Fórumok
Kollégáink dolgoznak az elhárításon, közben folyamatosan zajlik a gyógyszergyártás és helyreállt az árukiszállítás is. A károk felbecsülése a folyamat lezárása után várható
Részletek itt.
Kollégáink dolgoznak az elhárításon, közben folyamatosan zajlik a gyógyszergyártás és helyreállt az árukiszállítás is. A károk felbecsülése a folyamat lezárása után várható
Részletek itt.
Hozzászólások
#StopClickBait
Tehat nem kibertamadas csak mancika vagy bela beszivott egy cryptolockert.
A támadás a windowsokat érintette, tehát nem csak egy sima beszívott cryptolocker. Persze lehet, hogy "mancika" éppen domain admin volt. De ha mégis egy sima beszívott locker volt ami letitkosította a full windows infrastruktúrát, azt is nevezhetjük kibertámadásnak, mert pont az.
"A támadás a windowsokat érintette, tehát nem csak egy sima beszívott cryptolocker"
Wut?
Nem kell domain adminnak lenni eleg egy rosszul konfiguralt halozat is.
"Wut?" Kiragadtad a szövegkörnyezetéből:-)
A többesszámon volt a hangsúly, nem egy gépet érintett a dolog, hanem a teljes windows infrastruktúrát. Mi más ez szerinted ha nem kibertámadás?
De írják is lentebb, hogy mi történhetett, sztem az sokkal reálisabb.
Mai figyelmeztetés: https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-phobos-zsarolovir…
Imo likes this !
Mesélj, mit olvastál megint félre? :)
Brute force-al kitalálható vagy ellopott jelszóval terjed valami? Hát ez tényleg csak az RDP-t veszélyezteti. SSH-t, VPN-t és a többi távoli elérést semmiképpen :)
Azert az ssh-t, vpn-t még a sebezhetőség szempontjából se hasonlítsuk már össze az rdp-vel! :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nyugodtan össze lehet hasonlitani, mindegyikben voltak már durva hibák, de olyan még nem volt, hogy egy patchelt, NLA-s RDP-n csak úgy ki-be lehetett volna menni. Ne kezdjük el újra, elég csak az ÖSSZES win-es VM-et megnézni azure-ban, aws-ben, gcp-ben, nyitott rdp-vel, valahogy nem titeket igazol.
Ezt egyrészt nem tudhatjuk, másrészt pedig minden sebezhető, de az nagyon nem mindegy, alapesetben mennyire is nehezíthető meg a hacker dolga.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
OK.
Valamit esetleg a thread-hez, tudod phobos?
(persze az is érdekes kérdés, hogy mi köze mindennek az egishez...)
Ez bezzeg akkor nem jutott eszedbe, mielőtt kommenteltél! :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Nézd már meg mivel indult a szál...
Te vajon megnézted-e, mielőtt kommenteltél? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Megnéztem, név szerint emlitett a komment amire válaszoltam, amúgy eszembe sem jutott volna, hogy jön a témához az rdp.
Én pedig a te kommentedre reagáltam.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- Sting
Emlékszem rá.. ő volt az oka annak, hogy leléptem onnan.
Simán elképzelem, hogy a jelszó valami ilyesmi volt RDP-hez: 123456 :)
Voltam hasonló nagy cégnél, kéri a jelszót, adnám át rendszergazdának, hogy üsse be, erre elmondja mit kell beírni. Mondom komolyan? Ez a jelszó? Nem mondta még senki, hogy ez esetleg nem biztonságos? (de főleg, hogy nem kellene terjeszteni)
De simán lehet az is, hogy ugyanazt a jelszót használták más oldalon, ami szivárogtatás áldozata lett.
Tényleg ez utolsót már sikerült az MS-nek normálisan megcsinálni?
Mit is szeretnél mondani? Hogy hülye az aws, az azure és mindenki? Természetesen, ha megoldható, akkor le kell korlátozni IP-re. Ha meg nem, akkor nem kell lekorlátozni. Ezt az összes publikált szolgáltatásról el lehet mondani.
Mondjuk a hozzáférési kísérletek naplózása az utolsó pont és természetesen Windows 2000 óta naplózva van (NT 4-re már nem emlékszem).
A létező felhasználó kíván belépni RDP-n rossz jelszóval hol található az eseménynaplóban ? (mert amikor legutóbb volt szerencsém egy "megoldás"szállító RDP-s "kérdéséhez" nemigazán sikerült megtalálni (a 2012R2 csak azt loggolta, ha nem létező felhasználó akart sikertelenül belépni :)). Termésetesen ha egy ilyen szemétrakást el kell írni kivülről mindenkinek csupaszon és rászál egy-két bot ami szintén próbál belépni az se tud belépni akinek amúgy joga van rá mert kap egy szép hibaüzenetet "the number of connections to this computer is limited and in use right now. Try connecting later ...".
nagyon kellett már egy olyan program ami teljes körűen kihasználja a window$ kivételes képességeit :Đ
Oh hány helyen volt ilyen. Tudok olyan laborról, ahol admin jogot kellett adni 1-2 nem IT-s embernek, mert "szüksége volt hozzá a munkavégzéshez". Aztán egy nap minden titkosítva lett, mert leszedett valamit, ráadásul olyan gépen, ami egy rakás hálózati meghajtót is elért (és így titkosított). A rendszergazda nem volt boldog, jó időbe telt mentésekből visszaállítani. Azóta nem tudom kapnak-e admin jogot dilettáns személyek.
A rendszergazdát nem azért fizetik, hogy boldog legyen, hanem az ilyenek miatt... :D
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Jobb helyeken a kutyát nem érdekli, hogy a saját gépét kicsinálja valami szutyokkal. Ott nem tárolhat semmi fontosat. Image visszahúz és kész.
Az meg, hogy letitkositja a hálózati meghajtókat, teljesen független attól, hogy admin joga van-e, sima user accounttal is letitkosit mindent amihez csak hozzáfér.
-1 mert lehetőséged biztosíthat, hogy privilegizált account-ot szerezzen és blokkolhatja az IT központi security beállításait
Avecto (és társai) a kulturált megoldás, ha eleváció kell desktop-on, jobb helyeken
>> lehetőséged biztosíthat, hogy privilegizált account-ot szerezzen
adminról beszélünk, igen
>> az IT központi security beállításait
általában több kárt okoznak, mint 6millió vírus
>> jobb helyeken
ott, jah, ismerjük ezeket a jobb helyeket
>> Azóta nem tudom kapnak-e admin jogot dilettáns személyek.
igen, kapnak, úgy hívják őket, hogy rendszergazdák
Uh ez ütött :)