Napadení ransomwarem. Jak se to k nám dostalo a ponaučení z toho všeho

Síťaře, kteří VLAN používají k zajištění bezpečnosti, bych házek do kanálů a zavíral poklopy.
Fakt nemáte rozum. VLAN slouží pro administrativní oddělení sítí, s bezpečností nemají nic společného.

Další takovej akurátní. Já jsem napsal, že toto je to jedinné řešení? jasně, Offsite kopie záloh, do cloudu atd. Možností je mrak. Takže příště brzdi, nebo se ptej, než začneš soudit. Nazdar.

Názor byl 1× upraven, naposled 19. 12. 2019 14:34

Jak jediné řešení? Upozornil jsem na to, že VLAN není bezpečnostní opatření. Pokud jste hledal vhodného termita pro obecné řešení, pak to byl asi termit "oddělená síť".
Ovšem nemyslím si, že by to kdovíjak pomohlo, protože i tak bude platit, že přes RDP se k Hyper-V bude hlásit admin, jehož počítač byl v tomto případě nejpravděpodobnějším zdrojem nákazy.

Mno, pokud vlana není routovaná, tak je to slušné zabezpečení :)
Jinak samotná vlan není moc o bezpečnosti, od toho jsou doplňkový věci jako filtry na L3 switchich apod. V kombinaci toho všeho už by se dalo mluvit o zabezpečení.
Zdar Max

Já ti nevím, ale bez VLAN, to mnohdy ani nejde.

prave ze ani rozumne heslo te neochrani (pokud nemas zaktualizovano) - viz. napr BlueKeep
https://siliconangle.com/2019/11/03/attack-targeti...

Aktualizace na toto vyšla už na jaře a i tak se týkala Windows 7 a níže. V tom soupisu se píše, že kolega neměl aktualizováno kvůli plnému disku, takže nepředpokládám že šlo o roky nezáplatované XP, ale o momentální problém.

to vies.. firma plna it profikov, ale neaktulizuju, nepouzivaju antivir a na z vonku dostupnych sluzbach nechavaju default hesla.

Antivir nepomůže, prakticky vyzkoušeno.

tak treba pres tohle - CVE-2019-1181/1182?
https://msrc-blog.microsoft.com/2019/08/13/patch-new-worm...

No, neochrání, když se tam objeví díra, ale když po obnově! měl někdo na počítači účet admin s heslem admin, tak je to na pár facek.

Jenže většinou člověk neví co očekávat dokud se něco nestane. Můžete si myslet že máte data aspoň zálohovaná, ale stejně se ukáže že bylo něco někde špatně. Mi tak vytanuly na mysl záloha na kazety Kazetu kterou máte nadepsanou čtvrtek a máte jí v šuplíku vedle serveru vám kryptovirus nezašifruje.

Přesně tak.
A i když si člověk myslí, že udělal všechno pro to, aby se nemohlo nic stát, nakonec zjsití, že toho dost zanedbal.
Třeba mít disaster recovery plan v emailu je prostě hloupost. Jenže člověk si to neuvědomí, respektive já to tehdy nevěděl.
Pokud by byl kryptovirus šikovný, například OneHalf to uměl, tak sice zašifruje disk, ale zároveň transparentně on demand dešifruje. A třeba teprve po půl roce přestane dešifrovat. To pak znamená, že máte zašifrované i zálohy půl roku zpět... ale jinak máte pravdu. U zálohování a archivování je třeba přemýšlet, co všechno se může stát.
Pro domácí použití mohou být užitečné snapshoty, taky mě to doma už zachránilo, respektive mé přátelé, co ke mně "zálohovali" a měli síťový disk připojený nonstop, takže si ransomware smlsnul i na něm.

Ehm, kazetové pásky, to jsme takhle obnovovlai data od zákazníka z HP pásek, pokaždé pásková jednotka při obnově odešla a vzala s sebou i pásku - vystřídalo se 5 jednotek od HP... Tak jsme to HPOčku hodili na hrb a nějak to zvládli. Proto asi dnes se místo pásek používají v zálohovacích jednotkách defakto HDD ve zvláštních krytech.

