Slo-Tech - Januarja je slovenska bitcoinska borza Bitstamp, ki sodi med najbolj spoštovane v svetu in največje evropske, za šest dni prenehala obratovati. Razlog je bil vdor, saj so napadalci uspeli odtujiti skoraj 19.000 bitcoinov oziroma slabih pet milijonov evrov. Bitstamp je vse izgube pokril iz lastnega žepa, celoten sistem pa povsem od začetka postavil na novi strojni opremi na drugi lokaciji. Na splet je pricurljalo interno poročilo, kaj je šlo narobe.
Ugotovili so, da so napadalci datoteko z denarnico (wallet.dat) ukradli že 29. decembra, dejanska nakazila pa so izvedli 4. januarja. Sam vdor pa je potekal od novembra, ko so s ciljanimi sporočili prek Skypa in elektronske pošte poizkusili pretentati nekaj zaposlenih v Bitstampu. Neznani napadalci so stopili v kontakt z vsakim s posebej prilagojeno zgodbo, ki je igrala na prave strune, da so nekateri odprli zlonamerno datoteko. Običajno je šlo za Wordov dokument, ki je imel škodljiv VBS-makro.
Usoden je bil napad na Luko Kodriča, ki je glavni administrator za Bitstamp. Ko so napadalci uspeli okužiti njegov računalnik, so se lahko prijavili neposredno v strežnika, ki sta imela denarnico s povezavo na internet (hot storage) in geslom zanjo. Prvikrat so se na strežnika povezali 23. decembra, krajo pa so izvedli 29. decembra, ko se je zgodil nepooblaščen prenos 3 GB velike datoteke - ravno toliko meri wallet.dat. Dejanska tatvina pa se je zgodila 4. januarja in zanjo niso potrebovali več povezave v Bitstamp, saj so imeli kopijo denarnice. Čeprav slednja ni nikoli imela več kot 5000 bitcoinov hkrati, so jo sproti praznili, prav tisti dan pa so komitenti naložili nadpovprečno veliko bitcoinov. Ko so napad odkrili, je bilo že prepozno.
Bitstamp je bliskovito reagiral, ugasnil stran, stranke obvestil o odpovedi nadaljnjih pologov, stopil v stik z organi pregona in najel podjetje za forenzično preiskavo. Celotna škoda je presegla šest milijonov evrov, saj je več kot le ukradeni bitcoini. Tu so še izgubljeni prihodki, vsi stroški s postavitvijo novega sistema, plačilo zasebnih preiskovalcev itd. Račun še vedno raste.
V vsaki stvari je nekaj dobrega in Bitstamp se je vrnil še močnejši. Dobil je dodatne varnostne funkcije (npr. multi-sig: obvezno podpisovanje transakcij s strani več ljudi), prav tako pa sedaj teče na drugih strežnikih. Škoda je velika, a so jo uspeli sanirati in večino strank so tudi obdržali. Primer pa je poučen, ker kaže, da so napadalci res zelo iznajdljivi (preberite celotno poročilo, da boste videli kakšne zgodbe in pretveze so uporabljali) ter jih ne smemo nikoli podcenjevati.
Novice » Kriptovalute » Na splet pricurljale podrobnosti januarskega vdora v Bitstamp
kixs ::
Res neverjetno kako "z lahkoto" so jih obrnili (heknili).
Office ima po "defaultu" onemogocen VBA in so morali uporabniki izrecno omogociti makrote. Kar je precej naivno dejanje, se posebej od sys_adminov. Po drugi strani je tudi direkten dostop od normalnega racunalnika do obcutljivih podatkov velika varnostna luknja.
Bi bilo zanimivo izvedet kdo je bil "varnostni arhitekt".
Sej ne recem, da je bil celoten napad enostaven, ampak varnost na strani Bitstampa se mi zdi smesna. Napadalci so ocitno zelo dobro nastudirali njihov sistem in bili uspesni.
Vcasih se zdi hekanje nekaj blazno zahtevnega (odkrivanje gesel, lukenj...), gre pa v vecini primerov ravno za social inzeniring, ki ocitno ni tako lahko prepoznaven. Od tu naprej pa "klasicni" trojanski konji naredijo vse potrebno (odprejo vrata).
