Vlákno názorů k článku Postřehy z bezpečnosti: hrozba útoků na významné cíle v Česku od Danny - Zaciname byt obeti velmi zjednodusenych zaveru. Co se...

Zaciname byt obeti velmi zjednodusenych zaveru. Co se pise v tisku pro laickou verejnost: Organizuje to cizí mocnost. Začíná se ukazovat, že by za tím mohlo být Rusko. Vedou tam IP adresy.

Ano, to je pravda. Jednu z tech "utocnych" ruskych IP, se kterymi nase organy pracuji jsem proveroval. Dokonce jsem nasel druhou, o ktere nam nikdo nerekl a ktera mela stejny SSH fingerprint. Analyzou incidentu z udane adresy a nasledne overenim toho, co na te IP bezi se doslo k tomu, ze za tim "utokem" realne stoji jenom Kinsing malware. Na ruske IP v nejmenovanem hostingu asi jenom scanner, vlastni malware se stahuje prozmenu z Holandska - a i v tuhle chvili to je aktivni. Ale to uz nikdo nerekne. Politika holt ovlivnuje i praktickou kyberbezpecnost, resp. jeji interpretaci. Zvlaste v dobe, kdy je na stole zakon o posilovani pravomoci vojenskych zpravodajcu je asi potreba vyvolat pocit strachu, i kdyz jde jen o dalsi z mnoha breberek, jejiz fungovani je zalozeno na lidske blbosti (klikani na kdejakou ptakovinu, co prijde) a lenosti (nezajisteni pravidelnych aktualizaci provozovanych systemu).

Samotny malware je kazdopadne zajimavy, pokud vim v postrezich se o nem nepsalo ;-) Pro mnozeni se to mimo jine vyhledava treba i PHP remote code execution zranitelnosti v ruznych aplikacich, a pri uspechu si to pres shell_exec curlem stahne a nasledne spusti dalsi kod...
https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability

Odkud berete tu jistotu, že NÚKIB toho o tom útoku ví tak málo, jako vy?

Tak treba tohle a tohle si to stahuje a pousti. Mam i IPcka toho, s cim si to povida dal. A rekl bych, ze ty IP adresy, se kterymi se navaze nasledna komunikace po spusteni tech "procesu" z jiz infikovanych stroju jsou asi podstatne zajimavejsi nez ty, co poslali - ty se pouzivaji jenom pro sireni nakazy. Ale koho to zajima... :-)

To ale není odpověď na mou otázku.

Je trochu problém, že se ke kyberbezpečnosti vyjadřují ajťáci, kteří mají pocit, že když něco nemají v logu, tak to neexistuje. Asi jako kdyby se k vyloupení banky vyjadřoval odborník na daktyloskopii a tvrdil by, že policie pachatele nezná, protože nemá jeho otisky prstů, protože na co pachatel sáhl, to ukradl. Takže to byl dokonalý zločin a policie pachatele nikdy nenajde. A policie mezi tím už bude stát před domem pachatele, který se nijak nemaskoval a policie ho tedy snadno identifikovala z kamerového záznamu.

Zatimco Vy zjevne realne schopnosti personalne i financne poddimenzovanych instituci nejspis precenujete. Pritom zcela ignorujete fakt, ze se uz loni mluvilo mimo jine o pretizeni existujicich zamestnancu... a to v dobe, kdy zdaleka nebylo tak rusno jako je dnes.

Danny nerikejte ze jste tak najivny ze verite na 16 leteho hakera co hakuje cely svet ze sve komurky u maminky.
Predstava ze se neco deje z ruske adresy a jejich 3 pismenkove agenturi o nicem nevedi je mozna jeste o level lepsi naivita.

Tak úplně v první řadě znalý ví, že adresa IP vzhledem k možnosti napadení a zneužití kteréhokoliv počítače nevypovídá VŮBEC O NIČEM! Já sám mám na seznamu útočníků adresy z CELÉHO světa včetně udatných a mírumilovných Američanů - co bych z toho podle vás měl dovozovat?

Měl byste si z toho dovodit, že když je řeč o IP adrese, nemusí to být jen IP adresa toho počítače, který na vás přímo útočí. Ten útočící počítač může být ovládán z jiného počítače, a ten zase z jiného – a všechny tyto počítače také mají IP adresy.

Tak tyhle převratné objevy můžete vykládat Sekerákovi. To je o příspěvek nahoru.

Tak z komurky u maminky to skutecne neni :-) Ty mne zname IP ukazuji na ctyri ruzne hostingy v trech ruznych zemich - dost malo na to aby se verohodne urcit, ze za tim stoji nejaka velmoc (natoz pak rict jaka). A samozrejme kazda z tech IP ma v celem tom cirkusu naprosto jiny ucel. Role si peclive rozdeluji.
Samotny Kinsing urcite sestnactilete decko nepsalo, je to vcelku propracovane a promyslene - jak je patrne i ze zverejnenych popisu. Ale porad jde jenom o self-propagating malware... ktery napada stroje, aby na nich tezil kryptomeny. A IP, odkud se to realne stahuje nebo kam se vysledky tezby posilaji a se kterou napadene stroje maji skutecne navazanou komunikaci (neboli C&C) ale zatim zjevne nikdo neresi - resi se jen jeden scanner hledajici derave systemy...
A ocividne to necili jenom na diry v dockerech, mnozi se to i jinymi zpusoby - treba skrze derave PHP aplikace. Zminky o problemovem kdevtmpfsi se daji najit uz z lonska. A rozhodne nikoliv jen ve vztahu ke kriticke ceske infrastrukture ;-)

Ty mne zname IP ukazuji na ctyri ruzne hostingy v trech ruznych zemich - dost malo na to aby se verohodne urcit, ze za tim stoji nejaka velmoc (natoz pak rict jaka).
Ne aby se, ale byste vy mohl určit. Pořád ale zbývá možnost – byť ji ve svých předpokladech nepřipouštíte – že někdo jiný ví víc než vy.

A je nebezpecnejsi adresa vlastniho C&C ovladajici jiz infikovane stroje nebo adresa, ze ktere probihaji jenom scany hledajici nove obeti? :-) Jenze ty zjevne C&C, se kterymi se pak komunikace navaze zatim nikdo neresil - byt z meho pohledu je i pro zpetne dohledani jiz nakazenych stroju podstatnejsi.