» »

Lekarne Ljubljana žrtev izsiljevalskega virusa

Lekarne Ljubljana žrtev izsiljevalskega virusa

vir: SiOL
SiOL - V začetku tedna so uporabniki naleteli na zaprta vrata poslovalnic Lekarn Ljubljana. Poslovanje jim je onemogočil za zdaj še neznani ransomware, ki je prizadel njihov informacijski sistem. Izdajali so lahko le zdravila na fizične, torej papirnate recepte, pa še to le tiste, za katere ni potrebno doplačilo. Incident zdaj preiskujejo organi pregona ter drugi regulatorji, v lekarnah pa so po lastnih besedah v zaključni fazi ponovne vzpostavitve sistema, med drugim so po treh dneh že odprli nekaj lekarn, ki poslujejo normalno.

Na ključno vprašanje ali so bili v napadu ogroženi tudi osebni podatki pacientov, za zdaj še ni odgovora, informacijski pooblaščenec je zato po uradni dolžnosti uvedel postopek inšpekcijskega nadzora nad Lekarno Ljubljana, v okviru katerega bo preverjal ustreznost tehničnih in organizacijskih postopkov ter ukrepov za zagotavljanje varovanja osebnih podatkov.

Še bolj žgoče pa čakamo odgovor, na kakšen način so situacijo z okužbo razrešili, pri čemer bi bilo še posebej zanimivo izvedeti ali je gospodarska družba, ki deluje kot javni zavod, morda plačala odkupnino.

126 komentarjev

«
1
2 3

bajsibajsi ::

IT v podjetju je itak nepotreben in samo odzira sredstva...

...dokler vse stima.

poweroff ::

Na pamet bi rekel, da so imeli malce slabo postavljen backup sistem.

Ali pa je backup bil, pa je bil obseg napada tako velik, da je trajalo, preden so stvari popravili. V slednjem primeru je problem contingency plan.
sudo poweroff

Vazelin ::

A ni v tem primeru cenej kar plačat kot da jim vse skup stoji že pr dni?
I got 99 problems but 4 usd XTZ ain't one...

dronyx ::

Vazelin je izjavil:

A ni v tem primeru cenej kar plačat kot da jim vse skup stoji že pr dni?

Resna firma si to ne more privoščit, razen res v skrajni sili. Potem jih bodo bombardirali s tem ko se razve, da plačajo.

Vazelin ::

Plačajo in kasneje zrihtajo.:)

Medtem admin locka spletne strani in maile, da random tajnica ne klika čudnih mailov
I got 99 problems but 4 usd XTZ ain't one...

D3m ::

Toliko anti-virusnih žavb prodajajo pa se niso mogli losati virusa. ;)
|HP EliteBook|R5 6650U|

Zgodovina sprememb…

  • predlagalo izbris: Gagatronix ()

Evolve ::

Vazelin je izjavil:

A ni v tem primeru cenej kar plačat kot da jim vse skup stoji že pr dni?

Če plačaš še ne pomeni da dobiš podatke nazaj

dronyx ::

Direktor LL je dejal, da ni bil okužen samo backup na "tajni lokaciji". Kaj to imajo še vedno v Kočevski reki? Stari Mački.

Verjetno backupa sploh nimajo, zato se temu reče "tajna lokacija".

Zgodovina sprememb…

  • spremenil: dronyx ()

Vazelin ::

Direktor: 'vojni napad' lekarne stal več kot dva milijona evrov

kar dosti BTCjev je to:))
I got 99 problems but 4 usd XTZ ain't one...

LeQuack ::

Vazelin je izjavil:

Direktor: 'vojni napad' lekarne stal več kot dva milijona evrov

kar dosti BTCjev je to:))


Brez skrbi saj bodo stranke plačale. Direktor bo še kakšno nagrado dobil ker je samo tri dni rabil da je iz dopusta prišel sanirat stanje.
Quack !