Nja, nekaj so se menda iz tega ze naucili
Office ima po "defaultu" onemogocen VBA in so morali uporabniki izrecno omogociti makrote. Kar je precej naivno dejanje, se posebej od sys_adminov. Po drugi strani je tudi direkten dostop od normalnega racunalnika do obcutljivih podatkov velika varnostna luknja.
Bi bilo zanimivo izvedet kdo je bil "varnostni arhitekt".
Sej ne recem, da je bil celoten napad enostaven, ampak varnost na strani Bitstampa se mi zdi smesna. Napadalci so ocitno zelo dobro nastudirali njihov sistem in bili uspesni.
Vcasih se zdi hekanje nekaj blazno zahtevnega (odkrivanje gesel, lukenj...), gre pa v vecini primerov ravno za social inzeniring, ki ocitno ni tako lahko prepoznaven. Od tu naprej pa "klasicni" trojanski konji naredijo vse potrebno (odprejo vrata).
Nja, nekaj so se menda iz tega ze naucili
Val202 ::
Tudi jaz sem se čudil nekaterim zapisom v poročilu. Predvsem temu, da se je makro izvedel samodejno. Poleg tega pa tudi to, da uporabljajo iste računalnike za dostop do neta, kot tudi do samega sistema, kjer se nahajajo milijoni. To je tako kot, da bi ista soba imela en vhod v stranišče za obiskovalce, drugi bi pa peljal v sef z zlatimi palicami. Še bolj žalostno pa je to, da so uporabljali Office.
Verjamem, da so se iz tega nekaj naučili in poleg tega tudi nas, če se bomo kdaj lotili česa podobnega.
Verjamem, da so se iz tega nekaj naučili in poleg tega tudi nas, če se bomo kdaj lotili česa podobnega.
konspirator ::
Amaterji ostanejo amaterji, četudi imajo dolge titule.
Takšnih napak si ne privošči niti slabo plačani sysadmin iz JS .
Takšnih napak si ne privošči niti slabo plačani sysadmin iz JS .
matijadmin ::
Varnost ni bil nikoli njihov adut; pred časom se je menda odkrilo, da se da sprehajati po spletnih denarnicah uporabnikov te borze. Napako so sicer odpravili, dobrotniku, ki jih je obvestil pa niso namenili ne beu ne meu.
Se mi pa zdijo vseeno zanesljivi in dovolj resni v poslu, to sklepam predvsem iz odziva na ta zelo resen incident ter reševanje težav uporabnikov trgovalnih računov. Prav tako so škodo pokrili iz lastnih sredstev in tudi dodobra predrugačili varnostne temelje in politike.
Se mi pa zdijo vseeno zanesljivi in dovolj resni v poslu, to sklepam predvsem iz odziva na ta zelo resen incident ter reševanje težav uporabnikov trgovalnih računov. Prav tako so škodo pokrili iz lastnih sredstev in tudi dodobra predrugačili varnostne temelje in politike.
Vrnite nam techno!
blackbfm ::
kok ste vsi pametni kaj pa kako.. a pomoje nihče tu ne bi znal stvari sanirat tako kot so oni
kixs ::
Sej niso oni, nekomu so placali... Ze v startu bi lahko tako naredili.
Pa ne rabis biti "pameten", da ves kako se stvari ne dela. Se posebej, ko gre za denar.
Pa ne rabis biti "pameten", da ves kako se stvari ne dela. Se posebej, ko gre za denar.
s1m0n ::
Zakaj pa bi? Večinoma se nikjer ne premakne dokler ne pride do kakšnega dogodka, ki to spremeni.
poweroff ::
Ne glede na vse se meni zdi njihov odziv zelo na mestu. Varnosti sicer res niso imeli poštimane, ampak iz zapisanega bi rekel, da je bila varnost vsekakor na precej višjem nivoju kot pri večini slovenskih podjetij. Napad pa zelo zelo domišljen.
Njihov odziv je pa naravnost fantastičen (glede na to, da so podjetje). Videli so, da so naredili napako, jo priznali in se je lotili zavzeto reševati. Celo hardware so menjali.
Slovenske finančne firme jim pri tem se sežejo niti do kolen. Kaj šele kakšni telekomunikacijski operaterji.
