, da se sistemcu sesuje njegovo delovno okolje. Se mi je v krizi tudi to zgodilo...
V primeru Windowsev imajo seveda vse resne firme centralne strežnike, ki imajo admin dostop do vseh računalnikov povezanih v AD(tudi če ga imaš doma na WiFiju) in potem rihtajo te zadeve. Smo recimo v ITju določeni v "testni" grupi in dobimo posodobitve in razne spremembe prej kot ostali del firme in take fore.
Ni dovolj samo admin dostop, ti potrebuješ nek centralni "patch managment" sistem, kjer lahko iz enega mesta nadziraš stanje. MS ima sicer za to dobra orodja, ampak ranljivosti se lahko pojavijo v katerikoli programski opremi, ne samo od MS.
Ni dovolj samo admin dostop, ti potrebuješ nek centralni "patch managment" sistem, kjer lahko iz enega mesta nadziraš stanje. MS ima sicer za to dobra orodja, ampak ranljivosti se lahko pojavijo v katerikoli programski opremi, ne samo od MS.
Dobro to sem poenostavil za laike, seveda mora poleg tega AD layerja biti zadaj še managment server in to Microsoft ponuja vse v kompletu. Obstajajo tudi rešitve za 3rd party programe, ki se jih tudi poslužujejo firme, sploh kak Acrobat Reader je fajn imeti redno posodobljen, če se ga že uporablja:)
Eh, saj so kar naprej novice o vdorih v strežnike, ki pa so v več primerih na linuxu kot pa windowsu.
Jaz vseeno mislim da počasi a vztrajno napreduje varnost v IT svetu, samo to pač ni tako opazno, ker je tudi motivacija za vdore vedno večja(veš zanašanja na IT sisteme), v naslednjih desetletjih bo vedno manj novic o vdorih, bodo pa te novice vedno "hujše", ker bodo vdori imeli vedno hujše posledice.
"To pomeni, da kdor uporablja posodobljen Windows 7 ali novejši, se napada nima bati."
In potem:
Dopolnitev: Microsoft je, kot sam to poimenuje, sprejel "izjemno nenavadno odločitev" in v splošno rabo dal posodobitve tudi za Windows XP, Windows 8 in Windows 2003, ki odpravljajo napako, ki jo izkorišča WannaCrypt.
Edina misel, ki mi tu pade na pamet je, da mogoče redne updejte dobiva samo 8.1, sama osemka je pa deprecated? (Če ve kdo kaj več)
Pomoje ne. Pr nas je še par XP mašin ki bi se jih z veseljem znebil že lep čas nazaj, samo na žalost ni programske opreme za mašine, ki bi podpirala Windows 7 ali novejše. Večina jih je offline na srečo.
To je pač težava. Sicer večino xp-jev virtualiziramo a nevarnost vseeno obstaja. Tudi 2003 serverjev še nekaj deluje v produkciji, ker so lastniki mnenja, da je še v redu.
.. ko bi ti vedo, koliko "namenskih lukenj" je že na XP-jih, bi že downgrejdal na Win2k z vsemi patchi (SP-ji) ali na win2k3 server (utegne bit problem z igrcami ipd.)
Jest mam npr.tudi XPsp2 LITE (poleg Win98seLite), pa sem ročno (peš) dodatno pometal ven sranja iz registra v enem tednu, da je bilo joj. Če imaš doubleboot še s kakim MS Win (lahko tudi win95!), ti pobere vse podatke tudi iz njega in proba ali čaka poslat jih komur dostopi na daljavo do tvoje mašine ... verjel ali ne !!! Bo treba kakšno sleek varianto/distribucijo Linux montirat ...
.. ko bi ti vedo, koliko "namenskih lukenj" je že na XP-jih, bi že downgrejdal na Win2k z vsemi patchi (SP-ji) ali na win2k3 server (utegne bit problem z igrcami ipd.)
Jest mam npr.tudi XPsp2 LITE (poleg Win98seLite), pa sem ročno (peš) dodatno pometal ven sranja iz registra v enem tednu, da je bilo joj. Če imaš doubleboot še s kakim MS Win (lahko tudi win95!), ti pobere vse podatke tudi iz njega in proba ali čaka poslat jih komur dostopi na daljavo do tvoje mašine ... verjel ali ne !!! Bo treba kakšno sleek varianto/distribucijo Linux montirat ...
Khm... GNU/Linux je rešitev seveda, kaj čakaš? Drugače wine je prekleto daleč in poganjat kak non-networked windows binary je večinoma preprosto. Enostavno ni več razloga imet windows na PCju, edino mogoče za težke gamerje.