Zgodovina sprememb…

  • spremenil: LeQuack ()

jsmith ::

Kaj je znano doslej

https://www.snt.si/lekarna-ljubljana/

- IT glede na reference vzdržuje podjetje S&T Slovenija

https://4d.rtvslo.si/arhiv/dogodki-in-o...

- v ponedeljek zvečer je sistem deloval vedno počasneje, v torek 6.8. ob 2h so prišli prvi informatiki
- zaprtih je bilo vseh 52 poslovalnic
- 300 postaj naj bi postavili nazaj do konca tedna
- kako je virus zašel v informacijski sistem še ne vedo
- ni znano ali so zahtevali odkupnino, "obstajajo neki maili"
- škode je za več kot 2 milijona evrov
- imajo dva backupa, enega na ljubljanski lokaciji, drugega na skriti lokaciji, na drugem operacijskem sistemu, tako da je nedotakljiv in "deluje kot v vojnih razmerah in vojnih garancijah"

https://www.24ur.com/novice/slovenija/s...

- trenutno 8.8. popoldne je vklopljenih 9 poslovalnic
- ekipa 18 strokovnjakov neprekinjeno dela že 60 ur, danes naj bi prišli "rezervisti"
- backup v Ljubljani je bil okužen, zaprt, zakriptiran
- nov sistem se nalaga na vsaki postaji dobri dve uri
- vse poslovalnice bodo delovale šele prihodnji teden

Zgodovina sprememb…

  • spremenil: jsmith ()

LeQuack ::

A je 2 milijona evrov škode manj kot bi bila odkupnina za virus?
Quack !

Vazelin ::

noben heker ni neumen, da bi zahteval vsaj 2 mio. verjetno so mislili da bodo odpravili napako v trenu očesa.
silly
I got 99 problems but 4 usd XTZ ain't one...

Zgodovina sprememb…

  • spremenilo: Vazelin ()

dronyx ::

LeQuack je izjavil:

A je 2 milijona evrov škode manj kot bi bila odkupnina za virus?

Ne more biti 2 MIO škode v 3 dneh, če pa je letno dobička par MIO. To je bil verjetno mišljen promet. Razen seveda če niso vkalkulirali v to še posredne škode, kot je izguba "dobrega imena" ali pa so dejansko plačali tako visoko odkupnino (to pa dvomim).

Zgodovina sprememb…

  • spremenil: dronyx ()

jsmith ::

Zaenkrat ni znano, ali je bila odkupnina zahtevana. Glede na dolgotrajno odpravljanje je izgleda niso plačali. Lahko tudi da gre za podoben primer kot te dni v Nemčiji, ko "Luisa" navidezno zakriptira podatke, dejansko pa jih nepovratno uniči in tudi plačilo odkupnine ne pomaga.

dronyx ::

backup v Ljubljani je bil okužen, zaprt, zakriptiran

To upam da ne drži, ker sicer očitno delajo backup kar na nek zunanji disk. Če bi bil backup na trakovih je to po moje težko izvedljivo.

Superboyy ::

2 mio škode je, zato ker so se morali odgovori ukvarjati s problemom in si morajo izplačat dodatek za to izredno delo.

LeQuack ::

Superboyy je izjavil:

2 mio škode je, zato ker so se morali odgovori ukvarjati s problemom in si morajo izplačat dodatek za to izredno delo.


Po moje so delal po normalni študentski postavki.
Quack !

poweroff ::

Se pravi nekdo je slabo postavil backupe.

Kako je pa kaj omrežje segmentirano?

A niso pri S&T tudi neki infosec stručkoti? A so bili predragi, pa bo zdaj ceneje zadeve reševati za nazaj...

In pa seveda: kaj počnejo naši organi, glede na to, da gre za kritično infrastrukturo?
sudo poweroff

Glugy ::

poweroff je izjavil:

Na pamet bi rekel, da so imeli malce slabo postavljen backup sistem.

Ali pa je backup bil, pa je bil obseg napada tako velik, da je trajalo, preden so stvari popravili. V slednjem primeru je problem contingency plan.


