Prijavi se z GoogleID

» »

Lekarne Ljubljana žrtev izsiljevalskega virusa

strani: 1 2 3 »

Utk ::

Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.

Zgodovina sprememb…

  • spremenil: Utk ()

c3p0 ::

SeMiNeSanja je izjavil:


Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"


Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.

SeMiNeSanja ::

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"


Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.

Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.

Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.

Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).

Skratka tudi pri izrazoslovju in odpustkih je treba biti previden. Ni vsak 'namerno načrtovan napad' enako premeten, kompleksen ali celo neubranljiv.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

Pri takih incidentih niti slučajno ni pametno s prstom kazati na tega ali onega 'krivca', ker imamo pogosto opraviti tudi z kolateralno škodo.

Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.

Ravno tako so posredno prizadete tudi vse varnostne rešitve, ki so bile implementirane v Lekarni, pa niso opravile svoje naloge.

Vendar bi bilo izredno grdo zdaj privoščljivo s prstom kazati na izvajalce ali rešitve, češ 'mi bi pa to bolje naredili' ali 'z našimi rešitvami, pa se to nebi moglo zgoditi'. Precej nor bi moral biti tisti, ki bi kaj takega trdil - pa čeprav je morda celo globoko prepričan v to.

Problem namreč ni zgolj v tem, kaj 'tvoja rešitev' zmore. Bistveni problem je v tem, kako je skonfigurirana.
Če kasneje točno veš, kako je ves proces incidenta potekal, ja lahko biti pameten in reči 'samo maile s tako končnico bi moral blokirat' ali kaj podobnega.
Toda kdor je kdaj delal na tem področju, točno ve, kako je včasih težko dopovedat strankam, da naj dovolijo blokado npr. *.docm in podobnih datotek, za katere se ve, da so v preteklosti že bile izvor okužb. Stranke ti znajo natveziti sto in en razlog zakaj potrebujejo raznorazne tvegane vrste datotek. Ko pa na koncu pride do kakšnga dejanskega problema, pa kvazi nihče ni zahteval, da se morajo prepuščati take datoteke.

Tako se moraš tudi kot izvajalec zaščititi in take 'posebne zahteve' vestno dokumentirat, sicer si lahko na koncu ti tisti grešni kozel - pa čeprav si ves čas opozarjal, da to ne bo dobro.

'Javnost' pa v bistvu za take in podobne zakulisne igrice ne ve. Izvedo, da je mrežo vzdrževal ta in ta... in že se nanj kaže s prstom 'lej ga šalabajzerja in njegove crap rešitve'.

To je nekako tako, kot ti mehanik pri rednem servisu reče, da bi bilo dobro dati nove gume gor, ti pa vztrajaš, da bodo tudi te, ki imajo zgolj 1mm profila še za nekaj časa dobre.
Kaj naj naredi mehanik? Nekako ne more reči "ali nove gume, ali pa ti ne dam ključev od avta".
No, edino srečo ima, da v tem primeru ne bo nihče spraševal, kdo pa je bil tisti mehanik, ki te ni opozoril. Niti ne bo nihče vprašal, katero znamko gum si imel gor. Kot beli dan je jasno, da se s takimi gumami ne gre več na cesto in da si sam kriv.

A pri avtih imamo na srečo še obvezni tehnični pregled, ki poskrbi za vsaj malo reda.

V informatiki pa imaš zgolj prostovoljne 'tehnične preglede', pa še ti marsikdaj niso usmerjeni v iskanje in odpravo napak in tveganj, temveč zgolj v 'požegnanje' dobrega dela ali izvedbe.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

AngelOfDeath ::

Utk je izjavil:

Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.



Zanimivo da so vsi backupi, ki sem jih jaz nastavil preživeli tudi če so napadalci imeli večtedenske dostope do sistema.
Saj ne da se niso trudili uničiti backupa. Samo so imeli malo premalo znanja da bi ga uspešno.

Po drugi strani pa je zanimivo to da vsepovsod drugje z tem niso imeli prevelikih težav in so lepo uničili backupe...

Zgleda da sem edini v Sloveniji z 100% uspehom svojih backupov :)

Trenutno nisem v Si in me ne zanimajo vaša podjetja, ker v 30min najdem več napak na backupih, kot jih vi poznate :)
edit: Slovnica

c3p0 ::

SeMiNeSanja je izjavil:

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"


Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.

Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.

Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.

Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).


Dokaze lahko imajo le Lekarne. Npr. če jih je namensko kontaktiral kdo, s precej višjo odkupnino, bi lahko bil en tak signal. A dvomim, da so najeli zunanje security auditorje, oz. bodo v javnost dali podrobno analizo, kot je to storil Bitstamp.