Njihov odziv je pa naravnost fantastičen (glede na to, da so podjetje). Videli so, da so naredili napako, jo priznali in se je lotili zavzeto reševati. Celo hardware so menjali.
Slovenske finančne firme jim pri tem se sežejo niti do kolen. Kaj šele kakšni telekomunikacijski operaterji.
sudo poweroff
Dr_M ::
Njihov odziv je pa naravnost fantastičen (glede na to, da so podjetje). Videli so, da so naredili napako, jo priznali in se je lotili zavzeto reševati. Celo hardware so menjali.
Sej drugega jim niti ni ostalo. Ali zrihtat celotno zadevo, ali pa celo zivljenje cez ramo gledat.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
M.B. ::
Zanimivo je tudi branje kako so okradli Primedice za 1 mio $. Tudi bi človek reko osnovna napaka. A se zadnje čase relativno pojavljajo.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
N4m31355 ::
glede makrojev.. obstajajo nacini ki samodejno dovolijo makroje tudi ce ti niso po defaultu na on
erunno ::
Tudi jaz sem se čudil nekaterim zapisom v poročilu. Predvsem temu, da se je makro izvedel samodejno. Poleg tega pa tudi to, da uporabljajo iste računalnike za dostop do neta, kot tudi do samega sistema, kjer se nahajajo milijoni. To je tako kot, da bi ista soba imela en vhod v stranišče za obiskovalce, drugi bi pa peljal v sef z zlatimi palicami. Še bolj žalostno pa je to, da so uporabljali Office.
Verjamem, da so se iz tega nekaj naučili in poleg tega tudi nas, če se bomo kdaj lotili česa podobnega.
Ne razumem, zakaj je dejstvo da je imel Office bolj žalostno, kot da so nategnili glavgega administratorja.
Neizogibno je da te bo nekdo hecknil, če imaš zaposljene ljudi ki niso ITjevci, kakor smo se naučili na primeru hacka v Lockheed Martin (če se spomnimo Lockheed Marting je uporabljal 2 stopenjsko avtentifikacijo z RSA vranostnimi ključki, katere so nepridipravi cklonirali, potem ko so poheckali RSA Security), je pa neskončna sramota če nategnerjo glavnega sistemskega administratorja.
Zgodovina sprememb…
- spremenil: erunno ()
matijadmin ::
Pa bodimo iskreni, marsikoga od korajžnih na forumu bi tudi nategnili.
erunno, po čem pa sklepaš, da sistem'c pri Bitstanpu ni bil 'ITjevc'? In kdo ali kaj to sploh 'ITjevc' je?
Neskončna sramota je, da nisi prebral poročila in govoriš na pamet. Prav 2-stopenjsko preverjanje pristnosti, ko se se je prožil 2. del sheme preverjanja, je vzbudil sum pri tem istem sistemcu.
erunno, po čem pa sklepaš, da sistem'c pri Bitstanpu ni bil 'ITjevc'? In kdo ali kaj to sploh 'ITjevc' je?
Neskončna sramota je, da nisi prebral poročila in govoriš na pamet. Prav 2-stopenjsko preverjanje pristnosti, ko se se je prožil 2. del sheme preverjanja, je vzbudil sum pri tem istem sistemcu.
Vrnite nam techno!
noraguta ::
matijadmin je izjavil:
Pa bodimo iskreni, marsikoga od korajžnih na forumu bi tudi nategnili.
erunno, po čem pa sklepaš, da sistem'c pri Bitstanpu ni bil 'ITjevc'? In kdo ali kaj to sploh 'ITjevc' je?
Neskončna sramota je, da nisi prebral poročila in govoriš na pamet. Prav 2-stopenjsko preverjanje pristnosti, ko se se je prožil 2. del sheme preverjanja, je vzbudil sum pri tem istem sistemcu.
Nobenga kje imel kaj koli kaj opravit z dobrimi praksami. Popoln alfabetizem.
Sicer pa kapo jim dol za biznis.
Pust' ot pobyedy k pobyedye vyedyot!