Upam. Upam da niso plačal izseljevalcem. Pa upam da bo to dobra šola tud za druge da se ne sme zanemarjati varnosti; oziroma da se mora vsaj delat varnostne kopije.

aerie ::

poweroff je izjavil:


In pa seveda: kaj počnejo naši organi, glede na to, da gre za kritično infrastrukturo?

Organi? Ledvice si bodo malo oddahnile ;)

dronyx ::

Do sedaj še nisem nikjer zasledil, da bi kdo v zvezi s tem izjavil, da osebni podatki niso bili ukradeni oziroma ogroženi. To ni pomembno, niso sigurni...

jype ::

D3m je izjavil:

Toliko anti-virusnih žavb prodajajo pa se niso mogli losati virusa. ;)
Nobene antivirusne žavbe ne prodajajo.

poweroff ::

Glugy je izjavil:


Upam. Upam da niso plačal izseljevalcem. Pa upam da bo to dobra šola tud za druge da se ne sme zanemarjati varnosti; oziroma da se mora vsaj delat varnostne kopije.

Da ne bo naslovov: Lekarna Ljubljana financira jedrsko oboroževanje Severne Koreje... :))
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Se pravi nekdo je slabo postavil backupe.

Kako je pa kaj omrežje segmentirano?

A niso pri S&T tudi neki infosec stručkoti? A so bili predragi, pa bo zdaj ceneje zadeve reševati za nazaj...

In pa seveda: kaj počnejo naši organi, glede na to, da gre za kritično infrastrukturo?

Več kot očitno segmentacije ni bilo, v VPN-u pa so dovolili vse na vse konce in kraje.

Ne moremo s prstom kazati na S&T, ker ne vemo, kaj in koliko so jim plačali. Noben izvajalec ne bo delal kar mu naročnik ni plačal. Če nisi plačal za 'nadstandardno varnost', pač dobiš 'osnovno (ne)varnost'.

Pri tako organizaciji, ki šteje pod 'kritično infrastrukturo', bi pričakoval tudi kakšen periodični varnostni pregled, kateri bi moral že takoj v osnovi ugotoviti, da je omrežje ranljivo za širjenje okužb po njemu.

Vprašanje pa je, kdo je delal (če je delal), tak varnostni pregled (nerodno, če ga dela izvajalec del - to je potem nekako tako, kot če volk čuva ovce).

Tisti "backup na tajni lokaciji"....a po novem je 'oblak' tajna lokacija? Noja... prav, glavno da je 'zdržal'. Seveda pa restore iz oblaka traja....

Ocena 2MEUR škode....je to vključno z odkupnino? Po moji skromni oceni bi bil izpad prometa nekje okoli 250.000-500.000EUR /dan. Vse kar je več, je po moje napihnjeno (če so zavarovali morebitno škodo, mogoče računajo na večjo odškodnino, če vse skupaj malo napihnejo?).

Ker nikoli ne bomo poznali vseh okoliščin, lahko le špekuliramo. Dejansko niti ne moremo reči, kdo ima v rokah črnega Petra - kdo je 'krivec' za celo zgodbo.

Sicer jih je (če jih je res?) rešil cloud backup. Toda do sem se je moral vrstiti fail za failom. Okužbe se lahko zgodijo, toda praviloma se ne sme situacija tako zaplesti, da bi moral reševati podatke z cloud backup-a. Ta je tisti čisto zadnji izhod v skrajni sili. Kaj bi naredili, če bi še ta odpovedal, podatke pa nebi mogli niti z plačilom odkupnine povrniti? Situacija, ki si jo ne more privoščiti nobeno resno podjetje, še najmanj pa tako, ki šteje pod kritično infrastrukturo države.

V zelo slabi luči se je pri tem (lahko povsem brez lastne krivde!) znašel še S&T.
Zelo nerodno je, če si izpostavljeno podjetje, ki se ukvarja z varnostjo, pa eno od tvojih paradnih strank prizadane tak incident. Hočeš nočeš, te vidijo kot sokrivega za nastalo situacijo, čeprav so morda rotili stranko, da naj plača za izvedbo 'nadstandardnega varovanja', pa ta za kaj takega morda ni imela posluha. Ne vemo. Lahko le špekuliramo...

