» »

Lekarne Ljubljana žrtev izsiljevalskega virusa

1
2
3

SeMiNeSanja ::

tony1 je izjavil:

Ne bodi preveč napihnjen, ker škodi tvoji verodostojnosti.

Linukse na klientih zato, ker bi bilo tvoje statično zapiranje portov tako enostavnejše in ker bolj enostavnega primera okolja, kjer se Oken ne rabi, kot so lekarniški "terminali" ni tako lahko najti. >:D

Pa ti gredo na Linux nabit Sambo in si že skoraj na istem, kot pri Windozah.

Sem ne tako dolgo nazaj postavljal striktno filtriranje za en Linux spletni server v povezavi z kontejnerji in git-om, z auto-update-om in obnavljanjem certifikatov.

Takrat šele vidiš, da tudi Linux ni 'angelček', kar se tiče komuniciranja na vse žive konce in kraje.
Ti lahko priporočim to vajo, pa da vidiš, kaj vse mu boš moral dovoliti, da se posodabljanje ne podre. Dejansko vse skupaj izpade bistveno bolj 'umazano' in 'razmetano' kot pri Windozah.
Toda to nebi smelo nikogar presenečati, saj imamo pri Linuxu opraviti z goro na kup znešenih in za silo zlepljenih rešitev, ki vsaka ima neke svoje fore in finte v ozadju. Medtem ko pri Windows praktično vse posodabljanje pokriješ s parimi osnovnimi Microsoft in Windows FQDN-i, imaš pri Linuxu opravka z celim nizom nekih domen, za katere ti tudi bog ne ve povedat koliko je katera legit ali ni.

Nope, it's not funny!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

(Najprej še replika na tvoj prejšnji guglov link: takšnega malwara je verjetno kakšen odstotek glede na Okenske variante, kar jasno pove že prvi zadetek.)

Daj ne napletaj na dolgo in široko, lekarniški terminal ni web in ne samba server. Firma kot je LL bi seveda imela interni server za nalaganje updejtov po klientih, kar je enostavno narediti.

In seveda lahko nadaljujeva tudi, koliko dinamičnih port rangov bi bilo v taki rešitvi treba odpirati za katerikoli servis. (Odgovor je: prav nobenega.) Ta strah je na sred votel okrog kraja ga pa nič ni.>:D Ker si sam pojamral nad MS orodjem, sem ti predlagal rešitev. Pa ti tudi ta ni všeč. :P

Pravzaprav ni posebnega razloga, da bi na lekarniških terminalih sploh imeli dostop do neta in e-pošte, za to naj imajo računalnike v "pisarni" in ne za pultom. Na tak način bi vsaj "neserverski" del izdajanja zdravil rešili pred zadnjim incidentom. Če bi sploh kaj pomagalo, ker še ni jasno od kod je kripto prišel v sistem.

Mr.B ::

tony1 je izjavil:

(Najprej še replika na tvoj prejšnji guglov link: takšnega malwara je verjetno kakšen odstotek glede na Okenske variante, kar jasno pove že prvi zadetek.)

Daj ne napletaj na dolgo in široko, lekarniški terminal ni web in ne samba server. Firma kot je LL bi seveda imela interni server za nalaganje updejtov po klientih, kar je enostavno narediti.

In seveda lahko nadaljujeva tudi, koliko dinamičnih port rangov bi bilo v taki rešitvi treba odpirati za katerikoli servis. (Odgovor je: prav nobenega.) Ta strah je na sred votel okrog kraja ga pa nič ni.>:D Ker si sam pojamral nad MS orodjem, sem ti predlagal rešitev. Pa ti tudi ta ni všeč. :P

Pravzaprav ni posebnega razloga, da bi na lekarniških terminalih sploh imeli dostop do neta in e-pošte, za to naj imajo računalnike v "pisarni" in ne za pultom. Na tak način bi vsaj "neserverski" del izdajanja zdravil rešili pred zadnjim incidentom. Če bi sploh kaj pomagalo, ker še ni jasno od kod je kripto prišel v sistem.

Sej so meli, samo so bili povezani v isti net.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Invictus ::

Kaj ti pomaga Linux, če pa ima vsak user zaradi udobnosti adminov pol root pravice?

Ali pa je gor samo en user, po možnosti root?

Ali pa kar vse skupaj laufajo na sys level 3, ker pol ni nobene administracije klientov?

Ajde, je malo manj možnosti, ker ni toliko virusov, ampak butast uporabnik in admin je vedno tu :)).

Linux okolje moraš ravno tako zaščititi kot Windows okolje... In tudi dostikrat na enak način, vsaj na nivoju mreže ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

SeMiNeSanja je izjavil:

Ti lahko priporočim to vajo, pa da vidiš, kaj vse mu boš moral dovoliti, da se posodabljanje ne podre. Dejansko vse skupaj izpade bistveno bolj 'umazano' in 'razmetano' kot pri Windozah.
Toda to nebi smelo nikogar presenečati, saj imamo pri Linuxu opraviti z goro na kup znešenih in za silo zlepljenih rešitev, ki vsaka ima neke svoje fore in finte v ozadju. Medtem ko pri Windows praktično vse posodabljanje pokriješ s parimi osnovnimi Microsoft in Windows FQDN-i, imaš pri Linuxu opravka z celim nizom nekih domen, za katere ti tudi bog ne ve povedat koliko je katera legit ali ni.

S temle se pa ne strinjam.

Komot gor namestič distro, v katerem nastaviš svoje lokalne repozitorije, in pa seveda auto update.

Vsako posodobitev najprej preveriš, in če deluje kot je treba, enostavno pushneš na svoj repo. Od tam naprej se avtomatsko namesti po mašinah.

Prav tako je v Linuxu zelo enostavno upravljanje firewalla - tudi za povezave navzven. Res je sicer, da je treba malo naštudirati iptables, ampak ko imaš to narejeno kar dela. In s posodobitvijo ne neha delat samo od sebe.

Začetni vložek je morda malenkost večji, ampak potem je pa zadeva praktično na avtopilotu. Edini problem je, da je ljudi, ki ti znajo namestiti in nastaviti Linux, relativno malo. Posledično so tudi njihove urne postavke večje.

Pa seveda še politični problem. Če bi ITjevec namestil Linux in bi šlo kaj narobe, bo kriv on osebno. Če pa namesti Windowse ("Tako kot vsi"), pa gre kaj narobe, pa to ni njegov problem...
sudo poweroff

SeMiNeSanja ::

tony1 je izjavil:

(Najprej še replika na tvoj prejšnji guglov link: takšnega malwara je verjetno kakšen odstotek glede na Okenske variante, kar jasno pove že prvi zadetek.)

Daj ne napletaj na dolgo in široko, lekarniški terminal ni web in ne samba server. Firma kot je LL bi seveda imela interni server za nalaganje updejtov po klientih, kar je enostavno narediti.

In seveda lahko nadaljujeva tudi, koliko dinamičnih port rangov bi bilo v taki rešitvi treba odpirati za katerikoli servis. (Odgovor je: prav nobenega.) Ta strah je na sred votel okrog kraja ga pa nič ni.>:D Ker si sam pojamral nad MS orodjem, sem ti predlagal rešitev. Pa ti tudi ta ni všeč. :P

Pravzaprav ni posebnega razloga, da bi na lekarniških terminalih sploh imeli dostop do neta in e-pošte, za to naj imajo računalnike v "pisarni" in ne za pultom. Na tak način bi vsaj "neserverski" del izdajanja zdravil rešili pred zadnjim incidentom. Če bi sploh kaj pomagalo, ker še ni jasno od kod je kripto prišel v sistem.

Moj point je bil v tem, da "uporabi Linux" ne reši vseh težav, uvaja pa nove, Linux specifične.

Na koncu potem rabiš še admine, ki obvladujejo tako Linux, kot tudi Windows svet. Tu pa imaš že resne težavem ker se 'ta zagrizeni Linuxaši' Windows-ov iz ideoloških razlogov niti s palico nebi dotaknili.

Drugače pa kar je nekdo omenjal glede ločenega omrežja za blagajne. V bistvu bi že zaradi PCI DSS morali imeti ta del omrežja ločenega od preostalega. Ampak pri nas se nihče ne obregne ob PCI DSS, pa čeprav dnevno procesirajo nevem koliko transakcij z kreditnimi karticami.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

poweroff je izjavil:

SeMiNeSanja je izjavil:

Ti lahko priporočim to vajo, pa da vidiš, kaj vse mu boš moral dovoliti, da se posodabljanje ne podre. Dejansko vse skupaj izpade bistveno bolj 'umazano' in 'razmetano' kot pri Windozah.
Toda to nebi smelo nikogar presenečati, saj imamo pri Linuxu opraviti z goro na kup znešenih in za silo zlepljenih rešitev, ki vsaka ima neke svoje fore in finte v ozadju. Medtem ko pri Windows praktično vse posodabljanje pokriješ s parimi osnovnimi Microsoft in Windows FQDN-i, imaš pri Linuxu opravka z celim nizom nekih domen, za katere ti tudi bog ne ve povedat koliko je katera legit ali ni.

