» »

Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram

Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram

1
...
3 4
5
6

Yohan del Sud ::

Te čisto kapiram, zadeva je precej bolj resna za firme. Za običajnega uporabnika (z nekaj gb strateškimi podatki) je pa dovolj avtomatski backup (še bolje, v oblak). Mojih 5c OP-ju. Seveda so tudi druge rešitve izpostavljene v tej temi, samo ta je po moje ultimativna. Razpršenost.
www.strancar.com

smacker ::

Avtomatizirani backupi znajo past, če nimaš file history. Recimo da ti virus zakodira fajle, česar ne opaziš takoj. Auto backup ti povozi "normalne" fajle s kriptiranimi, pa si adijo. Ali še hujši primer: na backup server spraviš crypto virus, pa ti vse backupe pokvari. Za domačo rabo se dobro obnese zunanji disk, nepriključen v omrežje. Vedno ko ga priklopiš, preveriš če je PC safe in paziš, da ne pregledaš fajle preden jih povoziš.
Osnova za backup je vsekakor replikacija podatkov. Na večih mestih kot maš, manjša je možnost da jih zgubiš. Vsak način ma svoje občutljivosti, zato se za resno zaščito podatkov uporablja več različnih pristopov hkrati (auto backup, offline diski, 3rd location, cel replikacijski strežnik z identičnim hardwareom in sinhronizacijo podatkov,...)
Na koncu pa tut googlu uspe zgubit del podatkov, kljub vsem možnim zaščitam: http://www.geek.com/news/google-suffers...

Yohan del Sud ::

Heh, razloži to v nekem razumljivem jeziku neukemu uporabniku.

Naloži mu en pro choice program (ga nauči uporabljat) in je to to.
www.strancar.com

Veron ::

Je že imel kdo kaj sreče z dekriptiranjem xtbl datotek (savepanda@india.com)?

mat xxl ::

Ja da tema povsem ne umre, sam nisem še danes uspel restavrirati zakriptiranih failov.

Povem še, da imajo boljši ASUS ruterji sedaj možnost filtriranja URL strani, skeniranja za viruse prenašajočih datotek in drugih groženj, kar delajo nekako in line z njihovim podpornim centrom. Očitno se stvari razvijajo v pravilno smer, kar je prav, mene posebej veseli, da je ASUS to podporo dodal samostojno, brez plačila, brez licenc, ker, ko sem to temo odprl, so to znali samo Dryteki in pa jasno profesionalne naprave kot so Watch Guard, za kar imamo tudi velikega strokovnjaka na tem forumu, ki mi je zelo nesebično svetoval.

Zakaj to pišem, ker sem zaledil, da so v ANNIJU reševali nekoga in na to po plačilu dobili še jasne nasvete Heckerjev, kako so udrli in kako se zaščititi . prilagam :

http://anni.si/blog/odgovor-hekerja/?ut...

copy paste :

ODGOVOR "KRIPTO" HEKERJA

Pri zadnjem primeru kriptiranih podatkov naše stranke smo na koncu dobili še "prijazen" odgovor hekerja z obrazložitvijo kako so vdrli v sistem in z nasveti kako se zaščititi.

Informacije delimo naprej, da bo podobnih incidentov čim manj.

Odgovor hekerja (X zakriti podatki):

How we get inside.

We attack by two ways:
1. Phishing letters with trojan horses
2. Weak RDP passwords

In your case you have a weak AD user password which lead us to succesufull hack.
the weak user was:
XX.XXX.XXX.XX 3389 XXXXX XXXXX empty password

To avoid same attack in future you need:

Educate responsible employees
Implement monitoring script which will check your domain for bad passwords like Password1 Pa$$w0rd and so on.
Stop use RDP unless you really need. Use vpn instead.
Block malisious networks like TOR, Russian and china IP addresses. It signifintly reduce hacking attempts. You can do it by implementing free firewall software.
Implement offsite backup system.
We recommend Tape backups. Its most usefull against us.
Of cource tapes cost more than external hard drive but it will guarantee that your company have at least two week o ld backup. Rotation period depending from your company owner. If he can pay for daily tape rotations you will have a fresh daily backup.
Create a disaster recovery plan and test him at least once per year.
We attacked more than 5000 companies from smallest to largest. And only 500 from 5000 recovered data from backups. Thats all you need to stay safe nowadays. Thank you for supporting our team. Your donation allow us to feed hundreds hungry kids in our poor country.
So your donation its a kind of charity.
Have a nice day and stay safe.

Anonymous.
--

Primer bitcoin denarnice

kamor se nakazujejo odkupnine za odklepanje podatkov;
V omenjenem primeru je bilo plačanih 3 btc, kar je 3150 €.


Varnostna priporočila ANNIJA !!! - preventiva pred kripto virusi

Uporabljajte močna gesla
Redno spreminjajte gesla
Prenehajte z uporabe RDP, ki je dostopno z vseh IP naslovov
Uporabljajte VPN za varnejši dostop (naprave za zagotavljanje VPN povezav so dostopne že od 50 € naprej)
Blokirajte povezave do Tor omrežja / protokola ter GeoIP filter z blokado ruskih, kitajskih IP naslovov
Redno varnostno kopirajte vaše podatke, po možnosti na napravo NAS ali na drugo lokacijo
Najpomembneje - imejte nameščen Panda Adaptive defense 360, ki kot prva rešitev na svetu uspešno blokira ransomware okužbe.

Matthai ::

Lepo. Samo tisti del o lačnih otrocih je pa tak bullshit, da mi je kar slabo.

Teli hekerji so pravi humanitarci, da...
All those moments will be lost in time, like tears in rain...
Time to die.

fosil ::

Matthai je izjavil:

Lepo. Samo tisti del o lačnih otrocih je pa tak bullshit, da mi je kar slabo.
Teli hekerji so pravi humanitarci, da...

A se ti je pokvaru sarkazm detector? ;)
Tako je!

SeMiNeSanja ::

Tisti 'hacker' ni povedal nič novega. Vse to se čivka že leta, pa ljudjem vseeno še ne sede, da bi pošlihtali zadeve kot se gre.

Vigorja sem ravno te dni menjaval pri eni stranki. Zadeva je nočna mora, kar se tiče preglednosti/logike pravil požarne pregrade. Fleksibilnost je pa tudi ojoj.
Asusa že nekaj časa nisem imel v rokah, ampak občutenih 100 let nazaj, se mi je zdel bistveno bolj pregleden kot današnji Vigor.