Poleg S&T, tak incident vrže tudi slabo luč na varnostne rešitve, katere so imeli (slabo?) implementirane. Dvomim, da bo kateri ponudnik varnostnih rešitev v naslednjem obdobju še navajal LL kot svojo referenco. Izjema je edino ponudnik Cloud backup rešitve, ki so jo uporabili.
Pa tako, kot ni nujno za karkoli kriv S&T, tako tudi ni nujno, da karkoli manjka varnostnim rešitvam, ki niso preprečile incidenta. Nenazadnje je treba tudi te ustrezno namestiti in optimizirati za določeno okolje. Za to pa moraš plačati nekemu izvajalcu.....

Blame.... no, če so kdaj opravili kakšen varnostni pregled, pa ta ni pokazal pomanjkljivosti, potem je izvajalec tega ta prvi, na katerega bi pokazal s prstom.

Če niso nikoli naredili varnostnega pregleda... so krive Lekarne same. Ravno tako, če so ga naredili in ignorirali pomanjkljivosti, katere je razkril.

Rabili bi insider informacije.... in to celo goro njih, da bi lahko realno ocenjevali situacijo.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

dronyx ::

Torej če ne veš kje se nekaj v "oblaku" zares nahaja se temu po novem reče "tajna lokacija". So bili v tem "oblaku" tudi osebni podatki strank LL in ali se to šteje kot pogodbena obdelava osebnih podatkov?

AngelOfDeath ::

Načeloma so podjetja zelo skopa ko se tiče plačevanja varnostnih pregledov ali nasvetov. Kaseta v vrednosti 50€ je dostikrat predraga tudi za podjetja z več miljonskimi dobički.


Vdor ponavadi poteka tako. Da nekako pridejo v sam sistem (VPN, stari routerji, priponke v mailih, itd...).
Ko so v sistemu poskušajo priti do admin pravic. Nato kakšen teden nadzirajo kaj se na strežnikih
dogaja, kako se izvaja backup.
Čez čas sledi kriptiranje vseh podatkov in brisanje backupov. Nato pa še sporočilo kam plačat in kako
je kriptirano.

Tile znajo pogledat kakšni arhivirni programi obstajajo in kako delujejo. Sedaj če slediš navodilom
teh arhivirnih programov ni neka umetnost zbrisati le teh.
Razen če so postavljeni nestandardno. Takrat ponavadi preživijo.

Policija zbira podatke bolj v statistične namene, kaj drugega ne premorejo.

Tale postopek je doletel kar nekaj Slovenskih podjetij, da nebo kdo mislil da je nakladanje.
edit: Slovnica

SeMiNeSanja ::

AngelOfDeath je izjavil:


Vdor ponavadi poteka tako. Da nekako pridejo v sam sistem (VPN, stari routerji, priponke v mailih, itd...).
Ko so v sistemu poskušajo priti do admin pravic. Nato kakšen teden nadzirajo kaj se na strežnikih
dogaja, kako se izvaja backup.
Čez čas sledi kriptiranje vseh podatkov in brisanje backupov. Nato pa še sporočilo kam plačat in kako
je kriptirano.

Tile znajo pogledat kakšni arhivirni programi obstajajo in kako delujejo. Sedaj če slediš navodilom
teh arhivirnih programov ni neka umetnost zbrisati le teh.
Razen če so postavljeni nestandardno. Takrat ponavadi preživijo.

Policija zbira podatke bolj v statistične namene, kaj drugega ne premorejo.

Tale postopek je doletel kar nekaj Slovenskih podjetij, da nebo kdo mislil da je nakladanje.

Koliko je res tovrstnih načrtovanih akcij, ne vem. Dvomim, da jih je prav veliko, ker vendarle zahtevajo določen nivo angažmaja in profesionalizma. Se pa kriminalcem tak angažman seveda debelo obrestuje.