Zgodovina sprememb…
- spremenilo: noraguta ()
pegasus ::
Zanimivo, tudi jaz dobim precej spear phishinga in če imam čas, si vsakega z zanimanjem pogledam. Seveda mi na kraj pameti ne pade, da bi te fajle odpiral v čimerkoli bolj naprednem od vi oz. notepad. Tudi to, da imaš mail+office in dostop do produkcije na isti mašini, se mi zdi slaba praksa. Sklepam, da so se na Bitstampu iz tega dogodka nekaj naučili.
erunno ::
matijadmin je izjavil:
Pa bodimo iskreni, marsikoga od korajžnih na forumu bi tudi nategnili.
erunno, po čem pa sklepaš, da sistem'c pri Bitstanpu ni bil 'ITjevc'? In kdo ali kaj to sploh 'ITjevc' je?
Neskončna sramota je, da nisi prebral poročila in govoriš na pamet. Prav 2-stopenjsko preverjanje pristnosti, ko se se je prožil 2. del sheme preverjanja, je vzbudil sum pri tem istem sistemcu.
Slabo si preblar moj odgovor. Nikjer nisem rekel da stistemc pri Btistampu ni ITjevec.
Proročila sploh nisem prebral, govor o dvostopenjski avtantifiakciji se je nanašal na Lockheed Martin hack (kjer so zlikovci klonirali RSA SecurID varnostni ključ, tako da so bili vsi dostopi pravilno avtorizirani) in ne o temi hacku.
noraguta ::
Ma v povprečno administrirani domeni se ti vbs ne izvede. Kje sele v paranoicnih.
Pust' ot pobyedy k pobyedye vyedyot!
poweroff ::
Sicer jaz verjamem, da ste vsi zelo pametni in obvladate varnost v nulo, ampak dejstvo je, da so fantje nekaj naredili in uspeli, od večine tukajle pa razen gostilniškega zabavljanja še ni bilo kaj dosti slišati.
Napake se dogajajo. Celo Bruce Schneier ima kakšno ranljivost na svoji spletni strani. Pomembno je, kako se na napake odzoveš.
Napake se dogajajo. Celo Bruce Schneier ima kakšno ranljivost na svoji spletni strani. Pomembno je, kako se na napake odzoveš.
sudo poweroff
sumoborac ::
Kot ponavad, vsi bols obvladate. Vsi generali po bitki. Glede na vaše izkušnje in sposobnosti, najbolje, da jih sami "pohekate" z easy social-engineeringom, jim pokažete napako in garant dobite službo. Potem boste blesteli!
Jaz sem predvsem presenečen nad kakovostjo socialnega inžiniringa...
Jaz sem predvsem presenečen nad kakovostjo socialnega inžiniringa...
Prid sm al pa tm ostan...
Isotropic ::
Tudi jaz sem se čudil nekaterim zapisom v poročilu. Predvsem temu, da se je makro izvedel samodejno. Poleg tega pa tudi to, da uporabljajo iste računalnike za dostop do neta, kot tudi do samega sistema, kjer se nahajajo milijoni. To je tako kot, da bi ista soba imela en vhod v stranišče za obiskovalce, drugi bi pa peljal v sef z zlatimi palicami. Še bolj žalostno pa je to, da so uporabljali Office.
Verjamem, da so se iz tega nekaj naučili in poleg tega tudi nas, če se bomo kdaj lotili česa podobnega.
Ne razumem, zakaj je dejstvo da je imel Office bolj žalostno, kot da so nategnili glavgega administratorja.
Neizogibno je da te bo nekdo hecknil, če imaš zaposljene ljudi ki niso ITjevci, kakor smo se naučili na primeru hacka v Lockheed Martin (če se spomnimo Lockheed Marting je uporabljal 2 stopenjsko avtentifikacijo z RSA vranostnimi ključki, katere so nepridipravi cklonirali, potem ko so poheckali RSA Security), je pa neskončna sramota če nategnerjo glavnega sistemskega administratorja.
večja žalost je to, da je imel ta glavni admin po defaultu root dostop do strežnika. sploh ko ni nek hud programer, sysadmin verjetno (FOV študent, mislim da je programer bolj un drugi).
poleg že omenjenega, da sploh uporabljajo iste računalnike, s katerimi brskjo po pornhubu (npr), tut za dostop do strežnikov seveda.
good practice za v knjige.
