» »

Hekerski napad na HSE

Hekerski napad na HSE

«
1
2 3

BCSman ::

Kako to da na slo-techu ni še novice in niti teme odprte glede tega?
https://n1info.si/novice/slovenija/heke...

Prikrivajo obsežnost napada in škode?
Ali je res, da so danes skoraj vsi zaposleni ostali doma zaradi tega napada?

c3p0 ::

Očitno prikrivajo. Naj bi na primeru delovalo ogromno strokovnjakov. Kaj pa bodo ugotovili? Če je dobro enkriptirano, dekripcije tako ni. Povrhu niti ni naslova, kamor se naj nakaže davek na neumnost.

V tem primeru se morajo zanesti na backupe. Tu pa se potem ponavadi ugotovi, da jih ni, da je zadnji za mesec dni nazaj, da so na bili na NAS disku in so tudi kriptirani, ipd. smešnice.

Ti strokovnjaki so dobri le, ko se je treba grebst za pogodbe, disaster recovery znanje pa je tam nekje.. v oblaku.

Širijo se tudi zgodbice, da bi naj perjad delala distrakcijo, oz. uničevala dokaze.

bciciban_ ::

Naš oddelek pokriva backup.

Za restore se pa obrnite na drug oddelek ;)

:))

Invictus ::

bciciban_ je izjavil:

Naš oddelek pokriva backup.

Za restore se pa obrnite na drug oddelek ;)

:))

Dobra :)).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

crniangeo ::

Invictus je izjavil:

bciciban_ je izjavil:

Naš oddelek pokriva backup.

Za restore se pa obrnite na drug oddelek ;)

:))

Dobra :)).


Ni daleč od resnice. Tudi nekaj tujih podjetij ima tako. Ena ekipa pokriva backup, druga pa restore in ostale zadeve..

Je pa fun, da je ena ekipa v Londonu druga pa v Indiji. Sedaj pa se pejt ko imajo eno ravno takrat nacionalni praznik :)
Convictions are more dangerous foes of truth than lies.

dronyx ::

Ker se govori o napadu predvidevam, da je bil tarča prav HSE? Namreč če je nekdo od zaposlenih nepazljiv in odpre priponko, ki je bila poslana milijonom naslovov po svetu, to zame ni napad. V tem primeru avtor morda sploh ne ve, da je njegova "rešitev" zašifrirala nekje podatke in mora poslati ponudbo za odkupnino. Pa lahko je že "out of business", tako da ponudbe ne bo in tudi ne ključa za dešifriranje podatkov.

Problem varnostnega kopiranja je pa v tem, da se marsikomu to zdi povsem odveč strošek, ker se taki incidenti ne dogajajo pogosto. Poleg tega pa pogosto lahko nadeš tudi take, ki ne preverjajo, ali varnostno kopiranje pravilno deluje in taki ponavadi tudi nimajo narejenega nekega okrevalnega načrta, kako informacijske sisteme obnoviti iz varnostne kopije.

HSE predvidevam sodi pod ključno infrastrukturo, tako da se bo tu lahko v praksi preverilo, kako je dejansko poskrbljeno za informacijsko varnost.

Jazon ::

Glede na to, da je direktor HSE-ja bil izbran na podlagi strokovnosti, bil je namreč poročna priča dr.Robija, me takšne afnarije na HSE-ju niti ne čudijo.
Prvi Štokelj je bil dabei, ko so privatizirali Meblo, drugi je pa dabei pri HSE-ju..

Pred nekaj leti sem sodeloval z eno od firm v skupini HSE. Fantje IT oddelka HSE-ja so takrat zgledno opravljali svoje delo, nobenih padalcev ni bilo. Nobenih oddaljenih dostopov ala teamviewer, nobenega talanja admin gesel ipd. Ko smo ga rabili je prišel dežurni IT-jevec, opravil intervju, malo smo mu še risali, zabeležil je dogovorjene zahtevke in jih nato vnesel. Vsako stvar so jemali smrtno resno, kar je glede na razvejanost njihovega sistema itak edini način.
To kar se je zgodilo, je lahko posledica spremembe usmeritev v IT oddelku ali širše. Predstavljam si, da je nek novozaposleni z visokim dostopom in prenosnikom, ki je prek VPN-ja povezan v HSE mrežo delal štalo.

dronyx ::

24ur piše, da je HSE napadel Rhysida.

feryz ::

Kaj pa ima direktor s tem, da nekdo od zaposlenih pride v firmo z usb ključkom, ga vtakne nekam in požene?
Ali pa namensko požene datoteko z mail-a?

