» »

Hekerski napad na HSE

Hekerski napad na HSE

1
2
3

Ndivia ::

Odkar je obvezno evidentiranje delovnega časa, se dogajajo taki in podobni incidenti. Zaposleni brezglavo klikajo, ker se dolgočasijo med tem ko čakajo da odsedijo polnih 8 ur.

bbbbbb2015 ::

blay44 je izjavil:

Apt28, oziroma gru26165?
Najbrž je bil malware že prej naložen.
Da pa pridejo do zadnjega layerja fizične kontrole
elektrarne je pa čudno. A ni to namenski unikatni
software, hardware in komunikacija.
Menda ja ni to kaka kitajska roba.


Mah, ponavadi so to kakšni PLCji:
https://www.plc-electronic.de/

Zdaj recimo, Nemci niso dovolili priklop PLCjev na mrežo oz. Internet. Manualno priklapljanje na PLC kontroler, ter update, če je treba.
Stuxnet je bil prvi virus, ki je iskal kontrolne postaje, ki so bile priklopljene na PLC kontrolerje:
Stuxnet @ Wikipedia

Zdaj seveda, če PLC kontrolerju pošlješ kakšne čudne ukaze, ti bo seveda kaj naredil, kar bo rezultiralo v kakšn fizični eksploziji, seveda.

Če so pa PLC kontrolerji ločeni, bodisi fizično, bodisi preko požarnega zdu, to pa je drugo vprašanje. Ne vem, koliko tega imajo.

blay44 ::

Ja to je najbrž.
Samo vseeno sem misli da od stuxneta naprej, za take pomembne,
življenjske zadeve, uporabljajo kaj izven serijskega, namenske plcje, itd.
Na koncu se bo izkazalo, da še v vojski uporabljajo serijske vsem znane zadeve.

bajsibajsi ::

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.


Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.

starfotr ::

HSE ima SAP.

BCSman ::

Niso v nobenem sranju. Kakrsno koli skodo bo krila drzava, ker spadajo pod kriticno infrastrukturo, odstopil ali bil odpuscen zaradi nesposobnosti ne bo nobeden, place pa bodo se naprej veckratnik plac IT-jevcev iz javne uprave, ker so "energetiki" in ne javna uprava.

sbawe64 ::

https://www.rtvslo.si/gospodarstvo/heke...

Po zanesljivih, sicer še neuradnih informacijah so hekerji po kibernetskem napadu na informacijski sistem Holdinga Slovenske elektrarne zahtevali plačilo odkupnine, in sicer v bitcoinih.

Po informacijah TV Slovenija so napadalci informacijski sistem družbe napadli z izsiljevalskim virusom Rhysida, ki je zaklenil dostope do sistema.


3 dni nazaj
HSE o kibernapadu: Situacija pod nadzorom, večjih posledic ne bo
https://www.rtvslo.si/gospodarstvo/hse-...
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

Miki N ::

No vidite, zdaj pa un "floppy net" ni več tako smešen. Floppy ti reši rit.

sbawe64 ::

Za vsak gigabajt zaklenjenih dokumentov naj bi hekerji zahtevali en bitcoin, ki je po zadnjem tečaju vreden dobrih 34 tisoč evrov. Koliko podatkov so napadalci zaklenili, ni znano.
https://n1info.si/novice/slovenija/heke...
2020 is new 1984
Corona World order

Miki N ::

Potem pa bolje da hitro plačajo, preden gre bitcoin na luno!

sbawe64 ::

Če gre res za Rhysida, potem teh 40 strokovnjakov izgublja čas, nič ne morejo.

Z reševanjem zaklenjenih datotek se poleg policije in drugih institucij s področja kibernetske varnosti ukvarja najmanj 40 strokovnjakov.
2020 is new 1984
Corona World order

BCSman ::

Za financirat teh 40 "strokovnjakov" bo slo vec dnara kot bi slo za placilo odklepa in itak ne bodo nic dosegli?
Razen ce so studente fri-ja najeli in se placa po studentski postavki.

bciciban_ ::

Verjetno se ne trudijo odklenit datotek ampak restavrirajo sistem.
Da pa toliko časa traja pa verjetno kaže da so imeli slab sistem backupa, ali pa so jim ga tudi vsaj deloma zakriptirali.