Pásky se používají pořád a ještě dlouho používat budou.
Kromě výhod životnosti, mechanické odolnosti a skladovatelnosti mají taky bezkonkurenční poměr cena/kapacita. Samozřejmě až ve chvíli, kdy potřebujete zálohovat desítky TB, do té doby se vám koupě knihovny nevyplatí.
Velké podniky využívají knihovny. Páskové mechaniky jsou spíš pro nadšence nebo tam, kde se celá záloha vejde na jednu pásku.LTO-8 páska má 12 TB a stojí cca $100 USD. I když má omezený počet přepisů, pokud potřebujete zálohovat hodně dat, je to nejlepší řešení. Samozřejmě se to kombinuje s disky (D2D2T), protože LTO nemá úplně rychlý seek. Takže například poslední záloha je na HDD, ostatní zálohy pak na LTO.

No tak soudruh Filip v tom má jasno - za nakažení můžou chvilkaři (se divím, že ještě nezmínil Sorose, neziskovky obecně či islamisty - zřejmě nechtěl "vystřílet" všechny argumenty svým prokremelským kolegovům PiTomiovi, VK juniorovi či dokonce samotnému hradnímu pánovi ... )

Vzhledem k tomu, kolik tahle řešení stojí, kolik stojí lidi, co je ovládají, a nakonec, nezlobte se, co to je často za ojebávače a lháře, si myslím, že do malých firem je to prostě totální overkill, který navíc dost možná bude k ničemu.
Když si pomyslím, kolik takových superchytrých krabic jsem ve firmách potkal, kolik jich bylo prostě v defaultu a nikdo z nich nic nesledoval, a kolik za ně utratily...Tahle firma si třeba uvědomila, že se jim takové řešení vyplatí. A nebo zjistili, že stávající řešení stačí, protože výpadek je stál sto tisíc, bez dalších následků, zatímco chytrá krabice by je stála jeden a půl milionu plus dvě stě tisíc ročně za člověka, co se o to umí starat.

V tomhle konkrétním případě pokud byli ztráty pár tisíc nebo pokud je firma malá, ano může se někomu zdát řešení jako drahé. Až do pořádného výpadku a úniku dat. O implementaci a monitoringu/nastavení zařízení se bavit nebudu - jedná se o chybu člověka, nikoliv zařízení jak bylo nastavené. Nevím jaké chytré krabičky jste viděl, ale nic profesionálního na enterprise úrovni to určitě nebylo. Stejně tak jako píšete o lidech co stojí a ovládají, to taky není pravda. U profesionálního řešení - zaměstnanec/správce může být certifikován přímo výrobcem na "obsluhu a nastavování" které je potřeba.

Tato reseni jsou skvela - dokud jsou penize na lidi a jejich (za)skoleni. Kolikrat ja uz jsem slysel vetu "my to logujeme, ale na ty logy nikdo nema cas koukat", pripadne "na tyhle alerty nemame kapacitu"...

Nikdo nic kontrolovat nemusí. Můžou se nastavit různá upozornění mailem, push notifikace přes appku v telefonu a nebo jeden monitor kde běží centrální přehled.

Ale jiste. Stejne jako to funguje u ruznych bezpecnostnich produktu desitky let (az na ty notifikace do mobilu, driv to byly SMS :) Ale ty maily nebo notifikace musi *nekomu* chodit. Pokud jsou to notifikace na vybity mobil v supliku nebo maily na ktere nikdo nekouka, tak je cely system k nicemu.

Ale to pak je o hlouposti lidí, ne o bezpečnostním řešení. Řešení jsou, ať už levnější nebo dražší, ale pokud někdo nekoná, když má, ať firma nebrečí že jejich zařízení je neochránilo. V některých případech je zapotřebí lidská interakce, naštěstí ve spousta případech lze nastavit migitace.

