» »

Ameriška vladna služba zaradi majhne okužbe računalnike preprosto vrgla v smeti

Ameriška vladna služba zaradi majhne okužbe računalnike preprosto vrgla v smeti

Slika je simbolična.

Slo-Tech - Pred nekaj meseci smo pisali o nemškem reševanju okužbe računalniških sistemov, ko so 170 z virusi okuženih računalnikov preprosto zalučali v smeti, ne da bi jih poskusili očistiti. Še precej bolj radikalno so se tega lotili Američani, ki so v smeti pometali za milijon dolarjev računalniške opreme, ker je bil neznaten del sistemov okužen z zlonamerno programsko opremo.

Zgodba je tako absurdna, da ji brez uradnega poročila sploh ne bi verjeli, temveč bi jo odpisali kot tipično novinarsko raco. A primer je preiskalo ameriško ministrstvo za gospodarstvo oziroma njihov revizorski oddelek. Zgodba sega v leti 2011 in 2012.

Ameriški CERT je decembra 2011 zaznal nenavadno aktivnost na omrežju ministrstva za gospodarstvo (DOC), zato je obvestil njihovo računalniško službo (DOC-CIRT). Ta je ugotovila, da težave prihajajo iz stavbe Herbert C. Hoover (HCHB), kjer imata svoje sisteme Nacionalna agencija za oceane in atmosfero (NOAA) in Direktorat za gospodarski razvoj (EDA). Oboje so obvestili o incidentu. NOAA je računalnike identificirala in počistila, tako da so januarja 2012 ponovno delovali brez težav. EDA pa se je problema lotila z jedrskim orožjem, medtem ko bi zadoščalo že kladivo.

Med DOC-CIRT in EDA je sicer nastal komunikacijski šum, ugotavlja poročilo, saj je prvotno poročilo DOC-CIRT precej precenilo obseg okužbe. V nadaljnjih poročilih so to popravili, a tega niso zapisali dovolj odločno, da bi EDA to razumela. Medtem ko je EDA verjela, da imajo okuženih 146 komponent, sta bila v resnici okužena le dva računalnika. V naslednjih pet tednih je med ustanovama švignilo še več sporočil, a EDA je verjela, da so pod ogromnim napadom, DOC-CIRT pa je pravilno verjel, da je težava majhna in bo kmalu odpravljena.

EDA je popolnoma izključila svoj poštni strežnik in zaposlene odrezala od odstopa do interneta, ker so mislili, da se lahko virus razširi še drugam. Da so lahko normalno delovali, so najeli druge strežnike, osebne računalnike in ostalo opremo. EDA je najela zunanje strokovnjake, ki so jim povedali, da je sistem očiščen. Stoodstotnih zagotovil pa jim niso mogli (ali hoteli) dati, zato je informacijski direktor (CIO) v EDA nadaljeval z izrednimi ukrepi. Prepričan je bil namreč, da gre za izjemno trdovratno specializirano okužbo (advanced persistent threat), ki jo je podtaknila sovražna država.

Storil je še dvoje: računalniška oprema je romala na masovno uničenje, pri čemer so uničevali tudi tiskalnike, miške, tipkovnice, monitorje in ostalo periferijo. Uničevanje se je končalo šele, ko je oddelku zmanjkalo denarja za plačevanje uničevanja, kakorkoli ironično se to sliši. Hkrati je CIO najel zunanjega izvajalca, ki je pripravil dolgoročno rešitev, da se tovrstna "okužba" ne bi mogla ponoviti. Stroški: 823.000 dolarjev za analizo in čiščenje sistema, 1.061.000 dolarjev za najem nadomestne opreme, 175.000 dolarjev je znašala vrednost uničene strojne opreme, 688.000 dolarjev za pripravo dolgoročne rešitve. EDA je porabila leto dni, da je ponovno vzpostavila vse računalniške sisteme, in zapravila skoraj tri milijone dolarjev zaradi dveh okuženih računalnikov s klasičnim malwarom, ki ga lahko odstrani brezplačen antivirusni program.

Revizor je predlagal ukrepe, ki bodo preprečili podobne incidente v prihodnosti, znižanje stroškov za IT, preklic uničenja še neuničene, a že odstranjene strojne opreme in seveda, da ustrezna mesta zasedejo usposobljeni ljudje.