Zgodovina sprememb…
- spremenil: Isotropic ()
Spiky28 ::
Zanimivo poročilo...in res dobro izpeljan napad. Smešno mi je edino to, da ljudje, ki delajo na področju računalništva (strokovnjaki) še zmeraj veselo odpirajo doc in zip datoteke od neznanih ljudi..wtf? Phishing zgleda odlično deluje tudi pri takih "rač. bolj razgledanih".
ps. UTC+4 timezone dosti pove :)
ps. UTC+4 timezone dosti pove :)
blackbfm ::
Smešno mi je edino to, da ljudje, ki delajo na področju računalništva (strokovnjaki) še zmeraj veselo odpirajo doc in zip datoteke od neznanih ljudi..wtf? Phishing zgleda odlično deluje tudi pri takih "rač. bolj razgledanih".
letala tut padajo dol zarad najbolj banalnih človeških napak..meni to ni smešno, je pa zanimivo
MrStein ::
Kako pa je širitev tega dokumenta (PDF poročilo) dovoljena oz. legalna?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
hamez66 ::
matijadmin ::
Kako pa je širitev tega dokumenta (PDF poročilo) dovoljena oz. legalna?
Sklicevanje na povezavo gotovo ni kaznivo. Drugo (kopiranje, hranjenje in omogočanje javne objave) pa je, ja, vpršaljivo.
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
matijadmin ::
večino strank so tudi obdržali.
Haha. Good one. V realnosti jih nobeden več ne jebe. Žal.
Resno me zanima, razpolagaš s kakšnimi podatki, da je danes manjša kapitalizacija te borze?
Kako se je spreminjal trend rasti uporabnikov trgovalnih računov, bomo bolj težko izvedeli, če borza tega prostovoljno ne objavi.
Res so ljudje ob obveščanju po dogodku zagnali (upravičeno) paniko, saj so imeli tako rekoč blokirana sredstva, vrednost BTC pa je prav zaradi tega dogodka nekoliko zanihala. Ko pa je storitev prišla nazaj (čeravno na obroke, kar je še bolj vzbujalo sum na prevaro tipa MTGOX) in so se imetja trgovalnih računov začela sproščati, je bilo ugibanj (tako med uporabniki kot) v javnosti konec.
Mislim, da imate nekateri predvsem težave z ljubosumjem.
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
Isotropic ::
večja žalost je to, da je imel ta glavni admin po defaultu root dostop do strežnika. sploh ko ni nek hud programer, sysadmin verjetno (FOV študent, mislim da je programer bolj un drugi).
poleg že omenjenega, da sploh uporabljajo iste računalnike, s katerimi brskjo po pornhubu (npr), tut za dostop do strežnikov seveda.
good practice za v knjige.
poleg že omenjenega, da sploh uporabljajo iste računalnike, s katerimi brskjo po pornhubu (npr), tut za dostop do strežnikov seveda.
good practice za v knjige.
bojsi ::
matijadmin ::
Dve poti sta, da kot napadalec s kodo prožiš samodejni mehanizem, ki pozove uporabnika, da omogoči makroje. Druga pa je kakšen 0 day kot je bil npr. ta: http://krebsonsecurity.com/2014/03/micr...
So pa ta vektor/način napada ob ribarjenju prvi zaznali pri PhishMe pred letom in pol: http://phishme.com/ms-word-macros-now-s...
So pa ta vektor/način napada ob ribarjenju prvi zaznali pri PhishMe pred letom in pol: http://phishme.com/ms-word-macros-now-s...
Vrnite nam techno!
johnnyyy ::
Pa kdo od vas uporablja različne računalnike za različne naloge? Če bi imel za vsako banko in vsak strežnik svoj računalnik, to pomeni kup opreme in kup vzdrževanja, poleg tega pa še probleme s sinhronizacijo podatkov itd. Takšna rešitev prinaša poleg rešitev še kup problemov.
Najbolj se mi zdi zanimivo, da je bil vstopna točka ravno sistemc. Kolikor sistemcev poznam, imajo zelo različne okuse kar se tiče OSjev in programske opreme. Zgleda, da so napadalci morali ugotoviti, kakšno programsko opremo uporabljajo, da so vedeli kakšen tip datoteke poslat.
Sicer pa so zelo dobro izpeljali reševanje te situacije.