Tiste zastonj vgrajene antivirusne zaščite pa resno dvomim, da veliko pomagajo. Zagotovo bolje kot nič, ampak zanašal se pa še zdaleč nebi nanje. Žal si za domačo rabo redko kdo lahko kaj dosti več privošči, tako da je tudi to dobrodošlo. Vprašanje, kako sploh deluje..., ker ti mali mlinčki nimajo dovolj CPU-ja in spomina, da bi zares poganjali AV, vsaj ne v buffered načinu. Streaming način je pa bolj tak 'polovičarski'. Potem pa ostane še veliki blackhole, ki se mu reče https, ki ti na takem mlinčku prav lepo prepusti vse viruse do zadnjega.

Skratka: backup je še vedno zaščita št.2 (št.1 je pamet v glavi, da ne klikaš po vseh priponkah in linkih!)

jukoz ::

mat xxl je izjavil:

Ja da tema povsem ne umre, sam nisem še danes uspel restavrirati zakriptiranih failov.

Povem še, da imajo boljši ASUS ruterji sedaj možnost filtriranja URL strani, skeniranja za viruse prenašajočih datotek in drugih groženj, kar delajo nekako in line z njihovim podpornim centrom. Očitno se stvari razvijajo v pravilno smer, kar je prav, mene posebej veseli, da je ASUS to podporo dodal samostojno, brez plačila, brez licenc, ker, ko sem to temo odprl, so to znali samo Dryteki in pa jasno profesionalne naprave kot so Watch Guard, za kar imamo tudi velikega strokovnjaka na tem forumu, ki mi je zelo nesebično svetoval.
....


To filtriranje URLjev in skeniranje prenašajočih datotek je bolj tko...
Router ti lahko blokira dostope do sumljivih strani. Ampak večino vitoze boš pa dobil iz dropbox in podobnih strani. Router ti tu prometa ne more blokirati oz ne sme: večina prometa poteka preko https (oz bo, saj nas google tera na to). In router ne vem kakšno vsebino prenaša, vesta smo ti in strežnik.

Če hočeš da ti router pregleduje promet, ga mora dešifrirati in pregledati. To pomeni ti (oz tvoj računalnik) narediš povezavo do routerja, router pa naredi v tvojem imenu povezavo do ciljnega strežnika.

Če pogledamo povezavo na slo-tech.com to izgleda takole:
Ti napišeš v url https://slo-tech.com. Router naredi povezavo do tja, vidi da se slo-tech javi s certom in se poveže nanj, tebi pa ponudi svoj cert. Ti imaš torej kriptirano povezavo do routerja, kjer se promet dešifrira in ponovno šifrira do slo-techa. Če nek zlobnež vdre v tvoj router, bi teoretično lahko gledal tvoj promet.

Pred časom je podobno zadevo naredil Lenovo (Dell pa podobno), ko je prednaložil neko programsko opremo od oglaševalcev (in seveda njihov cert - namen je bil menjavanje oglasov na straneh). To je izgledalo tako, da na nekriptiranih straneh nisi opazil nič, razen seveda drugih oglasov. Ko pa si se skušal prijaviti na spletno banko, ti je prijavo zavrnil, saj je bil cert s katero se je javila banka napačen - zamenjal ga je cert v swju oglaševalcev.
Strokovno se temu reče Man In The Middle. SeMiNeSanja bo rekel da je to super in odlična zadeva, ki te reši virusov in prepovedanih vsebin. Pomoje pa preprečuje zasebnost komunikacije. Odločiš se pa seveda sam, saj ti ponudnik dostopa do interneta tega ne dela (razen Kazahstan, Kitajska, ...), lahko pa si zinštaliraš nek požarni zid ki skrbi zate.

Vedeti moraš to, da nihče ni popoln - ali boš sam pazil kaj vlačiš dol iz neta, ali pa počakaš da vdrejo v ASUSove routerje in ti poberejo podatke o prijavah na banke, facebook, slo-tech, ... In vdrli bodo, oz bo ASUS (ali katerkoli drugi proizvajalec) sam zasral in hardcodal administratorski user/pass v router (Fortinet, Juniper,...)

No, mi o volku =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Strokovno se temu reče Man In The Middle. SeMiNeSanja bo rekel da je to super in odlična zadeva, ki te reši virusov in prepovedanih vsebin. Pomoje pa preprečuje zasebnost komunikacije. Odločiš se pa seveda sam, saj ti ponudnik dostopa do interneta tega ne dela (razen Kazahstan, Kitajska, ...), lahko pa si zinštaliraš nek požarni zid ki skrbi zate.


Kaj, ko bi že enkrat začeli razločevati med "MY firewall in the middle" in "Some bastard (man) in the middle"?

Ne gre tlačiti v isti koš zadevo, katero sam nadzoruješ in stvar, nad katero nimaš nobenega nadzora, kjer te pohopsajo od zadaj, pa še veš ne, da so te pohopsali.

Tudi ne gre v isti koš tlačiti https povezave, kjer se uporabljajo server in user certifikati. Niti 'MY Firewall' niti tisti 'Bastard' se ne moreta vštuliti tja vmes. Če že tebi laže, da je na drugi strani banka, se banki ne zna zlagati, da si TI na tej strani. Zato tudi če bi hotel, ne moreš na firewall-u delati DPI nad povezavami, katere uporabljajo obojestranske certifikate. Ampak ker se gre v tem primeru večinoma za kolikor tolikor zaupanja vredna spletne strani, zanje izključiš DPI.

Kar se pa tiče kršitve 'zasebnosti' pa za to sploh ne potrebuješ dekripcije https prometa - je že dovolj informacij v headerjih, da se točno ve, kam je kdo šel. Uporabniških imen in gesel pa takointako nobena požarna pregrada ne 'praska' ven iz prometa, pa če ima kdo še tako mokre sanje na to temo. Ljudje si predstavljajo, da DPI na požarni pregradi pomeni, da bo nek admin lahko bral kaj si pisal na neko spletno stran, da ti lahko pobere user in password - ne vem od kje to nabijanje v prazno. To lahko počneš s kakšnimi MITM orodji (če znaš), ne pa z požarno pregrado!

Ne glede na to, da kot admin na požarni pregradi ne vidiš NOBENIH VSEBIN in GESEL - tudi sami URL-ji so že sami po sebi podatki, ki niso za vsakogar. Predstavljajte si, da admin pri malici za mizo reče, da nekdo v prodaji že cel dopoldan brska po straneh in forumskih topic-ih, ki se nanašajo na picajzle. Tudi če ne reče kdo naj bi to bil, je to že.....če nič drugega bo vsak vsakogar gledal, če se slučajno kje praska.
Če to še nekako gre skozi kot 'štos', pa je veliko tematik, katere so mnogo bolj občutljive in osebne. Pa to vse skupaj nima popolnoma nobene veze z https dekripcijo! Ta mi dejansko ne pripomore bo dodatnih osebnih podatkov, ki mi niso na voljo tudi brez dekripcije. Dekripcija je tukaj v popolnoma drugi vlogi.