Ker v velikih firmah je večina vdorov točno takih. Zelo težko spraviš okuženo zadevo mimo vseh mogočih skenerjev.

ToniT ::

Za tako razsežnost zaklenjenih datotek je moral biti nepazljiv nekdo z zelo visokimi pravicami (Domain oz. celo Enteprise Admin?)

Utk ::

Vse je super in vsi so strokovnjaki dokler ne poči...
Sem prepričan, da je na HSE vsaj 5 ljudi, ki bi znalo predavat 2 tedna o varnosti v IT-ju.

Invictus ::

Po moje sploh napada ni bilo, je samo novica, da se spumpa še malo denarja ven...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • predlagal izbris: mtosev ()

nokken ::

Za zacetek bi bilo treba sploh definirati kaj je napad. To, da nek bedak vtakne okuzen usb v racunalnik, ali odpre en random mail z okuzenim attachmentom zraven ni napad, se manj targetiran napad. In ce je karkoli tega kar so zadnje dni govorili po medijih res, to ni napad na HSE, pac pa neumnost zaposlenega oz. zaposlenih. Napad je nekaj povsem drugega kot to.

Karen ::

Tole je verjetno bučka iz 24kur, ampak so napisali:
Tudi v HSE naj bi imeli gesla shranjena v 'oblaku', od koder so jih napadalci pobrali in zaklenili dostope.

Če mogoče kdo kaj več ve o tem, naj napiše. OStali lahko samo ugibamo: so heknili kak bitwarden adminu?

bciciban_ ::

To je lahko karkoli.
Od tega da so dobili kak dostop do bitwarden-a, ker je kdo reusal gesla in bil po možnosti brez mfa.
Pa do tega da so imeli passwords.txt shranjen v nekem onedrive/gdrive/dropbox računu :))

raceboy ::

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Jure14 ::

feryz je izjavil:

Kaj pa ima direktor s tem, da nekdo od zaposlenih pride v firmo z usb ključkom, ga vtakne nekam in požene?
Ali pa namensko požene datoteko z mail-a?

USBji na računalnikih bi morali biti onemogočeni.
Nimaš tam kaj prenašat na/iz ključka. Slike z dopusta na telefonu kažeš.
Priponke v mailih bi pa že strežnik moral odstranit. Razen mogoče PDFjev.

Zgodovina sprememb…

  • spremenilo: Jure14 ()

Karen ::

Ne moreš v praksi tako delat normalno. USB-ji ne delajo, pol najboljš da še LAN pa internet skenslaš pa si zmagal (gredo lahko vsi domov). Bolj resen izziv je, da posamezen računalnik ne sme onesposobiti omrežja, pa da mora bit vse backupirano tako da je mogoče narediti disaster recovery v enem dnevu recimo (pa ni važno ali je nenameren ali nameren napad).

Miha 333 ::

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Še vedno pa moraš ugotoviti, kje in kako so prišli notri, sicer se lahko naslednji dan zgodba ponovi.

raceboy ::

Miha 333 je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Še vedno pa moraš ugotoviti, kje in kako so prišli notri, sicer se lahko naslednji dan zgodba ponovi.


to se strinjam. sicer v tem priemeru ne vemo ali ji bil direkten napad ali pa nek zablojen kripto, ki ga sploh nihce vec ne nadzira, zato tudi ni blo zahteve za odkup kljuca. po drugi strani, ce imas posteno postiman firewall... niti direkten napad ne pride notr.

AngelOfDeath ::

Koliko od vas je iz prve roke videlo kako taksne zadeve potekajo ?
Jaz sem bil odgovoren za arhiviranje pri več kot 100+ podjetjih in tako s prve vrste vem kako taksne zadeve potekajo.
Oziroma so potekale.

