Novice » Varnost » Lekarne Ljubljana žrtev izsiljevalskega virusa
Utk ::
Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.
Zgodovina sprememb…
- spremenil: Utk ()
c3p0 ::
SeMiNeSanja je izjavil:
Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"
Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"
Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.
Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.
Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.
Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).
Skratka tudi pri izrazoslovju in odpustkih je treba biti previden. Ni vsak 'namerno načrtovan napad' enako premeten, kompleksen ali celo neubranljiv.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Pri takih incidentih niti slučajno ni pametno s prstom kazati na tega ali onega 'krivca', ker imamo pogosto opraviti tudi z kolateralno škodo.
Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.
Ravno tako so posredno prizadete tudi vse varnostne rešitve, ki so bile implementirane v Lekarni, pa niso opravile svoje naloge.
Vendar bi bilo izredno grdo zdaj privoščljivo s prstom kazati na izvajalce ali rešitve, češ 'mi bi pa to bolje naredili' ali 'z našimi rešitvami, pa se to nebi moglo zgoditi'. Precej nor bi moral biti tisti, ki bi kaj takega trdil - pa čeprav je morda celo globoko prepričan v to.
Problem namreč ni zgolj v tem, kaj 'tvoja rešitev' zmore. Bistveni problem je v tem, kako je skonfigurirana.
Če kasneje točno veš, kako je ves proces incidenta potekal, ja lahko biti pameten in reči 'samo maile s tako končnico bi moral blokirat' ali kaj podobnega.
Toda kdor je kdaj delal na tem področju, točno ve, kako je včasih težko dopovedat strankam, da naj dovolijo blokado npr. *.docm in podobnih datotek, za katere se ve, da so v preteklosti že bile izvor okužb. Stranke ti znajo natveziti sto in en razlog zakaj potrebujejo raznorazne tvegane vrste datotek. Ko pa na koncu pride do kakšnga dejanskega problema, pa kvazi nihče ni zahteval, da se morajo prepuščati take datoteke.
Tako se moraš tudi kot izvajalec zaščititi in take 'posebne zahteve' vestno dokumentirat, sicer si lahko na koncu ti tisti grešni kozel - pa čeprav si ves čas opozarjal, da to ne bo dobro.
'Javnost' pa v bistvu za take in podobne zakulisne igrice ne ve. Izvedo, da je mrežo vzdrževal ta in ta... in že se nanj kaže s prstom 'lej ga šalabajzerja in njegove crap rešitve'.
To je nekako tako, kot ti mehanik pri rednem servisu reče, da bi bilo dobro dati nove gume gor, ti pa vztrajaš, da bodo tudi te, ki imajo zgolj 1mm profila še za nekaj časa dobre.
Kaj naj naredi mehanik? Nekako ne more reči "ali nove gume, ali pa ti ne dam ključev od avta".
No, edino srečo ima, da v tem primeru ne bo nihče spraševal, kdo pa je bil tisti mehanik, ki te ni opozoril. Niti ne bo nihče vprašal, katero znamko gum si imel gor. Kot beli dan je jasno, da se s takimi gumami ne gre več na cesto in da si sam kriv.
A pri avtih imamo na srečo še obvezni tehnični pregled, ki poskrbi za vsaj malo reda.
V informatiki pa imaš zgolj prostovoljne 'tehnične preglede', pa še ti marsikdaj niso usmerjeni v iskanje in odpravo napak in tveganj, temveč zgolj v 'požegnanje' dobrega dela ali izvedbe.
Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.
Ravno tako so posredno prizadete tudi vse varnostne rešitve, ki so bile implementirane v Lekarni, pa niso opravile svoje naloge.
Vendar bi bilo izredno grdo zdaj privoščljivo s prstom kazati na izvajalce ali rešitve, češ 'mi bi pa to bolje naredili' ali 'z našimi rešitvami, pa se to nebi moglo zgoditi'. Precej nor bi moral biti tisti, ki bi kaj takega trdil - pa čeprav je morda celo globoko prepričan v to.
Problem namreč ni zgolj v tem, kaj 'tvoja rešitev' zmore. Bistveni problem je v tem, kako je skonfigurirana.
Če kasneje točno veš, kako je ves proces incidenta potekal, ja lahko biti pameten in reči 'samo maile s tako končnico bi moral blokirat' ali kaj podobnega.