Problem pri tem pa je puščanje sledi. Dlje kot se ti 'sprehajaš' po tujem omrežju, več sledov boš puščal, ki te lahko razkrijejo.

Po moje je vendarle bistveno več 'random' okužb z kriptovirusi.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

war-dog ::

Za tole bi moral nekdo ob službo.
Da ti uspe v enteprise okolju dobit ransomeware, pa da ti ne uspe sistema postavit nazaj v roku 24 ur iz varnostnih kopij... #respect
Object reference not set to an instance of an object.

SeMiNeSanja ::

war-dog je izjavil:

Za tole bi moral nekdo ob službo.
Da ti uspe v enteprise okolju dobit ransomeware, pa da ti ne uspe sistema postavit nazaj v roku 24 ur iz varnostnih kopij... #respect

Ma ne bo nihče nič izgubil.
Bo 'kolektivna odgovornost', pa 'višj sila', 'splet okoliščin' in podobno.

Kupili bodo kakšno še dražjo 'zaščito', še malo denarja se bo 'pretočilo' iz enega žepa v drugega, pa bo volk sit, koza pa.... pa koga zanima še koza!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jsmith ::

https://erar.si/placnik/27502/#transakc...

JAVNI ZAVOD LEKARNA LJUBLJANA (plačnik)

S&T Slovenija d.d. - 6.630.662,57 EUR
HAKL IT, d.o.o. - 2.859.557,31 EUR
SMART COM d.o.o. - 6.542,60 EUR

Na https://dihslovenia.si/strokovnjaki/ ima v kategorijah Sistemski varnostni pregled / Vdorna testiranja Smart Com d.o.o. za referenco tudi Lekarno Ljubljana. Ni navedeno, kaj točno so delali zanje.

Nekateri napadalci so izurjeni in si okolje ter žrtev dobro ogledajo. Od omrežja, naprav, kako in kam se izvajajo varnostne kopije (ali se jih lahko povozi ali zbriše), vse s ciljem pridobiti čimvišjo odkupnino. Potem počakajo na noč oziroma vikend in pričnejo "zaključni napad" (da uporabim izrazoslovje direktorja).

Morda pa dobimo kdaj post-mortem, ki bi pomagal tudi ostalim podjetjem pri zaščiti.

SeMiNeSanja ::

Tista 'vdorna testiranja' so primerna za nek spletni strežnik, pri omrežju kakršno je omrežje LL pa potrebuješ varnostni pregled (katerega sestavni del je lahko tako vdorno testiranje).

Žal pa marsikdo ne loči med temi pojmi. Potem pa naročijo izvedbo penetracijskega testa oz. vdornega testa, ko bi dejansko potrebovali popolnoma drugačen pregled.

'Nekateri napadalci'..... zdaj si pa predstavljaj, da imaš nekoga v hiši, ki že vse pozna in pogrunta, da bi mu mogoče prav prišlo ene par BTC-jev dodati v njegov wallet?

Ransomware in kriptovalute danes precej olajšajo tudi prikrivanje takih 'inside job-ov'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

srus ::

"informacijski pooblaščenec je zato po uradni dolžnosti uvedel postopek inšpekcijskega nadzora nad Lekarno Ljubljana, v okviru katerega bo preverjal ustreznost tehničnih in organizacijskih postopkov ter ukrepov za zagotavljanje varovanja osebnih podatkov."

Saj, če so bili osebni podatki še dodatno zakriptirani potem verjetno ni problema. ;-)

Glede na to kako nas farmacevti skubijo in odirajo je osnovni vzrok izpada verjetno v tem, da sta jim promet in dobiček prebila MAXINT konstanto.

SeMiNeSanja ::

MAXINT so zadeli tudi pri plačilih S&T-ju.

Me prav zanima, kaj vraga so to vse kupili v enem samem letu, da je toliko naneslo.

Pri takem znesku, bi pričakoval.... sorry, ne vem, kaj bi lahko pričakoval za 6,6M€/leto!