Če so omrežje shekali s tem, da so prišli noter preko PCja nekega zaposlenega, ki ni admin s polnim dostopom do vsega, je že tu prvi velik fail. Povej mi, kako je to v dobro zastavljenem omrežju mogoče?

c3p0 ::

SeMiNeSanja je izjavil:


Problem namreč ni zgolj v tem, kaj 'tvoja rešitev' zmore. Bistveni problem je v tem, kako je skonfigurirana.
Če kasneje točno veš, kako je ves proces incidenta potekal, ja lahko biti pameten in reči 'samo maile s tako končnico bi moral blokirat' ali kaj podobnega.
Toda kdor je kdaj delal na tem področju, točno ve, kako je včasih težko dopovedat strankam, da naj dovolijo blokado npr. *.docm in podobnih datotek, za katere se ve, da so v preteklosti že bile izvor okužb. Stranke ti znajo natveziti sto in en razlog zakaj potrebujejo raznorazne tvegane vrste datotek. Ko pa na koncu pride do kakšnga dejanskega problema, pa kvazi nihče ni zahteval, da se morajo prepuščati take datoteke.


Še enkrat, admin nima kaj klikat priponk, ali za to uporabljat isti PC kot za ostale zadeve. Če to naredi Jože iz nabave, pa se zadeva ne more širit naprej, kaj šele na strežnike. Pri 0day ali namenskih napadih, tudi drag level7 appliance ne bo nič rešil, le zdrava pamet bo.

Mr.B ::

c3p0 je izjavil:

SeMiNeSanja je izjavil:

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"


Če je šlo za namensko ciljan napad, lahko strela udari še precejkrat na isto mesto, ob pogoju da niso vsega ustrezno počistili. Dandanes ne moreš zaupat niti navadnemu disku več.

Na take 'Namerno ciljane napade' se je kasneje lepo izgovarjati, saj pred njimi izpadeš nekako bolj 'nemočen', lastna 'sokrivda' izpade nekako 'dopustna'.

Rad bi videl kakšne dokaze za to, da se je šlo za namerno ciljan napad.

Teoretično že velja, da mail z besedilom "Ali imate to zdravilo na zalogi?" in priponko 'Recept.pdf.exe' lahko šteje kot namerno ciljani napad. Pa je to varianta, katere bi se moralo znati obraniti vsako normalno vzdrževano omrežje (tak mail sploh ne spustiš do mail serverja, da bi lahko dummy uporabnik naredil neumnost).


Dokaze lahko imajo le Lekarne. Npr. če jih je namensko kontaktiral kdo, s precej višjo odkupnino, bi lahko bil en tak signal. A dvomim, da so najeli zunanje security auditorje, oz. bodo v javnost dali podrobno analizo, kot je to storil Bitstamp.

Če so omrežje shekali s tem, da so prišli noter preko PCja nekega zaposlenega, ki ni admin s polnim dostopom do vsega, je že tu prvi velik fail. Povej mi, kako je to v dobro zastavljenem omrežju mogoče?

Zato ker za nepopechan sistem ne rabis admin dostopa.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Utk ::

AngelOfDeath je izjavil:

Utk je izjavil:

Tako je. Če je kdo tako prepričan vase, naj tu napiše kater sistem pa sigurno nikoli ne bo nikoli padel...pa naj nekdo poskrbi še, da bo ta izziv prišel do pravih ljudi.



Zanimivo da so vsi backupi, ki sem jih jaz nastavil preživeli tudi če so napadalci imeli večtedenske dostope do sistema.
Saj ne da se niso trudili uničiti backupa. Samo so imeli malo premalo znanja da bi ga uspešno.

Po drugi strani pa je zanimivo to da vsepovsod drugje z tem niso imeli prevelikih težav in so lepo uničili backupe...

Zgleda da sem edini v Sloveniji z 100% uspehom svojih backupov :)

Trenutno nisem v Si in me ne zanimajo vaša podjetja, ker v 30min najdem več napak na backupih, kot jih vi poznate :)

A kje piše, da niso imeli včerajšnega backupa? V bistvu je pisalo, da ga SO imeli.

c3p0 ::

> A kje piše, da niso imeli včerajšnega backupa? V bistvu je pisalo, da ga SO imeli.

No, piše da so imeli cloud backup, na srečo, ker ostalo je šlo v franže. Vsaj tako sem jaz razbral. Pomeni, da za kak LTO, ali metodo z več diski, kaj šele PITR, še niso slišali.

Utk ::

Sej ne veš kaj so imeli v cloudu, morda je bilo tisto čisto v redu, in ne veš kaj je trajalo 3-4 dni, da so spet zagnali vse skupaj. Počistit vse računalnike, strežnike, routerje itd., morda najti kako je sploh prišlo do tega, pač traja. Če bi samo restartali sistem s par ur starim backupom verjetno ne bi nič naredili, napad bi se samo (zelo verjetno) "ponovil".