S temle se pa ne strinjam.

Komot gor namestič distro, v katerem nastaviš svoje lokalne repozitorije, in pa seveda auto update.

Vsako posodobitev najprej preveriš, in če deluje kot je treba, enostavno pushneš na svoj repo. Od tam naprej se avtomatsko namesti po mašinah.

Prav tako je v Linuxu zelo enostavno upravljanje firewalla - tudi za povezave navzven. Res je sicer, da je treba malo naštudirati iptables, ampak ko imaš to narejeno kar dela. In s posodobitvijo ne neha delat samo od sebe.

Začetni vložek je morda malenkost večji, ampak potem je pa zadeva praktično na avtopilotu. Edini problem je, da je ljudi, ki ti znajo namestiti in nastaviti Linux, relativno malo. Posledično so tudi njihove urne postavke večje.

Pa seveda še politični problem. Če bi ITjevec namestil Linux in bi šlo kaj narobe, bo kriv on osebno. Če pa namesti Windowse ("Tako kot vsi"), pa gre kaj narobe, pa to ni njegov problem...


Gledaš z drugega zornega kota - da si upravljalec Linuxa.

Čim nisi upravljalec, niti nimaš dostopa ali besede kako in kaj se naj naštima tisti Linux, je situacija povsem drugačna.

Pa tudi IPtables... ja jih imaš...ampak za posodabljanje na koncu vržeš noter, da sme komunicirati kamorkoli po portu 443, ker se tipičnemu adminu tudi slučajno ne sanja, do katerih naslovov bo sistem vse moral dostopati, da se bo posodabljal (če smo realni: koliko uporabnikov poznaš, ki na svojih linux skatlah striktno filtrirajo odhodni promet, vključno z https?). Zgolj za samodejno posodabljanje certifikatov sem moral dovoliti celo kopico naslovov, pa se mi tudi slučajno ne sanja zakaj vraga rabi dostopati do vsega živega, če bi po kmečki pameti rabil zgolj dostop do letsencrpt-a.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

SeMiNeSanja je izjavil:

tony1 je izjavil:

(Najprej še replika na tvoj prejšnji guglov link: takšnega malwara je verjetno kakšen odstotek glede na Okenske variante, kar jasno pove že prvi zadetek.)

Daj ne napletaj na dolgo in široko, lekarniški terminal ni web in ne samba server. Firma kot je LL bi seveda imela interni server za nalaganje updejtov po klientih, kar je enostavno narediti.

In seveda lahko nadaljujeva tudi, koliko dinamičnih port rangov bi bilo v taki rešitvi treba odpirati za katerikoli servis. (Odgovor je: prav nobenega.) Ta strah je na sred votel okrog kraja ga pa nič ni.>:D Ker si sam pojamral nad MS orodjem, sem ti predlagal rešitev. Pa ti tudi ta ni všeč. :P

Pravzaprav ni posebnega razloga, da bi na lekarniških terminalih sploh imeli dostop do neta in e-pošte, za to naj imajo računalnike v "pisarni" in ne za pultom. Na tak način bi vsaj "neserverski" del izdajanja zdravil rešili pred zadnjim incidentom. Če bi sploh kaj pomagalo, ker še ni jasno od kod je kripto prišel v sistem.

Moj point je bil v tem, da "uporabi Linux" ne reši vseh težav, uvaja pa nove, Linux specifične.

Na koncu potem rabiš še admine, ki obvladujejo tako Linux, kot tudi Windows svet. Tu pa imaš že resne težavem ker se 'ta zagrizeni Linuxaši' Windows-ov iz ideoloških razlogov niti s palico nebi dotaknili.

Drugače pa kar je nekdo omenjal glede ločenega omrežja za blagajne. V bistvu bi že zaradi PCI DSS morali imeti ta del omrežja ločenega od preostalega. Ampak pri nas se nihče ne obregne ob PCI DSS, pa čeprav dnevno procesirajo nevem koliko transakcij z kreditnimi karticami.


Prej sva prišla do sklepa, da bi bil attack surface z LinuksiTM zmanjšan za 99%. Za voljo debate se strinjam, da dajmo reči, da je zmanjšan samo za 90%.

Je to vredno dovolj, da bi firma, ki zagotavlja javno storitev, ki je pomembna za družbo, morala o izobraževanju kadra o LinuksihTM narediti vsaj resen razmislek?

Pravzaprav ne bi bilo prav nič narobe, če bi takšno politiko predpisala kar država. (Seveda, sanja svinja kukuruz. :)) Ampak, kaj pa bo, ko bo nekoč takšen brezvezen kripto virus uletel v elektro distribucijo? Javni vodovod? Hm... 8-))

Ampak, kakorkoli, dajmo se strinjati vsaj o naslednjem:
-v izobraževanje o inf. varnosti je treba vlagati več in to na nivoju VSEH zaposlenih
-v LASTEN inf. kader je treba vlagati več, kar bi omogočalo dobiti boljši LASTEN kader, ki bi se bil pripravljen izobraževati več kot se je trenuten...

poweroff ::

SeMiNeSanja je izjavil:


Gledaš z drugega zornega kota - da si upravljalec Linuxa.

Čim nisi upravljalec, niti nimaš dostopa ali besede kako in kaj se naj naštima tisti Linux, je situacija povsem drugačna.

Ja kako imajo pa sedaj? Navadni uporabniki nimajo besede pri Windowsih, upravljavci Windowsov pa seveda določijo policye...

SeMiNeSanja je izjavil:


Pa tudi IPtables... ja jih imaš...ampak za posodabljanje na koncu vržeš noter, da sme komunicirati kamorkoli po portu 443, ker se tipičnemu adminu tudi slučajno ne sanja, do katerih naslovov bo sistem vse moral dostopati, da se bo posodabljal (če smo realni: koliko uporabnikov poznaš, ki na svojih linux skatlah striktno filtrirajo odhodni promet, vključno z https?). Zgolj za samodejno posodabljanje certifikatov sem moral dovoliti celo kopico naslovov, pa se mi tudi slučajno ne sanja zakaj vraga rabi dostopati do vsega živega, če bi po kmečki pameti rabil zgolj dostop do letsencrpt-a.

Glede posodabljanja sem povedal kaj narediš - lasten (interno dostopen) APT repozitory. Da se nastaviti tudi per application firewall. Se pravi mail client dostopa samo do corporate mail serverja, Firefox do Googla, wikipedije in ne vem še česa (ali pa nastaviš, da recimo lahko dostopa povsod, samo na Kitajsko ne), in tako dalje. Spišeš skripto enkrat, daš deploy in je problem rešen.
sudo poweroff

Invictus ::

Problem pri varnosti je enak kot pri nadzoru.

Nihče tega ne rabi dokler ni pizdarije.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

@Matthai - narobe se razumeva.

Ti govoriš o tem kaj je možno, jaz pa o tem, kaj v realnosti srečuješ po podjetjih.

Zato sem tudi vprašal, koliko jih poznaš, ki imajo stvari pošlihtane tako kot ti praviš, da se jih 'lahko'.

Drugače pa se tudi za Windows lahko WSUS strežnik postavi lokalno itd. itd. Neodvisno od OS-a se da ogromno naresti. Problem je le v 'mojstrih', ki to tudi dejansko obvladajo, pa poleg tega še vidijo 'big picture'.

Neredko se potem zna zgoditi, da nekdo, ki je res obvladal stvari poštima v nulo (neodvisno kaj za en OS imaš). Potem ta mojster odide in za njemu pridejo drugi, ki niti približno ne razumejo, kaj je to bilo naštimano. Stvari jim hodijo v napoto, začno razdirati zadeve in na koncu od odličnop zastavljenega koncepta ostane ena figa.

Banalen primer: stranka kupi in ji postavim firewall. Nekega dne nabavijo nek novi antivirus, ki jim ga pride namestiti nek 'mojster'. Ker je firewall restriktivno nastavljen, 'mojstru' ne dovoli, da bi z interneta prenesel distribucijo AV programa.
Kaj naredi 'mojster'? Switch namesto v firewall pretakne v ISP usmerjevalnik tistih par računalnikov pa skonfigurira na statične IP naslove. Firewall preskoči....in nikomur nič o tem ne pove.

Eto... še par takih primerov poznam z podobno pametnimi 'mojstri', ki so naredili obvoze okoli firewall-a, ne da bi koga kaj vprašali ali kaj povedali.