Toda kdor je kdaj delal na tem področju, točno ve, kako je včasih težko dopovedat strankam, da naj dovolijo blokado npr. *.docm in podobnih datotek, za katere se ve, da so v preteklosti že bile izvor okužb. Stranke ti znajo natveziti sto in en razlog zakaj potrebujejo raznorazne tvegane vrste datotek. Ko pa na koncu pride do kakšnga dejanskega problema, pa kvazi nihče ni zahteval, da se morajo prepuščati take datoteke.
Tako se moraš tudi kot izvajalec zaščititi in take 'posebne zahteve' vestno dokumentirat, sicer si lahko na koncu ti tisti grešni kozel - pa čeprav si ves čas opozarjal, da to ne bo dobro.
'Javnost' pa v bistvu za take in podobne zakulisne igrice ne ve. Izvedo, da je mrežo vzdrževal ta in ta... in že se nanj kaže s prstom 'lej ga šalabajzerja in njegove crap rešitve'.
To je nekako tako, kot ti mehanik pri rednem servisu reče, da bi bilo dobro dati nove gume gor, ti pa vztrajaš, da bodo tudi te, ki imajo zgolj 1mm profila še za nekaj časa dobre.
Kaj naj naredi mehanik? Nekako ne more reči "ali nove gume, ali pa ti ne dam ključev od avta".
No, edino srečo ima, da v tem primeru ne bo nihče spraševal, kdo pa je bil tisti mehanik, ki te ni opozoril. Niti ne bo nihče vprašal, katero znamko gum si imel gor. Kot beli dan je jasno, da se s takimi gumami ne gre več na cesto in da si sam kriv.
A pri avtih imamo na srečo še obvezni tehnični pregled, ki poskrbi za vsaj malo reda.
V informatiki pa imaš zgolj prostovoljne 'tehnične preglede', pa še ti marsikdaj niso usmerjeni v iskanje in odpravo napak in tveganj, temveč zgolj v 'požegnanje' dobrega dela ali izvedbe.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
AngelOfDeath ::
Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.
Zanimivo da so vsi backupi, ki sem jih jaz nastavil preživeli tudi če so napadalci imeli večtedenske dostope do sistema.
Saj ne da se niso trudili uničiti backupa. Samo so imeli malo premalo znanja da bi ga uspešno.
Po drugi strani pa je zanimivo to da vsepovsod drugje z tem niso imeli prevelikih težav in so lepo uničili backupe...
Zgleda da sem edini v Sloveniji z 100% uspehom svojih backupov :)
Trenutno nisem v Si in me ne zanimajo vaša podjetja, ker v 30min najdem več napak na backupih, kot jih vi poznate :)
edit: Slovnica
c3p0 ::
SeMiNeSanja je izjavil:
SeMiNeSanja je izjavil:
Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"
Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.
Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.
Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.
Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).
Dokaze lahko imajo le Lekarne. Npr. če jih je namensko kontaktiral kdo, s precej višjo odkupnino, bi lahko bil en tak signal. A dvomim, da so najeli zunanje security auditorje, oz. bodo v javnost dali podrobno analizo, kot je to storil Bitstamp.
Če so omrežje shekali s tem, da so prišli noter preko PCja nekega zaposlenega, ki ni admin s polnim dostopom do vsega, je že tu prvi velik fail. Povej mi, kako je to v dobro zastavljenem omrežju mogoče?
c3p0 ::
SeMiNeSanja je izjavil:
Problem namreč ni zgolj v tem, kaj 'tvoja rešitev' zmore. Bistveni problem je v tem, kako je skonfigurirana.
Če kasneje točno veš, kako je ves proces incidenta potekal, ja lahko biti pameten in reči 'samo maile s tako končnico bi moral blokirat' ali kaj podobnega.
Toda kdor je kdaj delal na tem področju, točno ve, kako je včasih težko dopovedat strankam, da naj dovolijo blokado npr. *.docm in podobnih datotek, za katere se ve, da so v preteklosti že bile izvor okužb. Stranke ti znajo natveziti sto in en razlog zakaj potrebujejo raznorazne tvegane vrste datotek. Ko pa na koncu pride do kakšnga dejanskega problema, pa kvazi nihče ni zahteval, da se morajo prepuščati take datoteke.