Osebno poznam ljudi, ki so pri enem večjem podjetju pomagali vzpostavit IT sistem nazaj po napadu, ko so jim zašifrirali vse razen kaset. En teden je trajalo da so vzpostavili osnovno delovanje in en mesec da so bili polno operativni.

Šele ko delaš enkrat polni restore vsega, ugotoviš kako slabe backupe imaš in kako nedorečeno restore procedure.

Zgodovina sprememb…

dronyx ::

Na 24ur piše, da zahtevajo 1 bitcoin za 1 GB odtujenih podatkov. Odtujenih si jaz predstavljam da so jih ukradli, ne samo zaklenili. Namreč če ti podatke ukradejo tega problema nikakor ne more rešiti varnostna kopija. Kaj je v teh odtujenih podatkih pa verjetno vedo na HSE.

Gwanaroth ::

Samo intermezzo glede backupov - tole poglejte: https://cloudbackup.si/

AWS-based all-in-one cloud backup vsega boga.

Sem delal disaster recovery po ransom napadu v podjetju s 70 zaposlenimi (20 TB podatkov, kup virtualcev, baz...). 2 dni so bili down, toliko da smo na novo dvignili sisteme na serverjih, restore je bil nato narejen v parih urah.
Lights often keep secret hypnosis..

c3p0 ::

Saj zato ne rabiš Druve, ki jo ti ponujajo. Moraš pa razmišljat o backupu, katerega niti sam ne moreš pobrisat brez nekaj preprek, od teh vsaj ena offline. In tu govorim le o online backupu.

Gwanaroth ::

Se strinjam. Velik problem je še, ko moraš v podjetju bekapirat različne stvari.. virtualce, fajle, baze, računalnike zaposlenih, razne SaaS pri katerih ti vendor zagotavlja le delovanje aplikacije, ne varuje pa tvojih podatkov (ala MS 365).

Kako to vse učinkovito bekapirat je uganka.. pa dedupe, pa 3-2-1, pa gdpr.. Bi rabli imet kar enga "backup operatorja" zaposlenga, kar je čez lužo dokaj stalna praksa, pri nas pa.. "sej mamo backupe, za restore pa nas (zaenkrat) ne briga".
Lights often keep secret hypnosis..

tony1 ::

bbbbbb2015 je izjavil:

dronyx je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Kje pa. Tudi če okužba res samo zašifrira podatke je pri kakšnih večjih in bolj sposobnih akterjih (dostikrat sponzoriranih od raznih držav) težko ugotoviti, kaj vse je okuženo. Ti so ti sposobni naložiti kakšen svoj firmware na mrežne naprave in podobno. Skratka taka okužba je lahko samo pri ocenjevanju kaj vse je prizadeto prava nočna mora. Če ti ne samo zašifrirajo podatke, ampak tudi ukradejo, je zadeva še bistveno hujša in praktično nepopravljiva. Kaj naredit v tem primeru, če grozijo z objavo? Ali plačaš in upaš, da so pošteni kriminalci, ali ne plačaš in ti objavijo podatke, nakar lahko dobiš tožbe, če gre za kakšne poslovne skrivnosti, osebne podatke itd. Pa tudi če plačaš ni nobene garancije, da so ti ukradeni podatki res dokončno izbrisani. Te zadeve minimizirat je neumnost. Pa v prihodnje bo samo še bistveno huje, saj bo AI tudi na tem področju omogočala marsikaj, kar se sliši danes kot znanstvena fantastika.


Ne pretiravaj. Dve taki znani okužbi sta bili, oz. tri.