Zgodovina sprememb…

  • spremenil: Utk ()

Invictus ::

SeMiNeSanja je izjavil:


Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.

Mislim, da je prav, da se izpostavi tukaj tudi podjetje.

Dostikrat je cena visoka, delo pa slabo opravljeno, ker naročnik preprosto vsega ne ve in niti ne more skontrolirati.

Bi rekel, da je marsikdo tukaj delal v takih svetovalnih firmah in ve, da se naredi absolutni minimum, da se zadosti nizkemu znanju strank, čeprav je denarja dovolj.

Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno :D. Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

zmaugy ::

Mene bi zelo zanimalo, če se bo raziskalo odkod je napad prišel in če se bo reskiralo denar, da se bo povzročitelje izsledilo in kaznovalo.
Če gre za privatne osebe, ne vidim razloga, da se to ne zgodi, če gre za kakšno državno fukfehtarsko shemo kakšne rogue države pa bi se morala odzvati EU s sankcijami in NATO s protiukrepi.
Se mi zdi, da se vse preveč na lahko obravnava tovrstni kriminal in da je večina naporov usmerjenih v to, da se lastni sistem naredi za manj privlačen, kar zgolj preusmerja kriminal na manj zaščitene sisteme.
Biseri...

Zgodovina sprememb…

  • spremenilo: zmaugy ()

Mr.B ::

Konkurencna lekarna jim je poslal fakturo.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

SeMiNeSanja ::

Invictus je izjavil:

SeMiNeSanja je izjavil:


Poleg Lekarne je ta incident posredno prizadel tudi podjetje, ki jim vzdržuje omrežje in sisteme, svetuje pri varnosti, upravlja varnostne rešitve in nadzira dogajanje na omrežju.

Mislim, da je prav, da se izpostavi tukaj tudi podjetje.

Dostikrat je cena visoka, delo pa slabo opravljeno, ker naročnik preprosto vsega ne ve in niti ne more skontrolirati.

Bi rekel, da je marsikdo tukaj delal v takih svetovalnih firmah in ve, da se naredi absolutni minimum, da se zadosti nizkemu znanju strank, čeprav je denarja dovolj.

Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno :D. Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.

Deloma se strinjam....

Kljub temu, bi potreboval končno analizo incidenta, da bi lahko dal na tehtnico, kolikšna je dejanska sokrivda podjetja, ki je prodalo / nameščalo / vzdrževalo varnostne rešitve, omrežje in sisteme.

V kazenskem pravu celo tisti, ki so ga dobili z krvavim nožem v roki, ni kriv, dokler ni obsojen. Zato mislim, da tudi v teh primerih ni najbolje soditi prenagljeno.
Je pa res, da ob pomanjkanju dokazov (izčrpnega poročila incidenta), kaj dosti drugih možnosti ne ostane, kot da predvidevaš vsaj delno sokrivdo (iz razlogov, ki si jih naštel).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BigWhale ::

Invictus je izjavil:

Dostikrat je pa problem tudi v prodajalcih, ki prodajajo ZF tehnologijo, ki jo sami niti ne razumejo. In postavijo nenormalno kratke roke. Inženirji pa pač naredimo, kot je v teh kratkih rokih možno :D. Ker prodajalcu ne moreš dopovedati, da je s svojim bluzenjem že pokuril 70% časovnega poola za projekt.


V kaksnih shitty podjetjih pa delas, da imajo prodajalce, ki ne znajo prodajati in prodajajo brez posveta s tistimi, ki bodo stvari dejansko poceli? Na vseh malo vecjih stvareh pri prodaji zraven sedi tudi CTO, ki ponavadi ve kaj se dela.

D3m ::

A sedaj že dela sistem?

Nekaj moram v lekarni kupiti.
|HP ProBook|R5 3500U|
|Lenovo A10|Mediatek MT8121|

Invictus ::

BigWhale je izjavil:


V kaksnih shitty podjetjih pa delas, da imajo prodajalce, ki ne znajo prodajati in prodajajo brez posveta s tistimi, ki bodo stvari dejansko poceli? Na vseh malo vecjih stvareh pri prodaji zraven sedi tudi CTO, ki ponavadi ve kaj se dela.

Je že propadlo zdavnaj ;).

Dostikrat potem prodajalci postanejo še project managerji ;).

Sicer pa ne delam za slovenska podjetja že 10 let. Ajde, mogoče se je malo spremenilo ;).

Ampak dvomim :P,,,
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

crniangeo ::

načeloma kar drži tisto kar govoriš. žal prodajajo tudi neumnosti, ker so narobe razumeli kaj neka stvar realno počne.
primeR: prodaja se storitev najema nekega fw, ki sploh nima možnosti integracije preverjanja prometa. pri prodaji se obljublja nadzor prometa in zaščita pred virusi in crvi.
Convictions are more dangerous foes of truth than lies.

