Hakerski napad na JKP Informatika

[momsab]

taj Sophos je naslednik MS Forefront TMG, ako se ne varam. dobro rešenje al' sa jakom cenom.

što se tiče sopstvenog IT i razvijanja sopstvenih rešenja, od toga nema ništa. em nema dovoljno para em postoji (tihi) otpor ljudi u javnom sektoru prema promenama (što znači da bi IT ljudi morali više da se cimaju). s druge strane, jake firme u privatnom sektoru se dosta oslanjaju na spoljna rešenja (bolje angažovati firmu koja je specijalizovana za neku oblast nego praviti novi deo firme koji bi se time bavio).

u vezi oblaka, postoji neki otpor prema istom. isti nije zabranjen nego ne sme spolja da ide (tj. da su serveri u drugoj zemlji). počela je izgradnja drugog državnog data centra koji se može posmatrati kao rezervni oblak

 

[lanmi86]

u vezi oblaka, postoji neki otpor prema istom. isti nije zabranjen nego ne sme spolja da ide (tj. da su serveri u drugoj zemlji). počela je izgradnja drugog državnog data centra koji se može posmatrati kao rezervni oblak

Poenta je ista, zabranjeno je iznosenje i drzanje privatnih i bitnih informacija u stranoj zemlji. Cloud ko Cloud, mozes ga zvati i DR lokacija, cim je drugi data centar, mada mozda je i primarna, sve zavisi koja ce mu namena biti, da li ce se vrteti nesto na njemu ili samo kao DR.

 

[aLti]

U sustini, dobro organizovani napad ne moze da se spreci, ali njegove posledice svakako mogu i moraju da se ublaze. To se uglavnom postize sa unapred pripremljenim tzv. "disaster recovery" planom, koji Informatika ocigledno nije imala. Dakle, odgovornost pre svega lezi na direktorima, a ne na IT operativcima. Naravno, svi znamo kako se u Srbiji stize do direktorskih mesta u javnim institucijama - i tu se svaka prica zavrsava. Mnogo toga je u ovom slucaju krenulo po zlu, uglavnom zbog nerazumevanja potencijalnih rizika od strane onih koji su, gle ironije, debelo placeni da bi sedeli tu gde trenutno sede.

 

[Sale83]

Cico to analizirao.[emoji16]

https://youtu.be/Q4WV2hs9jI4

Sent from my Mi A1 using Tapatalk

 

[Kluzo]

Sto se tice clouda misljenja sam da nijedna ozbiljna firma a kamoli drzavna institucija ne treba da drzi bitne podatke na cloudu.
IT sluzba treba da ima par ljudi koji se moraju platiti vise i koji osmisle strategiju, a operativci mogu da rade za manje od 400 evra u fdrzavnoj slizbi imaju i praznike i odmore pa mogu da zarade (ako sta vrede zaradice jos nesto sa strane). Operativci treba da ispostuju procedure koje dobiju id nadredjenih.
Licno mislim da su hakeri nekako dosli do sifre nekog admin naloga, moguce kako navede jedan clan da su drzali negde txt datoteku sa time.
Kad su na radnim stanicama korisnici sa standardnim nalozima koji kroz grupne polise mogu biti centalizovano kontrolisani, pa se za sistemske zahvate i instalacije na lokalnoj masini koristi nalog lokalnog a ne domenskog administratora onda o mogucnosti zarazenog maila ili usb flesa su daleko smanjene. Ne mora se zabraniti koriscenje usb fleseva, dovoljno je disejblovanje auto run opcije.

 

[NShappy]

Što se tiče tih crypto virusa, da li fajl koji sam ja već kriptovao, može biti ponovo kripotvan od strane tog nekog zlonamernog programa?

 

[aLti]

Što se tiče tih crypto virusa, da li fajl koji sam ja već kriptovao, može biti ponovo kripotvan od strane tog nekog zlonamernog programa?

Naravno.

 

[Poolmaker]

Što se tiče tih crypto virusa, da li fajl koji sam ja već kriptovao, može biti ponovo kripotvan od strane tog nekog zlonamernog programa?

