Politika

teraz na slovenskom rozhlase odznelo ze mali iba windows defender

edit tu je to

https://slovensko.rtvs.sk/clanky/politika-z-domova/388799/kyberneticky-utok-na-kataster

tym nam chces naznacit, ze ani elektrina zachvilu nepojde? Tak to je potom jasne, ze ani na Ukrajinu nic neposleme a Fico zasa splni svoje sluby

Kamarat robi IT security pre jednu svajciarsku firmu a riesi prave taketo pripady, ako zabezpecenie velkych podnikov a vyjednavanie s hackermi. Ten by ti povedal, ako sef/majitel napadnutej firmy zrazu vnima cenu za antivirus licenciu ked mu klakne aj relativne maly podnik s 500 ludmi.

Byvalu firmu takto napadli (uz som tam nerobil) a viem od kolegov z IT, ze to bol tazky pruser. Riaditelovi firmy poslali hackeri fotku jeho vlastneho obcianskeho preukazu a fotografie jeho rodiny. Tam fakt uz nemas strach len o data. Cela jeho rodina musela menit obcianske, pasy, bankove ucty, kreditne karty... A to bola len taka "drobna" neprijemnost, oproti tomu ostatnemu.

Nemyalel som, ze chcem evidenciu… ale to tu zaznelo, a po prelistovani par stran som to nevedel priradit… kazdopadne ste mi dali info viaceri, takze dakujem.
Taka organizacia a bezia na Defenderi… to ani doma nenecham bezat. 🤦🏻‍♂️

Ono by to skor patrilo do IT, ale odznelo tu par bludov, takze mi neda nereagovat na ne.
Som partnerom Esetu, takze primarne ponukam a spravujem ich produkty, ale nie je pravda, ze v minulosti bolo 0 postihnutych klientov Esetu prvymi vlnami kryptovirov.
Eset reagoval extremne rychlo, ale vzdy bol par hodin za utocnikmi, co je bezne. Takze prebiehalo to asi tak, ze rano mi zakaznicka hlasila kryptovane data, jej antiviri nic nevidel a asi o 2h na to uz vedel virus v systeme detegovat. Konkurencia vtedy este spala.
Eset oficialne ponuka ochranu proti kryptovirom, ale treba si priznat, ze ochrana proti kryptovirom neexstuje a ze heuristika (odhalovanie neznamych virusov) je stale velmi slabo ucinna. Pamatam si testy heuristiky, kde Eset suverenne porazal konkurenciu z celeho sveta...ale dosahoval vysledky na urovvni 50% (zvysok sveta tak 10-20%), takze treba stale vychadzat z toho, ze novy kryptovir proste ziaden antivir nezachyti.
Kedysi nebol problem data desifrovat, ci obnovit ich zo shadow kopii suborov, ale utocnici sa pomerne rychlo ucili a dnes maju sofistikovany typ utoku, takze shadow kopie ored utokom vymaze, na ransomware nie je decryptor a utoky sa zasadne odohravaju cez vikendy v nocnych hodinach, kedy maju skoro istotu, ze na systemy nikto nedohliada. Utocnici zvyknut server aj restartovat, aby z RAM nebolo mozne vytiahnut pripadne desifrovaci kluc.
Je pravda, ze po zaplateni vykupneho nie je istota, ze vydierac nieco posle, ak posle je obrovske riziko, ze pri decryptovani sa poskodi subor a opakovane dekryptovanie uz mozne nie je. Vydierac vsak casto ponukne moznot nehcat si desifrovat jeden mensi subor ako ukazku, ze disponuje touto moznostou.
S vydieracom sa da aj vyjednavat, par mesiacov dozadu sme jedneho stiahli z povodne pozadovanych 10k na 1k, pretoze napadnutej firme slo len o jednu jedinu databazu a mala zalohu staru 7 rokov, co vsak vydierac nevedel a tak sme machrovali, ze nam ide iba o tyzden stratenych dat, ze mame zalohu, ale nechce sa nam prist ani o ten tyzden a ze moze mat len 1k alebo nic.
Najprv nechcel ani pocut, ale potom si povedal, ze lepsi vrabec v hrsti a prijal to, Pribeh ma trosku smutny koniec, firma sa nepoucila, stale bezi ich virtualny server na jedinom fyzickom servri, na sieti sice pribudol NAS, ale na zalohy nikto pravidelne nedohliada, kedze im bolo moc platit za nieco taketo par desiatok eur/mes, takze si koleduju pripadne o dalsi pruser v buducnosti. Komu niet rady...

