Názory k článku Postřehy z bezpečnosti: poučení z malwaru NotPetya
-
Clanek hodny masmedii, nikoliv technicky zamereneho periodika.
1) Šlo o útok cílený na Ukrajinu a na cizí firmy, které s Ukrajinou obchodují.
Naprosta spekulace.
2) Díky tomu, že útočníci znají údaje EDRPOU (DIČ), přesně vědí, která firma zpracovává své účetnictví na M.E.Docu a ve které síti.
O M.E.Doc zcela jiste neslo, to byl jen nosic vody. Nelze ale snadno ziskat ovladaci pulty v konkretnich firmach. O to tady mohlo jit.
3) Cílem útoku bylo zničit data napadených firem (sabotáž), infikovat další počítače v napadených sítích a zjistit údaje o obchodních transakcích napadených firem.
Dalsi spekulace. Utocnik provedl kroky jake chtel, nikoliv k jakym byl nucen. Nicil jen v ramci uklidu, a nicil vse. Kdo zna detektivku A. Christie o abecednim vrahovi, jiste pochopi, proc tak mohl cinit a o sabotaz tedy nemuselo jit.
4) Finanční zisk nebyl cílem útoku, přestože ten se tvářil jako ransomware a požadoval za dešifrování dat 300 USD v bitcoinech.
S timto lze souhlasit v rovine spekulaci. Klidne to mohla financovat nejaka ukrajinska obchodni skupina s cilem ziskani informaci o svych konkurentech a jejich vztazich. Nebudu spekulovat kdo proti komu vyuzil kyjevskou firmu, ale i nadstrazmistr v Mukacevu by mozna proveroval dalsi varianty.
5) Útok byl velmi dobře naplánován a proveden. Pro útočníky musel být velmi drahý.
Utok byl uspesny, ale drahy urcite nebyl.
6) Nyní je odhalena metoda infekce v softwaru M.E.Doc i manipulace s update serverem; útočník už tedy tímto způsobem nedokáže spouštět vlastní kód na velikém množství infikovaných počítačů (údajně u 80 % ukrajinských firem).
Analytici jsou 2-3 mesice za kroky utocnika. Ten z toho urcite nespi, ze si sam znefunkcnil platformu. Pokud ji jeste potrebuje, urcite uz davno instaloval novou generaci.
Doporuceni v zaveru clanku komentovat nebudu - jsou to jen obecne rady, jejichz prakticky dopad lze pozorovat s kazdym novym uspesnym utokem.
-
j (neregistrovaný)
Ono se staci podivat na autora a je jasno ze ... co jinyho nez blabol by z toho mohlo vypadnout. Uz i prohlaseni ze dotycny musel mit pristup ke zdrojakum je postaveny navode ... jako by do libovolnyho dllka neslo pridat cokoli.
Navic je to cely pojato jako PR M$ a Cisco ... prechod na windows 10 ... to pusobi vesele i kdyby to nebylo na rootu. Aniz bych zkoumal tu appku, je totiz klidne dost dobre mozny, ze na desitkach nebezi. Coz u ucetnicvi je urcite zadana vlastnost. A samo kazdej vsude a vzdy pouziva vyhradne Cisco a nic jinyho ... na vecny casy.
BTW: Kdyz je to cely v azbuce tak to asi nebude pouzivat moc lidi mimo hranice statu azbuku pouzivajicich. A jestlize je to ucetni soft, tak dost pravdepodobne velmi podobne jako mnoho nasich ... je to proste lokalni zalezitost danyho statu a dany legislativy ...
Apropos, esetu trvalo 14 dnu od okamziku kdy sme jim predali vzorek jinyho kousku do chvile kdy ho detekoval ... to je fofr co?
BTW2: Autor si podle me chtel neco otestovat, a necekal ze to bude mit az takovej uspech. Proto nijak zvlast neresi zabezpeceni plateniho kanalu. Uz se tesim az nekdo napadne widloupdate servery ... to bude teprve nadeleni ... mno hlavne vsichni aktualizujte.
-
j (neregistrovaný)
2strepty:
To jiste... sem jen zvedav, jak si s necim takovym pustis trebas ... M$ opice ... takova, celkem nezajimava knihovnicka ... EXCHCSP.DLL ... ze prej to je ... "Microsoft Exchange Cryptgraphic Service" ... zadnej podpis ale nema. Ale tak jiste, nekdo si opice kupuje proto aby je pak nepouzival, a utlouka proto aby se nepripojil k exchange.
-
strpty (neregistrovaný)
j , naisto viem ze velke firmy maju nastavene ze neadmin moze instalovat len podpisane dll. Mal som exe ktore kontrolovalo ci ide na podpisane dll s ktorou bolo skompilovane, neviem ci to je vlastnost windowsu. V podpisanej dll (.NET) sa mi podarilo zmenit bool hodnotu bez toho aby exe hlasilo chyby takze hash pri spusteni nekontroluju, ale zda sa mi ze ked som ju o bajt zvetsil tak uz to neslo takze kontroluju velkost, kod sa mi do nej nikdy nepodarilo dostat. A neviem ci by zmenena dll presla instalaciou ked ma inu hash.
