Slo-Tech - Včeraj zvečer so neznani storilci napadli Univerzo v Mariboru, kjer je trenutno dostop do vseh informacijskih storitev onemogočen. Z Univerze v Mariboru so potrdili, da se je napad začel včeraj po 20. uri in da trenutno potekajo ukrepi za ponovno vzpostavitev sistema in zagotovitev kontinuitete delovnega in pedagoškega procesa. Po neuradnih podatkih je bil od jutra onemogočen dostop do informacijskih storitev za študente in zaposlene.
To vključuje internetno povezljivost in Eduroam, storitve za zaposlene, študentske storitve e-študija, prijave v domeno in digitalne identitete UM, vse Microsoftove storitve (365, vključno s Teams in OneDrive), vso elektronsko pošto in druge prijave. Zunanje storitve so dostopne, dokler je aktivna veljavna seja (Teams, Microsoft365).
Vse zaposlene in študente so pozvali, naj zamenjajo gesla tudi za druge storitve, če so uporabljali enako geslo kot za univerzitetne storitve. To kaže, da obstoji možnost, da so bila odtujena tudi gesla, verjetno sicer v neberljivi zgoščeni obliki (salted hashed). Po neuradnih podatkih so na univerzi žrtve izsiljevalskega programa, ki je zašifriral vse datoteke, vključno z varnostnimi kopijami. Zlikovci zahtevajo plačilo odkupnine v bitcoinih. Trenutno je nedostopna tudi spletna stran univerze.
Pred dobrimi 20, 25imi leti so delovali zelo kompetentno. Pred 20imi leti so nam na KR Sorboni recimo pokazali M0n0wall, ampak to so bili časi, ko je bil "računski center" v KR boljši od MBjevega... Vmes so recimo nekdaj ključnega človeka (v žepu je imel bronasto plaketo UM) v KR tudi fuknili na cesto (detektiv mu je vročil odpoved doma med bolniško), ker ni bil po volji novi oblasti univerzitetnih mandarinov...
Še kdo pomni čuveni razpis UM za vzdrževanje mreže, ki je bil sestavljen iz seznama opreme (Cisco P/Njev), ki ga imajo in ničesar drugega, kakšnih 7 let tega?
Je pa zelo problematično (in kaže, da so vmes ali zaspali, ali pa ostali brez kadra), da: -so jim zakriptirali vse sisteme po vrsti, kar kaže na manko segmentacije omrežja -so jim zakriptirali bekape, kar kaže, da jih je postavil nekdo, ki ne pozna nobenih osnov omrežne varnosti. Ubogi bedaki.
Kriptolockerje bi vsak admin moral srečati že 10 let nazaj in če se v tem času ni ničesar naučil o mitigaciji, imamo... kar pač zdaj imamo.
Baje ima feri en program o it security. Bodo študentje tam lahko dobili izkušnje iz prve roke. Če jih bodo spustili k situaciji, seveda ;) Iz takega dogodka se da ogromno naučiti ... Ubistvu bo najbolj zanimiv del zgodbe to, kako se bodo obnašali po vzpostavitvi nazaj v funkcionalno stanje.
Neuradno: poleg DDoS-a so dobili tudi kriptolockerja. Ponavadi nič kaj resen scenarij, če zgledno skrbiš za offline varnostne kopije.
Neuradno pa smo izvedeli, da so hekerji uspeli zakleniti vse podatke, tudi varnostne kopije. Od univerze sedaj v zameno za ključ, ki bo odklenil podatke, pričakujejo odkupnino v bitcoinih. V nasprotnem primeru naj bi grozili z javno objavo vseh podatkov. Univerza pa do originalnih podatkov ne bo imela več dostopa. In zakaj je to lahko problematično?
Čeprav bodo podatki javno objavljeni (verjetno na temni strani spleta), kdo bo jamčil za njihovo verodostojnost? Kako bo univerza npr. ugovarjala trditvam posameznikov, da so obiskovali predavanja in da so diplomirali na določeni fakulteti univerze? Kako bodo zavrgli trditve posameznikov, da so študentje in da so opravili določene študijske obveznosti? Ali pa le poizkusom pravih študentov, da si "naknadno" zvišajo ocene?