Še enkrat, admin nima kaj klikat priponk, ali za to uporabljat isti PC kot za ostale zadeve. Če to naredi Jože iz nabave, pa se zadeva ne more širit naprej, kaj šele na strežnike. Pri 0day ali namenskih napadih, tudi drag level7 appliance ne bo nič rešil, le zdrava pamet bo.
Mr.B ::
SeMiNeSanja je izjavil:
SeMiNeSanja je izjavil:
Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"
Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.
Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.
Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.
Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).
Dokaze lahko imajo le Lekarne. Npr. če jih je namensko kontaktiral kdo, s precej višjo odkupnino, bi lahko bil en tak signal. A dvomim, da so najeli zunanje security auditorje, oz. bodo v javnost dali podrobno analizo, kot je to storil Bitstamp.
Če so omrežje shekali s tem, da so prišli noter preko PCja nekega zaposlenega, ki ni admin s polnim dostopom do vsega, je že tu prvi velik fail. Povej mi, kako je to v dobro zastavljenem omrežju mogoče?
Zato ker za nepopechan sistem ne rabis admin dostopa.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Utk ::
AngelOfDeath je izjavil:
Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.
Zanimivo da so vsi backupi, ki sem jih jaz nastavil preživeli tudi če so napadalci imeli večtedenske dostope do sistema.
Saj ne da se niso trudili uničiti backupa. Samo so imeli malo premalo znanja da bi ga uspešno.
Po drugi strani pa je zanimivo to da vsepovsod drugje z tem niso imeli prevelikih težav in so lepo uničili backupe...
Zgleda da sem edini v Sloveniji z 100% uspehom svojih backupov :)
Trenutno nisem v Si in me ne zanimajo vaša podjetja, ker v 30min najdem več napak na backupih, kot jih vi poznate :)
A kje piše, da niso imeli včerajšnega backupa? V bistvu je pisalo, da ga SO imeli.
c3p0 ::
> A kje piše, da niso imeli včerajšnega backupa? V bistvu je pisalo, da ga SO imeli.
No, piše da so imeli cloud backup, na srečo, ker ostalo je šlo v franže. Vsaj tako sem jaz razbral. Pomeni, da za kak LTO, ali metodo z več diski, kaj šele PITR, še niso slišali.
No, piše da so imeli cloud backup, na srečo, ker ostalo je šlo v franže. Vsaj tako sem jaz razbral. Pomeni, da za kak LTO, ali metodo z več diski, kaj šele PITR, še niso slišali.
Utk ::
Sej ne veš kaj so imeli v cloudu, morda je bilo tisto čisto v redu, in ne veš kaj je trajalo 3-4 dni, da so spet zagnali vse skupaj. Počistit vse računalnike, strežnike, routerje itd., morda najti kako je sploh prišlo do tega, pač traja. Če bi samo restartali sistem s par ur starim backupom verjetno ne bi nič naredili, napad bi se samo (zelo verjetno) "ponovil".
Zgodovina sprememb…
- spremenil: Utk ()
Invictus ::
SeMiNeSanja je izjavil:
Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.
Mislim, da je prav, da se izpostavi tukaj tudi podjetje.
Dostikrat je cena visoka, delo pa slabo opravljeno, ker naročnik preprosto vsega ne ve in niti ne more skontrolirati.
Bi rekel, da je marsikdo tukaj delal v takih svetovalnih firmah in ve, da se naredi absolutni minimum, da se zadosti nizkemu znanju strank, čeprav je denarja dovolj.
Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno . Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
zmaugy ::
Mene bi zelo zanimalo, če se bo raziskalo odkod je napad prišel in če se bo reskiralo denar, da se bo povzročitelje izsledilo in kaznovalo.
Če gre za privatne osebe, ne vidim razloga, da se to ne zgodi, če gre za kakšno državno fukfehtarsko shemo kakšne rogue države pa bi se morala odzvati EU s sankcijami in NATO s protiukrepi.
Se mi zdi, da se vse preveč na lahko obravnava tovrstni kriminal in da je večina naporov usmerjenih v to, da se lastni sistem naredi za manj privlačen, kar zgolj preusmerja kriminal na manj zaščitene sisteme.