V prvem primeru je bil napaden Proximus v Belgiji, na switche so naložili lasten firmver in to, preden je bil switch dobavljen. Drugitak primer pa je nalaganje firmvera v shadow del firmvera trdega diska, ki niti ni bil dosegljiv z normalnim firmware eraserjem. To mislim, da je bil vdor v nemški parlament. Ker to funkcionira tako, da ima trdi disk bootstrap kodo, ter dve kopiji firmwera. Disk bootstrap koda starta trenutnmo kopijo, če ta ne gre oz. ima double fault, štarta drugo. Nekdo je spremenil bootstrap kodo. To ni možno okužiti "online". To se je nekdo moral fizično priklopiti na disk, ter skopirati gor firmware.

Za tretji primer pa se ne spomnim, mislim, da so popravili Intelov patch za Minix ali nekaj takega. To ne moreš normalno podtakniti niti PCju. To je nekdo moral spremeniti BIOS, da je dovolil zagon neavtoriziranega operacijskega sistema.

To so vse offline metode vdorov.


Se strinjam. Obični malweraši, ki uletijo noter s kriptolockerjem se običajno z omrežno opremo ne ukvarjajo.

Mnogo lažje je zlorabiti AD (na katerem bi moral biti narejen hardening, pa ni, ker ... (vstavi po želji) in ker so nanj vezani vsi tvoji userji, ki imajo plazilske možgane) in, zanimivo, VMware (ker ima hroščev kot povprečno velik travnik, upgrejdati ga pa nihče ne upa, ker tega ne zna)... Saj je to več kot dovolj za narediti štalo...

kow ::

Gwanaroth je izjavil:

Se strinjam. Velik problem je še, ko moraš v podjetju bekapirat različne stvari.. virtualce, fajle, baze, računalnike zaposlenih, razne SaaS pri katerih ti vendor zagotavlja le delovanje aplikacije, ne varuje pa tvojih podatkov (ala MS 365).

Kako to vse učinkovito bekapirat je uganka.. pa dedupe, pa 3-2-1, pa gdpr.. Bi rabli imet kar enga "backup operatorja" zaposlenga, kar je čez lužo dokaj stalna praksa, pri nas pa.. "sej mamo backupe, za restore pa nas (zaenkrat) ne briga".


Z razlogom se imenuje "backup software" in ne "restore software" :))

malisvizec ::

Hja, na zalost je vedno tako. Zvoni se po toci in ponavadi ne samo enkrat.
Ce recimo v zadnjih letih omenis tape backup, pa offline storage trakov te vsi gledajo kot nazadnjaskega.
Vseh en backup mora bit offline.

PacificBlue ::

I’m out.
:3

darkolord ::

Gwanaroth je izjavil:

Samo intermezzo glede backupov - tole poglejte: https://cloudbackup.si/

AWS-based all-in-one cloud backup vsega boga.

Sem delal disaster recovery po ransom napadu v podjetju s 70 zaposlenimi (20 TB podatkov, kup virtualcev, baz...). 2 dni so bili down, toliko da smo na novo dvignili sisteme na serverjih, restore je bil nato narejen v parih urah.
OK, ampak če je bil restore narejen v par urah, definitivno ni bilo restoranih 20 TB.

Jazon ::

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Možne teorije zarote:
- manjši poskus po spremljanju https prometa, skladno s predlagano direktivo EU, ki bo izdajalce cert. prisilila, da predajo ključe do svojega kraljestva.
- američani menjajo opremo za prestreganje komunikacij na SIX-u.
- vezano na HSE je Halcom preklical cele šope ključev, kar je povzročilo, da so nekatere ustanove pocepale dol.

c3p0 ::

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.

Gwanaroth ::

darkolord je izjavil:

Gwanaroth je izjavil:

Samo intermezzo glede backupov - tole poglejte: https://cloudbackup.si/

AWS-based all-in-one cloud backup vsega boga.