Ker Google vse bolj vsiljuje https in so se barabini že zdavnaj prilagodili tudi na to, bodo prej ali slej tudi največji nasprotniki nadzora https prometa prišli do ugotovitve, da brez tega ne bo šlo.

Preseneča me edino to, da je toliko cirkusa okoli https, medtem ko si po mailu ljudje pošiljajo najbolj delikatne dokumente, tekste, slike in posnetke - vse v cleartextu, da jih lahko prebira kdorkoli, ki se nahaja na žici med pošiljateljem in prejemnikom. Še to jih ne zanima, kdo vse ima root geslo za mail server. Občutljiva sporočila pa puščajo mesece ležati na strežniku, da si jih lahko ogleda kdorkoli, ki se dokoplje do dostopa do strežnika.
Enako tudi nesejo svoj računalnik na servis, da potem lahko tam serviserji postavijo disk na glavo, če se bo našlo kaj 'zanimivega'. Pa tudi nobene panike...

Nekako nesorazmerno je to vse skupaj.

Matthai ::

SeMiNeSanja je izjavil:

Kaj, ko bi že enkrat začeli razločevati med "MY firewall in the middle" in "Some bastard (man) in the middle"?

Aha. Cert pa izdan s strani fuuuul trusted izdajatelja. Po možnosti isti za vse end-userje...
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

SeMiNeSanja je izjavil:

Kaj, ko bi že enkrat začeli razločevati med "MY firewall in the middle" in "Some bastard (man) in the middle"?

Aha. Cert pa izdan s strani fuuuul trusted izdajatelja. Po možnosti isti za vse end-userje...

Ali lahko nekemu 'GoDaddy' in podobno bolj zaupam, kot samemu sebi, če cert izdam za lastno rabo? Saj služi za MOJE interne uporabnike, da potrdi, da imajo opravka z MOJO požarno pregrado.

In kako naj ima požarna pregrada drug certifikat za vsakega uporabnika? Saj tudi spletne strani nimajo različne certifikate za vsakega uporabnika?!?

Ali midva o različnih zadevah govoriva?

Matthai ::

Govorim o tem, da sem videl network appliance, ki so delali MITM - pri čemer je bil isti certifikat nameščen na vseh pregradah.

Se pravi če jo uporablja sosednja firma in enako kupim tudi jaz, imam jaz dostop do certifikata s katerim lahko prestrezam promet sosednje firme.

O tem govorim.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

Govorim o tem, da sem videl network appliance, ki so delali MITM - pri čemer je bil isti certifikat nameščen na vseh pregradah.

Se pravi če jo uporablja sosednja firma in enako kupim tudi jaz, imam jaz dostop do certifikata s katerim lahko prestrezam promet sosednje firme.

O tem govorim.

Auč! Kdo pa to dela na tak način? V današnjem času? Nepojmljivo - ni čudno, da te nisem razumel, ker se mi še na misel ni padlo, da bi lahko kdo tako šalabajzersko delal.

Na mojem FW se certifikati generirajo ob prvi inicializaciji sistema. Če sem skeptik, lahko te zbrišem in se samodejno zgenerira novi certifikati. Če si še bolj skeptičen, pa takointako namestiš svoj lastni certifikat (kupljen ali generiran) gor.

Še vedno je fail proizvajalca, da postavi tak default. Koneckoncev generiranje self-signed certifikata ni nobena znanost.
Upam, da je to zgodovinska zadeva, pa da so to že zdavnaj odpravili, neglede na to, kdo je proizvajalec.

Invictus ::

Kar se tiče certifikatov, nihče noče riskirati denarja za CA infrastrukturo in uvesti ustrezne postopke.

Celo zelo velike firme ne...

Če pa že imajo, se pa tega izogiba ves ostali IT, ker jim "security" oddelek po nepotrebnem zakomplicira vsako delo. Čeprav gre za precej trivialen postopek generiranja novega certifikata.

Bi se danes pričakovalo, da serverji (aplikacije) med sabo komunicirajo izključno preko varne povezave, pa je to še vedno precej znanstvena fantastika.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

SeMiNeSanja > Auč! Kdo pa to dela na tak način? V današnjem času? Nepojmljivo - ni čudno, da te nisem razumel, ker se mi še na misel ni padlo, da bi lahko kdo tako šalabajzersko delal.

Pa še moj citat od malo prej.
> In vdrli bodo, oz bo ASUS (ali katerkoli drugi proizvajalec) sam zasral in hardcodal administratorski user/pass v router (Fortinet, Juniper,...)

In ko se bo zlobnež prijavil kot admin na FW in zamenjal cert? - nič, userji ga bodo poklikali in veselo surfali dalje.

#000000 ::

Ve kdo rešitev za .osiris končnico ?

SeMiNeSanja ::

jukoz je izjavil:


Pa še moj citat od malo prej.
> In vdrli bodo, oz bo ASUS (ali katerkoli drugi proizvajalec) sam zasral in hardcodal administratorski user/pass v router (Fortinet, Juniper,...)

In ko se bo zlobnež prijavil kot admin na FW in zamenjal cert? - nič, userji ga bodo poklikali in veselo surfali dalje.

It's not a perfect world....

Ampak resno - kolikšna je verjetnost, da ti bo nekdo xy od zunaj podtaknil svoj certifikat na FW in kolikšna je verjetnost, da boš preko https prenesel virus na mrežo? 1:100? 1:1000? 1:1E6?

Ali imaš boljšo varianto zaščite pred nezaželjenimi vsebinami, katere se prenašajo preko https?

Leaknje passworda, če ta ni hardcoded, da bi ga lahko kje z reverse engineeringom izpraskal, niti ni nujno trivialna zadeva. Kot prvo moraš sploh imeto odprte porte, na katerih ti tak password kaj koristi, tudi če ti ga nekdo ukrade, ker si ga imel zalepljenega za ekran. Seveda imaš tud kakšne bedake, ki pustijo firewall na default passwordih ali pa si celo poenostavijo stvari in uporabljajo šibka gesla, v slogu admin-admin. Ampak boš zato potem kar opustil vse ostalo? Vrgel puško v kuruzo, nekako v smislu 'saj bodo takointako vdrli, škoda se sploh kaj matrat'? Ker hipotetično lahko nekdo pride do admin gesla in hipotetično lahko....? Za 2FA si že kdaj slišal? Tudi to ni 100% garancija za karkoli, ampak hipotetično ti tudi lahko strop pade na glavo in kaj potem?

Presneto, hipotetično lahko tudi vlomijo v ključavnico na vratih. Jih zato ne boš zaklepal? Šipo z lahkoto razbijejo, pa okna vseeno zapiraš, ko greš od doma?