Ne vem, ali je kriv prevelik ego teh 'mojstrov', da ne upajo priznati, da jim ni jasno zakaj je nekaj postavljeno kakor je postavljeno, ali so enostavno zgolj kriminalno butasti. Kaj vraga te stane vprašat "Zakaj pa imate to tako narejeno? Kdo vam je pa to naredil? Se ga da dobit an telefon...?"
Kamorkoli pridem, je najtežji del "arheologija", da sploh ugotoviš kaj je kaj in meni nikoli ni bilo nerodno spraševati zakaj je nekaj tako in ne drugače narejeno. Da bi pa brez vprašanja podrl nekaj, za kar ne vem čemu je bilo namenjeno, mi pa tudi slučajno ni nikoli padlo na pamet.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

BigWhale ::

poweroff je izjavil:

Se pravi nekdo je slabo postavil backupe.

Kako je pa kaj omrežje segmentirano?

A niso pri S&T tudi neki infosec stručkoti? A so bili predragi, pa bo zdaj ceneje zadeve reševati za nazaj...

In pa seveda: kaj počnejo naši organi, glede na to, da gre za kritično infrastrukturo?


Zakaj slabo postavil backupe? Ce imas sistem okuzen tri mesece in se sele po treh mesecih zadeva aktivira, ti noben backup ne pomaga. Sistem moras postavit znova in drzt pesti, da so vsaj dataases OK.

Naslednji level crypto virusov bo tko al tko tak, da bodo se SQL transakcije prestrezal in kriptiral. :>

dronyx ::

Ne vem, ali je kriv prevelik ego teh 'mojstrov'...

Tu gre po moje za napačno postavljen sistem, če lahko vsak "mojster" počne kar hoče ali se mu zdi prav. Vedno moraš imeti nekoga, ki je za to odgovoren in mu je poznana "big picture". Ta potem lahko nek poseg potrdi ali zavrne. To, da nek "mojster" lahko poljubno prestavlja omrežne priključke ali nenazadnje dodeljuje vse možne pravice, dokler nekaj ne dela, vodi v težave. Pa takih primerov je kolikor hočeš v praksi, ker se ne postavi sistema za upravljanje in dokumentiranje sprememb. Marsikdo pa to razume kot nepotrebno birokracijo, ki delo "mojstrom" samo otežuje.

Zgodovina sprememb…

  • spremenil: dronyx ()

Invictus ::

Večinoma je problem v samem nadzoru.

Neki "majster" nekaj spremeni, pa nima nadzornega sistema, ki bi ga na to opozoril.

Konfiguracije še zdaleč niso v kakem version controlingu, kjer bi jih lahko samo s skripto ponovno naložil.

Pač nivo garažnih firm, ki so praktično vse IT firme v Sloveniji, če pa že one niso, so pa IT oddelki, ki so stranke :P.

Računalništvo je v Sloveniji mlada veda, zato so notri večinoma še ljudje, ki so včasih švercali PCje, problem je samo, da je mentaliteta še v tistih časih...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

tony1 je izjavil:


Prej sva prišla do sklepa, da bi bil attack surface z LinuksiTM zmanjšan za 99%. Za voljo debate se strinjam, da dajmo reči, da je zmanjšan samo za 90%.

Je to vredno dovolj, da bi firma, ki zagotavlja javno storitev, ki je pomembna za družbo, morala o izobraževanju kadra o LinuksihTM narediti vsaj resen razmislek?

Pravzaprav ne bi bilo prav nič narobe, če bi takšno politiko predpisala kar država. (Seveda, sanja svinja kukuruz. :)) Ampak, kaj pa bo, ko bo nekoč takšen brezvezen kripto virus uletel v elektro distribucijo? Javni vodovod? Hm... 8-))

Ampak, kakorkoli, dajmo se strinjati vsaj o naslednjem:
-v izobraževanje o inf. varnosti je treba vlagati več in to na nivoju VSEH zaposlenih
-v LASTEN inf. kader je treba vlagati več, kar bi omogočalo dobiti boljši LASTEN kader, ki bi se bil pripravljen izobraževati več kot se je trenuten...

Kar se mene tiče, bi vsi blagajniški terminali lahko bili dejansko TERMINALI (nima zdaj veze ali X-terminali ali neke vrste RDP terminali - karkoli, kar je 'hardened' in komunicira izključno z enim hostom, ki je zaradi mene lahko tudi ustrezno vzdrževani Linux). Že zgolj s tem, da segment omrežja 'zakleneš', da na njemu dovoliš le promet preko SSH in še to izključno med strežnikom in odjemalci, si se rešil ogromno težav.

Četudi se morda tebi tako zdi - jaz nimam prav nič proti Linuxu. Samo nekako ne prenesem, da se ga proglaša za instant rešitev vseh problemov, ki jih v IT srečujemo.
Pravzaprav sploh ne vem, zakaj tak rompompom glede Linuxa, ker sem sam pred Linuxom imel kup opravkov z raznoraznimi čistokrvnimi Unix-i in VMS-om, pa ti na koncu nekako preseda to neprestano nabijanje o nekakšni 'superiornosti' Linuxa. To izvira nekje 25 let nazaj, ko me je ISP 'nategnil', da sem FreeBSD vrgel dol z računalnika, ki je služil kot router in namestil 'superiorni' Linux, ki naj bi kao 'rešil vse težave'...pa se je na koncu izkazalo, da je bila težava v resnici v providerjevi routing tabeli, ne pa v ne-uporabi 'superiornega' OS-a.

Od takrat mi gredo dlake pokonci, ko nekdo začne omenjati Linux, kot nekaj 'superiornega'. Je OS kot vsi ostali. Ima prednosti, ima slabosti. Za ene reči je bolj primeren, za druge manj. To je pa tudi to. Nič ni čudežnega. Je točno toliko dober, kot je dober tisti, ki ga upravlja in/ali uporablja. Vse ostalo je čisti bullshit.

Drugče pa je država še ne tako dolgo nazaj sprejela zakon o informacijski varnosti, ki naj bi pokrival 'kritično infrastrukturo', torej tudi elektro in ostalo, kar si imel v mislih.

Samo ne vem, kako je z izvajanjem tega zakona.... mislim da precej šepavo....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

SeMiNeSanja je izjavil:


Ti govoriš o tem kaj je možno, jaz pa o tem, kaj v realnosti srečuješ po podjetjih.

Zato sem tudi vprašal, koliko jih poznaš, ki imajo stvari pošlihtane tako kot ti praviš, da se jih 'lahko'.
...
Neredko se potem zna zgoditi, da nekdo, ki je res obvladal stvari poštima v nulo (neodvisno kaj za en OS imaš). Potem ta mojster odide in za njemu pridejo drugi, ki niti približno ne razumejo, kaj je to bilo naštimano. Stvari jim hodijo v napoto, začno razdirati zadeve in na koncu od odličnop zastavljenega koncepta ostane ena figa.

Ja, se strinjam. Samo jaz pravim, da je problem, da je v ITju ogromno šalabajzarjev. Recimo, zna poklikat par stvari v Windowsih 10 in to je to. A misliš, da bo ta človek uporabil kaj drugega kot Windows? Seveda ne.

Če imaš v roki samo kladivo, potem je vsak problem videti kot žebelj. Saj ne rečem, s kladivom (ok, kladivcem) se da tudi zobe popravljati... ampak je če popravljaš zobe je vseeno dobro, da si vsaj slišal že za sveder...

Sicer pa... recimo, da bi jaz prišel 3 mesece nazaj na Lekarno Ljubljana in jim rekel, da jim za 1 milijon poštimam IT v nulo, da ne bodo v prihodnosti slučajno imeli kakšnih problemov s kripto virusi... kaj mislite, bi se zgodilo?

Ali bi letel ven skozi okno, ali pa bi tajnica klicala rešilca, ker se direktor in vodja ITja ne moreta nehati smejati.

No, danes se direktor in ITjevec ne smejita več... pa iz današnje perspektive bi bil tisti milijon še poceni... ;)
sudo poweroff

Utk ::

Tudi danes bi se enako smejali, če ne bi ti za tist milijonček jamčil s svojima dvema za pokritje škode ko bi šlo naslednjič spet kaj narobe...

tony1 ::

Tudi, če bi hotel samo 5 jurjev, te ne bi šmerglali pet posto.

poweroff ::

SeMiNeSanja je izjavil:

Od takrat mi gredo dlake pokonci, ko nekdo začne omenjati Linux, kot nekaj 'superiornega'. Je OS kot vsi ostali. Ima prednosti, ima slabosti. Za ene reči je bolj primeren, za druge manj. To je pa tudi to. Nič ni čudežnega. Je točno toliko dober, kot je dober tisti, ki ga upravlja in/ali uporablja. Vse ostalo je čisti bullshit.

