Názory k článku Postřehy z bezpečnosti: WannaCry navzdory
-
SPECZ (neregistrovaný) ---.ipv4.broadband.iol.cz
Jeste ke komixu:
Герман Клименко счел Россию готовой к отключению от мирового интернета
http://www.interfax.ru/russia/602425Rusko je technicky připraveno k odpojení od globálního internetu, i když proces nebude bezbolestný, řekl prezidentský poradce pro vývoj internetu Herman Klimenko v rozhovoru s programem Pozdnyakov zveřejněným na webových stránkách kanálu NTV.
...
-
Osobně mám pocit že by ten proces byl hlavně bolestivý pro Hermana Klimenka.
Nedávno jsem byl svědkem kdy na jeden hudební kanál na Twitch bylo přehostováno asi 1200 rusů. Říkali že musejí používat Proxy nebo VPN pro sledování Twitche.
Myslím že to znamená že jsou vysoce motivovaní nebýt blokováni a nemoci se bavit online znamená více času na to moci si vyjít do ulic :) -
Když chcete WannaCry ztížit život, zakážete v síti protokol SMB1. Tím ovšem odstřihnete WinXP (pokud je někde musíte mít, máte smůlu). Tak jsem to už před nějakou dobou udělal a výsledek byl zajímavý: Všichni uživatelé Linuxu přestali tisknout. Protože Samba, snad ještě dnes, nejen, že použije SMB1 jako výchozí, ale NEPOUŽIJE vyšší verzi, vůbec to nezkusí - to bylo trošku překvapení. Na rozdíl od XP to ale spraví 2 řádky v smb.conf :-) nebo option u každého použití smbclient nebo mount.cifs.
-
No vždyť píšu, že musíte zrušit XP. A ještě narazíte u většiny multifunkčních tiskáren, pokud máte scan na SAMBA server - protože ty mrchy většinou taky umí jen SMB1. To druhé můžete nahradit ftp, ale s XP se nedá nic dělat.
Ale pokud nemáte XP kvůli nějaké technologii, tak přejít na W7 zase není tak drahé, licence se dají koupit od 500 do 1500. -
D.J.Bobo (neregistrovaný) ---.ipv6.broadband.iol.cz
... a starší NASky, např. DLINK DS za nějakých 1800 před 5ti lety, pouze SMB1, update žádný.
A hromada dalšího HW, např. výrobní stroj za miliony a výrobce am má nějaký prehistorický Linux a samozřejmě SMB1 (takže k LAN se nepřipojí). Nezbylo, než udělat Linux server se Sambou SMB1 v samostatné podsíti a na něj se uploaduje přes FTP. -
Petr M (neregistrovaný) ---.145.broadband16.iol.cz
".. a nikdo ho nechce aktualizovat protoze se to ekonomicky nevyplati)..."
Jasně. Než dát prachy za update jedné aplikace (třeba jeden člvěkoměsíc - změna protokolu v existujícím zdrojáku a přetestování, samo že plánovaně), tak je levnější na týden neplánovaně omezit celou firmu na IT (obnova ze záloh), technickou podporu (uklidňování naštvaných zákazníků), vedení (řešení problémů na úřadech a zdrqavotních pojišťovnách kvůli chybějícímu účetnictví). A zbytku firmy dát plat za "překážku na straně zaměstnavatele".
A rozhodně je ta týdenní odstávka levnější, než tyhle potvory oddělit do extra sítě za extra stroj, který to "přebalí" do něčeho rozumnějšího. Nebo odpojení kabelu v případě, že se to připojení využívá 1x týdne pro stažení logu.
Teď tu o Karkulce.
-
blackonisex (neregistrovaný) 82.100.59.---
hezké, ale když máte třeba příspěvkovou organizaci pod městem, která vám oseká i schválené peníze, tak si moc vyskakovat nemůžete.
Ta naše historická chuťovka, co je postavená na Visual FoxPro DBF, se pořád ještě vyvíjí - koupit nový je sranda za 250litrů jen na licenci. Do toho se vám 2x vymění ředitel, který je vyklepaný a škrtí peníze, aby na konci roku vracel 150k, a další rok se zase nic nekoupí, protože mu dali o těch 150k méně a musel by sáhnout na mzdy.
...problémy jsou různé
-
Petr M (neregistrovaný) ---.145.broadband16.iol.cz
No ale to jsem se naučil už kdysi na vojně, že jak ve státem řízené organizaci jeden rok nevyčerpáš peníze, tak je musíš vrátit do rozpočtu a příští rok dostaneš o to míň. Pokud to říďa neví, tak je fakt kompetentní.
A server s MariaDB + nějaký webový front end by nebylo řešení? A ještě to zahrnout do akce "otevíráme data a žádáme na to dotaci".
-
"Experti" by uz meli konecne vytahnout ruku z nocniku a rict narovinu, ze "neplatit vyderacum" je totez jako kdyz reknou: kdyz si nabehnete, tak preformatujte disky a data cele firmy splachnete do zachodu. Tuhle logiku si muze dovolit jen teoretik od stolu a ne firma v realnem prostredi, ktera sve kroky posuzuje podle financnich nakladu a vynosu. Dokud nebude zaplaceni vyderacum nezakonne, tak je to jedno z nejlevnejsich dostupnych reseni at se to nekomu libi nebo ne. Stihani pachatelu je veci policie, ktera by to mela umet anebo narovinu rict, ze na to nema. Knizeci rady nikomu realne nepomuzou.
-
Jistota v oblasti IT bezpecnosti? Existuje jen jedina jistota a to, ze jistota v IT bezpecnosti neexistuje.
Dokud naklady neprevysi cenu prace profesionala v oblasti siti a bezpecnosti, tak tomu nebude manazer prikladat dulezitost a bude se nadale spolehat na sve stavajici IT oddeleni. Spatne designovanych siti jsem videl desitky a nafoukanych mladicku, kteri maji spousty veci jako blackbox, jsem v dulezitych funkcich poznal mozna i stovky. Zadny manager to nikdy nechtel resit, protoze by to stalo vic penez nez stavajici riziko. Malware, a to rikam bohuzel, tuhle bazinu naprosto objektivne ukazuje a mozna zpusobi i pozitivni zmeny v zabezpeceni firem.
Mimochodem, sam jsem byl pozadan, abych nekolik takovych vyderacskych systemu analyzoval. Kvalita zpracovani poslednich verzi je na vysoke urovni a jako civil bez placky a mezinarodni spoluprace muzete skutecne jen zaplatit. Cim kvalitnejsi zpracovani ten malware ma, tim mate i vetsi jistotu, ze je to (opet rikam bohuzel) profesionalni kombajn na penize, ktery vas neokrade a klice vam vyda. Tohle je realita, vse ostatni je jen akademicke sneni o idealnim svete.
-
Ravise (neregistrovaný) ---.cust.vodafone.cz
Super, tak budeme vyděračům platit, platit a platit. Zaplatíš, nemáš ani jistotu, že to budeš moci rozšifrovat, a nemáš ani jistotu, že to, co rozšifruješ bude totožné s původními daty.
Zálohy se nedělají jenom kvůli virům. Může ti odejít disk, může ti to smazat bl.bec co si neuvědomí, že je na produkčním stroji, můžeš si to smazat chybou, pro všechny tyhle případy máš zálohy. Když si naběhneš, naformátuješ a obnovíš ze zálohy.