Določene trditve bodo zagotovo lahko zavrgli s fizičnimi dokumenti, vendar bo to dolgotrajen in mukotrpen proces za vse vpletene. Kako se bo situacija odvila in ali bo univerza res plačala odkupnino, bo najverjetneje jasno kmalu. https://siol.net/novice/slovenija/marib...
3 Copies of Data - Maintain three copies of data--the original, and at least two copies. 2 Different Media - Use two different media types for storage. ... 1 Copy Offsite - Keep one copy offsite to prevent the possibility of data loss due to a site-specific failure.
Ta novica je odlično izhodišče, da se začnejo oglašati keyboard warriorji in celemu svetu povedo, kako bi v teoriji morali biti backupi, medtem ko je njihov backup menda en 10 let star 2tb HDD, ki ga majo na mizi zraven pepelnika
Moje mnenje je, da raje počakajmo polno poročilo, preden pišemo glupe komentarje.
S hekersko golaznijo bi morali obračunati enako kot s teroristi. Po potrebi s kakšnim Reaper dronom ali Seal Team 6. Brez obzira na lokacijo.
To se bere, kot da dejansko misliš, da so neki tipsoni načrtno "napadli" uni-mb. Ta ransomeware je povsod in je robotiziran in predvsem, ne rabi biti usmerjen na nobeno tarčo. Ljudje so naivni in odpirajo vso pošto ali pa vtikajo USB ključke, ki jih najdejo na parkirišču.
Ustvarjalci ransomeware-a se ne ubadajo kdo bo tarča, če se dovolj razširi, bo tudi dovolj strank plačalo odklep.
Object reference not set to an instance of an object.
Neuradno pa smo izvedeli, da so hekerji uspeli zakleniti vse podatke, tudi varnostne kopije. Od univerze sedaj v zameno za ključ, ki bo odklenil podatke, pričakujejo odkupnino v bitcoinih. V nasprotnem primeru naj bi grozili z javno objavo vseh podatkov. Univerza pa do originalnih podatkov ne bo imela več dostopa. In zakaj je to lahko problematično?
Aleluja. Univerza ne sme in njeni imela problemov z kadrom. ne z opremo. Cisco je itak švicrski sir, ampak vsaj z redno administracijo zadeva nekako Laufa. Očitno je cel sistem zapuščen.
Saj... Kar pride malo bolj izkušenega kadra na razgovor, se velikokrat le nasmehne in odide, ko slišijo za plačo. Več pa ne morejo dat, ker ... plačni razredi, pa sistemizacija dela, pa...
Ali mislite da je kriptirano vse, se pravi tudi to kar so imeli npr. v Onedrivu, maili v outlooku. A nima že microsoft kakšne blokade na takšno kriptiranje?
Ali mislite da je kriptirano vse, se pravi tudi to kar so imeli npr. v Onedrivu, maili v outlooku. A nima že microsoft kakšne blokade na takšno kriptiranje?
V Onedrivu ponavadi nimaš backupa virtualk. Tisto je še najmanj kritično, kaj imajo posamezniki shranjeno.
je kdo na tekočem kako je z odškodninskimi zahtevki v takih primerih? recimo, da imamo družinskega člana, čigar podatki bodo zaradi UM krožili po raznih underground forumih, dogajale se bodo potencialne kraje identitete, ipd. se je kdo že spravil pravdat v podobni situaciji?
prepričan sem namreč, da bodo odkrili malomarnost pri vzdrževanju informacijskega sistema. kadrovska podhranjenost, slabe plače, toksično okolje. zato naj odgovarjajo.
S hekersko golaznijo bi morali obračunati enako kot s teroristi. Po potrebi s kakšnim Reaper dronom ali Seal Team 6. Brez obzira na lokacijo.
To se bere, kot da dejansko misliš, da so neki tipsoni načrtno "napadli" uni-mb. Ta ransomeware je povsod in je robotiziran in predvsem, ne rabi biti usmerjen na nobeno tarčo. Ljudje so naivni in odpirajo vso pošto ali pa vtikajo USB ključke, ki jih najdejo na parkirišču.