23 komentarjev

mr1two ::

Za "ziher" bi ameri v računalnik namestili še manjše eksplozivno telo, ki bi se sprožilo ob najmanjšem znaku okužbe...
Upam, da so nesposobneže odpustili, ker če so po tem incidentu ostali na položaju..
Uporaba troblje v avtu povzroči krčenje možganov.

VaeVictis ::

še čudno da niso kar znukali stavbe, da bi ubili res vse viruse!

nekikr ::

Vsaka podobnost s Slovenijo je zgolj naključna. Samo da pri nas sploh virusov ne rabimo, da poslancem kupujemo novejše in zmogljivejše sisteme, ki jih nato le redko uporabijo, če pa že, se pa gor vrti kakšen youtube filmček ali pa 24ur.com
Nič novega torej, javni razpisi in izredne razmero so pač nujne, da prijatelji stricev in tet lahko normalno zaslužijo.

WyattEarp ::

kot sliko novice dajo pa iz odpada 15 let stare monitorje... :)
AMD Phenom II 1090T,ASUS M4A89GTD PRO/USB3,12 Gb RAM(2x4Gb,2x2Gb)-1.600Mhz,
GMC H70, Gigabyte R9 270X, Samsung 850 EVO 250GB,WD 2Tb(G),Scythe 700W, LG 23''.

Nummy ::

Glede na to, da so imeli še CRT-je se sprašujem kakšne so bile specifikacije teh računalnikov? Mogoče so bli pa že tolko predpotopni, da so jih preprost odpisal in raje kupili nove... Mislim kaj ti nuca pucat 486-ko, ker na njej itak ne moreš delati skoraj nič več pametnega razen špilat DOS igre...

BorutK-73 ::

Ameriška paranoja in neumnost ne pozna meja

Nummy je izjavil:

Glede na to, da so imeli še CRT-je se sprašujem kakšne so bile specifikacije teh računalnikov? Mogoče so bli pa že tolko predpotopni, da so jih preprost odpisal in raje kupili nove... Mislim kaj ti nuca pucat 486-ko, ker na njej itak ne moreš delati skoraj nič več pametnega razen špilat DOS igre...


Sem skoraj 100%, da je slika simbolična.

d4vid ::

Nummy je izjavil:

Glede na to, da so imeli še CRT-je se sprašujem kakšne so bile specifikacije teh računalnikov? Mogoče so bli pa že tolko predpotopni, da so jih preprost odpisal in raje kupili nove... Mislim kaj ti nuca pucat 486-ko, ker na njej itak ne moreš delati skoraj nič več pametnega razen špilat DOS igre...


In zakaj nebi mogli met močnejših mašin kot 486? Sam imam 19" CRT in precej močnejšo mašino (AMD FX8150, 8GB ram, SSD, 7870...)
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

Glugy ::

"Da so lahko normalno delovali, so najeli druge strežnike, osebne računalnike in ostalo opremo. EDA je najela zunanje strokovnjake, ki so jim povedali, da je sistem očiščen."


Do take traparije ni mogl naključno pridt. To je nenormalno da zarad 2 računalnikov tok razmetavanja z denarjem. To je korupcija. En je hotu zaslužt z najemom.

trizob ::

Taka oseba, kot je ta CIO, ni primerna za nobeno javno funkcijo na področju IT-ja. V gospodarstvu pa ga tako ali tako ne bo nihče več zaposlil.

Da je slika simbolična, tudi piše. Kdor je napol pismen, naj se raje vzdrži komentarjev.

Zgodovina sprememb…

  • predlagal izbris: clix ()

next_byte ::

sramota!

Nummy ::

d4vid je izjavil:

Nummy je izjavil:

Glede na to, da so imeli še CRT-je se sprašujem kakšne so bile specifikacije teh računalnikov? Mogoče so bli pa že tolko predpotopni, da so jih preprost odpisal in raje kupili nove... Mislim kaj ti nuca pucat 486-ko, ker na njej itak ne moreš delati skoraj nič več pametnega razen špilat DOS igre...