Načeloma se strinjam. Mislim, če vzameš enega mulčka brez nekega znanja, in mu daš za postavit Linux ali Windows kišto, bo rezultat v obeh primerih enak - katastrofa. Mogoče z eno razliko. Linux bo po defaultu vseeno malo bolj varen, če ne zaradi drugega pa vsaj zato, ker je manj razširjen.

Po drugi strani je kvalitetno postavljen Linux server načeloma povsem enakovreden kvalitetno postavljenemu Windows serverju. Problem je, da je strokovnjakov, ki to znajo relativno malo. Na področju Linuxa pa sploh zelo malo. Posledično so njihove ure dela toliko višje.

Direktorja pa zanima za koliko bo izpeljal projekt. V javnem sektorju celo šteje zgolj najcenejša ponudba...

Utk je izjavil:

Tudi danes bi se enako smejali, če ne bi ti za tist milijonček jamčil s svojima dvema za pokritje škode ko bi šlo naslednjič spet kaj narobe...

Glede jamstev je pa zadeva jasna.

Jamčiš za to, da bo delo opravljeno strokovno. Se pravi. če si bil malomaren, boš plačal.

Če pa zahtevajo jamstvo za škodo ali kaj takega... eeee, potem so pa cene temu primerne.

Če firma hoče jamstvo, da v primeru totalnega fu***pa sistem postavim v delujoče stanje v enem dnevu, sicer pa je za vsak dan treba plačati 10 k penalov... ja, potem bo pa cena vzdrževalne pogodbe temu primerna.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

SeMiNeSanja ::

@Matthai - o temu ali je Linux bolj varen kot Windows je bilo že nevem koliko svetih vojn, ki pa ponavadi sploh ne upoštevajo realnih danosti in so čisto emocionalno podžgane.

Ranljivost nekega sistema je v prvi vrsti odvisna od tega, če imaš na njemu interaktivnega uporabnika z dostopom do spletnega brskalnika in elektronske pošte. To ti je grožnja št.1 - ne glede na to, kateri OS poganjaš spodaj.

Nato pridejo na vrsto servisi, kateri na sistemu komunicirajo z mrežo. Več kot jih je, večja je verjetnost, da se med njimi nahaja kakšen ranljiv. Več kot imaš ranljivih servisov, večji problem imaš. Če je kateri od teh servisov neposredno izpostavljen komunikaciji z internetom, imaš še večji problem. Ne glede na OS.

Glede na OS pa je tu v principu Linux za malenkost na boljšem, ker je bistveno bolj špartanski, ne predstavlja tako širokega 'ekosistema' nekih kurioznih servisov, za katere na Windows-ih redko kdo sploh ve, čemu vsak posebej služi in katere bi v principu brez bojazni lahko izključil.
Pri Linuxu točno veš, kateri so osnovni TCP servisi, kaj si dal na voljo (po defaultu zelo malo) in to je to. Slika ni nujno tako čista, ko se prične nameščati vse sorte krame, da se olajša življenje uporabniku in administraciji. Vsaka stvar, ki jo dodaš, sploh če ta 'stvar' komunicira z omrežjem, povečuje potencialno ranljivost.
Skratka, dokler sistem držiš špartanskega, si malo na boljšem.
Pa še lažje ga je vzdrževati.

No, slednje velja tudi za Windows - manj solate vlačiš nanj, bolj mirno lahko spiš.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Janezvdc ::

Evo kolegi, dajmo LL malo gratis nasvetov, ker tudi tista slika od vodje IT v LL, ki jo ima na spletu, mi ne vliva nekega strokovnega zaupanja.
OK, pa začnimo bi rekel Hugo. Da nastane takšen incident (nova Sigma) pomeni, da v LL obstajajo najmanj tri zelo velike "varnostne luknje".
Torej najprej kaj vse v LL ni OK (čeprav bi moral v prvi vrsti to vedeti S & T ):
! Sveto pismo - nova zaveza alias tehnična varnostna polika (podjetja imajo varnostne politike samo za uporabnike na pa za IT kader),
kjer se definirajo politike, nivo obrambnih mehanizmov in odgovorne osebe:
1. obrambna linija - "next generaton" požarna pregrada in protivirusni sistem ter usposobljen kader, ki spremlja morebitne incidente
na požarni pregradi in ki nadzoruje in ustrezno odpira porte/vrata,
2. segmentacija omrežja in ustrezno naslavljanje IP naslovov (statični, dinamični)
3. ustrezna SIEM orodja za nadzor omrežja in sistemov
4. če imajo to OK in je napadalec/virus to vseeno prebil in prišel do operacijskih sistemov - eni se kregate glede pomanjkljivosti
Windows in Linux, ampak verjetno sta oba ranljiva. Kako se na tem nivoju zaščititi:
a) najmanj backup operacijskih sistemov ali imeti na razpolago cel rezervni strežnik
b) administratorka gesla (!) - da se je virus tako globoko razširil pomeni, da so administratorska gesla neustrezno zaščitena in
da se tudi na neprimeren način vsakodnevno uporabljajo zato je možno, da je lahko prišel tudi preko "navadnega" uporabnika preko
elektronske pošte s prilogo.,
c) ker so zunanji izvajalci leni in si v pogodbah izborijo oddaljene dostope do IS (nivoja operacijskega sistem), bi moral LL
za kakršnekoli oddaljene dostope imeti jasna pravila in vsakič odklopiti zunanjega izvajalca, ko ta neha delati, ker je lahko
virus prišel tudi po tej poti,
d) kaj je lahko še pomanjkljivo na tem nivoju? Ali je virus okužil sistemske datoteke in zaklenil/šifriral bazne datoteke.
Če je zašifriral podatkovne datoteke, potem, bi moral IS oz. aplikacije takoj dol pasti ne pa, da je sistem počasi odpovedoval?
5. ali je virus izkoristil napake operacijskega nivoja in se infiltriral na nivo aplikacij in (baz) podatkov, kar pomeni da je LL
verjetno kršila evropsko GDPR uredbo in je virus okužil aplikacije, ki so na ta način začele obremenjevati memorijo, dokler se ni sistem ustavi?
---
OK ugotoviš, da si okužen, kaj pa sedaj?
1. Ker verjetno pravega BCP/DRPja oz. scenarija za takšne primere nimajo, so morali ugotoviti, kaj jih je sploh zadelo oz. so morali ugotoviti
od kje težava da IS ne dela.
2. Ugotoviš, da so te napadli in da imaš šifrirane podatke do katerih ne moreš --> Nočeš plačati odkupnine, ker imaš backupe
(vsaj tako razlaga dr. Sedej). Ugotoviti moraš na katerih podatkih imaš še neokužene arhivske datoteke in se odločiš za restore
celotnega sistema. To lahko narediš, če delaš ustrezne dnevne in mesečne backupe, drugače si bolj mrzel. Rezervni center ti ne
pomaga, ker se tja on-line kopira produkcijski sistem, kar pomeni, da je tudi ta okužen.
3. Pobrišeš vse okužene sisteme in jih na novo naložiš z operacijskim sistemom, bazami podatkov in na novo prevedenimi aplikacijami
4. Ročno moraš vnesti manjkajoče podatke (to pa sedaj ne vem kako jim bo uspelo, ker so elektronski recepti?).
---
A rabiš za to 3 dni? Če bi bil jaz CIO verjetno toliko časa ne bi rabil.

Evo, napišite in dodajte kakšne pozitivne komentarje. Verjetno sem kaj pozabil, ker nisem vseved kot nekateri.

malisvizec ::

Menim da obstaja zelo enostaven postopek za bistveno znizanje tovrstnega tveganja. 1. virtualizacija sistema
2. centralno upravljana aplikacija, tehnologija ni pomembna (rdp, C/S, web, terminal, ..)
3. urni snapshoti masin in replikacija na par lokacij
4. robot s trakovi ali diski (ja da gredo podatki v offline)

restore sistema je tako mozen v parih urah. Bistven je namrec disaster recovery procedure. Se pravi sistem se vedno nacrtuje od zadaj naprej. Koliko je max cas izpada in potem temu prilagi sistem. Za LL bi ocenil da je max cas 4 do 6 ur.

lp

dronyx ::

Kakor sam opažam take firme kot so LL in še precej večje dostikrat sploh nimajo več nikakršnega lastnega IT, ampak samo dobro plačanega "managerja", ki je odgovoren za to področje in še kaj zraven (finance, informatiko, splošne zadeve...). Ta ponavadi sploh ni nek strokovnjak za IT, ampak skrbi samo da so odpisane pogodbe z zunanjimi izvajalci. Denar pa ponavadi v takih firmah ni nikakršen problem, tako da so pogodbice za IT ponavadi kar konkretne.