SeMiNeSanja ::

#000000 je izjavil:

Ve kdo rešitev za .osiris končnico ?

Če nimaš backup-a, ti slabo kaže.

jype ::

Daily snapshots, hourly snapshots!

c3p0 ::

So pa postali pogoltni, ena stranka je nekako fasala, .wallet končnica. Obnovljeno takoj iz backupa. Sem pa vseeno poslal mail, odgovor je prišel v 20 min. 4 BTC, sem rekel no way, je dal popust na 3 BTC. Sem za finto odgovoril 1 BTC, pa sploh ni bilo več odgovora. Očitno se tu pretaka velik denar.

Zanimivo, da skoraj vsi uporabljajo @india.com free emaile in jih nihče ne blokira. Če bi mail providerji takoj prekinili komunikacijo med temi kriminalci in žrtvami, bi le-ti imeli manj zagona, ker ne bi mogli pokasirat sadov svojega "dela".

Mare2 ::

Čudi me, da ne odkrijejo storilcev. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

jukoz ::

SeMiNeSanja je izjavil:

jukoz je izjavil:


Pa še moj citat od malo prej.
> In vdrli bodo, oz bo ASUS (ali katerkoli drugi proizvajalec) sam zasral in hardcodal administratorski user/pass v router (Fortinet, Juniper,...)

In ko se bo zlobnež prijavil kot admin na FW in zamenjal cert? - nič, userji ga bodo poklikali in veselo surfali dalje.

It's not a perfect world....

Ampak resno - kolikšna je verjetnost, da ti bo nekdo xy od zunaj podtaknil svoj certifikat na FW in kolikšna je verjetnost, da boš preko https prenesel virus na mrežo? 1:100? 1:1000? 1:1E6?

Ali imaš boljšo varianto zaščite pred nezaželjenimi vsebinami, katere se prenašajo preko https?

Leaknje passworda, če ta ni hardcoded, da bi ga lahko kje z reverse engineeringom izpraskal, niti ni nujno trivialna zadeva. Kot prvo moraš sploh imeto odprte porte, na katerih ti tak password kaj koristi, tudi če ti ga nekdo ukrade, ker si ga imel zalepljenega za ekran. Seveda imaš tud kakšne bedake, ki pustijo firewall na default passwordih ali pa si celo poenostavijo stvari in uporabljajo šibka gesla, v slogu admin-admin. Ampak boš zato potem kar opustil vse ostalo? Vrgel puško v kuruzo, nekako v smislu 'saj bodo takointako vdrli, škoda se sploh kaj matrat'? Ker hipotetično lahko nekdo pride do admin gesla in hipotetično lahko....? Za 2FA si že kdaj slišal? Tudi to ni 100% garancija za karkoli, ampak hipotetično ti tudi lahko strop pade na glavo in kaj potem?

Presneto, hipotetično lahko tudi vlomijo v ključavnico na vratih. Jih zato ne boš zaklepal? Šipo z lahkoto razbijejo, pa okna vseeno zapiraš, ko greš od doma?


In kaj točno si hotel povedati s tem sestavkom?

Kar jaz problematiziram, je zaupanje napravi, da ti bo izvajala MITM z namenom ščitenja, ter verjetnostjo da ima ta naprava kakšen backdoor. Ne govorim o bugih, govorim o namesnkih backdoorih. Lani in predlani je bilo zanimivo leto za to - juniper, fortinet, cisco, ...
S cenejšimi produkti in je še slabše - mirai ni visel samo na na IP kamerah.
Koliko pametnih FWjev stoji naokoli po svetu, ki nimajo skrbnika in jih nihče ne updajta? In da takim napravam zaupaš da ti še izvajajo MITM zaradi ščitenja pred virusi?
Jaz pravim da ne in trdim da je to ena od večjih neumnosti, ki jih lahko narediš kot uporabnik (v primeru naprav ranga ASUS router) ali kot net admin (naprave v rangu Juniper).

Sicer pa - cloudbleed je zanimiv problem, se ti ne zdi.

Mr.B ::

Dobra požarna pregrada ? me zanima koliko bo ti investicija pri recimo 10k, 20k 30k 100k uporabnikih.
Rabiš imeti agenta na vsaki napravi ki spremlja kaj se dogaja / obnaša program, po možnosti diektna povezava z oblačno bazo, ker se dobi takojsne posodobitve podpisov itd...
Me pa prva zanima, kako bi nekateri backupirali tako malo podobače. Prejšnji teden je uporabnik, preden se je zaznalo, uspel skriptirati 300TB podatkov, da še vedno kopiramo podatke s snapshota, ker pač ne morem revertati podatkov v celoti s snepshota, ker vseh pač ni okužil. Hkrati moram kjub 10Gbps linki zadovoljiti dovolj primerno odzivnost sistema...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

@jukoz - če ne zaupaš routerju ali firewall-u, katerega imaš kot GW, potem se sprašujem, zakaj ga ne zamenjaš za takega, ki mu zaupaš. Če nobenemu ne zaupaš... potem priporočam, da odstraniš IPv4 in IPv6 protokol z vseh računalnikov, s katerimi imaš opravka, odstraniš vse UTP kable, itd.

Koneckoncev ni problem v tem, da hipotetično lahko nekdo namesti svoj cert. Ko ima dostop do mreže, bo ti še vse kaj drugega namestil. Ali ti zapovrhu vsega namesti še certifikat ali ne, bo takrat že praktično irelevantno, saj si že owned.

@Mr.B?!? Nebi bilo slabo, če bi še enkrat prebral, kar si napisal in zadevo popravil, da bi bila razumljiva.
Govoriš o 10k, pa celo tja do 100k uporabnikih. Katero podjetje v SLO ima toliko uporabnikov? Tudi v tujini nobeno podjetje na enem mestu nima toliko uporabnikov, tako da mi ni čisto jasen praktični aspekt tega vprašanja. Logično, da bodo zadeve koštale več pri 1k uporabnikih, kot pri 20 ali 50ih. Ampak gledano per user, cene tudi tu padajo z večjim številom uporabnikov. Če pogledaš npr. NSS Labs analizo stroškov 'per protected Gbit', lahko vidiš, da proizvajalci privlečejo svoje največje mašine, ki sicer lahko pridejo 1M in več - ampak ko deliš ta znesek per Gbit, dobiš lepše cifre, kot na manjših modelih. Ampak to je normalno. 'Količinski popust'. Če boš kupil 3 kontejnerje PCjev, jih boš dobil tudi po čisto drugi ceni, kot če greš kupiti enega v štacuno.
Poleg tega pri 10+k uporabnikih veljajo še malenkost drugačna pravila, kot pri malem SP z 5 uporabniki ali tipičnem SLo podjetju z 50 ali 200 uporabniki. Zadaj stojijo ponavadi delničarji, ki znajo biti občutljivi na karkoli, kar zveni podobno kot 'security breach' - koneckoncev nihče ni navdušen, ko zaradi kakšnega spodrsljaja pade vrednost delnic in jim premoženje pred očmi kopni (Yahoo?).