Sem delal disaster recovery po ransom napadu v podjetju s 70 zaposlenimi (20 TB podatkov, kup virtualcev, baz...). 2 dni so bili down, toliko da smo na novo dvignili sisteme na serverjih, restore je bil nato narejen v parih urah.
OK, ampak če je bil restore narejen v par urah, definitivno ni bilo restoranih 20 TB.


Maš prav, sem preveč posplošeno rekel. Virtualke, mssql in taglavni fileserver je bil "takoj" - par ur iz warm storagea, prek pol gigabitne Softnet optike, serverji z enterprise Intel SSDji. Težki arhivski NAS smo pa potem pustili restorat iz cold storagea. Point je, da je bila firma spet up and running v zelo kratkem času, z zelo nizkimi RTO/RPO.
Lights often keep secret hypnosis..

tony1 ::

c3p0 je izjavil:

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.


"ministrica: Državne spletne strani spet delujejo. Nedelovanje posledica zastoja v delovanju omrežnih stikal."

Ni vrag, da ni danes neki ACI pokazal zobe :))

Otroci iz javne uprave so si pred dobrim desetletjem zaželeli ACI, ker so ga videli na super duper prestavitvi v Las Vegasu :)) Pustimo sicer to, da ACIjev glavni namen najbrž ne bo nikoli implementiran, ker bi za to moral kaj pomigati tudi naročnik, pa tega noče in ne more...

Psi lajajo, karavana pa gre svojo pot. HKOM omrežje so država in izvajalci sestavili tako, da ga lahko vzdržujeta (beri: upravljata) samo še 2 hišna ponudnika JU, ki se izmenjujeta vsakih nekaj let. V očeh postave pa je vse v redu: "Vidite, šli smo v javni razpis in prijavilo se je več kot samo eno podjetje!" :))

bajsibajsi ::

c3p0 je izjavil:

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.


Zunanja podjetja bodo se naprej dobivala zajetna narocila/pogodbe.

Medtem bo JS se naprej zaposloval IT kader za placo dobrega jurja.
Zgolj dva primera:
https://www.gov.si/zbirke/delovna-mesta...
https://www.ess.gov.si/iskalci-zaposlit...

raceboy ::

bajsibajsi je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.


Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.


res je. nevem kako delujejo nasi veliki sistemi. hotel sem samo rect, da z pravilnim pristopom bi to lahko kakorkoli resli. recimo, centralni server room pac nekje. kolikor ze potrebnih serverjev z virtualkami. dostop do njih preko terminalnea dostopa. vse virtualke redno backupirat lokalno (lahko tudi na uro) in backup se ven (na druo lokacijo oz. v nek oblak). kar se tice lokalnih "strojev" pac ne morem tukaj komentirat, ker ne vem kaj sploh so.

bbbbbb2015 ::

bajsibajsi je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.


Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.


Brez zamere, ampak tebi se ne sanja, kako delujejo delujejo veliki sistemi pri nas in v tujini. Ko sem še jaz delal za veliko firmo, je bilo na cca 12 poslovnih enotah backup strežnik, na vsaki enoti svoj, bacup vsega je bil narejen. Bare-metal image od delovnih postaj je bil narejen na vsakih 6 mesecev, inkrementalni backupi sistemskga dela vsak mesec, uporabniških podatkov vsako uro. Vse na DLT trakove in diske.
Na centrali je bila, verjetno je še, robotska knjižnica, ranga 30 kvadratih metrov, po spominu, z naloženimi decki DLT trakov. Delal se je restore day-1 vsak dan.
To je bilo pri nas, sigurno tam okrog leta 2002.

Kjer delam zdaj, imajo etažo s trakovi in diski, za več staging backup. Računski center je v Luxemburgu.

Sploh ne razumem, kako se je to lolekom lahko zgodilo. Mi smo že leta 2002 imeli IPS (Intrsion Prevention System), takrat si rabil eno posebno kartico, "kalkulator", da si se z OTP prijavil na sistem kot admin. Že samo da se je uporabnik prijavil na delovno postajo ob čudnem času, je bil alarm.