In zakaj nebi mogli met močnejših mašin kot 486? Sam imam 19" CRT in precej močnejšo mašino (AMD FX8150, 8GB ram, SSD, 7870...)

Sadomazohist?

XIIT ::

Pa dobro, tudi če bi šlo za " izjemno trdovratno specializirano okužbo ", ni potrebno uničevat računalnikov.
Če že kaj, formatiranje. Če to ne bi bilo dovolj, bi naj menjali trde diske pa zdrava marija.

Če bi se res tako radi rešili "stare robe", bi prodali računalnike brez diskov, diske na uničenje, amen.
Z denarjem ki bi ga dobili, bi lahko nabavili nove mašine.

Tako pa so si dejansko delali stroške z uničevanjem čisto dobrih računalnikov. Debilno.
Ampak to jim očitno ni bilo dovolj debilno. Da so stvar naredili über debilno, so zraven uničevali še vse ostalo, kar si lahko priklopil na računalnik.

 BRAVO!

BRAVO!

"Only physical beauty is the foundation for a true higher culture of
the mind and spirit as well. Only sun and steel will show you the path."
Beauty is absolutely terrifying to people because it highlights what is ugly.

fiction ::

Zdaj se sliši vse skupaj precej neumno. Ampak čez par let bi bil pa razplet lahko popolnoma drugačen: "po zaznani okužbi ponovno namestili dva strežnika, malware je ostal skrit v firmwaru mrežne kartice, odtujenih je bilo za najmanj 5 miljonov dolarjev poslovnih skrivnosti". (Direktorat za gospodarski razvoj se ne sliši tako nedolžno.)

Ukrepi morajo biti sorazmerni (porabiti več denarja za varovanje kot je vredno tisto, kar varuješ, jasno ni smiselno). V vsakem primeru pa tudi nekaj zdrave paranoje ne škoduje.

Nespametno je govoriti o "klasičnem malwaru, ki bi ga odstanil AV". PC je bil kompromitiran in reinstall je neizogiben (kaj če je bil malware samo krinka oz. način širjenja, v resnici pa je zadeva backdoorala kernel?). Tukaj ne govorimo o domačem računalniku ali pa o nekem manjšem poslovnem omrežju - če ne drugega so imeli več miljonov dolarjev (letnega?) budgeta za IT(!)

fiction ::

APT s Kitajske se je že dogajal, tako da je bil strah upravičen. Seveda je zraven še veliko FUD-a svetovalcev - navsezadnje je njihov posel temeljil na tem, da bi bil naročnik čim bolj zaskrbljen. CIO je verjetno tudi hotel posodobitev strojne ter programske opreme in je vse skupaj zgrabil z odprtimi rokami. NSA je izdala poročilo o tem, kako je omrežje nezaščiteno, CERT jih je pomotoma obvestil o velikem številu okuženih sistemov (med katerimi so bili tudi printerji)... Risk assessment done wrong.

trizob ::

Bolj kot FUD svetovalcev, nesposobnost šefa informatike v bajti (CIO).

fiction ::

[...] EDA’s management agreed with this risk assessment and EDA initially destroyed more than $170,000 [...]
Nočem zagovarjati CIO-ja - pošteno je zafrknil. Ampak še vedno bi lahko kdorkoli drug (iz uprave) rekel WTF. Sicer je pa 170k še najmanjši strošek pri vsem skupaj (mogoče se jim pač ni dalo ukvarjati s prodajo za ta "drobiž" ;), ko so se morali ubadati s tem, kako ustaviti "napadalca")

Miši, tipkovnice in monitorji so bullshit. Ampak mrežni printer pa ni več tako nedolžna reč: problem s prodajo je, da "ve" katere datoteke so bile natisnjene (torej je možen "leak"). Po drugi strani pa je gor kar precej obsežen software, tiskajo se raznorazni zanimivi dokumenti, postavljen je v jedro omrežja itd. - idealno mesto za napadalca. Če si predstavljaš, da je že kartuša skoraj dražja od nove naprave, je jasno, zakaj se neka huda forenzična preiskava ne splača. Od zunaj je pa prišel (napačen) report, da je ta naprava izvor sumljivih aktivnosti na omrežju...

trizob ::

Prodaja ni opcija, vsi ukrepi pa pretirani.