Če gre za privatne osebe, ne vidim razloga, da se to ne zgodi, če gre za kakšno državno fukfehtarsko shemo kakšne rogue države pa bi se morala odzvati EU s sankcijami in NATO s protiukrepi.
Se mi zdi, da se vse preveč na lahko obravnava tovrstni kriminal in da je večina naporov usmerjenih v to, da se lastni sistem naredi za manj privlačen, kar zgolj preusmerja kriminal na manj zaščitene sisteme.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.
Zgodovina sprememb…
- spremenilo: zmaugy ()
Mr.B ::
Konkurencna lekarna jim je poslal fakturo.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.
Mislim, da je prav, da se izpostavi tukaj tudi podjetje.
Dostikrat je cena visoka, delo pa slabo opravljeno, ker naročnik preprosto vsega ne ve in niti ne more skontrolirati.
Bi rekel, da je marsikdo tukaj delal v takih svetovalnih firmah in ve, da se naredi absolutni minimum, da se zadosti nizkemu znanju strank, čeprav je denarja dovolj.
Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno . Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.
Deloma se strinjam....
Kljub temu, bi potreboval končno analizo incidenta, da bi lahko dal na tehtnico, kolikšna je dejanska sokrivda podjetja, ki je prodalo / nameščalo / vzdrževalo varnostne rešitve, omrežje in sisteme.
V kazenskem pravu celo tisti, ki so ga dobili z krvavim nožem v roki, ni kriv, dokler ni obsojen. Zato mislim, da tudi v teh primerih ni najbolje soditi prenagljeno.
Je pa res, da ob pomanjkanju dokazov (izčrpnega poročila incidenta), kaj dosti drugih možnosti ne ostane, kot da predvidevaš vsaj delno sokrivdo (iz razlogov, ki si jih naštel).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
BigWhale ::
Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno . Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.
V kaksnih shitty podjetjih pa delas, da imajo prodajalce, ki ne znajo prodajati in prodajajo brez posveta s tistimi, ki bodo stvari dejansko poceli? Na vseh malo vecjih stvareh pri prodaji zraven sedi tudi CTO, ki ponavadi ve kaj se dela.
Invictus ::
V kaksnih shitty podjetjih pa delas, da imajo prodajalce, ki ne znajo prodajati in prodajajo brez posveta s tistimi, ki bodo stvari dejansko poceli? Na vseh malo vecjih stvareh pri prodaji zraven sedi tudi CTO, ki ponavadi ve kaj se dela.
Je že propadlo zdavnaj .
Dostikrat potem prodajalci postanejo še project managerji .
Sicer pa ne delam za slovenska podjetja že 10 let. Ajde, mogoče se je malo spremenilo .
Ampak dvomim ,,,
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- spremenil: Invictus ()
crniangeo ::
načeloma kar drži tisto kar govoriš. žal prodajajo tudi neumnosti, ker so narobe razumeli kaj neka stvar realno počne.
primeR: prodaja se storitev najema nekega fw, ki sploh nima možnosti integracije preverjanja prometa. pri prodaji se obljublja nadzor prometa in zaščita pred virusi in crvi.
primeR: prodaja se storitev najema nekega fw, ki sploh nima možnosti integracije preverjanja prometa. pri prodaji se obljublja nadzor prometa in zaščita pred virusi in crvi.
Convictions are more dangerous foes of truth than lies.
SeMiNeSanja ::
Še enkrat, admin nima kaj klikat priponk, ali za to uporabljat isti PC kot za ostale zadeve. Če to naredi Jože iz nabave, pa se zadeva ne more širit naprej, kaj šele na strežnike. Pri 0day ali namenskih napadih, tudi drag level7 appliance ne bo nič rešil, le zdrava pamet bo.
Googlaj "privilege escalation", pa boš videl, da kompromitirani uporabnik ne rabi biti admin.
TUDI marsikateri 0day danes tehnologija razkrije in to celo pravočasno. In to kar ti imenuješ "level7 appliance" sploh ni tako draga reč. Pravzaprav drobiž v primerjavi z enim samim dnevom izpada.
