Zechina uto 25.2.2020 22:15
Envy kaže...
Čitatelj kaže...

* * *

jer slanjem poste ili mailom mozes dokazati da je partner dokumente i dobio, dok "USB prebacivanje" je "rekla-kazala", nitko ne moze tome vjerovati.

 

* * *

Nema rekla-kazala, svaki log se zna zabilježiti i svaki C/P.

 

Pa baš to; kao kad je onaj debilček (iz Zadra, Vice iirc) "provalio u NATO", kao slon u staklarnu. Nije (toliki) problem ući, već ući neopaženo (a da ne izazoveš npr sigurnosno samouništenje podataka - što je debilček aktivirao) i ono još bitnije - pobrisati sve logove o svojoj aktivnosti (=uspjeti pobjeći). Što je često nemoguća misija (ovisi o stupnju kompromitiranosti, naravno), već se umjesto toga izvađaju sofisticirani kerefeki (kao što je iza Viceta očito bio netko "sa strane", a Vice tek korisni idiot za dizanje prašine).

Satman1w sri 26.2.2020 08:29

".......ne vjerujem da bi ijedna osoba koja radi u ikojoj firmi, sama sebi podmetnula i unistila racunalo ili klaster racunala........."

 

oooo u kakvoj si ti zabludi prijatelju...

 

podatak iz 2016 kaže da je tek 40% svh napada na it infrastrukturu došlo izvana, a čak 60% od "domaćih izdajnika"!!

 

 

 

Čitatelj sri 26.2.2020 08:50

Pitanje najmjerno ili nenamjerno.

 

Nenamjerno se desava neznanjem i losim preventivnim mjerama.

Namjerno je nesto sasvim drugo, i vjerujem da je taj postotak veoma mali ili zanemariv,

jer brzo se sazna od kude je krenulo i tko je odgovoran, i tko ce pravno odgovarati za nastalu stetu.

Old Iggy sri 26.2.2020 09:30
Čitatelj kaže...

Pitanje najmjerno ili nenamjerno.

 

Nenamjerno se desava neznanjem i losim preventivnim mjerama.

Namjerno je nesto sasvim drugo, i vjerujem da je taj postotak veoma mali ili zanemariv,

jer brzo se sazna od kude je krenulo i tko je odgovoran, i tko ce pravno odgovarati za nastalu stetu.

Nije tako jednostavno. Ovo o pravnoj odgovornosti odmah baci u vodu.

Namjerno je jako čest slučaj, mi na nekim sustavima imamo i preko 400 sigurnosnih evenata po sekundi, a većinom su kategorije incidenata.

Povećan je broj ovakvih ciljanih napada jer su nekad takvi sustavi podložniji plaćanju u odnosu na fizičke osobe.

Čitatelj sri 26.2.2020 09:44

Ne razumjem kako neka firma moze informaticki opstati ako ima toliko incidenata?

 

Problem je ocito tad veci, jer korisnici imaju:

A) Prevelike ovlasti

B) Pristup izmjenjivim uredjajima

C) Mrezno nisu Firewallom ograniceni na inbound ruleove

D) Nisu VLAN-ovima odvojeni po sektorima

E) Odjel osoblja, koja prije zaposlenja treba obaviti psiholoski razgovor sa osobama,

provjeriti njihovu trenutnu stabilnost, ne odradjuje svoj dio posla

 

U zadnjih 5 godina sam imao 1 (jedan) incident u mrezi, i to je zapravo bio preventivni alarm,

prodaja koja je zaduzena za Italiju je pratila informacije na nekon talijanskom portalu,

i uzrok alarma je bila skripta sa te web stranice, koja je u principu reklama, al je htjela preskenirati

racunalo, i to je vec bilo dovoljno da se to racunalo udalji iz mreze,

provjeri tocni uzrok, te nadje rijesenje.

 

Naravno, na pocetku ne znas sto se desava i zasto bas na tom racunalu, ali odvojis ga i izoliras.

Konacno rijesenje je bilo kontaktiranje tog uglednog portala, da rijese problem sa malocioznim oglasivacem.

 

Ne mogu zamisliti da u jednom danu imam 400 alarma, vjerovatno bi morao obustaviti dio postrojenja ili cak cijelu tvornicu

sa svim postrojenjima, jer bi to bilo preriskantno ponasanje za cijelu mrezu, koja spaja vise tvornica u vise zemalja.

Old Iggy sri 26.2.2020 10:04
Čitatelj kaže...

Ne razumjem kako neka firma moze informaticki opstati ako ima toliko incidenata?