Samo lasten kader običajno čuti neko pripadnost kolektivu in mu ni vseeno, medtem ko je zunanjim izvajalcem pomembno zlasti da se dobro zasluži in ne pozabi obračunati vseh potnih stroškov. Tako potem v taki firmi dejansko ni nikogar, ki bi zunanjim izvajalcem "dihal za vrat" in jih nateral, da sistem ustrezno vzdržujejo in tudi poskrbijo za informacijsko varnost. Po moje ta, ki je šef za IT v LL ni še nikdar slišal za kakšne neodvisne varnostne preglede ali kaj podobnega.

Zgodovina sprememb…

  • spremenil: dronyx ()

Janezvdc ::

@malisvizec
Korektno si me dopolnil in mi dal celo nove ideje. Čeprav je tako, tisto kar sem napisal
pod 1, 2 in 3 ostene. Pri rešitvah pod 4. točko pa bi upošteval še tvoje rešitve/ideje.
Sva napisala že varnostno politiko.:)
Ja, če bi imel snapshote (disk image backupe) za primerno časovno obdobje, bi dejansko
na enostaven in hiter način dobil podatke nazaj. Pri LL pa je vprašanje če niso plačali
zahtevka, ker je vprašanje od kdaj je bil backup in kako zagotoviti manjkajoče podatke
od zadnjega backupa do izpada sistema.

@dronky
Po naši zakonodaji je v podjetjih nadzorni svet z svojim premoženjem dogovoren za sprejemanje pravih
predvsem kadrovskih) odločitev. LL je javni zavod, katerega lastnik je MOL in katerega predstavniki
sedijo v svetu zavoda (razne osebe, ki so člani SD, SMC - je pa tudi ena predstavnica SDS).
Uprava je npr. po ZGD odgovorna za upravljanje tveganj. Torej se je uprava LL(g. Sedej) odločil, da je manjši strošek,
če se mu zgodi incident (on pravi, da je škode za 2 mio EUR - nisem pa prepričan, da je ovrednotil tudi škodo
izgube ugleda in izgube poslovnih priložnosti), kot, da zaposli strokovnega/nepolitičnega CIOta in npr. še 5 komeptentnih IT kadrov,
ki bodo upravljali IT.
Strinjam se s teboj, da je predvsem lasten kader pripaden kolektivu. Pravilno upravljanje ITja pa je takšno,
da mora CIO najti pravo ravnotežje izvajanja nalog med notranjimi in zunanjimi kadri, da ne pride do izsiljevanj
ali notranjih ali zunanjih izvajalcev.

SeMiNeSanja ::

Fanta, pozabila sta še na 3 reči....

1.) WiFi - še vedno se uporablja brezžične variante, ki dovoljujejo različne prevare in so lahko izvor okužb (evil twin,itd.)

2.) MFA - če že delaš z občutljivimi podatki, potem uporabljaj tudi večstopenjsko avtentikacijo

3.) Zavaruj se. https://www.triglav.si/zavarovanja/podj...
(če druge zavarovalnice podobno ponujajo preverite sami).

Catch pri tem zavarovanju:
Kaj ni zavarovano?

- Zlonamerno, nepošteno ali malomarno ravnanje zavarovanca;
- dogodki, odkriti s strani zavarovanca, ali dogodki, ki bi jih zavarovanec moral
  odkriti pred začetkom veljavnosti police;
- škoda na osebah zaradi telesne poškodbe, prizadetega zdravja, invalidnosti ali 
  smrti in druge oblike nepremoženjske škode;
- odškodninski zahtevki tretjih oseb, vloženi v Združenihdržavah Amerike ali v 
  Kanadi ali na ozemljih Združenih držav Amerike



No, problematična sta lahko prva dva odstavka.
Kaj če je bila okužba že mesece na omrežju, predenj je 'balon počil'?
In ...KAJ bo zavarovalnica še smatrala kot malomarnost in kaj že kot 'nezgodo'?

V primeri LL bi zavarovalnica zlahka rekla 'niste imeli segmentiranih omrežij, sami krivi'. Pol pa maš... pa še IP RS da se ti potem na žep obesi... lahko nazadnje vse skupaj postane precej drago....

Hudič je le, kje je definicija "malomarnega ravnanja" oz. kaj so tvoje minimalne dolžnosti, da te ne bo nihče mogel obtožiti "malomarnega ravnanja" oz. "neprimerne zaščite".

Smo točno tam kot pri prometu... če si v ovinku zletel s ceste, čeprav si vozil če 20km/h, si še vedno lahko obtožen, da si vozil z neprilagojeno hitrostjo.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

SeMiNeSanja ::

@Dronyx - Ko bi bilo samo to....

(pre)pogosto se srečuješ z podjetji, ki so dejansko kupila solidno opremo/rešitev/software. Skupaj z njo pa 'osnovno namestitev' ali konfiguracijo.

Se obnašajo, kot da bi še vedno imeli lasten kader, ki bo šel na tečajček, potem bo pa že on to naprej porihtal.

Pa jim lahko narediš lep seznam, pisno opozoriš, kaj vse je še treba naresti,.... a hudiča, saj jim ni jasno, da je to res nujno potrebno narest - saj nenazadnje z njihovega laičnega vidika 'vse dela'. Zdaj pa jim razloži, da je to presneto slab kriterij, da 'vse dela', če nimaš sogovornika, ki bi sploh razumel o čem govoriš.

Potem pa naj se na takem omrežju zgodi kakšen incident. Na koga bodo pokazali s prstom?
Hja, sorry prijatelji... bili ste opozorjeni, da ste vzeli zgolj prvo gradbeno fazo. Ne zdaj mene čudno gledat, če imate prepih v bajti!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

johnnyyy ::

malisvizec je izjavil:

Menim da obstaja zelo enostaven postopek za bistveno znizanje tovrstnega tveganja. 1. virtualizacija sistema
2. centralno upravljana aplikacija, tehnologija ni pomembna (rdp, C/S, web, terminal, ..)
3. urni snapshoti masin in replikacija na par lokacij
4. robot s trakovi ali diski (ja da gredo podatki v offline)

restore sistema je tako mozen v parih urah. Bistven je namrec disaster recovery procedure. Se pravi sistem se vedno nacrtuje od zadaj naprej. Koliko je max cas izpada in potem temu prilagi sistem. Za LL bi ocenil da je max cas 4 do 6 ur.

lp


Ta postopek je daleč od tega, da bi bil enostaven. Z virtualizacijo sistem takoj povečaš za krat 2, poleg tega si pridelal še kup strežnikov, ki ti bodo lavfali to virtualizacijo.

Ampak na koncu je še vedno problem konfiguracija. Če se lahko nekdo prikrade v tvoj "centralni update strežnik", kjer imaš posodobitve za gostitelje, boš lahko imel še vedno 250 mrtvih računalnikov na terenu.

poweroff ::

Po moje bi bila opcija, da so računalniki v lekarnah zgolj terminali, baza in vse pa teče na strežniku. Če bi bila aplikacija spletna, bi v bistvu na terminalih potreboval samo brskalnik. Sistem obnoviti do stanja, da zaženeš brskalnik, pa ni tako težko.

Načeloma bi lahko imeli narejeno tako, da bi za vsak računalnik naredili prvo (fresh) kopijo celotnega sistema (recimo z Veeam ali podobnim softwerom), potem pa dnevne ali lahko tudi tedenske inkrementalne backupe. Na oddaljeno lokacijo. Ker če gor laufa samo odjemalec, terminalov ni treba tako pogosto backupirati.

Se pa lahko reši tudi tako, da se backup celotne mašine dela recimo tedensko, backup user profilov pa dnevno ali pogosteje.

Oddaljena backup lokacija pa bi morala biti rešena tako, da je razdeljena na dva dela. Prvi del, na katerega dostopajo backup klienti služi kot "odlagališče" podatkov. Ker imajo klienti geslo, lahko seveda napadalci do tega dostopajo in backup na tem prvem delu okvarijo.

Zato ima ta naprava še drug del, kamor inkrementalno kopira podatke iz prvega dela.

Seveda je pri restavracijo podatkov problem prepustnost omrežja, zato bi lahko rešil takole.

V vsako lekarno bi dal en "lokalni" mini NAS, na katerega bi se delali backupi. V primeru, da gre kaj narobe, bi podatke lahko relativno hitro obnovil. Po možnosti bi zadevo naredil tako, da lahko na remote (recimo ponoči) z WOL zbootaš vse mašine preko LANa in zaženeš restore.

Ta lokalni NAS pa bi se syncal s centralnim NASom. Seveda na način, da bi centralni NAS dostopal do tega lokalnega, in ne obratno. In centralni NAS bi delal inkrementalne kopije lokalnih NASov.