Dejansko pa potrjuješ tisto, kar ves čas pridigam, pa noben noče slišat: ko enkrat potrebuješ backup, je že preklemansko veliko šlo narobe. Tudi če imaš vse backupe in snapshote, imaš celo goro sitnosti, ki si jih ne želiš imeti.

Mr.B ::

SeMiNeSanja,
Izmenjava kripto kljuca lahko simulira virus z uporabo standardnih get / put okazov torej web page. Na koncu ti web stran poslje ad (oglas), kot kodiran url string, ki je dejansko kljuc s katerim kriptira tvoje podatke. Blokada ipja je ussles, blokada dns domene je ussles, uporabno le ce se je nekdo ze okuzil in poslal podatke v centralno bazo, od koder bos potem ti nadgradil definicijo, ki bi ti pomagala.... edina resitev je agent na klientu z behavior monitorjem...
Razen ce bo kdo prisel na idejo, blokirajmo vse kar ni dovoljeno.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Brane22 ::

Matthai je izjavil:

Lepo. Samo tisti del o lačnih otrocih je pa tak bullshit, da mi je kar slabo.

Teli hekerji so pravi humanitarci, da...


V bistvu so. Skrbijo za kakovost vrste skozi naravno izbiro.

Nekdo mora počit debile, drugače se prosto sprehajajo okrog, serjejo po folku itd.

Brane22 ::

Brane22 je izjavil:

Nekdo mora počit debile, drugače se prosto sprehajajo okrog, serjejo po folku itd.


BTW, v tem smislu so prav benigni. Cela posledica je klofuta po denarnici, nekako tako kot bi te ujela radar kontrola.

Manjka samo še izdaja obvestil, česar se tudi počasi že lotevajo.

V smislu "Gospod, dne xx.xx.xx smo zaznali vaše debilno obnašanje in temu ustrezno ukrepali itd itd."

No, mogoče opcija polovičke še manjka.

scipascapa ::

Kako tole najhitreje fašeš?

SeMiNeSanja ::

Mr.B je izjavil:

SeMiNeSanja,
Izmenjava kripto kljuca lahko simulira virus z uporabo standardnih get / put okazov torej web page. Na koncu ti web stran poslje ad (oglas), kot kodiran url string, ki je dejansko kljuc s katerim kriptira tvoje podatke. Blokada ipja je ussles, blokada dns domene je ussles, uporabno le ce se je nekdo ze okuzil in poslal podatke v centralno bazo, od koder bos potem ti nadgradil definicijo, ki bi ti pomagala.... edina resitev je agent na klientu z behavior monitorjem...
Razen ce bo kdo prisel na idejo, blokirajmo vse kar ni dovoljeno.

Ravno tu se potem pokažejo tiste nianse, če in koliko boš lahko ponagajal tvorcem teh malware idej ali ne. Recimo, da imaš omejeno, koliko sme biti max. URL, pa bo že propadlo podtikanje česarkoli večjega v URL-ju.
Se pa še lepše podtakne v header poljih, katera uporabnik ne vidi. Te pa spet porežem, če mi niso znana polja po RFC ali taka, katera sem eksplicitno dodal. Pa dolžina je tudi tu omejena.

In ja, res je, da so endpoint protection agenti zdaj pričeli prihajati v modo. Pa ne tisti navadni, ampak takšni, ki nekje v Cloudu meljejo thread logiko in korelirajo dogajanje v omrežju in na računalniku, da bi ugotovili, kaj je še normalno in kaj ne, kje je trba poseči vmes, proces prekiniti, exe vreči v karanteno,...
In kot pri vsem ostalem, imaš kar precej širok cenovni spekter tovrstnih rešitev, ki gre lahko v take ekstreme, da ne veš ali si ti nor, ali tisti, ki je določil cene rešitvam. Še najhuje je to, da se pri 5-kratni razliki v ceni prične odpirati vprašanje, ali se tudi kakovost rešitve razlikuje za 5-kratnik, ali je to zgolj vrednost znamke, ki jo na ta način preplačuješ.

Mr.B ::

SeMiNeSanja je izjavil:

Mr.B je izjavil:

SeMiNeSanja,
Izmenjava kripto kljuca lahko simulira virus z uporabo standardnih get / put okazov torej web page. Na koncu ti web stran poslje ad (oglas), kot kodiran url string, ki je dejansko kljuc s katerim kriptira tvoje podatke. Blokada ipja je ussles, blokada dns domene je ussles, uporabno le ce se je nekdo ze okuzil in poslal podatke v centralno bazo, od koder bos potem ti nadgradil definicijo, ki bi ti pomagala.... edina resitev je agent na klientu z behavior monitorjem...
Razen ce bo kdo prisel na idejo, blokirajmo vse kar ni dovoljeno.

Ravno tu se potem pokažejo tiste nianse, če in koliko boš lahko ponagajal tvorcem teh malware idej ali ne. Recimo, da imaš omejeno, koliko sme biti max. URL, pa bo že propadlo podtikanje česarkoli večjega v URL-ju.
Se pa še lepše podtakne v header poljih, katera uporabnik ne vidi. Te pa spet porežem, če mi niso znana polja po RFC ali taka, katera sem eksplicitno dodal. Pa dolžina je tudi tu omejena.

In ja, res je, da so endpoint protection agenti zdaj pričeli prihajati v modo. Pa ne tisti navadni, ampak takšni, ki nekje v Cloudu meljejo thread logiko in korelirajo dogajanje v omrežju in na računalniku, da bi ugotovili, kaj je še normalno in kaj ne, kje je trba poseči vmes, proces prekiniti, exe vreči v karanteno,...
In kot pri vsem ostalem, imaš kar precej širok cenovni spekter tovrstnih rešitev, ki gre lahko v take ekstreme, da ne veš ali si ti nor, ali tisti, ki je določil cene rešitvam. Še najhuje je to, da se pri 5-kratni razliki v ceni prične odpirati vprašanje, ali se tudi kakovost rešitve razlikuje za 5-kratnik, ali je to zgolj vrednost znamke, ki jo na ta način preplačuješ.

Rabiš nekaj takega : https://www.ensilo.com/,
Seveda bodo vsi v luft skočili povezava v oblak etc...
Kot sem rekel, predlagam da si pogledaš nek http pormet izpolnevanja neke forme, Zagotovo da ti ga turbo FW zaščita spustila skozi brez da bi karkoli porezala, ker enostavno ne more ločiti, da dela v ozadju nek process, ali uporabnik...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Zgodovina sprememb…

  • spremenil: Mr.B ()

SeMiNeSanja ::

Če se ne motim, se Ensilo zadnje čase promovira preko pojma "fileless malware" in kampanj, ki se oklepajo tega strah zbujajočega pojma.