 

Problem je ocito tad veci, jer korisnici imaju:..

Bez problema ako je sustav tako složen (da se razumijemo, veliki sustav, jako javno vidljiv).

Tu korisnici uopće nisu u pitanju (kao ni ovdje, koliko znam).

Old Iggy sri 26.2.2020 11:14
Čitatelj kaže...

Izvedivo je, uz odredjene hardwareske i softwareske sigurnosne mjere,

koje moraju biti konfigurirano kako spada. U prvom koraku firewall pa sve onda drugo.

Mislim da nisi baš blizak s osnovama.

Napade izvana ne možeš prevenirati. Zaštitu sustava od napada izvana naravno da možeš. FW je tu samo mali dio priče.

Old Iggy sri 26.2.2020 11:18
Čitatelj kaže...

Naravno da ne mozes utjecati na napade izvana, ali ti ne smiju proci i doci do alarama.

Ako samo kljucaju izvana, to me ne dira. Ali ako prodju u mrezu, svakako je to black flag.

Nemoj reć'?

BTW, event je evidentiranje svakog elementa koji (sigurnosno gledano) ne predstavlja standardni request (posebno je bitno ovo izvana).

"Kljucanje izvana" zna biti iznimno štetno (od DDoS-a nadalje).

ihush sri 26.2.2020 11:28
Old Iggy kaže...
Čitatelj kaže...

Svejedno mi je 400 incidenata u sekundi nedozvoljivo.

 

To je problem negdje dalje, jer riba smrdi od glave, ne od repa.

"Nedozvoljivo" je neizvediv pojam kad se radi o napadima izvana.

 -govorite o dvije različite firme-situacije, normalna firma i teleoperater.. to je kao da kažem da u kini dnevno umre jedna osoba i to preslikam na hr.. =besmisleno/neusporedivo. Oboje je točno no Oldiggy gleda sa strane operatera i ta su brojke višesruko veće.

 

+ na to iggy doda npr ddosanje, dok se u ovom slučaju još ništa konkretnog ne zna, tj zna se samo da je crypt-ransom, ne da je uopće postojao napad (hakrea ili skupine s ciljom penetracije i sl.) tj ovo je identično što se dešava tisućama običnih juzera koji dobiju ransom mail.. (ne ''pravi'' napad) i realno ne znamo dovoljno, nema infoa osim generičkih izjava ... ni tko, ni kako, ni što... =ništa.

-tj, za sad nema ni spomena da je u slučaju npr ddos pa je takva usporedba besmislena.

Old Iggy sri 26.2.2020 11:32
ihush kaže...
Old Iggy kaže...
Čitatelj kaže...

Svejedno mi je 400 incidenata u sekundi nedozvoljivo.

 

To je problem negdje dalje, jer riba smrdi od glave, ne od repa.

"Nedozvoljivo" je neizvediv pojam kad se radi o napadima izvana.

 -govorite o dvije različite firme-situacije, normalna firma i teleoperater.. to je kao da kažem da u kini dnevno umre jedna osoba i to preslikam na hr.. =besmisleno/neusporedivo. Oboje je točno no Oldiggy gleda sa strane operatera i ta su brojke višesruko veće.

 

+ na to iggy doda npr ddosanje, dok se u ovom slučaju još ništa konkretnog ne zna, tj zna se samo da je crypt-ransom, ne da je uopće postojao napad (hakrea ili skupine s ciljom penetracije i sl.) tj ovo je identično što se dešava tisućama običnih juzera koji dobiju ransom mail.. (ne ''pravi'' napad) i realno ne znamo dovoljno, nema infoa osim generičkih izjava ... ni tko, ni kako, ni što... =ništa.

-tj, za sad nema ni spomena da je u slučaju npr ddos pa je takva usporedba besmislena.

Ne gledam sa strane operatera već, nazovimo to tako, krajnjeg korisnika (nije to tako rijedak slučaj koliko se može činiti).

Što se INA-e tiče, u principu se interno zna sve, izvana se samo nagađa i dosta toga je BS.

nikola pet 28.2.2020 12:03

bas mi je zanimljivo dok ovo citam.

I vjerujem da su gotovo sva pitanja i primjedbe na mjestu - svi griskaju pomalo i

svi ubadaju svakim pitanjem sasvim sigurno - u metu.

 

od prvog banalnog Mirovog retorickog pitanja - zasto im nije pomogao backup, jer ga zacijelo imaju,

pa je li baba/deda/direktorova ljubavnica kliknula "nanesto",

kakvi su im to admini i cybersecurity, jel skoluju ljude, 

li je istina da su otpustili nekog ko je znao neke krucijalne pasworde isl.