Najbolj se mi zdi zanimivo, da je bil vstopna točka ravno sistemc. Kolikor sistemcev poznam, imajo zelo različne okuse kar se tiče OSjev in programske opreme. Zgleda, da so napadalci morali ugotoviti, kakšno programsko opremo uporabljajo, da so vedeli kakšen tip datoteke poslat.
Sicer pa so zelo dobro izpeljali reševanje te situacije.
cegu ::
matijadmin je izjavil:
In kdo ali kaj to sploh 'ITjevc' je?
To so vsi, ki znajo odpreti MSWord in omogočiti makroje
matijadmin ::
Pa kdo od vas uporablja različne računalnike za različne naloge? Če bi imel za vsako banko in vsak strežnik svoj računalnik, to pomeni kup opreme in kup vzdrževanja, poleg tega pa še probleme s sinhronizacijo podatkov itd. Takšna rešitev prinaša poleg rešitev še kup problemov.
Najbolj se mi zdi zanimivo, da je bil vstopna točka ravno sistemc. Kolikor sistemcev poznam, imajo zelo različne okuse kar se tiče OSjev in programske opreme. Zgleda, da so napadalci morali ugotoviti, kakšno programsko opremo uporabljajo, da so vedeli kakšen tip datoteke poslat.
Sicer pa so zelo dobro izpeljali reševanje te situacije.
To sploh ni težko, ugotoviti kdo kaj uporablja.
Da so sistemci tarče sofisticiranih napadov ni naključje, saj premorejo več dostopov. Zato tudi ne preseneča Snowdnovo razkritje, da so sistemci dokaj neselktivno (v mislih imamo kar vse po vrsti in na zalogo) tarče NSA.
Vrnite nam techno!
noraguta ::
matijadmin je izjavil:
Dve poti sta, da kot napadalec s kodo prožiš samodejni mehanizem, ki pozove uporabnika, da omogoči makroje. Druga pa je kakšen 0 day kot je bil npr. ta: http://krebsonsecurity.com/2014/03/micr...
So pa ta vektor/način napada ob ribarjenju prvi zaznali pri PhishMe pred letom in pol: http://phishme.com/ms-word-macros-now-s...
če makro ni pregledan in podpisan se stvar blokira. Pa tud če je admin.
O day exploite ti antivirusi onemogocjo po parih dneh.
Ena velka šlamparija.
Pust' ot pobyedy k pobyedye vyedyot!
matijadmin ::
matijadmin je izjavil:
Dve poti sta, da kot napadalec s kodo prožiš samodejni mehanizem, ki pozove uporabnika, da omogoči makroje. Druga pa je kakšen 0 day kot je bil npr. ta: http://krebsonsecurity.com/2014/03/micr...
So pa ta vektor/način napada ob ribarjenju prvi zaznali pri PhishMe pred letom in pol: http://phishme.com/ms-word-macros-now-s...
če makro ni pregledan in podpisan se stvar blokira. Pa tud če je admin.
O day exploite ti antivirusi onemogocjo po parih dneh.
Ena velka šlamparija.
Za začetek, ne poznamo vseh okoliščin OS/programskega okolja, kjer se je napad zgodil. Nekaj sicer (v grobem) razkriva poročilo, ki tehnično še vedno ne gre v podrobnosti in bolj spominja na nek razširjen executive summary, oz. je jasno, komu je namenjen. Lahko je pametovati in pljuvati (zato pa tudi naziv, kaj ne?) ...
To z AV ni čisto res. Prvič zato, ker gre za ranljivost MS (ali pa katere koli druge) programske opreme, načinov izrabe pa je (lahko) več (ne nujno eksaktno z eno in isto kodo). Če si mislil še kakšno bolj kompleksno zaščitno programje, morda lahko kako prepreči. Po drugi strani pa so AV programi lahko celo vektor napada ali dobra pomoč pri iskanju slednjega.
Podpisan ali ne, še vseeno se danes da pripraviti dokument, ki te vpraša, če želiš, da se makro v njem zažene. Kaj se je zgodilo, ali je administrator potrdil, ali je šlo za nek 0Day, ne vemo.