Po njihovi navedbi imajo 300 računalnikov. Torej so v enem letu zapravili 22.000€/računalnik! Kaj so vse na enkrat kupili nove? Potem pa še pozlatilili?
Ali kako prideš do takšnih zneskov?

Hmmm... kaj pa kakšen javni razpis? Aja...ti so za vse ostale, za 'prijatelje' ni treba....?

Samo šmenta.... če lahko PRIČAKUJEŠ nekaj, potem ko si noter vtaknil 6,6M€, potem lahko pričakuješ, da imaš sistem, ki je prava trdnjava, ne pa da ga en ušiv kriptovirus v kompletu sesuje po celotnem omrežju.

@jsmith - pa si prepričan, da si znesek pravilno prekopiral? Meni se zdi absurden....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

dronyx ::

To je skupni znesek od 2005 dalje, ne samo letos.

tikitoki ::

Tolk o upravicenosti visokih cen dolocenih "strokovnjakov".

MadMax ::

In "strokovnjaki" bodo še vedno polom hitro opravičevali s pristriženim proračunom, saj najbrž ni firme, kjer bi imeli za te namene absolutno proste roke in odprto denarnico.
"Ja, veste, če bi takrat odobrili nabavo tegapatega ter poglobljeno konfiguracijo onega, se tole ne bi zgodilo"...
Stvari so preproste, le ljudje smo neverjetni mojstri, da jih zakompliciramo.

SeMiNeSanja ::

dronyx je izjavil:

To je skupni znesek od 2005 dalje, ne samo letos.

No, to potem veliko pojasni in številke postavi v povsem drugo perspektivo.

V bistvu, če gledamo na 'varnost', itak lahko pozabiš na vse investicije starejše od 3h let.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

dronyx ::

SeMiNeSanja je izjavil:

V bistvu, če gledamo na 'varnost', itak lahko pozabiš na vse investicije starejše od 3h let.

Še največkrat pa pozabijo na investicijo v ljudi, ker ponavadi so ravno zaposleni največji šibek člen. Ne prepoznavajo niti povsem amaterskih nigerijskih prevar, kaj šele malo boljšega phishing napada. vse kar dobijo po elektronski pošti kliknejo, odpirajo, zaganjajo. Če jih nekdo pokliče po telefonu in se predstavi kot IT podpora mu brez kakršnihkoli pomislekov dajo na računalniku oddaljen dostop, da lahko počne karkoli v lokalnem omrežju itd. Informacijska varnost ni samo tehnologija. Vsekakor pa pomaga.

SeMiNeSanja ::

MadMax je izjavil:

In "strokovnjaki" bodo še vedno polom hitro opravičevali s pristriženim proračunom, saj najbrž ni firme, kjer bi imeli za te namene absolutno proste roke in odprto denarnico.
"Ja, veste, če bi takrat odobrili nabavo tegapatega ter poglobljeno konfiguracijo onega, se tole ne bi zgodilo"...

Ni važno, kaj so nabavili in od koga.

Morali bi izvesti neodvisen varnostni pregled, ki bi razkril ranljivosti v trenutni situaciji in predlagal ustrezne ukrepe za odpravo teh.

Slabosti implementacije, ki dovoljujejo tako nemoteno širjenje okužbe po celem prostranem omrežju podjetja se običajno dajo odpraviti brez kakšne posebne investicije. Treba je le zavihat rokave in popraviti konfiguracijo na VPN usmerjevalnikih. Popraviš nekaj ACL-ov in si že takoj bistveno bolj zaščiten.

A hudič, če je tako fino, če lahko admin dostopa do admin share-ov tudi na zadnji škatli, po možnosti celo od doma. Pa tako fino je, če vsakdo lahko od kjerkoli dela RDP na katerikoli računalnik, itd. itd.

Prepogosto se srečujemo z pojmovanjem, da stvar super deluje, če 'vse deluje' - tudi tisto, kar naj nebi delovalo.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Mr.B ::

SeMiNeSanja je izjavil:

MadMax je izjavil:

In "strokovnjaki" bodo še vedno polom hitro opravičevali s pristriženim proračunom, saj najbrž ni firme, kjer bi imeli za te namene absolutno proste roke in odprto denarnico.
"Ja, veste, če bi takrat odobrili nabavo tegapatega ter poglobljeno konfiguracijo onega, se tole ne bi zgodilo"...

