Slo-Tech - Tri tedne po hekerskem napadu na informacijski sistem mariborske univerze se razmere počasi normalizirajo. Ta teden so ponovno usposobili elektronsko pošto, potem ko so dva tedna poslovali papirno in prek drugih poštnih predalov. Prav tako spet delujejo spletne strani univerze in vseh fakultet, zaposleni in študentje pa imajo dostop do Microsoftovih storitev v oblaku in elektronskih učilnic. Obnova sistema še ni dokončana, dela potekajo še v zalednih sistemih, pojavljajo se tudi še posamezne težave, kot je denimo ogrevanje v veliki predavalnici na rektoratu.
Spomnimo, da je bil napad temeljit in je popolnoma onesposobil celoten informacijski sistem. V dneh po napadu niso bile dostopne spletne strani, elektronska pošta, nobene Microsoftove storitve (365, vključno s Teams in OneDrive), internetna povezljivost in prijava v centralne informacijske sisteme (finančni, kadrovski in študentski informacijski (AIPS)). Pojavile so se tudi informacije, da so prizadete tudi varnostne kopije in da bo obnova morala potekati po kosih.
Napadalci, ki so bili po neuradnih podatkih povezani z rusko skupino Babuk in istoimenskim virusom, ki zašifrira vse dostopne podatke, niso zahtevali odkupnine, trdijo na Univerzi. Rektor univerze je v pismu zaposlenim zapisal: "Natančnega vektorja napada kljub podrobni forenzični analizi neodvisnih forenzičnih strokovnjakov v tem trenutku še ni mogoče določiti, pri čemer pa je znan najverjetnejši prvi napadeni strežnik, na katerem je napadalec pustil tudi sporočilo o komunikacijskem kanalu, preko katerega ga lahko kontaktiramo." Univerza ga ni kontaktirala. Rektor tudi zagotavlja, da so imeli "ustrezno in po pravilih urejen sistem varovanja naše informacijsko-komunikacijske infrastrukture in sistem varovanih kopij podatkov".
Dajte vsaj novice pisati bolj detajlneje od informacij, ki pridejo iz UM. Elektronska pošta sicer deluje, vendar so predali prazni. Torej starih sporočil ni. To dejstvo mislim da je vseeno precej pomembno.
Dajte vsaj novice pisati bolj detajlneje od informacij, ki pridejo iz UM. Elektronska pošta sicer deluje, vendar so predali prazni. Torej starih sporočil ni. To dejstvo mislim da je vseeno precej pomembno.
Še vedno ni indeksa (aips.um.si je nedosegljiv). Bodo vsi študentje višjih letnikov imeli priznane vse izpite za nazaj z oceno 10, oziroma, kako mislijo rešiti ta najbolj kritičen zaplet?
"pojavljajo se tudi še posamezne težave, kot je denimo ogrevanje v veliki predavalnici na rektoratu."
Zabavne reči :-). Slabo desetletje nazaj sem se npr. na dolgo in široko moral prepirati z eno drugo državno ustanovo (mnogo bolj kritično kot je ena univerza), da je slabo imeti UPSe povezane v oblak proizvajalca. Niso me poslušali. Čez nekaj let so kupili neko hudo diskovno polje, "ki sploh ne more delovati brez vendorjevega clouda, ta ves čas spremlja, če bo kakšen disk odpovedal!". Torej, zakaj niso nečesa kot je ogrevanje bajte dali v ločen VLAN?
"Univerza ga ni kontaktirala."
Kaj pa vem, koliko jim gre verjeti. Če jih ne kontaktiraš, te ponavadi čez nekaj dni pokličejo kar sami. No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).
Skratka, vsa zadeva bi morala biti učna ura o poglavju pravljice z naslovom: "Tehničnemu dolgu se ne da ubežati. Ko misliš, da si mu ušel, te nekaj spotakne, ta pa te dohiti."
V treh tednih so podelali 15 let tehničnega dolga (vse *zelo* na hitro, in, kdo ve kako kakovostno, filozofsko rečeno lahko domnevamo, da se ga je zdaj nabralo še več kot pred icidentom): Technical debt posits that an expedient design essentially reduces expense in the present, but causes extra expense in the future.
Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.
Modri ljudje so to razumeli. Prvič sem takega človeka srečal v eni SLO ustanovi 10 let nazaj. In so začeli sprejemati odločitve, ki so to modrost upoštevale. Prehod vseh sistemov na IP protokol kot nekaj normalnega so ustavili. Ne morem povedati, kje je to bilo, lahko pa zagotovim, da... ni bilo v akademiji.
To implicira, da je bilo okolje varnostno neobičajno slabo narejeno... In pove tudi, da ena univerza ne komunicira z drugo, saj se je druga že pred 15imi leti zgrda naučila, kako narediti hardening omrežja IP telefonije. So bili v cajtengih, pa prve univerze to očitno ni zanimalo.
Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.
Ne spomni na prvo leto faksa v novi stavbi, ko je sredi zime en teden v velikih predavalnicah delal hladilni sistem namesto ogrevalnega. Brez hekerskega napada
No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).
A na rektoratu imajo svojo telefonijo? Ker vsaj po fakultetah je Telemach še se prav spomnim.
To pa je res depresivno: "Rektor tudi zagotavlja, da so imeli "ustrezno in po pravilih urejen sistem varovanja naše informacijsko-komunikacijske infrastrukture in sistem varovanih kopij podatkov"." Se nekako ponuja vprašanje ali ima tudi on kakšne ugodnosti od poslovanja informatike na UNI MB...
No, tukaj jih je sicer za dober teden pustila na cedilu čuvena IP telefonija, ki jo je postavil zun. izvajalec (Iskratel, kakorkoli se že danes imenuje :-D).
A na rektoratu imajo svojo telefonijo? Ker vsaj po fakultetah je Telemach še se prav spomnim.
Tlele je opisana zgodba o prehodu na IP telefonijo na rektoratu UM izpred 15ih let, lahko se je sicer tudi kaj spremenilo vmes: https://uni-mb.org/
Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.
Niti ni potreben korak nazaj. Samo treba je planirati, da ima vsak "mission critical" sistem na voljo tudi popoln "manual override".
Drži. Pomembno je poudariti "popoln". Če imaš samo možnost ročnega vklopa ogrevanja za celo stavbo, bo tiste v kleti in v podstrešju pač nekaj časa malo bolj "kuhalo". Zaplete pa se npr. z upravljanjem ventilov v samih ceveh, ki so danes popularni in pol bajte bi lahko vmes bilo še vedno skoraj neogrevane...
Ko zaradi hekerskega napada preneha delati ogrevanje določenih prostorov, smo prišli predaleč. Treba bo storiti korak nazaj.
Za ogrevanje, ki je povezano v centralni rač. sistem, lahko uporabimo nov izraz: Heating of Things ali HoT.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Glede na to, da je to javna ustanova, imajo javna sredstva in določene smernice, me čudi "varnostni sistem" univerze. Osnovni problem je, da so vse zakomplicirali.
Za zanesljiv in robusten varnostni sistem potrebuješ 4 glavne komponente:
Veeam Backup & Replication (plačljivo) ali Bacula (brezplačna alternativa) za izdelovanje varnostnih kopij
magnetni trakovi(tape drive) za zapis varnostnih kopij (npr.: IBM 3592 JE, 20 TB prostora, življenjska doba 10 let), potrebuje se vsaj 1 medij na varnostno kopijo
trakovna knjižnica(tape library), katera skrbi za pisanje na magnetne trake in jih po končani operaciji fizično odstrani, tako tudi v primeru napada, na odstranjene medije na daljavo ni mogoče dostopati
varno mesto za odlaganje teh varnostnih kopij, katero ima zaščito pred nepooblaščenim dostopom in naravnimi katastrofami (npr.: poplave, požar, ...)
Varnostne kopije (bare metal backup) naj bi se hranile ena za vsak dan preteklega tedna, ena za vsak teden zadnjih par mesecev, ena za vsako polletje zadnjih par let, ...
Kar smešno je, da si je taka fakulteta to privoščila. Backupi so očitno še zmeraj hranjeni lokalno v njihovem omrežju. Glede na to, da so šole povezane preko ARNESA bi lahko ta najbolj pomembne varnostne kopije hranili tudi na ARNES Shrambi.