Najprej bi ugotovili, kaj jih muči in nato ukrepali (počistili) ali ob najbolj paranoičnem scenariju s kloni rešili situacijo. Dvomim, da ni bilo možno v doglednem času (nekaj 10 minutah ali največ nekaj urah) ugotoviti, kateri računalniki/terminali/strežniki so okuženi, saj so to ugotovili že tam, od koder je prišlo opozorilo. Na koncu se je celo izkazalo, da je bil/-a generični/-a virus/generična zlobna koda, kar bi zaznal in očistil že en podpovprečen omrežni protivirusnik.

Mimogrede se da v tiskalnik (vnovič) zapisati strojno programsko od proizvajalca, pred tem pa preveriti še njeno integriteto. Če bo kdo trdil, da tudi to ni varno, naj se gre soliti, saj takšnih tveganj v tej ustanovi očitno ni, ker bi sicer veljali povsem drugačni ukrepi že sicer. Pa tudi osebje s šefom na čelu bi bilo bolj podkovano.

Zgodovina sprememb…

  • spremenil: trizob ()

Blisk ::

temu se reče paranoja.... sicer pa ja lahko zganjajo paranojo, ker so sami taki, da to počnejo in vedo kaj to pomeni.
Pozabljate, da današnje okužbe računalnikov posegajo tudi v bios in firmware komponent.

Zgodovina sprememb…

  • spremenil: Blisk ()

Castiel ::

Lahko rečem le to, da so s tem američani jasno pokazali kakšne okužbe in kak način vohunjenja imajo :) Čisto enostavno :)


To, ali pa je nekdo hotel zaslužiti. Eno ali drugo. Bilokaj drugega se mi ne zdi možno.

Zgodovina sprememb…

  • spremenil: Castiel ()

_geek_ ::

If it's worth doing, it's worth overdoing or there is no kill like overkill :D

trizob ::

Blisk je izjavil:

temu se reče paranoja.... sicer pa ja lahko zganjajo paranojo, ker so sami taki, da to počnejo in vedo kaj to pomeni.
Pozabljate, da današnje okužbe računalnikov posegajo tudi v bios in firmware komponent.


Redki. Poleg tega pa ko ugotoviš, s čim si se okužil, veš tudi ali je do tega prišlo oz. če obstaja sploh tveganje za to (npr. pri kakšnem APT).

Če je, se da vnovič zapisati strojno programsko od proizvajalca na napravo.

Skratka, nič nemogočega. Čisto običajna sistemska opravila.

Blisk ::

če ugotoviš s čim si se okužil še ne pomeni, da si ugotovil, vse, saj niso tako neumni.
Poturijo ti lažje odkrivljivo zadevo, katero ti pobrišeš in si potem cel ponosen, kako si odkril virus in ga zbrisal v resnici pa tista težje odkrivljiva zadeva pa še vedno hara po tvojem sistemu in pošilja podatke.
Sploh pa ko se gre za ameriške hardwer zadeve, ki imajo že v osnovi zmontirane gor čipe, ki omogočajo backdoor access, ki ga tvoj sistem niti ne zazna, razen če priključiš med tvoji mrežno kartico in internetom kako zadevo, ki ti spremlja promet, pa še to je vprašanje, če nimajo kakega trika, da ti tega ne odkriješ.

gendale ::

ima se može se 8-)
seznam zanč moderatorjev in razlogov da so zanč
http://pastebin.com/QiWny5dV
gor je mavrik apple uporabniček (mali možgani in mali penis)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ameriška vladna služba zaradi majhne okužbe računalnike preprosto vrgla v smeti

Oddelek: Novice / Omrežja / internet
236042 (3983) gendale
»

Linux je počasnejši od Windows (strani: 1 2 3 4 5 6 7 )

Oddelek: Novice / Operacijski sistemi
33322676 (12291) Brane2
»

program za risanje tiskanih vezij

Oddelek: Elektrotehnika in elektronika
216344 (6099) madviper
»

Program za risanje el. vezij v Linuxu

Oddelek: Programska oprema
81700 (1621) MasterMind
»

Program za tiskana vezja

Oddelek: Programska oprema
122561 (2445) Brane2

Več podobnih tem