-
Petr M (neregistrovaný)
Z definice, podpis je hash souboru + klíče + nějakých dalších dat.
Z definice, hash se musí změnit při změně každýho bitu
Takže pokud jsi změnil jedinou hodnotu a prošlo to, tak jsou tyhle možnosti:
- Nekontroluje to podpis vůbec
- Mají to blbě implementováno (např. místo obsahu souboru se používají jenom metadata o něm - velikost, datum změny,...)
- Mají tam chybu v hashovací funkci.Podpisu DLL nevěř. Pokud se vůbec kontroluje, tak maximálně blbě a při instalaci. Na cybersec školení jsme zkoušeli hacknout widle a šlo to hladce- vlastní DLL do nesystémovýho adresáře, úprava %PATH%, spuštění aplikace, používající DLL a hurá. Podpis se neřešil, instalátor se neptá při kopírování souborů mimo systém a dopsat proměnnou do systému není problém i bez hlášek.
Pokud by měl být podpis něco platný, tak musí být správně implementovaný a kontrolovaný při každým přilinkování každé knihovny. Pokud je navíc knihovna sdílena mezi několika procesama, musí si to ověřit každý z nich nezávisle. Jinak jsi v loji.
-
PiT (neregistrovaný)
Pred par rokmi som tiez odchytil v jednej firme dake spamovacie svinstvo, ktore bolo veselo rozkopirovane v lokalnej sieti na niekolkych PC a ESET to absolutne nedetekoval/ignoroval.
Posielal som im vzorky dva razy, tyzden nic, opat, zas nic, tak som sa nastval a poslal som to vo funkcnej verzii ich obchodnemu oddeleniu...
Do 24 hodin uz to ESET detekoval :D
-
Unknown (neregistrovaný)
OffTopic pro 'NULL'
Uz nevim pod jakym clankem jsme Klause probirali puvodne, tak to posilam sem:
http://neovlivni.cz/podminka-pro-ludvika-ottu-tecka-za-nejvetsim-tajemstvim-klausovy-ery/
-
NULL (neregistrovaný)
Ok, dík, přestože si o neovlivni.cz myslím svoje kvůli některým persónám, jako zdroj to neodmítám.
Článek je ovšem pořád ten samý, promiň, bullshit. Já nikdy netvrdil že je nějaká strana, kde nikdo nekradl nebo nějak nepáchal kdoví co. Taková strana neexistuje, nebo nemá nic. Jenom krom toho titulku nevidím nějakou souvislost, přes všechny ty neurčité a zavádějící "kde se podle pamětníků", což může být od kdekdo až po kohokoliv, s Klausem - nějaké přímé obvinění, důkaz . . .něco. To že někdo dá staně dar a pak ho za nějakou dobu usvědčí z krácení daní by jsi chtěl řešit jak? Před každým darem vést vyšetřování a soudní řízení abys měl pro neovlivni.cz "důkaz" že ti to dát mohl? A stejně by pak mohli když bude potřeba ... "kde se podle pamětníků" při soudním . . . . a podobné nic a nikde. Pak mě zaujalo tohle:
"Vládní krizi předcházel největší finanční skandál devadesátých let: sponzoring vládních stran od podnikatelů, do jejichž rukou politici privatizovali státní majetek."
Nevím jak košér by bylo, kdyby ti, kdo něco získali v privatizaci měli zakázáno sponzorovat strany - vždyť to mohli být i členové - třeba někde v kraji. Nepíše se kolik ani od koho - všechny strany mají členské příspěvky, chceš mi jako stejným způsobem namluvit, že všichni (note: "všichni") ti kdo je zaplatí to dělají protože něco dostali nebo chtějí dostat? Představ si že ten příspěvek zaplatíš, po volbách dostaně místo místostarosty a neovlivni.cz napíše, že jsi pěkný vyčůránek, protože se ti příspěvek vyplatil a k tomu byl malý, takže za tím musí být něco jiného a takoví Unknownové okamžitě ví že jsi zloděj. Fakt boží.
Tím to samozřejmě nechci bagatelizovat, nebo snad dokonce legitimizovat, to jen tak k zamyšlění - ať koná policie, ať konají soudy, minimálně s takovým zápalem, jako když se Babiš drápal k moci. A co s tím kromě toho titulku má společného ten Klaus teda? Jediné co je tam napsané je "Václav Klaus existenci konta vždy odmítal se slovy, že on o něm nic neví.". -
babis (neregistrovaný)
mne je strašne smiešne ako sa snažíte robiť si srandu so slovákov. ako sme strašne za vami a pritom si zvolíte slováka do vlády lebo si neviete vybrať nikoho kto by bol lepší spomedzi vás :) Tuším že aj v prahe je starostka slovenka.... ach jaj robote si s máš srandu ale vládnuť vám musia Slováci:)
-
Dor (neregistrovaný)
Srandu jsme si ze sebe dělali navzájem vždycky. Akorát v ČR se teď asi po volbách budeme smát tak, až se budeme za mříže popadat. Andrejko má složku na každého. Vystihl jsi to pěkně. Je čím dál tím těžší být nacionalista, když 30% národa volí zahraničního diktátora, který to "prostě zařídí".