Npr. če bi LL v celoti opremil z WatchGuard opremo, vključno z vsemi naprednimi varnostnimi storitvami (tudi napredni endpoint prot. - TDR) bi prišel skozi za kakšnih 175.000€ nabavnega stroška (ob 3-letnih naročninah!), brez upoštevanja raznoraznih možnih popustov.
Potem pa seveda moraš dodati še strošek 'implementacije'. To je tisti strošek, kjer se ti potem dejansko maščuje vsak priškrtarjeni cent.....
Tudi če bi za implementacijo in podporo dal še dodatnih 175.000€ / 3 leta, si še vedno na skupnem znesku okoli 100.000/leto - kar za omrežje z cca. 50 podružnicami ni ravno neka grozljiva številka. Še najmanj pa pretresljiva v primerjavi z škodo, ki bi jo lahko preprečil ob ustrezni implementaciji.
Skratka - ne more biti govora o 'dragih level7 appliancih'. Predvidevam, da so samo za 'reševanje' (delo) v treh dneh pokurili tako vsoto. Kje je potem še preostala škoda....
Seveda pa ima vsakdo svoj pogled na to, kaj je 'drago'. Za ene je že nek Asus ali Linksys router kao 'drag'. Ampak mislim, da je še veliiiiko dražji, če zraven prišteješ še ceno enega takega incidenta, ko ti vse pripete računalnike pozaklene in poslovanje izpade za dan, dva ali več.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
načeloma kar drži tisto kar govoriš. žal prodajajo tudi neumnosti, ker so narobe razumeli kaj neka stvar realno počne.
primeR: prodaja se storitev najema nekega fw, ki sploh nima možnosti integracije preverjanja prometa. pri prodaji se obljublja nadzor prometa in zaščita pred virusi in crvi.
Nisem prav prepričan, če prodajalci res ne razumejo 'kaj neka stvar realno počne' - jaz jih bolj sumim, da namerno zavajajo kupce.
Istočasno pa imamo v SLO fenomen, da smo cepljeni na 'znamke'. Ljudje hočejo imeti Cisco ali PaloAlto, ker je to baje 'najboljše' (ne da bi sploh kdo vedel, kaj na tem področju pomeni 'najboljše').
To je tako, ko oni Ferdo sa sela, ki hoče na vsak način Merđota pred bajto. Nima veze, koliko je star, nima veze, kakšno ima dodatno opremo. Samo da je Merđo.
Isto pa se dogaja tudi pri varnostnih rešitvah. Samo da je neka določena znamka...in potem ta najbolj poceni možno varianto...pa ne, ne rabim naročnin na neke servise...samo enkratni strošek bi....
In potem imaš 'lepo' škatlo... notri pa nič, kar bi ti zares pomagalo.
Problem je, da prodajalci to veselo podpirajo, namesto da bi stranke izobraževali, da naj si naredijo uslugo in vzamejo vsaj še to in ono varnostno storitev.
Dejansko jih puščajo v prepričanju, da bo tista basic škatla delala 'čudeže'.
Glavno, da na koncu meseca dosežejo svoj prodajno kvoto, pa da dobijo še tisti % nagrade za 'delovno uspešnost'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
mimogredoči ::
Evo kolegi, dajmo LL malo gratis nasvetov, ker tudi tista slika od vodje IT v LL, ki jo ima na spletu, mi ne vliva nekega strokovnega zaupanja.
Na koncu je pa za IT in verjetno za vse krovne dogovore z S&T verjetno odgovorna Ksenija Montani, ki je bila že leta 2011 v Delovem članku navedena kot eden od top10 earnerjev v sistemu MOL?
https://www.delo.si/novice/slovenija/pl...
c3p0 ::
SeMiNeSanja je izjavil:
Še enkrat, admin nima kaj klikat priponk, ali za to uporabljat isti PC kot za ostale zadeve. Če to naredi Jože iz nabave, pa se zadeva ne more širit naprej, kaj šele na strežnike. Pri 0day ali namenskih napadih, tudi drag level7 appliance ne bo nič rešil, le zdrava pamet bo.
Googlaj "privilege escalation", pa boš videl, da kompromitirani uporabnik ne rabi biti admin.
TUDI marsikateri 0day danes tehnologija razkrije in to celo pravočasno. In to kar ti imenuješ "level7 appliance" sploh ni tako draga reč. Pravzaprav drobiž v primerjavi z enim samim dnevom izpada.