Jaz ne vem no. Saj razumem, da se vse živo zgodi, samo to meji na malomarnost.

Zgodovina sprememb…

sbawe64 ::

Jazon je izjavil:

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Možne teorije zarote:
- manjši poskus po spremljanju https prometa, skladno s predlagano direktivo EU, ki bo izdajalce cert. prisilila, da predajo ključe do svojega kraljestva.
- američani menjajo opremo za prestreganje komunikacij na SIX-u.
- vezano na HSE je Halcom preklical cele šope ključev, kar je povzročilo, da so nekatere ustanove pocepale dol.

Nato nas heka ?
http://www.gov.si/novice/2023-11-27-zac...
2020 is new 1984
Corona World order

AngelOfDeath ::

bciciban_ je izjavil:

Verjetno se ne trudijo odklenit datotek ampak restavrirajo sistem.
Da pa toliko časa traja pa verjetno kaže da so imeli slab sistem backupa, ali pa so jim ga tudi vsaj deloma zakriptirali.

Osebno poznam ljudi, ki so pri enem večjem podjetju pomagali vzpostavit IT sistem nazaj po napadu, ko so jim zašifrirali vse razen kaset. En teden je trajalo da so vzpostavili osnovno delovanje in en mesec da so bili polno operativni.

Šele ko delaš enkrat polni restore vsega, ugotoviš kako slabe backupe imaš in kako nedorečeno restore procedure.



LTO 7 je že leta 2015 zmogel preko 1TB na uro. Za večje hitrosti rabiš pa namenske SSD diske namenjene samo za arhiviranje - niti ne tako velikih. Govorim za win OS. Tako da ne vem kaj točno so delali en teden.

Kasete so poceni cca 50€ na kos in jo enostavno odneseš v trezor banke vsak dan itd...

Poleg tega se redno delajo še testni restore sistemov in kritičnih funkcij.

Največji problem je ponavadi najti od kje je napad prišel in tu precej pomaga dodaten backup vseh event logov na xxx čas. Ki sem jih jaz za razliko od vseh ostalih imel. Ker je bilo precej lažje ugotoviti zakaj arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami - kot jaz temu pravim.
edit: Slovnica

pegasus ::

AngelOfDeath je izjavil:

arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami
Hehe, zdaj si pa predstavljal backupirat petabajte na teden v ustanovi s 1000+ osebki svetovne znanstvene smetane.

AngelOfDeath ::

pegasus je izjavil:

AngelOfDeath je izjavil:

arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami
Hehe, zdaj si pa predstavljal backupirat petabajte na teden v ustanovi s 1000+ osebki svetovne znanstvene smetane.



Vse se da rešit in poenostavit (:

samo € rabiš :)
edit: Slovnica

pegasus ::

A čmo novo temo odpret al kar tu nadaljevat? Ker ravno v teh tednih nadgrajujemo naš TSM sistem (5 letni hw upgrade cikel) in mi je ta fc-tape tehnika silno zanimiva iz arhaičnega vidika ... Zadnja prava retro tehnologija v aktivni, large scale produkciji. Toliko bajtov kot TSM mašine prepumpajo skozi v svojem življenju je pravo čudo, da ne srečuješ bitflipov na dnevni osnovi. Res amazing :)

sbawe64 ::

Odpri novo temo.
2020 is new 1984
Corona World order

bbbbbb2015 ::

pegasus je izjavil:

AngelOfDeath je izjavil:

arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami
Hehe, zdaj si pa predstavljal backupirat petabajte na teden v ustanovi s 1000+ osebki svetovne znanstvene smetane.


Sploh ne vem, o čem govorite.

Delovne postaje so se ponoči prižigale na WOL, ter ugašale na koncu. Laptopi čim so se konektali, so vzpostavli VPN tunel, tam edino, če kdo ni prinesel v službo dolgo časa laptop, jr morda izpadel bare-metal backup, ki se je delal samo interno v mreži, ker je sicer to preveč zasedalo linije.