Če bi torej napadalci okvarili backup na lokalnem NASu, bi ga lahko restoral najprej iz centralnega NAS-a, potem pa pushnil nazaj na odjemalce. In če bi bil sistem dobro zdizajniran, bi bilo to mogoče čez noč, razmeroma avtomatizirano.

Kar se tiče pa serverja, bi la delal najprej replikacijo baze, potem pa na par minut tudi inkrementalni backup po istem sistemu kot prej. Pomagalo bi pa tudi, če bi bila baza zasnovana tako, da bi bil možen samo UPDATE in ne tudi DELETE... da se ne bi preveč napihnila, bi pa čez vikend poganjal kakšen cleaning, ampak samo iz lokalne mašine oz. s posebnim accountom.

Verjetno ima sistem še kakšno luknjo, ampak s takim načinom bi po moje kar precej problemov rešil.
sudo poweroff

malisvizec ::

Za podjetje ranga LL ne potrebujes vec kot 1 fizicni streznik z virtualizacijo in kvalitetno napisano aplikacijo za web ali text terminal. Nobene druge opreme za lekarniško poslovanje ne potrebujes.
Take terminale (lahko so pci) reloadas v 10min.
Lepo nazaj tetam v lekarni text mode terminal in bodo 100 bolj produktivne in se oci ne bodo trpele ;)
Vecino vdorov pride preko remote lokacij in preko slabe varnostne politike (beri tehnicnega in procesnega varovanja).

Glede stanja kar ga opazam po podjetjih pa je vecinoma, da oprema je, samo jo kader ne zna uporabiti. To je isto kot da je ni.

Skratka, zaskeli te, ko slišis o takih dogodkih, ker si ne bi zelel biti v kozi udeležencev.

lp

SeMiNeSanja ::

Zanimivo.
Spet se ukvarjamo z 'rescue plan-om' - kaj smo res tako hudičevo šibki pri preventivi?

Kot sem že nešteto krat povedal: ko enkrat potrebuješ backup, si že pošteno zaj* stvar.

Backup je izhod v skrajni sili. Izhod na katerega se ne smeš zanašati. Primer LL je pokazal, da je samo še odpoved Cloud backupa manjkala, pa bi bili preklemansko globoko v težavah (kaj če bi tajnica pozabila plačati račun in bi Cloud backup mrknil...po možnosti celo brez da bi to kdo opazil? Ja, TAKO BANALEN razlog že lahko sesuje izhod v skrajni sili !!!). Tako daleč nikoli ne sme priti.

Sekirate se zaradi blagajniških računalnikov?
Ti so še najmanjši problem, ker jih lahko serijsko nakloniraš v parih urah. Lahko bi celo imel že klonirane 'rescue diske' na zalogi. Dva na podružnico = 100 diskov. Starega izpuliš, novega vstaviš, gremo dalje.

Blagajniški del omrežja (tisti, ki generira promet!) bi moral biti povsem izoliran subnet in v skladu z PCI DSS. Tukaj ni prostora za neko osebno brskanje po internetu in branje mailov. Za to so drugi računalniki na drugih subnetih.
Vsa komunikacija iz tega omrežja mora biti pod strogim nadzorom, default za vse oblike komunikacij pa na 'drop'. Potem pa se definira, kaj dejansko potrebuješ, da komunicira. Toda tudi to izključno do eksplicitno določenih naslovov in portih. Pojem 'Any' se v takem subnetu uporabi izključno za deny pravila.

Se pravi, če imajo 52 poslovalnic, potem imaš 52 blagajniških subnetov, kateri med seboj ne komunicirajo. 52 otočkov. Edina skupna točka teh otočkov je omejena in nadzorovana povezava do aplikativnega strežnika. Idealno bi bilo, če bi do tega strežnika potrebovali zgolj sql, https, ali ssh povezavo - torej da je SMB promet povsem izhključen.

Nekako se trudiš naresti tako separacijo omrežij, da imaš omrežja v omrežju - omrežja ki so maksimalno izolirana in jih ne moreš kar tako sesuti, ne glede na to, kaj se dogaja na ostalih omrežjih. Tudi če nekdo na USB ključku prinese virus (delavka priključi okužen telefon na USB, da bi se polnil?), MORA okužba ostati na nivoju tega lokalnega blagajniškega otočka.

Tudi če je AV in vse ostalo na lokalnih blagajniških računalnikih odpovedal in so se računalniki sesuli ali zaklenili, samo ugasnejo vse računalnike, vzamejo rezervne klonirane diske iz trezorja, jih vstavijo v računalnike in v manj kot 30 minutah že lahko nadaljujejo z delom.

Ker imaš v tem primeru opravka z zelo izoliranim omrežjem, posodabljanje ni tako kritično, kot pri drugih sistemih, ki komunicirajo z internetom in drugimi omrežji. Tako se lahko posodabljanje celo implementira kot mesečni refresh/zamenjava kloniranih diskov, da bi se izognilo odpiranju portov za SMB promet. Rabiš samo par tekačev in postajo za sočasno kloniranje parih diskov. Da ne 'šraufaš' računalnikov pri vsaki menjavi, so ti diski dejansko lahko zunanji na USB3 priključku. Te bi znala zamenjati tudi Jankovičeva farmacevtka, pa če bi imela dve levi roki.

Ko enkrat narediš iz datacentra in blagajniških omrežij 'trdnjavo', pa se lahko lotiš preostalih omrežij, ki potem podlegajo povsem drugim pravilom. Tu se potem ukvarjaš tudi z rednim posodabljanjem in stalnim backup-om.

Bitveno pa je, da tudi tu pogledaš, če morda ni smiselno imeti tudi tu še kakšno dodatno separacijo (npr. ločeni subneti za laboratorije oz. 'proizvodnjo').

Komunikacije med posameznimi subneti pregleduješ z IPS in drugimi razpoložljivimi varnostnimi storitvami (mrežarji najraje vzamejo switch, nabijejo ruting in par ACL-ov in fertig delo - varnost pa... tako slaba, da dovoli širjenje virusov).
Predvsem se držiš principa, da dovoliš izključno tiste vrste prometa, ki so potreben za poslovanje. Vse ostale generirajo log zapise z drop-om, kar se v SIEM-u potem zelo hitro zazna, če se število dropanih poskusov povezav poveča nad povprečje.

--------------
Ja, presneto pestro lahko postane tako omrežje, če se ga lotiš postavljat na nekem malo bolj resnem nivoju.
Imaš veliko dela, toda na koncu ti tako omrežje samo generira indikatorje, da nekaj ni v redu.
Tudi če na koncu nekdo pozaklene vse računalnike v upravnem delu, še vedno lahko nemoteno izdajaš zdravila in ne rabiš zapirati podružnic.
Če si tudi omrežja v upravnem delu pravilno separiral, bi moralo biti tudi tu bistveno oteženo širjenje virusov iz podružnice v podružnico.
Če imaš potem še orodja, kot je TDR, ki zna avtomatično na nivoju kernela odklopiti računalnik z mreže, čim zazna, da je določen prag indikatorjev presežen.

Marsikdo zna postaviti mrežo.
Nekoliko manj jih je, ki znajo postaviti mreži, da "dobro dela".
Ni pa prav pretirano veliko ljudi, ki znajo izbrati prava orodja in postaviti mrežo tako, da deluje izključno tisto, kar mora delovati.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

SeMiNeSanja ::

@Matthai - nisem hotel reči, da je rescue plan nepomemben. Ravno tako je pomemben in predvsem obvezen za vsako resno podjetje.

Težava je le v tem, da je v bistvu lažje na novo postaviti vso godljo, če le imaš še nekje eno shranjeno kopijo sistema, kakor pa postaviti učinkovito preventivo, da nikoli nebi rabil uporabiti rescue plan in vse postavljati na novo.

Veliko premalo je govora o tem, kako učinkovito izvesti separacijo omrežij. Če že, potem ti hočejo to 'mrežarji' izvesti s pomočjo VLAN-ov na switchu. To je fino za to da se rešiš broadcastov - ne rešuje te pa virusov.

Z rescue planom se jaz ne ukvarjam. Za to obstajajo drugi eksperti, ki točno vedo, kaj so najboljše prakse in katera orodja so danes najbolj uporabna na tem področju.

Sem pa doma pri preventivi na nivoju 'presejavanju prometa', ki se pretaka preko omrežij.
To vsekakor ni edina preventiva, ampak upam, da sem zgoraj dovolj jasno prikazal, da se z malo bolj resnim pristopom da tudi na nivoju mreže naresti marsikaj.