Podobnih zadev je še ene par, ki so jih že vzeli proizvajalci požarnih pregrad pod svoje okrilje. Tako PaloAlto ponuja AutoFocus, WatchGuard TDR (nekoč HawkEye G),.....

Skratka trend gre v smeri, da zbiraš podatke ne samo endpointa, temveč da združiš informacije, katere ti priskrbijo endpointi z informacijami požarne pregrade, to vse vržeš v lonec in z ustrezno logiko skušaš ugotavljati, ali je karkoli od videnega sumljivo in to zaustaviti, še predenj ti lahko povzroči kakšno škodo.

Cenovno so te zadeve izredno neprimerljive, če gledaš od proizvajalca do proizvajalca. PaloAlto ti AutoFocus ponuja kot splošno storitev in pri tem ne loči, ali si ti mala štacuna ali veliko podjetje. Posledično lahko pozabiš, da boš zadevo videl implementirano pri 'ta malih' (cena samo te storitve je okoli 40k/leto oz. 500k/leto za Enterprise!).
WatchGuard je nekje na drugi strani lestvice in je dejansko stvar naredil dostopno tudi manjšim, saj plačuješ storitev glede na model požarne pregrade in število uporabnikov izza nje (npr. za 20 uporabnikov te pride kompletna rešitev z požarno pregrado vred malenkost nad 1500€ za prvo leto oz. 2800€ za 3 leta).

Če se je v lanskem letu še poudarjalo Sandbox tehnologije kot ultimativni 'must have', se danes zadeve prevešajo v smeri, da Sandbox takointako že imaš, zdaj pa potrebuješ še korelacijo dogodkov na omrežju. Nekdo bi temu lahko rekel "modni trend" če bi bili v tekstilni branži.

Je pa malo čudaško tuhtat o korelacijah dogodkov, če 90% 'ta malih' še vedno uporablja stare klasične SPI požarne pregrade (ali celo home grade routerje), ki ne podpirajo niti najbolj osnovnih varnostnih funkcij. Še huje: ki imajo nameščen tudi 10 let star firmware poln lukenj...

Mr.B ::

SeMiNeSanja,
kot si ugotovil, baza mora biti up to date da lahko blokira.
Vsak kripto virus ima lahko svojo domeno, in ce se izmenjuje vsebina preko ti. klasičnega http PUT/get prometa, ti ga nobena požarna pregrada na vstopni točki blokirala, razen če stran ni definirana...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Mr.B je izjavil:

SeMiNeSanja,
kot si ugotovil, baza mora biti up to date da lahko blokira.
Vsak kripto virus ima lahko svojo domeno, in ce se izmenjuje vsebina preko ti. klasičnega http PUT/get prometa, ti ga nobena požarna pregrada na vstopni točki blokirala, razen če stran ni definirana...

Blokiranje na osnovi obiskanega URL je samo ena od možnih osnovnih zaščit.

Katerikoli malware gledaš, večinoma dobiš najprej nekakšen 'starter paket' če temu tako rečemo. Ta potem prenese še druge komponente, ki so potrebne, ki izvajajo tisti dejansko škodljivi del 'okužbe'.
Tisti 'starter' se večinoma dobi preko maila kot priponka, seveda pa ga lahko stakneš tudi preko brskalnika.

Če to poteka preko https, potem brez DPI vidiš zgolj URL in če ta ni nekje blacklistan, lahko samo upaš, da bo AV na računalniku zadevo zaznal.

Če uporabljaš https dekripcijo, pa lahko promet nadzira še IPS, AV na požarni pregradi, Sandbox analitika,....
Določene rešitve ti v tem primeru tudi omogočajo, da blokiraš vse, kar gre preko https, pa ni po RFC legitimen http promet. Lahko blokiraš UTL-je in headerje, ki so nenavadno veliki (prenašajo payload?), itd.

Seveda pa imaš potem še agente za na endpoint, ki znajo tudi zaznat sumljivo dogajanje. Kripto senzorji so praktično že standard v teh agentih.

Tudi če nobena od naštetih zaščit sama zase ni 100%, pa vse skupaj predstavljajo sito, ki je lahko precej učinkovito, če je pravilno implementirano.

Mr.B ::

SeMiNeSanja,
Komponenta za kriptiranje je del OS-a, kar potrebuješ je le ključ s katerim boš kriptiral datoteko. Če bi bilo drugače, potem bi za EFS na Windowsih potreboval namestiti ločene komponente, enako za bittlocker.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Mr.B je izjavil:

SeMiNeSanja,
Komponenta za kriptiranje je del OS-a, kar potrebuješ je le ključ s katerim boš kriptiral datoteko. Če bi bilo drugače, potem bi za EFS na Windowsih potreboval namestiti ločene komponente, enako za bittlocker.

Ni čisto tako enostavno, da bi bila edina komunikacija izmenjava ključa.
Zadeve precej variirajo od variante do variante. Ene se npr. izdajo, ker uporabljajo Tor omrežje za izmenjavo ključev, kar lahko zazna nadzor nad aplikacijami (če imaš Tor zablokiran).
Tiste, kjer dobiš payload v mailu, se še kar polovijo s pomočjo antispam, AV in sandbox filtrov, poleg tega pa večinoma uporabljajo dokaj predvidljiva imena datotek, katere lahko že v osnovi pofiltriraš ven.

Kot že rečeno, nobena od zaščit sama zase ni stoodstotna, zato danes tudi večina celovitih rešitev vključuje neko komponento, katero inštaliraš na računalnik in tam preži na sumljiva dogajanja, med njimi tudi značilne zapise v registry in klice kriptoapijev.
V seštevku dejansko uporabljaš cel arzenal različnih baz in triggerjev, da bi te nadloge zaustavil. Nihče, ki jemlje stvari resno, se ne zanaša samo na en sam servis.
Precej bolj pasje pa postane, ko pride https v igro, kjer brez dekripcije nimaš nobenega nadzora nad tem, kaj se pretaka sem in tja. Tako potem tudi ti dodatni servisi ne morejo opraviti svoje vloge. Plačal si naročnine, ki ne delujejo, če ne dekriptiraš prometa.

Drugače pa malo pozabljaš, da ransomware ni edina nadloga, ki tam zunaj preži. Rensomware je razvpit, ker te direktno udari po žepu, če pristaneš na odkupnino. Še vedno pa imaš različne botnete (med drugim tudi za distribucijo ransomware-a), s katerimi se okužujejo računalniki. Na se spomnimo samo takrat, ko spet pride naokoli kakšna novica, da je miljon kamer, hladilnikov in tosterjev sodelovalo v kakšnem DDoS napadu, nekaj minut kasneje pa se že pozabi nanje.