Ni važno, kaj so nabavili in od koga.

Morali bi izvesti neodvisen varnostni pregled, ki bi razkril ranljivosti v trenutni situaciji in predlagal ustrezne ukrepe za odpravo teh.

Slabosti implementacije, ki dovoljujejo tako nemoteno širjenje okužbe po celem prostranem omrežju podjetja se običajno dajo odpraviti brez kakšne posebne investicije. Treba je le zavihat rokave in popraviti konfiguracijo na VPN usmerjevalnikih. Popraviš nekaj ACL-ov in si že takoj bistveno bolj zaščiten.

A hudič, če je tako fino, če lahko admin dostopa do admin share-ov tudi na zadnji škatli, po možnosti celo od doma. Pa tako fino je, če vsakdo lahko od kjerkoli dela RDP na katerikoli računalnik, itd. itd.

Prepogosto se srečujemo z pojmovanjem, da stvar super deluje, če 'vse deluje' - tudi tisto, kar naj nebi delovalo.

kolikor vem sccm distribution point rabi 445 port. idealna tocka za sirjenje okuzbe, ce seveda smatras da je patching nepitreben...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

SeMiNeSanja ::

dronyx je izjavil:

SeMiNeSanja je izjavil:

V bistvu, če gledamo na 'varnost', itak lahko pozabiš na vse investicije starejše od 3h let.

Še največkrat pa pozabijo na investicijo v ljudi, ker ponavadi so ravno zaposleni največji šibek člen. Ne prepoznavajo niti povsem amaterskih nigerijskih prevar, kaj šele malo boljšega phishing napada. vse kar dobijo po elektronski pošti kliknejo, odpirajo, zaganjajo. Če jih nekdo pokliče po telefonu in se predstavi kot IT podpora mu brez kakršnihkoli pomislekov dajo na računalniku oddaljen dostop, da lahko počne karkoli v lokalnem omrežju itd. Informacijska varnost ni samo tehnologija. Vsekakor pa pomaga.

Se povsem strinjam. Uporabnik je v (več kot?) 90% primerov 'krivec'.

Ampak kot sem že v prejšnjem postu napisal, ni problem le pri 'navadnih uporabnikih', pri katerih moraš pričakovati spodrsljaje. Najbolj kritične spodrsljaje delajo ponavadi tisti, ki naj bi skrbeli za to, da se ne bodo dogajali - raznorazni admini, ki si 'olajšujejo življenje' in v sisteme vgrajujejo raznorazne 'bližnice', ki na koncu omogočijo, da en mali spodrsljaj 'navadnega uporabnika' preraste v katastrofo, ki se razširi po celem omrežju.

Napake, ki jih dela navadni uporabnik, lahko v precejšnji meri prestrežemo s sodobnimi varnostnimi rešitvami, predenj se zgodi kaj hujšega.
Napake, ki jih naredijo upravljavci pa ... ne vem, kako bi te lahko preprečil razen z palico po zadnjici, tunkanjem v Ljubljanici,..... in podobnimi prijemi. Pa še ti najbrž nebi pomagali.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

knesz ::

Frank Abagnale je na enem Google Talk lepo povedal:
Za vdor sta vedno samo dva razloga:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral

Hermit Bob ::

knesz je izjavil:

Frank Abagnale je na enem Google Talk lepo povedal:
Za vdor sta vedno samo dva razloga:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral


Mhm, pa tako lepi odgovori, pa ne samo za vdor ampak tudi za vse ostalo:
- google
- regulatorji

SeMiNeSanja ::

Mr.B je izjavil:


kolikor vem sccm distribution point rabi 445 port. idealna tocka za sirjenje okuzbe, ce seveda smatras da je patching nepitreben...