Každá bezpečnost je o mitigaci lidské blbosti - a vždy je kritickým limitem časová kapacita kvalifikované obsluhy.

Videl jsem a spravoval dost drahe krabice, ale jen parkrat jsem to videl dotazene do konce. Dokonce jsem jedno, byt dost primitivni reseni, vyvinul.
Jak pisu, tam, kde se to nasazuje, se to dela vetsinou proto, aby se mohla zaskrtnout polozka v seznamu a papiry byly cajk. A podle toho to pak vypada. A stoji to fakt kruty penize, to, co jsem rok spravoval, bylo 39 sond za 12 milionu pro jednu vetsi ceskou sit. A musim rict, ze me to hodne bavilo.
Ale sebechytrejsi reseni neprekona lidskou hloupost (kterou disponujeme vsichni).

Flowmon? :)
Zdar Max

Jo

Také nasazujeme, jelikož nemám time na normální řešení.
Zdar Max

O firmě v článku mnoho nevím, ale působí to na mě jako vývojářská firma, která není kdovíjak veliká.
Tedy do prvního incidentu nebyla potřeba to kdovíjak řešit, skoro všichni jsou power useři, zálohování je, klienti jsou oddělení a incident se jich nedotkl. To je docela dobrý výsledek.
Ve spoustě malých firem je to těžký punk. Takhle z dálky se to soudí snadno, ale docela chápu, jak k takovým situacím dochází, a všechna čest autorovi jedna za to, jak dobře to zvládli, a jednak za to, že o tom napsal článek; přestože musel otevřeně přiznat pochybení, kterých se dopustili.

Len zo zvedavosti: decryptli to po zaplateni?

Zjavne, NIE ked tu ziada o pomoc

Žádá o pomoc pro sebe, ale platila jiná firma.

Po zaplatení výkupného odkódovali data?

Ahoj, napiš mi na info@exact.cz.

Každýho kdo jim zaplatí bych nakopal do zadku. S jídlem roste chuť a ty hajzlové to budou zkoušet o to intezivněji. Hlavně na to budou mít hromadu peněz.

Dobrý den ,napište mi mail na obchod@encefalon.cz já vám pomůžu vyřešit ten problém se zabezpečením a nastavit ochrany napište telefon a já vám zavolám ,mám na starosti mnoho menších firem a již jsem toto řešil vícekrát

Ten clanek ma byt uprimnym poucenim. Necht hodi kamenem ten, kdo nikdy nic nezanedbal.

To máš sice pravdu, ale pak bych ve stejném článku neproklamoval jak je firma plná IT profesionálů, protože ten článek primárně dokazuje opak (a to říkám s vědomím toho, že jsem skopal taky pár věcí). Ale vpn pro přístup mám i na domácím nasu a to se nepovažuji za profesionála v administraci stanic / serveru nebo hardeningu sítě. To, že někdo zapomene admin/admin se jako stát může, ale to že někoho netrkne proč má tenhle účet mít povoleny vzdálený přístup už ne. A tak by se dalo pokračovat. Bohužel dneska každý kdo umí nastavit šifrování na routeru si o sobě myslí jaký je profík a pak to takto dopadá...Props že s tím šel dotyčný ven.

Profesionála poznáte i podle toho, že má ve svém IT totální bordel, teda organizovaný chaos.
Kovářova kobyla chodí bosa. Tak to vždycky bylo a bude.

Člověk, který má ve svém IT bordel, je buď bordelář nebo amatér. Nikoli profesionál. Je to takhle jednoduché. Není to jen o něm a to, že si uškodí sobě, ale stejnému riziku vystavuje i své klienty - zajímavým dotazem by bylo jestli toto není nutné hlásit i v rámci GDPR a potencionálního úniku zákazníckých dat. Kdo ví, kam to ten SW v mezičase pošle.