Ampak ker te nič ne stane, če tvoj računalnik postane zombi, se s tem ni treba ukvarjat, kajne? Zaboli šele takrat, ko dobiš klic od providerja, da te bodo odklopili, ker spammaš cel internet.

nemjdapitaj ::

Pozdravljeni

Okuzil se mi je v podjetnu racunalnik s kriptovirusom in sem placal ransom. Deugega mi ni preostalo...

Ali se lahko placilo ki sem ga naredil v bitcoinih odvedel kot odhodek pri davcni olajsavi?

Hvala

SeMiNeSanja ::

nemjdapitaj je izjavil:

Pozdravljeni

Okuzil se mi je v podjetnu racunalnik s kriptovirusom in sem placal ransom. Deugega mi ni preostalo...

Ali se lahko placilo ki sem ga naredil v bitcoinih odvedel kot odhodek pri davcni olajsavi?

Hvala

Si dobil uradni račun z polnim naslovom 'prodajalca' in davčno številko?
Si plačal tudi DDV? Zakaj si nebi še DDV odbil?

Resno dvomim, da ti bo kakšen računovodja zadevo poknjižil kot 'strošek poslovanja', če nimaš računa, ki bi ustrezal zakonodaji.

Kljub temu - se ti ne zdi, da bi bil tvoj računovodja prvi, na katerega bi se moral obrniti s tem vprašanjem?

V bodoče pa raje investiraj v zaščito - to namreč lahko knjižiš kot oodhodek.

mat xxl ::

Ja tema oživela....., sam sem še naprej vsaj za zdaj na varni strani .......

Sem pa ene pol leta nazaj tudi sam nekaj fasal, zakriptiralo je 12 datotek, preko omrežja, nato je namenski podatkovni strežnik prekinil akcijo in zablokiral vse povezave in poslal sms alarme.

No našli smo zadevo na enem računalniku, prišla po mailu, jasno eni morajo vse poklikati ...... neke škode ni bilo, ker imamo backupe na več stopnjah, tokrat smo kar onega v samem podatkovnem strežniku, ki je neviden in kriptiran za iz omrežja uporabili.

Nekako se moraš navaditi s tem živeti in skrbeti za zaščito.

shintaro ::

js imam beden password za teamviewer. čas da zamenjam?

Matthai ::

Težka bo.

Zamenjava gesla je postopek, ki traja vsaj par mesecev. Vmes lahko na forumu odpreš še vsaj 300 tem s tem vprašanjem. :))
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

Težka bo.

Zamenjava gesla je postopek, ki traja vsaj par mesecev. Vmes lahko na forumu odpreš še vsaj 300 tem s tem vprašanjem. :))

Samo da ne bo odprl temo "predlagajte mi novo geslo" 8-O

shintaro ::

Matthai je izjavil:

Težka bo.

Zamenjava gesla je postopek, ki traja vsaj par mesecev. Vmes lahko na forumu odpreš še vsaj 300 tem s tem vprašanjem. :))


sm bolj hotel zvedet kolko je nevaren TeamViewer / in kolko je nevaren z enim medium to slab geslom (spet ni tako grozen kot recimo password123) .. Ima številko in veliko začetnico, vsaj to, pa tud 'beseda' ne obstaja


drugje pa imam tok grozna gesla (izredno težka) da mi niti kevin mitnick ne udre.. in povsod različna. preprosto napisano na papirju če pozabim, ampak s treningom spomina si zapomneš vse trajno.

Zgodovina sprememb…

  • spremenilo: shintaro ()

SeMiNeSanja ::

Lani je bilo precej natolcevanja okoli TeamViewerja, češ da so se nekaterim uporabnikom dogajale 'čudne zadeve'. To govoričenje (nima veze, ali upravičeno ali ne) se je potem sčasoma poleglo, grenak priokus pa vseeno ostaja.

Bolj na široko gledano, čim omogočiš TV na mreži, si odprl dvosmerni kanal, ne le enosmernega. Tako kot lahko od zunaj pride nekdo 'noter', tako lahko tudi tvoji uporabniki potencialno preko TV hodijo ven. Ker omogoča tudi prenose datotek, pa imaš lahko hitro kakšen 'problemček', ki si ga nebi želel imeti.

Za dostop od zunaj, pa če že ne gre drugače, vklopi dvofaktorsko avtentikacijo.

Drugače pa, če je le mogoče raje uporabljaj VPN povezavo. Tisto si v celoti sam upravljaš in točno veš, kaj si si nastavil.

shintaro ::

SeMiNeSanja je izjavil:

Lani je bilo precej natolcevanja okoli TeamViewerja, češ da so se nekaterim uporabnikom dogajale 'čudne zadeve'. To govoričenje (nima veze, ali upravičeno ali ne) se je potem sčasoma poleglo, grenak priokus pa vseeno ostaja.

Bolj na široko gledano, čim omogočiš TV na mreži, si odprl dvosmerni kanal, ne le enosmernega. Tako kot lahko od zunaj pride nekdo 'noter', tako lahko tudi tvoji uporabniki potencialno preko TV hodijo ven. Ker omogoča tudi prenose datotek, pa imaš lahko hitro kakšen 'problemček', ki si ga nebi želel imeti.

Za dostop od zunaj, pa če že ne gre drugače, vklopi dvofaktorsko avtentikacijo.

Drugače pa, če je le mogoče raje uporabljaj VPN povezavo. Tisto si v celoti sam upravljaš in točno veš, kaj si si nastavil.


meni se zdi tvoj nasvet dober za nekega 'opasnega' uporabnika, po možnosti še kakšn banking stuff itd. , jaz kot povprečen uporabnik in vedno stavim na to, mislim da ne bi rabil zganjat takih ukrepov. Al napačno razmišljam..
pri VPNju mi je to problem, da upočasni vse. al pa nekaj ne delam prav. spet ponavljam, nimaš kaj delat na mojem pcju...

SeMiNeSanja ::

shintaro je izjavil:


meni se zdi tvoj nasvet dober za nekega 'opasnega' uporabnika, po možnosti še kakšn banking stuff itd. , jaz kot povprečen uporabnik in vedno stavim na to, mislim da ne bi rabil zganjat takih ukrepov. Al napačno razmišljam..
pri VPNju mi je to problem, da upočasni vse. al pa nekaj ne delam prav. spet ponavljam, nimaš kaj delat na mojem pcju...

Dvofaktorska avtentikacija danes ni več nek bawbaw, ki bi bil primeren samo za bančne aplikacije. Nasprotno - zadeve preko push tehnologij postajajo vse bolj enostavne za uporabo, saj samo še potrdiš DA ali NE na svojem mobitelu.