Ustvarjalci ransomeware-a se ne ubadajo kdo bo tarča, če se dovolj razširi, bo tudi dovolj strank plačalo odklep.
Oba pristopa sta možna. Sploh, če so jim zaklenili vse backupe, gotovo ne gre za neko tetko iz računovodstva.
S hekersko golaznijo bi morali obračunati enako kot s teroristi. Po potrebi s kakšnim Reaper dronom ali Seal Team 6. Brez obzira na lokacijo.
To se bere, kot da dejansko misliš, da so neki tipsoni načrtno "napadli" uni-mb. Ta ransomeware je povsod in je robotiziran in predvsem, ne rabi biti usmerjen na nobeno tarčo. Ljudje so naivni in odpirajo vso pošto ali pa vtikajo USB ključke, ki jih najdejo na parkirišču.
Ustvarjalci ransomeware-a se ne ubadajo kdo bo tarča, če se dovolj razširi, bo tudi dovolj strank plačalo odklep.
Ustvarjalci ransomwarea bi morali dobiti garantirano plačilo enako kot teroristi.
Samo kako so jim lahko zaklenil backupe - a jih imajo na kakšnih windows strežnikih , so backupi dostopni preko SMB ? So jim shekali backup SW ?
Če je backup nastavljen tako da se server skonekta na backup, torej push, so shekali server pa prišli do backup sistema. Če backup sistem pokliče in pulla ne bi smelo biti nič če niso kvarili samih backupov. Skratka kar nekaj če-jev.
je kdo na tekočem kako je z odškodninskimi zahtevki v takih primerih? recimo, da imamo družinskega člana, čigar podatki bodo zaradi UM krožili po raznih underground forumih, dogajale se bodo potencialne kraje identitete, ipd. se je kdo že spravil pravdat v podobni situaciji? Prepričan sem namreč, da bodo odkrili malomarnost pri vzdrževanju informacijskega sistema. kadrovska podhranjenost, slabe plače, toksično okolje. zato naj odgovarjajo.
Če misliš, da je to samo ena univerza... si lahko srečen. Ko vidiš ostalo Ju in mistrstva... te prime, da bi se zjokal, tako hudo slabo je to vzdrževano.
je kdo na tekočem kako je z odškodninskimi zahtevki v takih primerih? recimo, da imamo družinskega člana, čigar podatki bodo zaradi UM krožili po raznih underground forumih, dogajale se bodo potencialne kraje identitete, ipd. se je kdo že spravil pravdat v podobni situaciji? Prepričan sem namreč, da bodo odkrili malomarnost pri vzdrževanju informacijskega sistema. kadrovska podhranjenost, slabe plače, toksično okolje. zato naj odgovarjajo.
Če misliš, da je to samo ena univerza... si lahko srečen. Ko vidiš ostalo Ju in mistrstva... te prime, da bi se zjokal, tako hudo slabo je to vzdrževano.
Samo kako so jim lahko zaklenil backupe - a jih imajo na kakšnih windows strežnikih , so backupi dostopni preko SMB ? So jim shekali backup SW ?
Raje se prvo vprašajmo, ALI SO JIH SPLOH IMELI?!?!?!
vem da je situacija obupna. ampak tega seveda ne bomo tolerirali, a ne? zato me zanimajo mehanizmi, ko od takih organizacij lahko zahtevamo finančno odgovornost za to, da se podatki sedaj valjajo po torrent leakih. ne pa da se zdaj vsi lahko zgovarjajo v stilu "nič ni 100% varno" in s tem upravičujejo tudi neznanje, kadrovsko podhranjenost, hudo malomarnost pri vzdrževanju ali konfiguraciji sistemov, ipd.
Če kdo rabi doktorat mariborske fakultete ga lahko kupi na temnem spletu? Po moje bomo kmalu država z največ doktorji na svetu.
Ti se zajebavaš, ampak mi smo to že zdaj... Ali pa smu drugi na svetu, takoj za Švico... (Kupujemo socialni mir, nekoč si šel po faksu še vzporedno študirat/delat še enega, da si vlekel status, pa so to močno otežili, in zdaj greš pač na doktorski študij...)