Seveda dobro poznam priv. escalation. Omrežje mora biti dovolj dobro zasnovano, da niti to ne povzroči škode dlje od lokalnega PC-ja. V ta namen nekateri grejo še korak dalj od VLANov in zasnujejo povsem ločena omrežja za razne administrativne sisteme, ker backup gotovo je. Zraven tega Jože iz nabave vseeno ne more prit niti blizu, četudi je na svoji mašini in morda tudi na bližnjem strežniku magično postal admin.
Drago je relativno, seveda. Da so naša podjetja izredno kratkovidna glede "nepotrebne" dodatni varnosti, pa ni nič novega.
SeMiNeSanja ::
@c3p0 - kaj od tega, kar si napisal, še ni bilo napisano?
Marsikdo v podjetju marsikaj nebi smel početi....pa se vseeno zgodi. Point je bil, da tudi če je admin nezmotljiv (pa tak ne obstaja!), lahko preko privilege escalation katerikoli uporabnik povzroči povsem enake probleme na omrežju in sistemih.
Segmentacija omrežja je bila tudi že omenjena. Ta v veliki meri pomaga omejevati škodljivce - vendar v veliki odvisnosti od same izvedbe ter tipa aplikacij, ki se uporabljajo na omrežju.
Če delaš segmentacijo in routing na switchu, razen peščice preprostih ACL-ov ne bo 'škodljivcu' nič 'inteligentnega' v napoto, kar bi lahko preprečilo prenos v sosednji segment omrežja. Potrebuješ najmanj še kakšen IPS senzor.
Takoj, ko imaš aplikacije, ki potrebujejo SMB protokol (file sharing, ipd.), imaš kar resen problem, da bi ohranil prednosti segmentiranja. Če uporabljaš zgolj SQL in morda še kakšen SFTP za prenos datotek, si VELIKO na boljšem.
Tako da ni čisto vse zgolj v segmentiranju. Zelo pomembno je tudi kaj to dejansko segmentiraš (oz. kaj moraš še vedno prepuščati) ter s čem in na kakšen način sploh izvajaš to segmentiranje. Zgolj kreiranje subneta in route še nič ne rešuje, prej stvari dodatno zakomplicira.
Marsikdo v podjetju marsikaj nebi smel početi....pa se vseeno zgodi. Point je bil, da tudi če je admin nezmotljiv (pa tak ne obstaja!), lahko preko privilege escalation katerikoli uporabnik povzroči povsem enake probleme na omrežju in sistemih.
Segmentacija omrežja je bila tudi že omenjena. Ta v veliki meri pomaga omejevati škodljivce - vendar v veliki odvisnosti od same izvedbe ter tipa aplikacij, ki se uporabljajo na omrežju.
Če delaš segmentacijo in routing na switchu, razen peščice preprostih ACL-ov ne bo 'škodljivcu' nič 'inteligentnega' v napoto, kar bi lahko preprečilo prenos v sosednji segment omrežja. Potrebuješ najmanj še kakšen IPS senzor.
Takoj, ko imaš aplikacije, ki potrebujejo SMB protokol (file sharing, ipd.), imaš kar resen problem, da bi ohranil prednosti segmentiranja. Če uporabljaš zgolj SQL in morda še kakšen SFTP za prenos datotek, si VELIKO na boljšem.
Tako da ni čisto vse zgolj v segmentiranju. Zelo pomembno je tudi kaj to dejansko segmentiraš (oz. kaj moraš še vedno prepuščati) ter s čem in na kakšen način sploh izvajaš to segmentiranje. Zgolj kreiranje subneta in route še nič ne rešuje, prej stvari dodatno zakomplicira.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjevOddelek: Novice / Varnost | 6917 (3805) | Horas |
» | Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )Oddelek: Novice / Varnost | 30818 (17418) | acookook |
» | (Komentar) Dva kilograma informacijske varnosti, prosimOddelek: Novice / Varnost | 10164 (6694) | sunshine403 |
» | Ko napade malware, se bolnišnice ustavijoOddelek: Novice / Varnost | 12782 (11481) | starfotr |
» | Ljubljanske lekarne IT problem (strani: 1 2 )Oddelek: Informacijska varnost | 12869 (9723) | estons |