Kakorkoli že, to je bilo leta 2002. Zdaj smo leta 2023, mojstri.

darkolord ::

Ampak to dvoje ni povezano. Backup infrastruktura v letu 2002 - in še do le nekaj let nazaj - je bila primarno namenjena kot zaščita pred hardverskimi izpadi. Tudi tisto, kar je pred nekaj leti bilo vse po reglcih, najboljše prakse, itd, je za izsiljevalske grožnje hitro postalo ničvredno.

Tako kot ti vseh 100 varnostnih sistemov v avtomobilu čisto nič ne pomaga, če te nekdo namenoma s ceste zrine v prepad.

bbbbbb2015 ::

darkolord je izjavil:

Ampak to dvoje ni povezano. Backup infrastruktura v letu 2002 - in še do le nekaj let nazaj - je bila primarno namenjena kot zaščita pred hardverskimi izpadi. Tudi tisto, kar je pred nekaj leti bilo vse po reglcih, najboljše prakse, itd, je za izsiljevalske grožnje hitro postalo ničvredno.

Tako kot ti vseh 100 varnostnih sistemov v avtomobilu čisto nič ne pomaga, če te nekdo namenoma s ceste zrine v prepad.


Če sem odkrit, se mi ne da razlagati, kaj je bilo in kako je bilo nekoč. Backup je varovanje podatkov pred namerno in nenamerno izgubo, vključno z izsiljevalskimi virusi. Razlika je morda samo ta, da je potrebno arhitekturo IT sistema zelo priviti, da četudi kdo poklika napačno priponko ali kaj takega, da ne gre vse vsem v maloro. Zaradi izsiljevalskih virusov so morda delta (inkrementalne) kopije pogostejše, dnevne ali na pol dneva. Nekoč je bilo dovolj konec tedna.

Ampak pustimo to. Že dejstvo, da jim je vrag vzel trgovanje, maile, shared file sisteme, kaže na to, da stvari niso imeli poštimanih. Restore je sicer vezan na hitrot diska/traka, je pa res, da če je treba obnoviti recimo 30+ postaj - ampak to pomeni, da so hekerji nekako prišli do AD admin gesla - to se restavrira recimo 4 ure ena postaja. To je odvisno, kakšo mrežo imajo, če imajo.

feryz ::

Glede na to, kar se jim je zgodilo, je malo naivno pričakovati, da so backupi neokuženi.
Verjetno se tega zavedajo tudi tisti, ki hočejo denar od njih.

bbbbbb2015 ::

feryz je izjavil:

Glede na to, kar se jim je zgodilo, je malo naivno pričakovati, da so backupi neokuženi.
Verjetno se tega zavedajo tudi tisti, ki hočejo denar od njih.


In to in ugotoviti, kako so sploh prišli noter. In če restavrirajo sistem in ne ugotovijo, kako so prišli noter, se jim to lahko ponovi. Najbolje bi bilo varnostne kopije pregledati, samo to gre na račun downtime-a. Ni pa za pričakovati, da bo informatik, ki je kliknil na priponko Sexy.jpg.exe to tudi priznal. Tajil bo do zadnjega. Pravzaprav, ko gre kaj hudo narobe, vsi tajijo. Takrat je najbolje imeti loge, da rekonstruiraš, kaj se je zgodilo.

Saj pravim, zajeb fenomenalen.

bajsibajsi ::

bbbbbb2015 je izjavil:

bajsibajsi je izjavil:

raceboy je izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.


Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.