Samo kako so jim lahko zaklenil backupe - a jih imajo na kakšnih windows strežnikih , so backupi dostopni preko SMB ? So jim shekali backup SW ?
Če je backup nastavljen tako da se server skonekta na backup, torej push, so shekali server pa prišli do backup sistema. Če backup sistem pokliče in pulla ne bi smelo biti nič če niso kvarili samih backupov. Skratka kar nekaj če-jev.
Tako je. Tukaj je to delal nekdo, ki ni sekjuritaš in je dal komando: odpri mi port, kar v obe smeri, da bo ziher delalo. In če se je vmešal kak sekjuritaš, je dobil nazaj od serveraša: "Hja, jst nisem policaj tukaj!" (Citiram takšnega akademičnega mandeljca!)
Tukaj je osnovni problem, da so zagotovo pridobili domenski AD account, od tam je pa itak konec igre. Hardening MS ADja je tako soliden izziv (kadra, ki bi to res znal je pa malo in spet ga je treba plačati), da bi lahko počasi že začeli razmišljati, kako se raje iti kaj drugega...
Še ena tipična zgodba pri takih vdorih je tudi, da niso imeli popatchanega VMwara in so jim ga zakriptirali na nivoju ESX-a...
Skratka: okolje je preveliko, da bi ga lahko potihem na pol nazaj postavili v tednu dni, in nato delali hardening še 2 meseca - plačali bojo.
je kdo na tekočem kako je z odškodninskimi zahtevki v takih primerih? recimo, da imamo družinskega člana, čigar podatki bodo zaradi UM krožili po raznih underground forumih, dogajale se bodo potencialne kraje identitete, ipd. se je kdo že spravil pravdat v podobni situaciji? Prepričan sem namreč, da bodo odkrili malomarnost pri vzdrževanju informacijskega sistema. kadrovska podhranjenost, slabe plače, toksično okolje. zato naj odgovarjajo.
Če misliš, da je to samo ena univerza... si lahko srečen. Ko vidiš ostalo Ju in mistrstva... te prime, da bi se zjokal, tako hudo slabo je to vzdrževano.
Samo kako so jim lahko zaklenil backupe - a jih imajo na kakšnih windows strežnikih , so backupi dostopni preko SMB ? So jim shekali backup SW ?
Raje se prvo vprašajmo, ALI SO JIH SPLOH IMELI?!?!?!
vem da je situacija obupna. ampak tega seveda ne bomo tolerirali, a ne? zato me zanimajo mehanizmi, ko od takih organizacij lahko zahtevamo finančno odgovornost za to, da se podatki sedaj valjajo po torrent leakih. ne pa da se zdaj vsi lahko zgovarjajo v stilu "nič ni 100% varno" in s tem upravičujejo tudi neznanje, kadrovsko podhranjenost, hudo malomarnost pri vzdrževanju ali konfiguraciji sistemov, ipd.
Kolega pozna osebo, ki je (sicer na delovnem sodišču) tožila fakulteto. Citiram sodnico: "Kdo pa mislite, da ste, da lahko tožite Univerzo?"
haha zdaj šele vidim zakaj druga tema "Kibernetska varnost v drzavnih institucijah".
Mene samo zanima ali so dejansko prišli notr v sistem preko "luknje" oziroma online ali je to spet nekdo od zaposlenih privlekel not kot sem napisal za LTH v zgornji temi?
Prišli so od zunaj, običajno s phishingom, ki ga je težko preprečiti, ker userji/luserji itak ne vedo kaj klikajo.
Napad bi preprečila segmentacija omrežja / odvzem lokalnih admin pravic vsem userjem / EDR/XDR rešitev na vseh serverjih in delovnih postajah / zgleden hardening ADja... Če bi imeli vsaj bekap, magari na traku, bi restore trajal celo večnost, ampak bi se pa 100x lažje dihalo... Pa zagotovo niso imeli nič od tega porihtanega.
Kot nekdanji zaposleni na RCUM lahko samo rečem da je že pred 10 leti bilo stanje obupno, sedaj je pa še verjetno hujše!