Naravno.

 

[NShappy]

Mogla bi neka temica na sajtu ransomware crypto virusima, i mogućim zaštitama. Mislim, ne na froumu, već autorski tekst na Bench sajtu.

 

[jorgovan]

Ovoga će tek biti. Ljudi su bedno plaćeni, bez adekvatne obučenosti, bez hardvera i odgovarajućeg softvera a opasnosti su svakog dana sve ozbiljnije.

Sent from my SM-G973F using Tapatalk

 

[stopke]

Sto se tice clouda misljenja sam da nijedna ozbiljna firma a kamoli drzavna institucija ne treba da drzi bitne podatke na cloudu.
IT sluzba treba da ima par ljudi koji se moraju platiti vise i koji osmisle strategiju, a operativci mogu da rade za manje od 400 evra u fdrzavnoj slizbi imaju i praznike i odmore pa mogu da zarade (ako sta vrede zaradice jos nesto sa strane). Operativci treba da ispostuju procedure koje dobiju id nadredjenih.
Licno mislim da su hakeri nekako dosli do sifre nekog admin naloga, moguce kako navede jedan clan da su drzali negde txt datoteku sa time.
Kad su na radnim stanicama korisnici sa standardnim nalozima koji kroz grupne polise mogu biti centalizovano kontrolisani, pa se za sistemske zahvate i instalacije na lokalnoj masini koristi nalog lokalnog a ne domenskog administratora onda o mogucnosti zarazenog maila ili usb flesa su daleko smanjene. Ne mora se zabraniti koriscenje usb fleseva, dovoljno je disejblovanje auto run opcije.

niko kvalitetan nece da ti radi za te pare

 

[Delicious]

Estonija drzi kopiju svih svojih podataka u Luksemburgu, takozvana "data embassy".

 

[Kluzo]

Mislim na help desk podrsku, ljude koji otklanjaju kvarove na radnim stanicama i sl. Programeri i glavni admin naravno nece da rade za te pare.

 

[lanmi86]

Cloud je potpuno ok rešenje za privatne firme, ako već imaju takvu politiku, mnogo je jeftinija varijanta nego on prem rešenja, plaćanje server sale, supporta za hardver, softver... To mogu samo jake i velike firme.

Državni podaci koji su bitni, MUP baze, JMBG itd, moraju da budu u lokalu. Fora je što državne firme ni nemaju pravu security politiku nego tako ponešto neko namesti, ali je sve to smešno, ne daj bože da se odradi ozbiljniji pentest, ni jedna državna firma ne bi prošla.

U trenutnoj firmi security nam je prilično solidan, svaki mail koji udje u sistem, prolazi više slojeva provera, polise su vrlo restriktivne, svaki kriptovan, zipovan fajl kao i većina executable ekstenzija je blokirana, gomila nestandardnih ekstenzija blokirane, podešene polise za SPAM, SPF, DMARC i DKIM, većina ljudi ovde neće ni razumeti, poenta je da ozbiljna firma mora da ima ozbiljan security, nema govora tu, zaustavlja se svaki sumnjiv mail i čeka odobravanje, a gomila se automatski briše,

Sandbox je takodje sjajna stvar, okineš sumnjiv fajl na test virtualkama, dobiješ info u par sekundi,ili je sumnjiv ili čist.

Ni jedan sistem nije sto posto siguran, zahteva stalno unapredjivanje i praćenje trendova i prevencija je 90% posla, znači ne treba se oslanjati na Peru, Žiku, Miku da neće kliknuti na odredjen attachment u mejlu, nego se postarati da takav mail ni ne dodje do njega, naravno ne može se sve blokirati, ali većina može, a ostalo kvalitetnom obukom ljudi da ne klikću na gluposti.