 

nitko nije postavio prvo i najvaznije pitanje, kao kad npr. se desi udes u prometu -

Gabi, a je tebi dozvola? ne Gabi, ne greenpeace "save the whales", niti clanska iskaznica..

 

jedna firma od nacionalnog mora imati neki certifikat, ali ne onaj kakve su

prodavali banditi "zvucnih imena" nego onaj zaistac. takav zaistac certifikat u sebi 

ukljucuje sve u informatickom svijetu i svu pamet u vezi zastite podataka kao npr.

AV, backup, sigurnosne zone, ocjena rizika i mjera za svaki asset koji postoji - od utikaca

za struju, preko printera do servera i radnih stanica, change management pa do

skolovanja osoblja, sirenja svijesti istog i redovite provjere znanja, kako zaposlenih,

tako i cijelog sustava - auditima, upravljanje zapisima, mjere za akcidente, incidente

i katastrofe, zastita core businessa, backup lokacije na zemljopisno razdvojenim lokacijama,

opskrba energijom, protupozarna zastita, pristupna zastita, fizicka, onboardanje i offboardanje

korisnika, dokumenti koji moraju potpisati (NDAs za pocetak) - dakle brisanje credentiala

i korisnika cim netko, pogotovo s bilo kakvim admin ovlastima napusti firmu...

 

sve to ljudi postoji u najmanje jednoj normi koje civilizirane i ozbiljne firme koje barataju

podacima - moraju imati. pa da li INA ima to? znate valjda kako se to zove i imate to i 

u vlastitim firmama, zar ne?

 

nisam guglao, ali zanima me Miro, da li Lucijan jos pise za Bug i da li bi on to mogao objasniti?

 

i mali odgovori na retoricka i moje misljenje o slucaju - da Miro, naravno da imaju backup,

ali ga ne mogu ni aplicirati jer su im najvjerojatnije unisteni svi serveri koji backup mogu

aplicirati, tj topoloski svako dizanje bilo kakve masine pokrece dalju infekciju i vjerojatni svaka

masina rikne, pored toga, lako je moguce da im backup nicemu ne vrijedi jer je i on kompromitiran.

ovo implicira gotovo izvjesnu cinjenicu da su uljezi bili u sistemu toliko dugo da su mogli prouciti

sistem backupa, tj. njegovu frekvenciju, ranjivost isl.

ako se vratimo na onaj detalj da INA nije bilo kakva firma, vec strateski vazna kompanija, onda

je jasno da ovo nije slucajan napad ransomwareom, vec iza toga stoji malo jaci tim jako, jako 

dobrih hakera i mogu se nalaziti bilo gdje. znaci da su za penetraciju sistema mogli koristiti 

bilo sto - znaci 0 day propust nekim mejlom, bilo kojom slaboscu koja nije zakrpana na vrijeme

na bilo kojem dijelu sustava, moguce da je i neki bivsi zaposleni samo spomenuo kako izgleda

topologija, koje masine se naleze u kojoj zoni, gdje su kripto sustavi, gdje je firewall, gdje

konfiguracije, gdje baze isl.

 

moje skromno misljenje je da je ovaj ransomware samo vrh ledenog brijega, tj. slag na kraju kojim

su se izbrisali ili barem malo zametnuli svi tragovi. tih kolportiranih 15milja cegagod (svejedno je li

ta informacija tocna ili ne) je - sprdacina, jer posto obraz i jedan dan stopiranja core businessa.

puno je vaznije sto je kompromitirano - koje podatke su uljezi sasvim sigurno UKRALI i koliko su

osjetljivi ti podaci, prije nego su posijali RW.

 

i opet da se vratim na prvu tvrdnju - INA je kompanija od strateskog znacenja, bar je nekad bila i

ovom akcijom mozes joj srusiti vrijednost, mozes pobrisati neke podatke, mozes manipulirati iste,

mozes se domoci tajnih bankovnih racuna, mozes imati uvid u posrednicko poslovanje za sve one

africke zemlje gdje je Zagorec Br.1 prao i mlatio pare, mozes naci podatke o transakcijama koje

nisu za svacije oko, mozes naci grozne ugovore po drzavu, mozes izbrisati nekaj kompromitirajuce...

 

nitko ne pita za tu politicku stranu ove medalje. kao da sama vrhuska tajnih sluzbi nije fasovala

jednog svog najistaknutijeg druga, jos iz vremena Zagija Br. 1, preko Zagija Br. 2 do onog lumena

koji nije znao nabrojati do... sta smo ono imali - i to sve zbog pajsad - iste OVE FIRME?