Brez zamere, ampak tebi se ne sanja, kako delujejo delujejo veliki sistemi pri nas in v tujini. Ko sem še jaz delal za veliko firmo, je bilo na cca 12 poslovnih enotah backup strežnik, na vsaki enoti svoj, bacup vsega je bil narejen. Bare-metal image od delovnih postaj je bil narejen na vsakih 6 mesecev, inkrementalni backupi sistemskga dela vsak mesec, uporabniških podatkov vsako uro. Vse na DLT trakove in diske.
Na centrali je bila, verjetno je še, robotska knjižnica, ranga 30 kvadratih metrov, po spominu, z naloženimi decki DLT trakov. Delal se je restore day-1 vsak dan.
To je bilo pri nas, sigurno tam okrog leta 2002.

Kjer delam zdaj, imajo etažo s trakovi in diski, za več staging backup. Računski center je v Luxemburgu.

Sploh ne razumem, kako se je to lolekom lahko zgodilo. Mi smo že leta 2002 imeli IPS (Intrsion Prevention System), takrat si rabil eno posebno kartico, "kalkulator", da si se z OTP prijavil na sistem kot admin. Že samo da se je uporabnik prijavil na delovno postajo ob čudnem času, je bil alarm.

Jaz ne vem no. Saj razumem, da se vse živo zgodi, samo to meji na malomarnost.


Zelo se mi sanja, pa zategadelj ne bom razlagal, kako smo to delali v 90-tih v Mariboru in podobne storije.
Saj te je zanimivo brati, tudi v drugih temah, je pa smesno, kako je pri tebi vedno vse v superlativih. Daj postavi se na realna tla, ce veliko podjetje pokasira ransomware, ima veliko sranje - pa kakorkoli zelis obrniti.

Tudi ce imas 100% backup vsega, kar se procesira v velikem podjetju, pa nimas, je cela stala vse obnoviti nazaj oz. lahko na to kar pozabis.
Sam pravtako delam v IT-ju za podjetje, ki je precej vecje od HSE, se dela backup na trak na vec 100km oddaljeni lokaciji, pa zato ne bom meril s tabo dolzine oneta. Ampak ok, ce ti pravis, da je simple, pa ze mora biti nekaj na temu. Cudno, da je toliko podjetij po svetu (tudi pri nas Revoz) raje (tajno) placalo odklep, kot pa delalo restore.

DamijanD ::

Tukaj je dosti velik problem še firmware. Tudi, če vse lepo obnoviš iz backupov, kako si lahko siguren, da nimaš problema v FW od mrežne ali diska...

c3p0 ::

Plačat bi morala bit zadnja možna opcija, če sploh, ker:

- delaš s kriminalci
- lahko kriminalcu zaupaš, da boš sploh kaj dobil?
- kako veš, da ni okužil še kakega firmwareja, backdoora
- vedno lahko ponovi vajo, postaneš bankomat

Je pa res da, ko se zgodi, je štala že tu. Sanirat, zunanji postmortem report, analiza stanja in po potrebi menjat IT team.

denabiker ::

Sem slišal, da so bili "noter že lep čas" nekaj mesecev? Nisem pa vedel, da imajo požarne zide z umetno inteligenco v HSE. Se tudi sliši, da se nekaj čisti od mutnih poslov.

bleem ::

Sedaj sem sel gledat ta delovna mesta in plačilni razred. Potem sem pogledal vse plačilne razrede in se vprašal, kaj te to je? 41 plačilni razred??? Pa menda imajo v Lidlu boljše plače.

bajsibajsi je izjavil:

c3p0 je izjavil:

PacificBlue je izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...


Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.


Zunanja podjetja bodo se naprej dobivala zajetna narocila/pogodbe.

Medtem bo JS se naprej zaposloval IT kader za placo dobrega jurja.
Zgolj dva primera:
https://www.gov.si/zbirke/delovna-mesta...
https://www.ess.gov.si/iskalci-zaposlit...