 

[djordje.igic]

Pa evo ti potvrda da nije samo tako kao sto si naveo vec ima i malo gorih slucajeva:
Placanje debitnom karticom: Iznos 119USD, mesto SQ *TANG MINGLING qosq., dana 03.03.2020 u 17:39h
Ovo je SMS poruka koju sam primio i odmah zatim zvao call centar Credit Agricole banke i blokirao karticu. Sto se storniranja transakcije tice mogu samo da kazem da sam usao u proceduru (jadnici ne mogu jednu transakciju da storniraju iako imaju potvrdu da nije bilo autorizacije placanja sa moje strane). A prica o prijavljivanja slucaja MUP-u je posebna prica (*mjau**mjau**mjau**mjau**mjau*ana).
Guglao da vidim ima li jos slicnih slucajeva , ali sem ovog navoda na ovom forumu veliko NISTA. Izgleda da pokusavaju da umanje stetu koju su dozvolili da se dogodi.

 

[Jericho]

Kakve veze ima tvoj slucaj sa ransomware-om?

 

[vanbasten]

Sta zena sto radi tamo zna sta je virus, ona klikce pa ko ga j... Oni nece da se usavrsavaju, a problem je uvek covek, uz dobar kripter nece tebi pomoci nikakvi anti virusi i te gluposti, jedino manuelno proveravanje u sandbox. I sandbox ce ti pomoci za ocigledne seljacke viruse a za ozbiljnije nemas cemu da se nadas.

 

[Sgt. Major]

Aj da iskoristim temu za pitanje - čovek na prethodnoj strani kaže da se zipovani fajlovi u mejlovima blokiraju. Kako se onda razmenjuju mejlovi sa velikim brojem dokumenata sa spoljnim primaocima i pošiljaocima? Bavim se pravom i gotovo svakodnevno razmenjujem veliki broj dokumenata sa notarima, bankama, klijentima, kolegama itd, pa me zanima na koji način to može da se obavlja bezbedno.

 

[NShappy]

Uplodaj na neki cloud, gdrive npr, pa šalji link.

 

[Sgt. Major]

To i radim, ali vidim da su ovde i cloudi pomenuti kao loše rešenje.

 

[pilac]

Aj da iskoristim temu za pitanje - čovek na prethodnoj strani kaže da se zipovani fajlovi u mejlovima blokiraju. Kako se onda razmenjuju mejlovi sa velikim brojem dokumenata sa spoljnim primaocima i pošiljaocima? Bavim se pravom i gotovo svakodnevno razmenjujem veliki broj dokumenata sa notarima, bankama, klijentima, kolegama itd, pa me zanima na koji način to može da se obavlja bezbedno.

Svaki bolji mail server radi skeniranje zip fajlova, pa ne mozes da na taj nacin prouturis zabranjene ekstenzije kroz to....Ne mozes kroz zip da proturis .exe, npr

 

[stex]

Kako kućni korisnik da se zaštiti, kad već antivirusi ne funkcionišu? Osim ažuriranog OS-a, jel postoji neki program kojim može da se skenira komp na takvu pošast?

 

[OZZY83]

Koliko secam postojala je neka komponenta malwarebytes-a ili firme koja je radila malwarebytes..sta je bilo sa tim, pojma nemam.

 

[vanbasten]

Sandbox ti je najsigurnije.

 

[pilac]

Ovo me je odusevilo dokle sve to ide......

https://www.bleepingcomputer.com/ne...camera-infected-with-ransomware-over-the-air/

 

[DukeLander]

Kako kućni korisnik da se zaštiti, kad već antivirusi ne funkcionišu? Osim ažuriranog OS-a, jel postoji neki program kojim može da se skenira komp na takvu pošast?

Preventiva najbolja kao sto rekose kolege: ne skidas torente, koristis gmail, protonmail i sl, ne ides na sumnjive sajtove, ne klikces na sumnjive linkove i pop up, ne otvaras redirekt mailove i linkove tipa only for you, important!, unsubscribe! i sl od nepoznatih posaljioca...
Time si resio 99% problema i to bez antivirusa.
Te osnovne stvari sam naucio familiju jos odavno i godinama ni jedan problem na minimum 4 racunara, za sada
Mada koliko vidim i po forumu i okolini, 99,9% gamadi udje preko torenta.