 

kad bolje razmislim, Miro, zaboravi Lucijana - pitaj radje Jolly Manolly kaj se tu desilo.

(inace, unaprijed isprika svim Zagorcima i svim postenim HDZ-ovcima)

 

 

 

ihush pet 28.2.2020 12:32
nikola kaže...

..

moje skromno misljenje je da je ovaj ransomware samo vrh ledenog brijega, tj. slag na kraju kojim

su se izbrisali ili barem malo zametnuli svi tragovi...

 

 

 

 - ... misliš da bi to novinari/bug mogli pitati/istražiti ili barem začeprkati?

odnosno, koliko je 'hakerskih napada' opravdanje za npr podatke-financije i sl.? Ako se već upotrijebi riječ 'hakerski napad' postoji li berem nešto što bi takvu terminologiju opravdalo-dokazalo osim izjava glasnogovornika? Činjenice?

nikola pet 28.2.2020 13:02
ihush kaže... 

 - ... misliš da bi to novinari/bug mogli pitati/istražiti ili barem začeprkati?

odnosno, koliko je 'hakerskih napada' opravdanje za npr podatke-financije i sl.? Ako se već upotrijebi riječ 'hakerski napad' postoji li berem nešto što bi takvu terminologiju opravdalo-dokazalo osim izjava glasnogovornika? Činjenice?

 naravno da glasnogovornik/firma nece dati puni uvid u stanje (ili cak ne smije), vec samo onoliko koliko su

zakonski abavezni. svaka objava, svako slovo, vjeruj, prolazi kroz ruke legal departmenta i vjerujem da i CEO

ili kako god vec upravna struktura izgleda to vlastorucno odobrava.

 

osim toga, pozvana je eksterna firma, znaci da je forenzika u toku. oni odvratni post mortem napori da se stekne

bilo kakva slika sto im se desilo, tko ih je napao, kako su im upali "ukucu" i da li su i dalje u opsadi, tj. ima li

mogucnost da su uljezi jos uvijek tamo, tj imaju li kontrolu nad sustavom... to je jako ruzan osjecaj, svatko tko je ikad

usao u vlastiti dom u koji je provaljeno/opljackan je/isprevrtan moze opisati tu odvratnost i strah.

a morali su nesto obznaniti jer nalaze zakon (nadam se) + nisu mogli sakriti, a brate ako laze koza, ne laze sljaker na crpki...

 

toplo se nadam da je INA imala zonu bez interneta, tj. da su neki sustavi bili offline i da je fizicka prisutnost

bila strogo kontrolirana na nekom posebnom mjestu. tamo gdje nema nadzornih kamera i gdje se ne vade baterije

iz mobitela (a glup si da inace koristis "sigurni" skype) kad prodajes obraz, firmu i drzavu.  

 

da se neka ozbiljna firma sramoti komunikacijom putem google servisa dovoljno govori o stanju ocaja i beznadja.

sad si zamisli - evo kraj je mjeseca, kakav picvaj ce nastati ako se placce u INI ne isplate na vrijeme - samo da krenemo od

najbanalnijeg. implikacije vezane za odredjene izbore, kao i nedavna isplivavanja u "belim rukavicama, tako mi utroba ispala"

koja su Vojku V. dala vidovnjacke sposobnosti ti mogu biti putokaz za sagledavanje sire slike. 

 

uostalom, da ti odgovorim na pitanje - to je sve plod moje maste uz prstohvat zdrave informaticke paranoje.

 

i nesto malo iskustva, jebiga.

 

 

zelenapaprika pet 28.2.2020 14:51
ihush kaže...
nikola kaže...

..

moje skromno misljenje je da je ovaj ransomware samo vrh ledenog brijega, tj. slag na kraju kojim

su se izbrisali ili barem malo zametnuli svi tragovi...

 

 

 

 - ... misliš da bi to novinari/bug mogli pitati/istražiti ili barem začeprkati?

odnosno, koliko je 'hakerskih napada' opravdanje za npr podatke-financije i sl.? Ako se već upotrijebi riječ 'hakerski napad' postoji li berem nešto što bi takvu terminologiju opravdalo-dokazalo osim izjava glasnogovornika? Činjenice?

 Nešto slično sam konstatirao ovdje - mi uopće ne znamo što se dogodilo. Niti možda ikada saznamo. Odavno već ne vjerujem Mirku koji je nešto došapnuo Slavku... Zapravno, nije me ni briga što se dogodilo. Backup radim redovito i backup je offline.

bunker pet 28.2.2020 16:23


@nikola

Sve si ti to lijepo objasnio, no stvarnost je bitno manjkavija, i u razvijenim državama a kamoli na Balkanu....