Matko ::

euprava tudi ne dela v celoti

https://e-uprava.gov.si/si/moja-euprava...
prazno :(

feryz ::

Kaj bluziš? Normalno dela.
Sem šel preverit stanje pik. Vsak čas mi jih bo zmanjkalo. Moram obnoviti zalogo.

darkolord ::

bbbbbb2015 je izjavil:

Backup je varovanje podatkov pred namerno in nenamerno izgubo, vključno z izsiljevalskimi virusi. Razlika je morda samo ta, da je potrebno arhitekturo IT sistema zelo priviti, da četudi kdo poklika napačno priponko ali kaj takega, da ne gre vse vsem v maloro. Zaradi izsiljevalskih virusov so morda delta (inkrementalne) kopije pogostejše, dnevne ali na pol dneva. Nekoč je bilo dovolj konec tedna.
Ta "samo" igra sedaj ključno vlogo. Vse to, koliko m2 zasedajo backupi, na koliko lokacijah so, kolikokrat dnevno se delajo, koliko kilometrov so oddaljeni in koliko metrov pod zemljo ipd, v primeru izsiljevalskih virusov ne igra skoraj nobene vloge, če IT ni dovolj "privit".

tony1 ::

DamijanD je izjavil:

Tukaj je dosti velik problem še firmware. Tudi, če vse lepo obnoviš iz backupov, kako si lahko siguren, da nimaš problema v FW od mrežne ali diska...


Društvo teoretičara, pomirite se. To je persen.

c3p0 je izjavil:

Plačat bi morala bit zadnja možna opcija, če sploh, ker:

- delaš s kriminalci
- lahko kriminalcu zaupaš, da boš sploh kaj dobil?
- kako veš, da ni okužil še kakega firmwareja, backdoora
- vedno lahko ponovi vajo, postaneš bankomat

Je pa res da, ko se zgodi, je štala že tu. Sanirat, zunanji postmortem report, analiza stanja in po potrebi menjat IT team.


Ti si ziher vse FRPje preigral z lawful good characterjem, kajne?

Pol stvari, ki si jih naštel seveda drži, ampak treba je razumeti, da je lopovom tukaj cilj dobiček, ne da te tako zatolčejo v poden, da ne bi mogel plačati. Že dolgo nudijo tudi tehnično podporo za orodje za dekripcijo, če ne gre drugače tudi po telefonu.

Kriminalci niso samo tisti s kapuco čez glavo, eni nosijo tudi kravate, kar poglej tistega direktorja HSe, ki je pridelal pol mrd EUR minusa, ko je vnaprej prodal fiksne kapacitete HE, ker ni vedel, da imamo poleti lahko sušo, potem pa je prodano moral kupovati na trgu :)) Toliko nas hekerji ne bodo koštali v 100 letih... ;((

Običajno se po post mortem pregledu pokaže, da je šlo hudo narobe na vsaj 10 koncih, in da je pravi čudež, da te pi*darija ni počakala že pred desetimi leti...

c3p0 ::

Old school backup ni toliko "defenziven", ker niso delali na tem, da ga bi kdo hotel namerno onesposobit. Čeprav se spomnim, da smo že 20 let nazaj delali network kable, ki so bili sposobni le prejemat podatke in ne oddajat, čisto fizična enosmernost. Pri Gbit+ mrežah to seveda ne gre več, so pa druge rešitve.
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemčija zaprla še zadnje jedrske elektrarne (strani: 1 2 3 4 )

Oddelek: Novice / Znanost in tehnologija
18216344 (10000) feryz
»

Nekaj čudnega se dogaja: Zlogalasni TEŠ6 in premogovnik velenje na robu bankrota, gov (strani: 1 2 3 4 )

Oddelek: Loža
15128407 (23566) kotanyi
»

Cloud gostovanje e-pošte (strani: 1 2 )

Oddelek: Omrežja in internet
6013132 (11970) c3p0
»

EDF obsojen zaradi vdora v Greenpeaceove računalnike (strani: 1 2 )

Oddelek: Novice / Varnost
5021244 (19684) jest10
»

Udarimo kartel po denarnici

Oddelek: Loža
244367 (3515) Ziga Dolhar

Več podobnih tem