Nekako pridejo do nekega računalnika v sistemu (vpn, email att, rdp, zastarel ruter software)
Ko so tam začnejo pregledovati omrežje in poizkušajo vdreti v strežnike. Ko so vdrli v to spremljajo celotno
delovanje kak teden in nato naenkrat udarijo. Tako da v par urah poizkušajo sesuti in zakodirati vse backupe in datoteke.

Največ kaj so pri "moji stranki" naredili je da so uničili eno tračno kaseto in tračno enoto. cca 1k € skode.
so se pa zelo trudili z uničevanjem backupov a v mojih primerih žal neuspešno.
edit: Slovnica

WhiteAngel ::

c3p0 je izjavil:

Očitno prikrivajo. Naj bi na primeru delovalo ogromno strokovnjakov. Kaj pa bodo ugotovili? Če je dobro enkriptirano, dekripcije tako ni. Povrhu niti ni naslova, kamor se naj nakaže davek na neumnost.


A se sploh ve, da je šlo za ransomware in kripto?

raceboy ::

jaz se "zanasam" na synology backupe. imam sklopljene vse servise (smb, nfs, rsync, itd...). kopiram izkljucno kontra (iz synologyja) mam dosti verzij backupov. za dostop do nas-a imam samo en account z cudnim userjem in hudim geslom. nas ni odprt v svet.

nokken ::

raceboy je izjavil:

jaz se "zanasam" na synology backupe. imam sklopljene vse servise (smb, nfs, rsync, itd...). kopiram izkljucno kontra (iz synologyja) mam dosti verzij backupov. za dostop do nas-a imam samo en account z cudnim userjem in hudim geslom. nas ni odprt v svet.

Je dosegljiv iz tvojega racunalnika? Po napisanem sodec je, torej je dosegljiv tudi iz sveta ;) No taksno razmisljanje kot ga imas ti, pripelje do taksnih stvari, s katerimi se sedaj ukvarjajo na HSE ;)

raceboy ::

nokken je izjavil:

raceboy je izjavil:

jaz se "zanasam" na synology backupe. imam sklopljene vse servise (smb, nfs, rsync, itd...). kopiram izkljucno kontra (iz synologyja) mam dosti verzij backupov. za dostop do nas-a imam samo en account z cudnim userjem in hudim geslom. nas ni odprt v svet.

Je dosegljiv iz tvojega racunalnika? Po napisanem sodec je, torej je dosegljiv tudi iz sveta ;) No taksno razmisljanje kot ga imas ti, pripelje do taksnih stvari, s katerimi se sedaj ukvarjajo na HSE ;)


dosegljiv je samo lokalno v mrezi. zdaj pa povej kako bi 16mestni hash razbil ? sam velike pa male crke je 2 milijardi let. s tem da morejo zadet se userja. (pa ne nimam samo tega)

Telbanc ::

Menda je zadeva resna, hekerčki hočjo keš. 8-O

Da zadevo odklenejo. Verjetno nimaji zadevo zrihtano ka mam jaz. Še en disk, in pol sem sam pobrisal prvega, ki so mi ga neki debili zaklenili. Pred ene 8 leti.
Hvala bogu, nisem cepljen za covid-19.

Zgodovina sprememb…

  • spremenilo: Telbanc ()

nokken ::

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.

chrush ::

Nazadnje sem sodeloval pred petimi leti s HSE in lahko rečem, da so imeli vzorno poštiman IT. Kapo di bando pa je bil pokojni Uranjek. Kako pa imajo sedaj, pa nebi vedel, ampak mislim, da so backupi poštimani.
https://www.facebook.com/OverMuraMuviMejkers

raceboy ::

nokken je izjavil:

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.


to se strinjam s tabo. ampak naceloma ce ze grem na nas pogledat (kar je redko, ker dobim vsa obvestila ce je vse ok), se povezem preko vpnja in na svojem racunalniku se prijavim. se strinjam zmeraj obstaja moznost. bom razmislil tudi o 2 step vevification preko telefona za nas.