Vsekakor je idealno, da je backup na 3 lokacijah in to izvajam tudi sam. 1. Zunanji SSD disk 2. Synology 3. ARNES Shramba
Problem bo pa vsekakor ocene. Mogoče ne za tiste, ki so sedaj na fakulteti kot pa za katerega, ki bi mogoče kasneje rad zaključil študij. Teh ocen ni več in kako bodo to reševali bo še zanimivo.
Ko imaš ogromne količine podatkov, si bolj omejen. Vsekakor pa ni izgovora, da ni bilo nekega rednega tape backupa in offsite offline shrambe. Že za primer npr. požara, je dobro furat tak sistem.
Pa seveda imet disaster recovery scenarije, ki jih dejansko tudi redno testiraš. Ker so očitno vpleteni dovolj visoko rankirani, bo vse skupaj šlo pod preprogo. Že GDPR je očitno sam sebi namen.
Ko imaš ogromne količine podatkov, si bolj omejen. Vsekakor pa ni izgovora, da ni bilo nekega rednega tape backupa in offsite offline shrambe. Že za primer npr. požara, je dobro furat tak sistem.
Pa seveda imet disaster recovery scenarije, ki jih dejansko tudi redno testiraš. Ker so očitno vpleteni dovolj visoko rankirani, bo vse skupaj šlo pod preprogo. Že GDPR je očitno sam sebi namen.
Pa sej offsite backup ti je dovolj če imaš 1ga na teden in shranjuješ 2-3 backupe gor. Torej 3 mesečne backupe. Na Arnesu imam 10TB prostora na organizacijo + 10 TB za podružnice. Od tega je večina backup računovodstva, tajništva, referata in predvsem VŠ Evidence.
Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo. Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.
To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.
A, potem imaš kar dosti prostora pri Arnesu, sem mislil da tu gre za par 10 GB :)
Arnes v osnovni ponudi 1TB. Če potrebuješ več ti z prošnjo povečajo na 10TB. Tako, da več kot dovolj :) Potem pa itak če imaš podružnice dobi vsaka 1TB in seveda za vsako lahko zaprosiš več če b bilo premalo.
Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo. Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.
To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.
MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Menda so bili maili na lokalnem strežniku brez backupa oz. je ta bil izgubljen. Kar pomeni, da jih sploh ni bilo od kje vzeti pri obnovitvi ampak so se samo kreirali novi email naslovi pri MS.
MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Menda so bili maili na lokalnem strežniku brez backupa oz. je ta bil izgubljen. Kar pomeni, da jih sploh ni bilo od kje vzeti pri obnovitvi ampak so se samo kreirali novi email naslovi pri MS.
Sicer pa disaster so na Univerzi so potem tudi še dodatno sami zakuhali. Vsi maili so šli v reset, ker bi morali najprej odstranit stare UUIDje na Microsoft 365 in potem ko bi bili vsi računi BREZ UUIDja bi sinhronizirali nazaj uporabnike. Azure AD connect bi poiskal če je v Microsoft 365 direktoriju že uporabnik z istimi podatki in bi ga povezal nazaj skupaj. Sem že dal to skozi in je delovalo. Ker pa so oni sinhronizirali uporabnike nazaj na Microsoft 365 brez odstranjevanje UUIDjev je 365 zaznal, da stari uporabnik ni več na serverju ga je izbrisalo in narejen na novo.
To je bilo res zelo amatersko izpeljano. Rabili so samo en ukaz preko powershella poslat na M365 pa bi vse ohranili. Ampak zdaj kar je je.
MS je imel kopije mailov, pa jih je nepovratno zbrisal?
Ni MS izbrisal ampak napako so naredili pri sinhronizaciji, ki je povzročilo izbris. Sem že to naredil in vem kako deluje. M365 je kar zakomplicirana zadeva in moreš res vedet na čemu si. In ja maili so se nepovratno izbrisali tudi če so v cloudu.
To sem jaz naredil za poskus in se je to zgodilo. Sicer sem to z dijaki preizkušal, da smo dejansko to ugotovili.
. 
-