Pomanjkanje kadra, najemanje zunanjih, slabo vodstvo in še tako naprej.
Backupi so se vedno delali, samo na lažji in ne 100% zanesljiv način. Zakaj? To bo pa že vedel vrhovni "vrač"/šef saj je pa dober kolega z rektorjem :)
Bodo pa plačali to malenkost saj denarja je zmeraj dovolj (le za plače ne)
Kot nekdanji zaposleni na RCUM lahko samo rečem da je že pred 10 leti bilo stanje obupno, sedaj je pa še verjetno hujše!
Pomanjkanje kadra, najemanje zunanjih, slabo vodstvo in še tako naprej.
Backupi so se vedno delali, samo na lažji in ne 100% zanesljiv način. Zakaj? To bo pa že vedel vrhovni "vrač"/šef saj je pa dober kolega z rektorjem :)
Bodo pa plačali to malenkost saj denarja je zmeraj dovolj (le za plače ne)
Dnevni snapshoti, za vikend full backup. Na kasete. Pol pa enkriptiraj, če lahko ;)
Pa preverjate, kaj se je zapisalo na tape? Poznam primer, ko so v targetiranem napadu v nekaj mesecih uspeli komprimirati tudi offline backupe. Ker redko kdo preverja, kaj se je zapisalo, gleda se samo da je opravilo uspešno končano.
kakšna je možnost da zraven backupiraš še malware? Sprašujem ker nevem
Pač povrneš iz en dan starejše kopije.
Je pa tudi red flag, če se inkrementalno naredi preveč sprememb. Ne vem točno kako ta kripto virus deluje in ali bi povzročil spremembe vseh zapisov v bazi ali zakriptira le datoteke na strežniku. V slednjem primeru backup sploh ne bi šel čez, ker bi se verjetno baza sesula.
Dnevni snapshoti, za vikend full backup. Na kasete. Pol pa enkriptiraj, če lahko ;)
Vderejo v sistem. Kasete so v knjižnjicah in sprožijo brisanje vseh kaset. Do jutra je vse zanič. Če imaš nastavljeno po predpisih. Če nimaš in se "hekerji" ne spoznajo na te zadeve ponavadi uničijo samo pogon in eno kaseto.
Najbolje je še vsak dan vzet kaseto ven in jo odnesti v trezor.
Ne vem pa koliko podatkov bi potreboval da bi samo 1x delal full backup. Ker ko sem se nazadnje ukvarjal z tem je backupiralo z cca 1.1TB / uro - LTO 7
Verjamem da je danes hitreje.
Kaj se pa tiče zaposlenih v javnem IT sektorju gre pa nekako takole:
v roku cca 2 mesecev jim ni uspelo priklopiti niti projektorja na računalnik. Mislim da veste da moraš samo kabel vtaknit v računalnik in te win 10 sam opozori nato samo izbereš kaj bi rad.
Ena knjižnica ima 14 kasetarjev in več tisoč kaset, ne vem točne cifre. Kar traja, da jih samo poindexiraš ;) In ja, se redno nosijo ven offline v fireproof klet.
Ena knjižnica ima 14 kasetarjev in več tisoč kaset, ne vem točne cifre. Kar traja, da jih samo poindexiraš ;) In ja, se redno nosijo ven offline v fireproof klet.
Nekaj podobnega sem videl samo še v SCT-ju. Sicer na manjši ravni.
To menda ni v Sloveniji ali ?
Načeloma se največ uporabljajo zunanji pogoni ali pa knjižnjice z 24 kasetami.
In niti ni največja, kar sem jih videl ... poglej si arhiv "mars", ki ga imajo vremenarji na ecmwf :) To je fascinantna uporaba kasetarjev in kaset ...
Je pa jeba zdaj z maloštevilnimi ponudniki tape opreme, ker zadeve optimizirajo za hyperscalerje, kar ni najbolj primerno za akademijo. Ampak ekonomija obseka špila svoje in če se bo kdo moral prilagajat, bomo to mi ...
Mah najbrž so jih že kakšno leto mirno opazovali in zbirali potrebne podatke za dokončni udarec.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).