BCSman ::

Medtem ko skupina HSE zagotavlja, da se kibernetski napad na njene informacijske sisteme uspešno razrešuje, TV Slovenija poroča, "da imamo večjo zgodbo, kot se zdi na prvi pogled, kot kaže, ostajajo razmere v HSE skrb vzbujajoče". Danes (ponedeljek) naj bi tako zaposleni ostali doma, neuradno pa je po informacijah TV Slovenija v družbo prispel milijonski odškodninski zahtevek, Dravske elektrarne pa naj bi upravljali ročno, je poročal novinar Nejc Krevs.
Bo drzava castila odskodnino tej nesposobni energetski mafiji?

Nikonja ::

raceboy je izjavil:

nokken je izjavil:

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.


to se strinjam s tabo. ampak naceloma ce ze grem na nas pogledat (kar je redko, ker dobim vsa obvestila ce je vse ok), se povezem preko vpnja in na svojem racunalniku se prijavim. se strinjam zmeraj obstaja moznost. bom razmislil tudi o 2 step vevification preko telefona za nas.


Ali pa še eno offline ali cloud kopijo, ali celo oboje kot imam jaz. NAS dela backup večkrat na dan, cloud 1krat na dan, offline kopija pa vsaka 2-3 meseca, oziroma ko se spomnim. Mogoče je overkill, ampak določene podatke pa res ne želim zgubit, in ni šanse da original plus vse tri kopije bodo uničene. Pa niti ni tolk drago niti komplicirano, ker vse razen zunanjega diska nastaviš enkrat in pozabiš, cenovno NAS itak imam že 10 let in sem ga že zdavnaj izplačal, zunanje diske dobiš poceni, cloud pa plačujem cca 50 eur letno.

Varnost ni poceni ampak še vedno poznam ogrooooomno ljudi kateri ne delajo čist nobenega backupa podatkov, tko da fak it "poslje jeb...a nema kajanja"

dronyx ::

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Kje pa. Tudi če okužba res samo zašifrira podatke je pri kakšnih večjih in bolj sposobnih akterjih (dostikrat sponzoriranih od raznih držav) težko ugotoviti, kaj vse je okuženo. Ti so ti sposobni naložiti kakšen svoj firmware na mrežne naprave in podobno. Skratka taka okužba je lahko samo pri ocenjevanju kaj vse je prizadeto prava nočna mora. Če ti ne samo zašifrirajo podatke, ampak tudi ukradejo, je zadeva še bistveno hujša in praktično nepopravljiva. Kaj naredit v tem primeru, če grozijo z objavo? Ali plačaš in upaš, da so pošteni kriminalci, ali ne plačaš in ti objavijo podatke, nakar lahko dobiš tožbe, če gre za kakšne poslovne skrivnosti, osebne podatke itd. Pa tudi če plačaš ni nobene garancije, da so ti ukradeni podatki res dokončno izbrisani. Te zadeve minimizirat je neumnost. Pa v prihodnje bo samo še bistveno huje, saj bo AI tudi na tem področju omogočala marsikaj, kar se sliši danes kot znanstvena fantastika.

Zgodovina sprememb…

  • spremenil: dronyx ()

johnnyyy ::

AngelOfDeath je izjavil:

Nekako pridejo do nekega računalnika v sistemu (vpn, email att, rdp, zastarel ruter software)
Ko so tam začnejo pregledovati omrežje in poizkušajo vdreti v strežnike. Ko so vdrli v to spremljajo celotno
delovanje kak teden in nato naenkrat udarijo. Tako da v par urah poizkušajo sesuti in zakodirati vse backupe in datoteke.

Kot prvo, danes obstajajo rešitve z digitalnim podpisovanjem izvršljivih datotek in dlljev in če se pri tem omejiš ti nekdo zelo težko požene neko neavtoriziran program. Za pregledovanje omrežja in skeniranje konkretno vlogo odigra FW, saj ti takšne stvari beleži in lahko tudi poroča. Tudi vsak neuspel poizkus prijave na strežnik se lahko poroča, obenem pa obstaja tudi 2FA. Za backup in ostalo pa tudi obstaja kup rešitev, kjer lahko razpravljamo kako se to zgodi.