To, ze intelligent zvladne aj bordel neznamena, ze ked mate bordel tak ste intelligent, ste len amater a bordelar tako ako aj "IT profesionali" s tej firmy. Jednoduche ako facka tie biblicke bludy o "hodeni kamenom" si nechajte pre niekoho kto tomu very. BTW, nic take ako organizovany chaos v IT nie je.

Viděl jste někdy nějakou vývojářskou firmičku? Zdá se mi, že tyhle kecy o pořádku jsou odtržené od reality. Třeba dokumentace, kolik projektů jste viděl s kompletně hotovou dokumentací? Máte doma zpracovaný disaster recovery plan? A podobně. Jako jistě, někde je to fakt cajk, někde je to alespoň papírově cajk (to je ale stejně dost k ničemu), ale většinou je to prostě tak nějak, aby se neřeklo.Jinak mě asi nezajímá, co o mně soudíte; důležité je, co soudí zákazníci, a ti jsou spokojení. Rozhodně nejsem dokonalý, ale svoje místo na trhu si zasloužím, takže asi úplně od věci nejsem.

Podívej já chápu co se snažíš jako říct. Ale jsou tu velká ale:a) říkáš malá firma, ale malá firma, která dělá IT a honosí se tím jak je profi (dokonce v tom samém článku, kde se nechala 2x hacknout). Taková firma není banda právníků, účetních, kteří o IT nic nevědí a toto se jim stát asi může. Podívej se na LI autora - vizonář, ředitel vesmíru, člověk by čekal služby na úrovni, ne?
b) když už instaluješ servery stylem "next next finish", nemáš oddělené sítě, všude používáš admina (což chápu, že lze přičíst na vrub té domnělé živelnosti) a někdo/co ti téměř kompletně wipne infrastrukturu, tak namísto toho, aby ses chytil za nos a zavolal někoho, kdo tomu rozumím, ale ne, něco uděláš a za dva dny jsi skoro tam kde jsi začal :)ale pořád si myslíš jaký jsi profík a znalec (asi podle toho, že uprostřed D&R vymýšlíš jaké nové hot technologie instalovat, když ani neumíš spravovat ty současné). Pokud by se nesnažili mít tu auru okolo jací jsou to borci, myslím, že by i reakce byla mnohem smířlivější...

preco? moze tam byt kopec profikov IT programatorov, ale toto asi bola chyba IT bezpecakov , a to nie su obvykle tie iste osoby.

Sorry od kohokoli kdo si říká it profesionál čekám, že absolutní základy security ví a chápe(ať už v IT děláš analýzu, vyvoj nebo tam nosíš kafe). A člověk, který se živí návrhem a vývojem webových aplikací (což firma dle webu dělá) a když se připojuje k firemním prostředkum děje se tak bez vpn a s účtem admin/admin a přijde mu to NORMÁLNÍ, mi přijde že je hodně slabý na duchu a pokud to není přeškolení horník, tak by se měl zamyslet nad správnou volbou povolání...

ja robim vyvojara 12 rokov a takej firme ako ta z clanku by som nedal ani chodnik pozametat.

"Opravdu cenná data, na kterých mi extrémně záleží „proháním” v souladu se smlouvami klientů pouze na mašinách bez fyzického přístupu k síti a bez možnosti připojit jakékoliv externí médium, takže zde nehrozí absolutně nic kromě HW selhání."Neda mi to, zeptam se. Jak se ta data na ty zabezpecene masiny dostanou? A jak se pak zpracovana data dostanou zase ven?

asi disketami

Dolph to opisuje z obrazovky, na toho si nikdo nepřijde.

Samozrejme, ale takovych systemu jsou mraky, skoro vsechny male podniky do 50 zamestnancum

To není omluva, obzvláště, když o sobě prohlašují : "Celá firma jsme v podstatě IT profesionálové".
Zdar Max

Nic jako IT profesionál neexistuje.