A treba je zavihati rokave in stvari vzpostaviti. Zgolj z default inštalacijami in poganjanjem 'Wizardov' tega ne dosežeš. Ravno tu se potem tudi pokaže, kako solidno orodje (firewall) uporabljaš.
Pri današnjem trendu, da se stvari do onemoglosti poenostavlja, postajajo take pretirano 'user friendly' rešitve vse manj primerne za takšne bolj zapletene scenarije. Bolj vsestransko orodje imaš na voljo, bolje lahko izvedeš takšne naprednejše scenarije, več možnosti imaš za omejevanje prometa, ki ne sme prečkati mej posameznih podomrežij. Bolj granularno boš lahko filtriral, več indikatorjev ti bo že samo požarna pregrada generirala za SIEM sistem, prej bo na veliko zazvonil alarm.

Tudi varnost je danes postala interdisciplinarno področje. Stvari so se tudi tu že tako specializirale, da nekdo, ki zna vrhunsko konfigurirati požarne pregrade po vsej verjetnosti ne zna kaj dosti početi z orodji za penetracijske teste. Še manj pa rabi filozofirat, kakšen bi bil najboljši 'rescue plan'.
Lahko vas pa okrca, da se začnite malo bolj resno spogledovati z vašimi požarnimi pregradami in njihovimi zmožnostmi.
Ob pravilni uporabi, se z njimi da marsikaj naresti!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

malisvizec je izjavil:

Lepo nazaj tetam v lekarni text mode terminal in bodo 100 bolj produktivne in se oci ne bodo trpele ;)

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.
sudo poweroff

jype ::

poweroff je izjavil:

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.
Huh? Od kdaj pa v terminalu nimaš dostopa do interneta?

SeMiNeSanja ::

jype je izjavil:

poweroff je izjavil:

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.
Huh? Od kdaj pa v terminalu nimaš dostopa do interneta?

Lynx? :O
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

poweroff je izjavil:

malisvizec je izjavil:

Lepo nazaj tetam v lekarni text mode terminal in bodo 100 bolj produktivne in se oci ne bodo trpele ;)

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.

Tudi danes dvomim, da na blagajni brskajo po online bazah.
Za ta namen imaš na sosednji mizi drug računalnik, ki se nahaja v drugi varnostni coni.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

jype je izjavil:

poweroff je izjavil:

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.
Huh? Od kdaj pa v terminalu nimaš dostopa do interneta?

Določene spletne aplikacije zahtevajo sodobne brskalnike.

Ima pa SeMiNeSanja prav - blagajne so lahko ločene.
sudo poweroff

BigWhale ::

SeMiNeSanja je izjavil:

jype je izjavil:

poweroff je izjavil:

Tete rabijo internet. Predvsem dostope do raznih online baz o zdravilih.
Huh? Od kdaj pa v terminalu nimaš dostopa do interneta?

Lynx? :O



Internet je sicer nadmnozica WWWja.

jype ::

poweroff je izjavil:

Določene spletne aplikacije zahtevajo sodobne brskalnike.
Če so pravilno narejene, potem normalno delajo tudi v tekstovnem načinu, torej v terminalu.

BigWhale je izjavil:

Internet je sicer nadmnozica WWWja.
SeMiNeSanja tega ne ve, ker je strokovnjak za varnost, ne za internet.

Zgodovina sprememb…

  • spremenilo: jype ()

AngelOfDeath ::

Problem je v tem da je za večino backup kar prva rešitev, in se ne zavedajo da bi to morala biti zadnja.
Ker ko ga rabiš si v bistvi že skoraj vse zajebal.
Najboljše je imeti več backupov.
Je pa to vse odvisno od velikosti podjetja. Za kakšno pomembno podjetje rabiš vsaj:

1. lokalnega na NAS z interno replikacijo (Odvisno od nastavitev je hitrost cca 300GB /H)
2. Lokalnega na kasete z vsakodnevnim odnašanjem kaset v trezor (Odvisno od nastavitev je pri LTO 7 hitrost cca 1TB + /h).
3. Cloud,
4. Lokalni PC so ponavadi vsepovsod enaki in lahko imaš par diskov na zalogi, ki jih je enostavno menjati / replicirati (Na njih je že vse konfigurirano).

Podatki so pri vseh kodirani pri LTO je to strojno pri ostalih "softwersko".

Če je opcija se vsakodnevno dela:
1. Full backup.
2. Diferencialni.
3. Inkrementalni je izhod v sili.


Potrebuješ seveda tudi ustrezne programe, ki so pravilno skonfigurirani.
Konfiguracija takšnega programa je pa cca nekaj ur za osnovne nastavitve, in nekaj tednov za optimizacijo delovanja backupiranja glede na specifičen sistem. Ampak to ni problem, ker ga moraš stalno nadzirati.
Oseba, ki to dela pa se mora spoznati v samo delovanje OS-ov in programske opreme na njem (Sql, Exchange...)

1. Imaš osebe, ki namestijo program in ga celo znajo osnovno nastaviti. (Pri tem nimajo blage veze kako stvari v resnici delujejo) - 95%.
2. Nekateri že vedo prebrati določene napake in se jim pribložno sanja kaj bi naj pomenile (google) - 3%
3. Ljudi, ki se na zadeve malo spoznajo in znajo napake tudi rešiti 1.9%.
4. Ljudi, ki znajo diagnosticirati napako do zadnje pikice in točno vedo kako kakšen backup deluje - 0.1% .
edit: Slovnica

dexterboy ::

@SeMiNeSanja; zelo lepo napisano, odlično!
btw; pri takem sistemu moraš imeti backup v obliki trakov na drugi lokaciji.
In pred leti je imel SnT odlične kadre kar se tiče backup-a, tako programsko kot strojno.
Ampak pri vse tej fluktaciji kadrov zadnja leta ne vem, kaj jim je ostalo v firmi...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

poweroff ::

jype je izjavil:

poweroff je izjavil:

Določene spletne aplikacije zahtevajo sodobne brskalnike.
Če so pravilno narejene, potem normalno delajo tudi v tekstovnem načinu, torej v terminalu.

To žal ni od njih odvisno. Gre za mednarodne baze o zdravilih, za baze proizvajalcev, itd. In tam se mora lekarna prilagoditi, ne obratno.
sudo poweroff

jype ::

poweroff je izjavil:

To žal ni od njih odvisno. Gre za mednarodne baze o zdravilih, za baze proizvajalcev, itd. In tam se mora lekarna prilagoditi, ne obratno.
Za polovico manj kot jih je stala odkupnina za tale fiasko sprogramiram proxy, ki poskrbi za te reči.

SeMiNeSanja ::

Nehajte se prepirat okoli teh mednarodnih baz.

Po teh bazah se ne brska na mestu izdaje zdravil / blagajni.
Kaj bo cela vrsta čakala, medtem ko nekdo na blagajni brska po bazi?

Na izdajnem mestu / blagajni imaš samo blagajniški program (z komponentami, ki spadajo zraven, od branja e-receptov, do plačevanja s karticami) in morebiti še vpogled v zaloge po drugih lekarnah (idealno v okviru blagajniškega progama). Drugega niti nimaš kdaj 'uporabljati', ker bi povzročal zastoje pri izdaji.

In ne le to. Čim posluješ z kreditnimi karticami, si dolžan, da si skladen z PCI DSS. Že samo skladnost z PCI DSS bi lekarnam po vsej verjetnosti majmanj prepolovila čas, da se 'poberejo', če ne celo preprečilo probleme na prodajnem segmentu.

Samo kaj, ko se pri nas vsi požvižgajo na standarde, katerih bi se morali držati, če ni nikogar, ki bi jih kontroliral in strašil z gromozanskimi kaznimi.

Priporočam, da si malo pogledate tzv. Self-Assesment Questionary (SAQ), ki so namenjeni temu, da sam pri sebi preveriš, če izpolnuješ pogoje PCI DSS glede na način oz. kakšna vrsta trgovca si.
Če si pogledaš PCI DSS standard v grobem, si že takoj pri osnovnih zadevah, ki te obvarujejo pred marsikaterim incidentom:


Medtem ko je GDPR usmerjen v osebne podatke, je PCI DSS usmerjen v 'Cardholder' torej padatke plačilnih kartic. Vendar v principu ni nekih prav velikih razlik, ko se gre za ukrepe, ki jih moramo podvzeti.
GDPR je še v peleničkah, PCI DSS pa je že skoraj polnoleten (PCI DSS 1.0 je bilobjavljen leta 2004!).
Medtem ko so si GDPR ugrabili pravniki, je PCI DSS 'tehnični' standard, ki predpisuje konkretne tehnološke zahteve, ki jih moraš izpolnjevati. Če v roke vzameš standard in v njemu zamenjaš besedo 'cardholder' z 'personal' ali 'sensitive' (data), dobiš dokument, ki je uporaben za katerikoli namen, ne le za trgovce, pa še enostavne vprašalnike imaš, kjer se lahko sam sebe preveriš, kako blizu ali daleč si od izpolnitve standarda.