Recimo, pri nas ima večina zaposlenih zelo omejene dostope (firefoxa ne morejo inštalirat niti uporabljat portable verzijo). Do glavne infrastrukture se uporablja VPN, kjer ima vsak omejene pravice, kam sploh lahko dostopa. Za vsako snifanje po omrežju dobiš klic iz ITja, če si to ti in kaj počneš. Neavtorizorane naprave (tvoj domač laptop) gredo na "guest wifi". Vsi notebooki so šifrirani, za dostope 2FA itd. Sinhronizacija datotek in vodenje zgodovine sprememb je direktno na strežnik itd. Poleg tega imamo še vsi zaposleni pol letna izobraževanja na temo elektronske varnosti in zaznavanja sumljivih stvari.

Pa smo zelo daleč stran od neke kritične infrastrukture.

Utk ::

Pa si bi upal rečt, da se ne more kaj podobnega zgodit? V to si lahk siguren samo dokler se ne zgodi.

Zgodovina sprememb…

  • spremenil: Utk ()

johnnyyy ::

Utk je izjavil:

Pa si bi upal rečt, da se ne more kaj podobnega zgodit? V to si lahk siguren samo dokler se ne zgodi.

V tako veliki obliki bi rekel, da sem kar precej prepričan. In tudi do sedaj nekih (resnih) incidetov nismo imeli. Iz prakse lahko povem, da so zadeve konkretno regulirane. Recimo, če se hočeš s svojim računalnikom povezati na 2 druga računalnika direkto (IP/port) je to že alert, če to narediš večkrat sledi začasni ban - dokler se z ITjem stvari ne uredijo. V interno omrežje prideš samo s službenimi računalniki (MAC naslov) itd.

Kako IT interno hendla te stvari in ali bi lahko nekdo prek kakšnega ITjevca prišel do dostopa, nimam podatka. A glede na to kako vzdržujejo infratrukturo in kako so si stvari postavili, jih s priponko v emailu ne boš prepričal.

Utk ::

Tudi pri HSE zelo verjetno ni bila samo priponka v mailu.

feryz ::

Saj najbrž nihče ne misli, da se je to okužilo prejšnji teden.
Lahko je mesece od tega, kar je bila zadeva vnešena. Vsaj tanove zadeve so tako narejene. Vzamejo si čas, da se naselijo povsod. Tudi na backup.

johnnyyy ::

Utk je izjavil:

Tudi pri HSE zelo verjetno ni bila samo priponka v mailu.

Po neuradnih informacijah, ki jih je pridobil 24ur.com, naj bi bili napadalci povezani s tujo državo, pri napadu pa naj bi uporabili izsiljevalski virus Rhysida.


Metode napada: Rhysida je spretna pri lažnem predstavljanju (phishingu), torej pridobivanju podatkov in poverilnic s socialnim inženiringom. Nato se s temi poverilnicami prijavi v VPN-povezavo napadene družbe in s tem dobi dostop do njenega notranjega omrežja. Navadno se loti tistih družb, ki ne uporabljajo večstopenjskega preverjanja istovetnosti. Izkorišča tudi ranljivost Zerologon v Microsoftovem protokolu Netlogon Remote Protocol. Nekaj časa porabi za širjenje po omrežju in za to uporablja lokalna orodja, da je čim manj opazna, nato ukrade (eksfiltrira) podatke, zatem podatke na napadenem omrežju zaklene s šifrirnim ključem RSA-4096. Tako lahko zagrozi, da v primeru neplačila odkupnine ukradene podatke javno objavi na spletu.

Glede na te podatke, očitno ni šlo za nek "izjemno sofisticiran napad".

Tiger ::

Saj ne veš do katerih datotek pa so dostopali, morda so pridobili načrte hidroelektrarn, elektro vodov in druge kritične infrastrukture.

m0LN4r ::

Prenizke place so, premalo denarja za IT Sekuriti. Zdaj imajo razlog za dvigovanje tega, boljsi kot kadarkoli prej.
https://ref.trade.re/38mvdvxm
Trade Republic 38MVDVXM

Utk ::

Glede na te podatke, očitno ni šlo za nek "izjemno sofisticiran napad".