Vrnite nam techno!
noraguta ::
Eksplicitno se da prepovedat izvajanje nepodpisanih makrov. Tudi če uporabnik to dovoli. Simpl as that. In tko majo urejeno povsod, kjer jih vsaj malo skrbi za varnost.
av ti pa že na mail serverju pobere priponko če ta sodi med nevarne. Če rtf ni varen se ustavi promet z njim. In to se prakticira nad deset let.
dobre prakse...
av ti pa že na mail serverju pobere priponko če ta sodi med nevarne. Če rtf ni varen se ustavi promet z njim. In to se prakticira nad deset let.
dobre prakse...
Pust' ot pobyedy k pobyedye vyedyot!
matijadmin ::
To z eksplicitno prepovedjo nepodpisanih kod ni čisto res, pa tudi, če bi bilo, ni zagotovilo za varnost. Zlikovci prav tako podpisujejo.
Glede AV/filetype filtrov na poštnem strežniku pa je tako ...
Kodo, da je AV ne zazna, se hitro predrugači (obfuskira). Tu je šlo za sofisticiran in ozkociljni napad, kar pomeni, da to sploh ni bilo pod vprašajem. Sploh pa, ta koda, ki 'nekaj' sname s spleta, še ni nujno virus in, če bi jo protivirusniki kar tako blokirali, bi bila štala. Prav tako se težko 'blokira na AV' ranljivost nekega programa. En cilj, sto poti (kod). Pravzaprav je bil še en korak vmes, pobral aje batch, ki je zagnal PowerShell in od tam pobral zlonamerno kodo ... Skratka na vse okoliščine, je zelo, zelo malo verjetno, da bi to kateri koli AV zaznal.
Blokirati RTF, DOC je neživljenjsko. Morda je smiselno za neka kritična okolja in oni bodo o tem morali razmisliti, a v večini organizacij je to prej nesmisel kot pa smisel. Govorim iz izkušenj in potreb organizacij.
Glede AV/filetype filtrov na poštnem strežniku pa je tako ...
Kodo, da je AV ne zazna, se hitro predrugači (obfuskira). Tu je šlo za sofisticiran in ozkociljni napad, kar pomeni, da to sploh ni bilo pod vprašajem. Sploh pa, ta koda, ki 'nekaj' sname s spleta, še ni nujno virus in, če bi jo protivirusniki kar tako blokirali, bi bila štala. Prav tako se težko 'blokira na AV' ranljivost nekega programa. En cilj, sto poti (kod). Pravzaprav je bil še en korak vmes, pobral aje batch, ki je zagnal PowerShell in od tam pobral zlonamerno kodo ... Skratka na vse okoliščine, je zelo, zelo malo verjetno, da bi to kateri koli AV zaznal.
Blokirati RTF, DOC je neživljenjsko. Morda je smiselno za neka kritična okolja in oni bodo o tem morali razmisliti, a v večini organizacij je to prej nesmisel kot pa smisel. Govorim iz izkušenj in potreb organizacij.
Vrnite nam techno!
OrkAA ::
Ce bi kdo dejansko prebral porocilo, bi videl, da exploit takrat ni bil prepoznaven za antiviruse.
matijadmin ::
Ce bi kdo dejansko prebral porocilo, bi videl, da exploit takrat ni bil prepoznaven za antiviruse.
Hah, AV ne zaznava ranljivosti v nameščenem programju, kvečjemu elemente v kodi ali najpogosteje uporabljene kode, ki izkoriščajo dotično ranljivost.
Vrnite nam techno!
konspirator ::
Sicer jaz verjamem, da ste vsi zelo pametni in obvladate varnost v nulo, ampak dejstvo je, da so fantje nekaj naredili in uspeli, od večine tukajle pa razen gostilniškega zabavljanja še ni bilo kaj dosti slišati.
Napake se dogajajo. Celo Bruce Schneier ima kakšno ranljivost na svoji spletni strani. Pomembno je, kako se na napake odzoveš.
Bruce Schneier na svoji spletni strani nima večmilijonske btc borze.
PaX_MaN ::
poweroff ::
konspirator je izjavil:
Bruce Schneier na svoji spletni strani nima večmilijonske btc borze.
Res je, je pa eden najbolj znanih varnostnih strokovnjakov. In živi od posla z varnostjo.
sudo poweroff
matijadmin ::
kok ste vsi pametni kaj pa kako.. a pomoje nihče tu ne bi znal stvari sanirat tako kot so oni
A tko da so jim heknil še report o heku?