Korporacije vječno teže smanjenju troškova, i te planove ne donosne nekakvi stručnjaci nego najčešće osobe koje su na rukovodeće pozicije došle nekakvim političkim ili nasljednim ključem, ili izborima na nekoj skupštini nadzornog odbora čije glasovanje je niz lobističkih silnica a ne produkt zdravog razuma.

Ni na tzv zapadu nije to puno drugačije, a dokaz tomu su kompanije , bolnice, sveučilišta koja su također plaćala ransomwer ucjenjivačima.

I u tim tezanjima troškova, it i security su prvi na udaru, jer internet obiluje jeftinjak komponentama sumnjive kvalitete ali dovoljno jeftino da uđe u tako skresane budgete.

Tim managerima je bitnija plaća njegove tajnice/ljubavnice nego security status tvrtke.

Također bu pljunuo milione za vozni park a u njihovim glavama je it tamo nekakvo bezvezno lupkanje geekova po tipkovnici od čega i nema neke koristi . Nažalost, niti ovakvi incidenti ništa ne promijene nabolje, par dana se diže prašina i opet po starom. Uostalom, zar prije godinu dve nije još jedna naša zvučna kompanija podlegla tome i platila ucjenu. ...


@ihush

Dobronamjerno ti zboriš, no pomalo naivno jer očekuješ istraživačko novinarstvo od krivih subjekata. Nije da oni nebi htjeli doći do ekskluzivnih informacija i time si malo podići rejting, čitanost,prodavanost... no nejde to baš tako.

Sada ću riskirati da ti opet uletiš sa ručkić spikom, no moram reći da sam se kroz mupovu karijeru tu i tamo poslovno dotakao sa djelićima timova koji su radili ozbiljno istraživačko novinarstvo.

Na prvo mjesto treba staviti da je takvo novinarstvo izrazito skupo, i da ima i pratećih troškova kojih nema na papiru a bez njih nebu ni rezultata. Ručak u skupom restoranu ili poklon ljubavnici onoga od koga fehtaš informacije mogu papreno koštati, a takve informacije ti nebu nitko poslao na mail na tvoj generički novinarski upit.

Nadalje, politika je tu visoko uključena, pa se podrazumijeva da takav istraživački novinar ima političkog mecenu ( koji će mu odobriti ili neodobriti objavu ovisno o tome da li mu to ide ili nejde u prilog ) inače bi taj novinar brzo izgorio, možda i bukvalno a ne samo preneseno..

Nadalje, takvi novinari moraju imati para čime bi platili svoju sigurnost ili otklanjanje ugroze, nakon kaj nekome razjebu igru gdje je netko trebao milione zaraditi.

Osim toga, postoji i realna mogućnost da je ovo sve kaj se desilo na neki način povezano sa prodajom ine, molom, izvlačenjem para, čudnim ugovorima i sl, pa da je riječ o običnom zatiranju tragova. Sad uskoro završava i poslovna fiskalna godina, zar ne...pa je prije završnih izvješća zgodna rupa u kojoj sve nestane. Ako se to i desilo, opet je politika u to debelo uključena, i to igrači iz više država, i ti sad očekuješ da bu to istraživali "novinari" bug-a.... Mislim, ne kritiziram ih, svjestan sam troškova, plaći i sl, zato ti i velim da oni jednostavno nemaju taj kapacitet...

Takve jake istrage i članke možeš očekivati od jakih izdavačkih imena i to opet samo u slučaju ako im netko debelo plati da mu tako satru konkurenciju.

😀

Stric_Jura sub 29.2.2020 13:57

evo čuo jučer da je i Croatia Osiguranje "popilo" isto sranje...

 

i navodno je sve riješeno i u INi i u CROsigu, plaćanjem američkim stručnjacima za čišćenje i povrat podataka...

 

sve mi je to malo nategnuto, možda se "gube" tragovi malverzacijama usput...

zelenapaprika sub 29.2.2020 18:38
Stric_Jura kaže...

evo čuo jučer da je i Croatia Osiguranje "popilo" isto sranje...

 

i navodno je sve riješeno i u INi i u CROsigu, plaćanjem američkim stručnjacima za čišćenje i povrat podataka...

 

sve mi je to malo nategnuto, možda se "gube" tragovi malverzacijama usput...

Meni cijela ova tema sliči na sapunicu. "Čuo sam", "Navodno", "Baba Vanga zapisala..."...