Do podatkov za VPN se lahko pride na različne načine. Ni nujno, da je to neka priponka v mailu. Lahko se tudi koga prebuta na parkingu, recimo...

nokken ::

Zares se da precej bolj preprosto priti do tega ce poklices po telefonu in jih lepo prosis za to. Precej manj moznosti, da se po nesreci spravis na nekoga, ki je mocnejsi kot ti :)) In ce kdo misli da je to joke, think again. V 99.9% se pri teh stvareh pride do ustreznih podatkov ravno na tak nacin... in v tem primeru ti tudi 2FA ne pomaga cisto nic.

feryz ::

Saj sem že zgoraj napisal.
Nekomu v firmi daš par jurjev, ali pa še to ne in vtakne eno pritiklino nekam.
Zakaj bi se matral z nekimi vdori? Čez par mesecev tega ne bo nihče izsledil.

Utk ::

nokken je izjavil:

Zares se da precej bolj preprosto priti do tega ce poklices po telefonu in jih lepo prosis za to. Precej manj moznosti, da se po nesreci spravis na nekoga, ki je mocnejsi kot ti :)) In ce kdo misli da je to joke, think again. V 99.9% se pri teh stvareh pride do ustreznih podatkov ravno na tak nacin... in v tem primeru ti tudi 2FA ne pomaga cisto nic.

Ja, tak način je pač malo bolj sofisticiran. Se pa sigurno 99% vdorov ne zgodi na način, da bi nekdo ne vem kaj hekal, exploital in ne vem kaj, ampak se nekoga enostavno vpraša za geslo ali nek dostop, tako da vse posodobitve in varnost ti pomagajo samo do neke točke, od tam naprej moraš pa skrbet za človeški faktor, kar je pa veliko težje.
Kot prejšni teden ko je nekdo prek telefona poklical na firmo in dobil dostop v njihovo spletno banko...džabe ti tu 7 verifikacij, če mu jih nekdo vse pove.

Zgodovina sprememb…

  • spremenil: Utk ()

johnnyyy ::

Utk je izjavil:

Glede na te podatke, očitno ni šlo za nek "izjemno sofisticiran napad".

Do podatkov za VPN se lahko pride na različne načine. Ni nujno, da je to neka priponka v mailu. Lahko se tudi koga prebuta na parkingu, recimo...

Seveda, vendar za to obstajajo rešitve. Vsak delavec ne sme imeti preko VPNja dostop do celotne infrastrukture. In če mene prebutaš in dobiš geslo od našega VPN + odklenjen telefon z 2FA boš dobil zelo omejen dostop do VPNja in neke štale ne boš naredil.

Tako da potem bi moral res najti "pravega" ITjevca na parkingu in ga ugrabit, da bi mogoče dobil kakšen boljši dostop. Kar pa se v HSE definitivno ni zgodilo.

starfotr ::

A lahko nehate? Popolne varnosti ni. In neskončno denarja se tudi ne bo metalo v varnost IT.

Sistemi, ki so občutljivi so izven interneta. Problem je njihov SAP, saj jim je mogoče tam kje kaj zašifriralo.

Generatorji se pa še vedno vrtijo. In elektriko tudi še imamo iz skupine HSE.

bbbbbb2015 ::

dronyx je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Kje pa. Tudi če okužba res samo zašifrira podatke je pri kakšnih večjih in bolj sposobnih akterjih (dostikrat sponzoriranih od raznih držav) težko ugotoviti, kaj vse je okuženo. Ti so ti sposobni naložiti kakšen svoj firmware na mrežne naprave in podobno. Skratka taka okužba je lahko samo pri ocenjevanju kaj vse je prizadeto prava nočna mora. Če ti ne samo zašifrirajo podatke, ampak tudi ukradejo, je zadeva še bistveno hujša in praktično nepopravljiva. Kaj naredit v tem primeru, če grozijo z objavo? Ali plačaš in upaš, da so pošteni kriminalci, ali ne plačaš in ti objavijo podatke, nakar lahko dobiš tožbe, če gre za kakšne poslovne skrivnosti, osebne podatke itd. Pa tudi če plačaš ni nobene garancije, da so ti ukradeni podatki res dokončno izbrisani. Te zadeve minimizirat je neumnost. Pa v prihodnje bo samo še bistveno huje, saj bo AI tudi na tem področju omogočala marsikaj, kar se sliši danes kot znanstvena fantastika.