Pa ne samo 445. Celo plejado portov potrebuje, pa še dinamične poleg vsega, da ja nebi bilo slučajno preveč enostavno filtrirat tega prometa.

Čim neko orodje zahteva, da imaš stalno odprt SMB v prostranem omrežju, bi jaz šel preverjat, če morda ne obstajajo kakšne alternative oz. alternativne implementacije, katere ne zahtevajo, da imaš SMB omogočen med lokacijami.

Toda tudi če nisi tako zelo strikten, si lepo narediš spisek portov, ter dovoliš promet po teh portih izključno do sccm strežnikov, bi še vedno moral dobivati alarmne signale, če odjemalci na enem koncu omrežja skušajo vzpostavljati povezave do drugih naslovov razen sccm strežnikov.

Teoretično.....

V praksi.... so se zadnje čase pričela pojavljati poročila o incidentih, kjer so najprej vdrli v omrežje podjetja, ki vzdržuje stranke kot npr. LL. Preko tega omrežja in orodij kot sccm pa so potem zlahka distribuirali malware do njihovih strank.
Kar potem sledi pa ni za nikogar zabavno.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

Na tem mestu bi jaz pripomnil, da tele je6e s SCCMjem ne bi bilo, če bi na klientih uporabljali npr. Linukse, ker za uporabo Winsev v resnici ni posebnega razloga. :D

Zgodovina sprememb…

  • spremenil: tony1 ()

dronyx ::

knesz je izjavil:

- nekdo ni naredil tisto, kar bi moral

Kot je že nekdo omenil je to tako kot pri avtomobilskih nesrečah. Vedno si lahko kriv, ker nisi vožnje prilagodil razmeram na cesti.

Če vse posodabljaš in kaj neha delat si kriv, ker nisi šel za vsak popravek najprej testirat čisto vse aplikacije in funkcionalnosti, če slučajno kaj ne pokvari, če ne posodabljaš in to kdo izkoristi si kriv, ker nisi posodabljal, če posodabljaš in ne preverjaš ali je vse pravilno psodobljeno si spet kriv...

SeMiNeSanja ::

tony1 je izjavil:

Na tem mestu bi jaz pripomnil, da tele je6e s SCCMjem ne bi bilo, če bi na klientih uporabljali npr. Linukse, ker za uporabo Winsev v resnici ni posebnega razloga. :D

Aha... ker Linuxa ni pa še nihče zaklenil?

dronyx je izjavil:

knesz je izjavil:

- nekdo ni naredil tisto, kar bi moral

Kot je že nekdo omenil je to tako kot pri avtomobilskih nesrečah. Vedno si lahko kriv, ker nisi vožnje prilagodil razmeram na cesti.

Če vse posodabljaš in kaj neha delat si kriv, ker nisi šel za vsak popravek najprej testirat čisto vse aplikacije in funkcionalnosti, če slučajno kaj ne pokvari, če ne posodabljaš in to kdo izkoristi si kriv, ker nisi posodabljal, če posodabljaš in ne preverjaš ali je vse pravilno psodobljeno si spet kriv...

Včasih so to povedali tako:

Kakorkoli se obrneš, vedno imaš rit zadaj.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

tony1 ::

Ne bodi preveč napihnjen, ker škodi tvoji verodostojnosti.

Linukse na klientih zato, ker bi bilo tvoje statično zapiranje portov tako enostavnejše in ker bolj enostavnega primera okolja, kjer se Oken ne rabi, kot so lekarniški "terminali" ni tako lahko najti. >:D
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjev

Oddelek: Novice / Varnost
186979 (3867) Horas
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12631196 (17796) acookook
»

(Komentar) Dva kilograma informacijske varnosti, prosim

Oddelek: Novice / Varnost
3910322 (6852) sunshine403
»

Ko napade malware, se bolnišnice ustavijo

Oddelek: Novice / Varnost
2512930 (11629) starfotr
»

Ljubljanske lekarne IT problem (strani: 1 2 )

Oddelek: Informacijska varnost
5713015 (9869) estons

Več podobnih tem