Na splošno že nekaj časa velja, da si daj vklopiti 2FA, kjer ti to ponudnik storitve omogoča.
Drug problem pa je potem, če moraš za vsako storitev naložiti svoj APP, s katerim delaš 2FA. Ampak to je že druga zgodba.... :)

VPN ti je počasen? Potem imaš crap router, ki preprosto ne zmore sprocesirati VPN povezave (če je router tvoj VPN gateway). V tem primeru ti preostane edino zamenjava routerja ali pa prestavitev VPN gateway-a na 'nekaj zmogljivejšega' (na PC, RPI,...?).
Vsekakor ti lahko zagotavljam, da takrat, ko gateway ni 'podhranjen' zadeve delujejo praktično enako solidno, kot če nebi imel VPN povezave vmes.

Dr_M ::


Vsekakor ti lahko zagotavljam, da takrat, ko gateway ni 'podhranjen' zadeve delujejo praktično enako solidno, kot če nebi imel VPN povezave vmes.


Povej ti to nordvpn folku. Obup od hitrosti. Najprej nastavim na routerju (rt-ac68u, ki zmore cca 50mbit give or take) in dobim 4-5mbit ul/dl, se povezem direkt s pcjem, dobim 2x. Pa nizke hitrosti me se ne motijo tako zeli, ampak to, da se strani zacnejo nalagat sele po 20 sekundah, pa se to kot bi bil na dailupu.
Sicer sem bral po netu, da jim hitrosti zelo nihajo.
Aja, pa to na T2 strezniku, ostalo je se pocasneje.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Zgodovina sprememb…

  • spremenil: Dr_M ()

Matthai ::

SeMiNeSanja je izjavil:

Drugače pa, če je le mogoče raje uporabljaj VPN povezavo. Tisto si v celoti sam upravljaš in točno veš, kaj si si nastavil.

To velja samo, če tudi sam upravljaš VPN strežnik. In če si ga sam postavil.

Pri čemer je treba vedeti da "postaviti VPN" ne pomeni, da na routeju obljukaš "enable VPN". Ne, treba je napisati pravi config, izbrati prave kripto algoritme in razumeti kaj si nastavil ter zakaj si tako nastavil.

Jaz že par let upravljam VPN strežnik, pa me občasno še vedno kaj preseneti. Sicer je res, da moji uporabniki uporabljajo tudi maskiranje VPN prometa in da je zahtevan zeli visok nivo varnosti, pa vseeno.

Mimogrede, včeraj sem bil na letališču, kjer blokirajo VPN povezave. Če nimaš vnaprej pripravljenega scenarija za to, se lahko kar pod nosom obrišeš za to, da boš internet uporabljal brez da ti gledajo pod prste...
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

SeMiNeSanja je izjavil:

Drugače pa, če je le mogoče raje uporabljaj VPN povezavo. Tisto si v celoti sam upravljaš in točno veš, kaj si si nastavil.

To velja samo, če tudi sam upravljaš VPN strežnik. In če si ga sam postavil.

Pri čemer je treba vedeti da "postaviti VPN" ne pomeni, da na routeju obljukaš "enable VPN". Ne, treba je napisati pravi config, izbrati prave kripto algoritme in razumeti kaj si nastavil ter zakaj si tako nastavil.

Jaz že par let upravljam VPN strežnik, pa me občasno še vedno kaj preseneti. Sicer je res, da moji uporabniki uporabljajo tudi maskiranje VPN prometa in da je zahtevan zeli visok nivo varnosti, pa vseeno.

Mimogrede, včeraj sem bil na letališču, kjer blokirajo VPN povezave. Če nimaš vnaprej pripravljenega scenarija za to, se lahko kar pod nosom obrišeš za to, da boš internet uporabljal brez da ti gledajo pod prste...

Drži - mišljen je bil scenarij, da imaš LASTNI VPN prehod (kaj ni bilo dovolj sasno poudarjeno?)

Tudi drži, da konfig VPN-ov ni nujno trivialen - ampak običajno se za domačo rabo ne boš spuščal v takšne podrobnosti, kot v podjetju, kjer na koncu še definiraš, da uporabnik A sme delat RDP povezavo izključno na IP adreso X in podobne hece - ampak običajno se ravno tu zatakne, da pustijo kar default Any-Any pravilo (da bi jih po nagi riti...).

Letališče...? Šmenta...problem je, da je 'VPN' zgolj nek pojem za celo vrsto enih tehnologij, ki vsaka nekoliko drugače deluje, uporablja različne porte,...
Dolgo časa se je zaobhajalo pomanjkanje odprtih portov s pomočjo SSL VPN preko porta 443. Danes požarne pregrade postajajo pametnejše, admini pa ne nujno tudi sočasno z njimi. Tako se ti dejansko lahko zgodi, da naletiš na Guest WiFi omrežje, kjer je neki brihtnež določil, da se sme port 443 uporabljati izključno za https compliant promet in ti tako lepo 'zapre pipco' za tvoj SSL VPN, ki ti sicer (skoraj) povsod deluje.
Kakšen smisel bi imelo tako početje na letališču? Morda je nekdo hotel preprečiti, da bi uporabniki preko VPN gledali porniče in druge 'high volume' vsebine, ki jih sicer blokirajo? Ampak to bi bolj učinkovito dosegli preko traffic managementa.
Varnost letališkega območja (da npr. potencialni terorist nebi preko VPN dostopal do kakšnih navodil, itd.), tudi ne more biti razlog, saj vsakdo lahko preklopi na mobile data network in si tam vzpostavi VPN do koderkoli ga potrebuje.
Dejansko bi bilo najbolje stopiti do njihovega CISO in ga povprašat, če ima kakšen razumen razlog - ali pa je takšna blokada VPN povezav posledica neznanja njihovega kadra....

Matthai ::

Glej, v tuji državi zvečer po 10 urah potovanja ne bom iskal CISO-ta. Lepo zaženem svoje skripte in surfam mimo omejitev.

Sicer je cilj razvoja tega softwera ta, da prebije kitajski požarni zid, ampak tole na letališču mi je pa zelo prav prišlo za testiranje...
All those moments will be lost in time, like tears in rain...
Time to die.
1
...
3 4
5
6


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov botnet na milijonih naprav IoT (strani: 1 2 )

Oddelek: Novice / Varnost
699770 (7042) SeMiNeSanja
»

Synology NAS simple backup setup?!

Oddelek: Pomoč in nasveti
7925 (639) AmokRun
»

NAS in crypto virusi

Oddelek: Pomoč in nasveti
272765 (1863) black ice
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16925381 (16491) SeMiNeSanja
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8813582 (10598) Manna

Več podobnih tem