Ne pretiravaj. Dve taki znani okužbi sta bili, oz. tri.

V prvem primeru je bil napaden Proximus v Belgiji, na switche so naložili lasten firmver in to, preden je bil switch dobavljen. Drugitak primer pa je nalaganje firmvera v shadow del firmvera trdega diska, ki niti ni bil dosegljiv z normalnim firmware eraserjem. To mislim, da je bil vdor v nemški parlament. Ker to funkcionira tako, da ima trdi disk bootstrap kodo, ter dve kopiji firmwera. Disk bootstrap koda starta trenutnmo kopijo, če ta ne gre oz. ima double fault, štarta drugo. Nekdo je spremenil bootstrap kodo. To ni možno okužiti "online". To se je nekdo moral fizično priklopiti na disk, ter skopirati gor firmware.

Za tretji primer pa se ne spomnim, mislim, da so popravili Intelov patch za Minix ali nekaj takega. To ne moreš normalno podtakniti niti PCju. To je nekdo moral spremeniti BIOS, da je dovolil zagon neavtoriziranega operacijskega sistema.

To so vse offline metode vdorov.

Zgodovina sprememb…

bbbbbb2015 ::

starfotr je izjavil:

A lahko nehate? Popolne varnosti ni. In neskončno denarja se tudi ne bo metalo v varnost IT.

Sistemi, ki so občutljivi so izven interneta. Problem je njihov SAP, saj jim je mogoče tam kje kaj zašifriralo.

Generatorji se pa še vedno vrtijo. In elektriko tudi še imamo iz skupine HSE.


To že. Malček nas edino moti, da je potrebno te nebulozerje futrati s pol miljarde € denarja:
https://siol.net/posel-danes/novice/v-t...

Če pa misliš, da je pol miljarde malo denarja, pa prosim, da mi nakažeš pol miljarde, če se ti ta denarček ravno valja na TRR in nimaš kam z njim in se nočeš s temi drobižki ukvarjati.

sbawe64 ::

Teh 500M je šlo na račun gamblanja na borzi, ki se ni izšlo.
V It del je prišlo zaradi tega natanko 0.0 EUR.


https://slo-tech.com/forum/t823252/p808...
To so šolski primeri 3 črkovnih agencij (5 eyes & co), šarjenje po hw, po možnosti pred namestitvijo.

Hdd
https://www.cnet.com/news/privacy/nsa-p...
https://www.vice.com/en/article/ypwkwk/...

Mrežna oprema
https://www.techradar.com/news/networki...
https://www.theguardian.com/books/2014/...


Bios
https://resources.infosecinstitute.com/...
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

blay44 ::

Apt28, oziroma gru26165?
Najbrž je bil malware že prej naložen.
Da pa pridejo do zadnjega layerja fizične kontrole
elektrarne je pa čudno. A ni to namenski unikatni
software, hardware in komunikacija.
Menda ja ni to kaka kitajska roba.
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemčija zaprla še zadnje jedrske elektrarne (strani: 1 2 3 4 )

Oddelek: Novice / Znanost in tehnologija
18216758 (10414) feryz
»

Nekaj čudnega se dogaja: Zlogalasni TEŠ6 in premogovnik velenje na robu bankrota, gov (strani: 1 2 3 4 )

Oddelek: Loža
15128665 (23824) kotanyi
»

Cloud gostovanje e-pošte (strani: 1 2 )

Oddelek: Omrežja in internet
6013262 (12100) c3p0
»

EDF obsojen zaradi vdora v Greenpeaceove računalnike (strani: 1 2 )

Oddelek: Novice / Varnost
5021381 (19821) jest10
»

Udarimo kartel po denarnici

Oddelek: Loža
244389 (3537) Ziga Dolhar

Več podobnih tem