SeMiNeSanja ::

c3p0 je izjavil:


Še enkrat, admin nima kaj klikat priponk, ali za to uporabljat isti PC kot za ostale zadeve. Če to naredi Jože iz nabave, pa se zadeva ne more širit naprej, kaj šele na strežnike. Pri 0day ali namenskih napadih, tudi drag level7 appliance ne bo nič rešil, le zdrava pamet bo.

Googlaj "privilege escalation", pa boš videl, da kompromitirani uporabnik ne rabi biti admin.

TUDI marsikateri 0day danes tehnologija razkrije in to celo pravočasno. In to kar ti imenuješ "level7 appliance" sploh ni tako draga reč. Pravzaprav drobiž v primerjavi z enim samim dnevom izpada.
Npr. če bi LL v celoti opremil z WatchGuard opremo, vključno z vsemi naprednimi varnostnimi storitvami (tudi napredni endpoint prot. - TDR) bi prišel skozi za kakšnih 175.000€ nabavnega stroška (ob 3-letnih naročninah!), brez upoštevanja raznoraznih možnih popustov.
Potem pa seveda moraš dodati še strošek 'implementacije'. To je tisti strošek, kjer se ti potem dejansko maščuje vsak priškrtarjeni cent.....

Tudi če bi za implementacijo in podporo dal še dodatnih 175.000€ / 3 leta, si še vedno na skupnem znesku okoli 100.000/leto - kar za omrežje z cca. 50 podružnicami ni ravno neka grozljiva številka. Še najmanj pa pretresljiva v primerjavi z škodo, ki bi jo lahko preprečil ob ustrezni implementaciji.

Skratka - ne more biti govora o 'dragih level7 appliancih'. Predvidevam, da so samo za 'reševanje' (delo) v treh dneh pokurili tako vsoto. Kje je potem še preostala škoda....

Seveda pa ima vsakdo svoj pogled na to, kaj je 'drago'. Za ene je že nek Asus ali Linksys router kao 'drag'. Ampak mislim, da je še veliiiiko dražji, če zraven prišteješ še ceno enega takega incidenta, ko ti vse pripete računalnike pozaklene in poslovanje izpade za dan, dva ali več.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

crniangeo je izjavil:

načeloma kar drži tisto kar govoriš. žal prodajajo tudi neumnosti, ker so narobe razumeli kaj neka stvar realno počne.
primeR: prodaja se storitev najema nekega fw, ki sploh nima možnosti integracije preverjanja prometa. pri prodaji se obljublja nadzor prometa in zaščita pred virusi in crvi.

Nisem prav prepričan, če prodajalci res ne razumejo 'kaj neka stvar realno počne' - jaz jih bolj sumim, da namerno zavajajo kupce.

Istočasno pa imamo v SLO fenomen, da smo cepljeni na 'znamke'. Ljudje hočejo imeti Cisco ali PaloAlto, ker je to baje 'najboljše' (ne da bi sploh kdo vedel, kaj na tem področju pomeni 'najboljše').
To je tako, ko oni Ferdo sa sela, ki hoče na vsak način Merđota pred bajto. Nima veze, koliko je star, nima veze, kakšno ima dodatno opremo. Samo da je Merđo.

Isto pa se dogaja tudi pri varnostnih rešitvah. Samo da je neka določena znamka...in potem ta najbolj poceni možno varianto...pa ne, ne rabim naročnin na neke servise...samo enkratni strošek bi....

In potem imaš 'lepo' škatlo... notri pa nič, kar bi ti zares pomagalo.

Problem je, da prodajalci to veselo podpirajo, namesto da bi stranke izobraževali, da naj si naredijo uslugo in vzamejo vsaj še to in ono varnostno storitev.
Dejansko jih puščajo v prepričanju, da bo tista basic škatla delala 'čudeže'.
Glavno, da na koncu meseca dosežejo svoj prodajno kvoto, pa da dobijo še tisti % nagrade za 'delovno uspešnost'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

strani: 1 2 3 »


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
1206700 (630) SeMiNeSanja
»

Ali je datum rojstva osebni podatek? (strani: 1 2 )

Oddelek: Loža
592154 (565) Lakotnik29
»

Placljivo svetovanje v lekarnah (strani: 1 2 )

Oddelek: Problemi človeštva
877184 (4741) zmaugy
»

Zakaj rabi dimnikar koncesijo? (strani: 1 2 3 )

Oddelek: Loža
13216238 (13462) šernk
»

Določitev količine prepovedanih drog za osebno uporabo [workthread] (strani: 1 2 )

Oddelek: Loža
8811449 (9531) Matija82

Več podobnih tem