Trosku nerozumiem systemom zaloh v statnych instituciach, pretoze zalohovanie je defacto velmi jednoducha vec, ak si polozi admin par otazok, co sa stane ak zlyha toto a za aky cas to viem obnovit.
Od toho sa odvija aj system, ktory potom navrhnem a zvolim.
Uz pri malych zakaznikoch mam nastaveny jednoduchy a nepriestrelny system. Zdroj dat, zaloha na NAS, zaloha z NAS na ine ulozisko v inej geolokacii.
Vzdy treba mat na pamati, ze zaloha mi je naprd ak mi zlodej ukradne zdroj dat + zalohu, pretoze su v tej istej miestnosti/budove. Treba pocitat aj s poziarom, povodnou, ci uderom blesku. Preto sekundarna zaloha musi byt fyzicky inde ako primarna.
Da sa to riesit cloudom, ci bezne maju moji klienti NAS doma a v noci sa im robi synchronizacia s NASom z firmy.
K zaloham zakaznik nikdy nema pristup, iba spravca zaloh, idealne je drzat zalohy mimo netu a nemat k nim pristup zvonku.
Zdroj dat nema pristup k zaloham, pretoze zalohovacia masina pristupuje na server a takisto sekundarne NAS pristupuje na primarne, cize v pripade, ze utocnik napadne primarny zdroj nevie ziskat ziadne udaje k zalohovaciemu NAS(windows o nom nema ani tucha) a v pripade, ze by napadol aj zalohovaci stroj nevie vobec nic o tom, ze data su este na sekundarnom NASe. NASka sa snazim drzat mimo cloudovych sluzieb, pretoze tam hrozi riziko diskreditacie, napriklad par rokov dozadu mal taky tichy pruser QNAP, kde boli napadnute cez ich cloud vsetky masiny tam pripojene, nastastie dochadzalo len k restartom a znefunkcneniu pristupu cez ich cloud a nie k strate dat.

Ak by mali statni uradnici zaujem spravim im skolenie zdarma. Za 20 rokov praxe sa mi nikdy nestalo, zeby som nevedel u zakaznika obnovit data.

Konečne sa zapojil do diskusie aj niekto ozaj fundovaný čiže radosť čítať.

Z legalneho hladiska vacsinou nemozes davat kriticke data statnych institucii do cloudu (podobne ako support institucii EU mimo EU - napr do Indie ci Filipin), cize tie zalohy musia byt fyzicky niekde na paskach. Inak suhlasim.

Ak dojde k takemuto utoku, vacsinou o nejake data prides. Je to nemile, ale vacsinou sa s tym tak nejak pocita. Mam skusenost s jednym zakaznikom, ktory si dobrovolne restoroval data z dvojtyzdnoveho backupu, aby mali istotu ze tie data su ciste. Inak sa vacsinou ide posledny full backup a co najviac incremental/diferencial backupov maju.

Ale je sakra rozdiel prist o par dni stare udaje a do par dni mat vsetko funkcne ako mat X mesacne/rocne zalohy a zufalo platit vypalne, aby sa zachranilo aspon nieco. Najma teda pri takto dolezitej statnej institucii.

Vzhľadom na to, že úrad má niekoľkovrstvové zálohy, tak je schopný obnoviť dáta na poskytovanie kritických služieb zo sekundárnych záloh. Tieto sa ale v súčasnosti musia zabezpečiť, skontrolovať, identifikovať, či je zabezpečená integrita. Až potom bude možné ich obnoviť a dať do prevádzky," skonštatoval Hlavička.----vyjadrenie od človeka čo tomu rozumie.

Nie je celkom pravda s tym cloudom.
Mam zopar serverov v datovom centre Digitalis v BA, ktore spravuje VNET. V Digitalis je separe budova/oddelenie, ku ktoremu nema komercny zakaznik fyzicky pristup, pretoze tam maju svoje servre statne institucie.
Nevidim ziaden problem keby mal stat v Digitalise svoje cloudove uloziska, a je kludne mozne, ze ich tam aj ma.

Zrejme sme sa nepochopili. Takyto cloud je samozrejme v poriadku (bavime sa o budove v BA, zatial este stale v EU). Ja som hovoril o globalnych cloudovych rieseniach.

Nielen statnych institucii. Mame klienta standardnu komercnu banku v CZ a ti chceli zalohovat data v nejakom globalnom cloude, tak sme ich iba upozornili, ze no no no.

A co tie data pre "nekriticke" sluzby?

Z tohoto prispevku sa da vytusit, ze okrem udajov bola napadnuta aj primarna zaloha, kedze obnovovat chcu zo sekundarnej.
Potom nerozumiem aku integritu chce testovat, pretoze ak nemas povodne data/strukturu nemas voci comu kontrolovat integritu dat a indexov.
Pride mi to to dost zmatocne a take politicke vyhlasenie, kde len nahanaju cas a vysvetluju preco to nejde a este aj dlho nepojde.
Ak mam len sekundarnu zalohu dat ziadnu integritu nekontrolujem (nemam voci comu), proste to obnovim z jedineho zdroja co mam.
U statu by som predpokladal, zeby mali pouzivat min Veeam, ale na druhej strane niekedy su tie riesenia tak zbytocne komplikovane az v pripade pruseru zakaznik zisti, ze to, co funguje na papieri v praxi nefunguje. Ja osobne razim co najvacsiu jednoduchost respktive pouzitelnost vs naklady.
Spominam si na nedavny pruser Alzy (1-2 rokov dozadu?), kedy im drbla MSSQL a hoci mali vesmirne diamantove partnerstvo s MS mala Alza vtedy tusim 1-2 dnovy vypadok, co su v pripade takeho molocha obrovske straty.v milionoch.

a do toho si precitam toto https://www.aktuality.sk/clanok/0BeviAp/prejav-sergeja-lavrova-je-ako-vyhlasenie-vojny-ruska-aj-proti-slovensku-komentar-zola-mikesa/
aby po obnoveni dat nebol vsade jediny vlastnik - ruzzko

Ziaden hackersky utok na kataster. Fico takto prepisuje nehnutelnosti na rusko. Zachvilu pridu "stahovaci".