Tohle prohlášení jsem nějak minul, ale i když jsou to IT profesionálové, neznamená to, že mají perfektně pokrytý celý obor.
Stačí, když se sejde sto profesionálů v oboru stavebnictví, všichni experti na statiku, postaví mrakodrap, a ten sice nikdy nespadne, ale třeba bude naprosto neobyvatelný kvůli chybějící vzduchotechnice :)

Jo, já myslel, že každému normálně myslícímu člověku dojdou souvislosti, k nám jako ke všem, kteří (jsme) byli napadeni. Místo rýpání by potěšila reakce k tématu.

Začni tím že se naučíš jazyk

Ze mu chybi čárky a háčky? No a co?

Chybí ti tam čárka, pako.

Z velkého korporátu vím (3k+ zaměstnanců), že si většina firem na bezpečnost hraje, ale zároveň se tu a tam ohne pro jisté potřeby.Příklad: vyměníme všechny obsolete mašiny včetně OS za novější včetně jen lehce opožděného updatování (W10), šifrujou se ntb (desktopy nikoliv), jenže většina má primitivní hesla, protože je vynucená obměna co 2 měsíce, k tomu do bitlockeru má většina velmi slabé hesla a samozřejmě se některé ty stroje tahají do domácnosti. Sice tam žádnej takovejhle problém nebyl, ale vím i o strojích, kde si uživatel něco doinstaloval a nebo se nějak vyšmelil "admin" účet.Zkrátka, nemyslím si, že je to řešené dobře. Včetně šetření peněz a existence velmi starého HW, který sice v síti není, ale probíhá tam stejně výměna dat.O bezpečností politice současného zaměstnavatele se raději zmiňovat nebudu, to je ještě horší (i když zálohování mají asi podchycené lépe).

Naposledy, když jsem na to koukal, tak to bylo průměrně ~64kb/s toku na IP adrese, kde vůbec nic neběželo.
Což znamená, že kdybych dneska použil k připojení na Internet 56kbit modem a měl veřejnou adresu, tak si moc nešrtnu, protože mi linku ucpe ten balast

Někteří to zkouší sofistikovaně - jistá IP adresa pravidelně ve stejnou dobu atakuje porty routeru - pokaždé jiné - zřejmě to má někde zapsáno, co už zkoušela.
A je velice vytrvalá.

Přijde mi smutné, že někdo popíše na férovku chyby, které udělal, a jak se s tím popral, a diskuze je na téma "je to debil".

Nikde nepíšu (a ani si nemyslím), že je to debil.

Názor byl 1× upraven, naposled 20. 12. 2019 09:37

Jaký je rozdíl mezi VPN na SW, ke kterému člověk nemůže mít absolutní důvěru OpenVPN a přes RDP, kdy je do internetu otevřen příjem jen pro jednu veřejnou IP adresu, ze které se obsluha připojuje (pravidlo na FW) ?Děkuji za odpověď.

Defacto v tom, ze RDP vs VPN+RDP znamena dalsi vrstvu zabezpeceni.Tzn. implementacni chyba / bug v jednom, nebo druhem, neznamena automaticky kompromitovani systemu. Nic neni dokonale, ale vrstvy se skladat na sebe daji celkem snadno.Vlastni priklad - mam vystevene SSHcko na VIPce do netu
- pristup na SSH je blokovan port-knocker daemonem (dokud "nezaklepes" na spravne porty [vcetne spravneho poradi] - nic neodpovid)
- sshcko spawnuje container v dockeru s shellem mapovanym na uid/gid (only non-root useri)
- docker bezi bez root prav (a tez useri nejsou v docker grupe.. dalo to trochu prace, ale jde to nakonec snadno)Neni to bullet-proof, ale jsou to minimalne 3-4 vrtsvy navrch, ktere ztezuji prunik... a v tom je pointa meho prispevku

Chyba number one:Je tam Windows, nejamatérčtější OS na této planetě.

Pokud se dosud nic nestalo, tak peníze od vedení nedostaneš. Mnohdy ani poté.