Preko luže se poleg PCI DSS pogosto uporablja še NIST standarde, ki pa so precej bolj 'čigumijasti' kar se tiče preglednosti in razumljivosti. Potem imaš še SANS CIS in druge podobne standarde in kontrolne sezname..

Bistvo teh standardov in 'kontrol' (seznami za preverjanje skladnosti) je v PROSTI DOSTOPNOSTI. Vsakdo, ki ga področje zanima, lahko te dokumente najde in naštudira. Za razliko od 'snobovskih' ISO standardov, ki so očitno bolj namenjeni zganjanju nekakšnega snobizma, saj moraš te standarde kupiti, s čemer se avtomatično oddaljujejo od 'širokih množic'. Čim si potem še 'požegnan' po ISO standardu, se kvazi ločiš od 'plevela'. Snobizem pač. Dovolj je drugih standardov, ki so prosto na voljo in v ničemer ne zaostajajo za ISO, če jih implementiraš oz. se vsaj držiš nekih konceptov, ki so v duhu teh standardov.
Jaz sem že pred leti predlagal Si-Cert-u, da naj izdajo neko slovensko varianto 'Cybersecurity kontrol', s pomočjo katere bi vsakdo lahko periodično naredil analizo, kako daleč je od nekih trenutnih minimalnih priporočil na področju varnosti. Žal.... kaj čmo, SI-Cert ima že prepolne roke z drugimi stvarmi.

Vendar kljub vsemu nebi smeli pozabiti, da PCI DSS podlegajo VSI trgovci, ki operirajo z kreditnimi karticami. Ne vem kako to, da pri nas ni nadzora nad skladnostjo - v tujini so kazni za neskladnost lahko precej hude, od $5000 do $100.000 MESEČNO! (dokler nisi skladen). Stvar je dokaj resna. Pri nas pa.... bo že...take it easy... "Saj nam bodo stranke za POS terminale pobegnile, če jim pridemo z PCI DSS zahtevami".
No, posledice takega odnosa pa potem vidimo.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

tony1 ::

"In ne le to. Čim posluješ z kreditnimi karticami, si dolžan, da si skladen z PCI DSS. Že samo skladnost z PCI DSS bi lekarnam po vsej verjetnosti majmanj prepolovila čas, da se 'poberejo', če ne celo preprečilo probleme na prodajnem segmentu.

Samo kaj, ko se pri nas vsi požvižgajo na standarde, katerih bi se morali držati, če ni nikogar, ki bi jih kontroliral in strašil z gromozanskimi kaznimi."

Pri nas tega nihče ne šmergla verjetno zato, ker ponudniki kartičnega sistema zaslužijo tako veliko obenem pa nimajo dovolj (skoraj nič???) zlorab, da bi se kaj dosti sekirali. (Pač se zanašajo na kriptirano povezavo POS terminala do svojega serverja, pa tudi, če je ta kriptiran z SSL 3.0, hehe... :))) Dokler ne bo enkrat počilo ko sto mater, potem bo morda tudi pri nas kaj drugače...

BigWhale ::

SeMiNeSanja je izjavil:


In ne le to. Čim posluješ z kreditnimi karticami, si dolžan, da si skladen z PCI DSS. Že samo skladnost z PCI DSS bi lekarnam po vsej verjetnosti majmanj prepolovila čas, da se 'poberejo', če ne celo preprečilo probleme na prodajnem segmentu.


To je neumnost. Sploh zato, ker ne ves kaj se je dogajalo, kako je prislo do napada in kako so imeli organizirane stvari. PCI DSS za lekarno ne pomeni nic. Dovolj je, da imajo POS terminale, ki se preko GSM omrezja povezujejo s procesorjem transakcij. Nic drucga ne potrebujejo, ker ne shranjujejo podatkov o karticah.

SeMiNeSanja je izjavil:


Medtem ko je GDPR usmerjen v osebne podatke, je PCI DSS usmerjen v 'Cardholder' torej padatke plačilnih kartic. Vendar v principu ni nekih prav velikih razlik, ko se gre za ukrepe, ki jih moramo podvzeti.


Prosim, ce ne primerjas lokomotiv in plavalnih kap. Nima smisla.

SeMiNeSanja je izjavil:


Bistvo teh standardov in 'kontrol' (seznami za preverjanje skladnosti) je v PROSTI DOSTOPNOSTI. Vsakdo, ki ga področje zanima, lahko te dokumente najde in naštudira.


Bistvo vecine standardov je to, da presojevalec pobere denar zato, da ti lahko da zig, da si skladen z nekim standardom. Sama skladnost pa ne garantira nicesar.

SeMiNeSanja je izjavil:


Vendar kljub vsemu nebi smeli pozabiti, da PCI DSS podlegajo VSI trgovci, ki operirajo z kreditnimi karticami. Ne vem kako to, da pri nas ni nadzora nad skladnostjo - v tujini so kazni za neskladnost lahko precej hude, od $5000 do $100.000 MESEČNO!


Te kazni zaracunavajo credit card companies. :D Zaracunajo ga pa lahko v tem primeru banki XY, ki je POS terminale dala Lekarnam v najem. Lekarna s tem nima nic, ce se ne gre lastne obdelave karticnih transakcij in mislim, da se jih ne gre.

SeMiNeSanja ::

@BigWhale - pogooglaj, pa boš videl, da banke v tujini te kazni potem zaračunajo trgovcu (saj niso nore, da bodo plačevale za nekaj, kar niso same zakrivile!).

Tudi očitno nisi niti pogledal, kaj so zahteve za trgovce pri PCI DSS, zato kar na pamet nekaj govoriš.

Povsem pa si zgrešil point. Poanta je bila, da če bi bilo omrežje blagajn urejeno skladno z PCI DSS, bi bil to 'otok', ločena varnostna cona in jih ob pravilni izvedbi nebi smela prizadeti okužba.

Ampak morda najprej začni pri prebiranju, kaj se pri PCI DSS zahteva če imaš IP POS terminale (za GSM bazirane nisem šel gledat, ker je druga varianta zahtev - jih pa običajno imajo le razni 'mobilni uporabniki', ne pa na blagajniških mestih).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

tony1 je izjavil:

Dokler ne bo enkrat počilo ko sto mater, potem bo morda tudi pri nas kaj drugače...

Ne bo. Ker je že počilo, pa ni bilo nič drugače.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

tony1 je izjavil:

Dokler ne bo enkrat počilo ko sto mater, potem bo morda tudi pri nas kaj drugače...

Ne bo. Ker je že počilo, pa ni bilo nič drugače.

Seveda.... ker se ljudje držijo pregovora "Strela ne udari 2x na isto mesto"

Hja, ko bi vedeli, kako rado izsiljevalski virusi udarijo po 2x na isto mesto! Kar nekaj jih je to že izkusilo.
No, nekaj se jih po drugem udaru le spametuje in ukrepa, da se bolje zaščitijo.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Invictus ::

Tukaj se zdaj prepucavate o varnem IT kot kurbe o svoji nedolžnosti :P...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:

Tukaj se zdaj prepucavate o varnem IT kot kurbe o svoji nedolžnosti :P...

Ja, tko nekako, kakor tisto o onemu, ki naj prvi vrže kamen, če sam nima grehov.

Pri tem v tem primeru lahko govorimo še o metanju kamnov v stekleni hiši.

----------

Ne vemo, kako so stvari dejansko potekale in kdo je naredil kakšen kiks v celotni zgodbi.

Poznamo zgolj delni 'razplet' (računalniki pozaklenjeni, backup fail, emergency plan - delni fail).

Pri vsemu skupaj, upravičeno lahko zgolj pametujemo o dobrih praksah / postopkih / prijemih / tehnologijah, ki lahko komu tretjemu pomagajo, da se bolj učinkovito pripravi na tak doomsday scenarij oz. obrani pred njim.

Vse ostalo.... huh, dejte trkat po lesu! In to pošteno glasno, ker se podobni faili lahko zgodijo prav vsakemu podjetju ali osebku.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjev

Oddelek: Novice / Varnost
186917 (3805) Horas
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12630825 (17425) acookook
»

(Komentar) Dva kilograma informacijske varnosti, prosim

Oddelek: Novice / Varnost
3910167 (6697) sunshine403
»

Ko napade malware, se bolnišnice ustavijo

Oddelek: Novice / Varnost
2512782 (11481) starfotr
»

Ljubljanske lekarne IT problem (strani: 1 2 )

Oddelek: Informacijska varnost
5712869 (9723) estons

Več podobnih tem