...riding on 720p...

 

[Lanikor]

Sandbox ne pomaze kad nesto ima odlozeno paljenje, masa Adobe softvera sa shady torenta ima 72h odlozeno kriptovanje ili se skine kada neko pokrene update (jedan nas covek tako zaglavio posle nekoliko meseci ili mozda cak i godinu dana)

Za stariji ransomware je CryptoPrevent free solidna zastita, samo sto sad vise nije free (mada jos uvek moze da se skine neka free verzija ranijeg builda) ali ga i dalje drzim za svaki slucaj. Radi komplementarno sa AV.

U sustini najopasniji je 0day, tu klasicni antivirusi muce muku pa mora da se doda nesto komplementarno.

 

[old_bookmaker]

Kako kućni korisnik da se zaštiti, kad već antivirusi ne funkcionišu? Osim ažuriranog OS-a, jel postoji neki program kojim može da se skenira komp na takvu pošast?

Ne otvaraš svakakve email-ove koji ti stižu. Nama stiže, celoj akademskoj mreži, po nekoliko na dnevnom nivou. Od "phishing" linkova do Word dokumenata u attachmentu. Ovi prikazani su sad baš aktuelni. Naravno, tu je sve zamaskirano, čak su u jednom uspeli da zamaskiraju da je stigao email sa

viktor. savic @ fil. bg. ac. rs

. Veoma perfidno.

Iako čovek koji vodi računa o našem ogranku akademske mreže, nije jedini već glavni odgovorni, nedeljno šalje upozorenja neko će da se upeca i da zarazi svoj računar i svoju kućnu mrežu.



Kao kućni korisnik napraviš ofline backup dokumenata i fotografija, za ostalo te manje više nije baš puno briga. Tu je i kopija celog sistema u vidi nekog "image" fajla (Acronis ja koristim, recimo) i to je to.

Ženi sam objasnio da ne otvara gluposti (linkove) sa FB, Inst. i ostalih društvenih mreža, dete još uvek aktivno ne koristi računare pa ne predstavlja veliki rizik za sada.

Takođe, ono što je Mile (Duke) napisao. Torrenti za filmove OK, za ostalo (igre, programe, ...) veliko "No, No".

 

[Sgt. Major]

Mislim da su sada sajtovi za online gledanje serija i filmova i strimovanje sportskih prenosa najopasniji, jer imam utisak da njih koristi najveći broj ljudi koji o zaštiti ne znaju ništa, pa ih posećuju bez ad blockera, antivirusa, firewalla itd.

Svaki bolji mail server radi skeniranje zip fajlova, pa ne mozes da na taj nacin prouturis zabranjene ekstenzije kroz to....Ne mozes kroz zip da proturis .exe, npr

E to, koristim Gmail i Outlook, pa nisam imao probleme dosad.

 

[old_bookmaker]

Nisu samo attachmenti problem, ovo je veći problem za prosečnog korisnika (sem ako ga pre toga neko nije SLIKOVITO upozorio da je ovo FAKE email). Čak i adresa sa koje je poslat ovaj email može prosečnog korisnika da zavara vrlo lako.



Moguće je da je korisnik ovog email-a već zaražen, pa se sa njegovog email klijenta šalju drugima poruke. Pitanje koje se nameće je odakle njemu adrese ostalih korisnika akademske mreže, možda je "crv" već na serveru.

Lično, čoveka ne poznajem, niti smo ikada imali bilo kakav kontakt. Naravno, vidi se da je ovo fake email, a verovatno ovo i nije adresa (na koju treba da se klikne) za ransomware ali može da bude.

Mada, kako si to već i napisao, možda su namerno odabrali nekog postojećeg korisnika (ako uradite pretragu, osoba koja je navedena imenom i prezimenom zaista postoji na Filološkom fakultetu u BG-u) kako bi sve to bilo veoma uverljivo potencijalnoj žrtvi.

Ova je baš "jadna", dok su se oko prethodne malko više potrudili.