A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.
Vrnite nam techno!
antonija ::
V firmi (mednarodna, skupno vec kot 500k compov po svetu) so nedavno naredili en poskus, kjer so najeli nekoga zunanjega da je preveril dojemljivost zaposlenih na phishing. Velika vecina (pomojem 99+%) je mirno klinila na link, ker je bil namesto podjetje.com naslov posiljatelja na podjetje.help. Mail je pa bil glede podatkov za prijavo v compe, nekaj v stilu "vas US in PW sta mogoce ogrozena zaradi vdora, prosim da ju zamenjate na tejle strani __________".
Amapk tudi ce bi 99+ % ljudi klicalo help desk namesto da so kliknili na link, ti se vedno potrebujes tistega enega ki bo kliknil. Pa ti ostalih 99+ % nic ne pomaga
Dokler se folk ne nauci da je internet najbilzje kaksni temni ulici nekje v Bogoti (Kolumbija), bo situacija taksna kot je: "U, mail sem dobil da je mogoce nekdo hacknil moj US/PW! Dejmo hitro kliknit na vse linke in odpret vse priponke, to bo 100% pomagalo!!!"
Ce bi mu nekdo na ulici rekel "tvojo kreditno so hacknili, dej jo hitro meni pa bom vse zrihtal" bi pa (vsaj upam) stekli stran in naredili prijavo policiji.
Dokler varnost temelji na obnasanju ljudi, potem se bo _vedno_ dalo zadeve pretentati.
Amapk tudi ce bi 99+ % ljudi klicalo help desk namesto da so kliknili na link, ti se vedno potrebujes tistega enega ki bo kliknil. Pa ti ostalih 99+ % nic ne pomaga
Dokler se folk ne nauci da je internet najbilzje kaksni temni ulici nekje v Bogoti (Kolumbija), bo situacija taksna kot je: "U, mail sem dobil da je mogoce nekdo hacknil moj US/PW! Dejmo hitro kliknit na vse linke in odpret vse priponke, to bo 100% pomagalo!!!"
Ce bi mu nekdo na ulici rekel "tvojo kreditno so hacknili, dej jo hitro meni pa bom vse zrihtal" bi pa (vsaj upam) stekli stran in naredili prijavo policiji.
Dokler varnost temelji na obnasanju ljudi, potem se bo _vedno_ dalo zadeve pretentati.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
kixs ::
Dokler varnost temelji na obnasanju ljudi, potem se bo _vedno_ dalo zadeve pretentati.
Ja in ravno zato ne smes imeli obcutljivih podatkov dosegljivih iz odprtega omrezja.
blackbfm ::
socialni inženiring temelji na zaupanju
To je neka predpostavka, tut helpdesk je lahko uhekan ali pa te napadalci zmedejo in ti podtaknejo nekam svojo cifro. Ja ja seveda, ti kar pokliči
Amapk tudi ce bi 99+ % ljudi klicalo help desk namesto da so kliknili na link
To je neka predpostavka, tut helpdesk je lahko uhekan ali pa te napadalci zmedejo in ti podtaknejo nekam svojo cifro. Ja ja seveda, ti kar pokliči
antonija ::
Pri velikih firmah, ki imajo svoje helpdeske, povecini zelo hitro "spoznas" vse na drugi strani. Sploh ker ima vsak site svoje "lokalce", ni glih da dobim indijca ce klicem v Ljubljano. Ce bi bil kaksen nov/cuden bi se verjetno hitro izdal. Sploh so pa vse to interne telefonske, tako da najprej bi morali priti do tel centrale v firmi, pa potem klice posiljati na zunanje stevilke, itd.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Napad z 51 odstotki na Bitcoin GoldOddelek: Novice / Kriptovalute | 14413 (5832) | Lonsarg |
» | Bitstamp zaradi suma vdora zaustavil trgovanje (strani: 1 2 3 )Oddelek: Novice / Kriptovalute | 59822 (51153) | hamez66 |
» | Bitcoin - Bitstamp - osnovna vprašanja (strani: 1 2 )Oddelek: Loža | 24792 (21803) | mat xxl |
» | Tehnične podrobnosti težav v Mt.GoxuOddelek: Novice / Kriptovalute | 12511 (8397) | SasoS |