Vlákno názorů k článku
Benešovská nemocnice byla napadena kryptovirem
od J L - Velké tajemství, které nikde nezaznělo je, že skoro...
-
J L (neregistrovaný)
Velké tajemství, které nikde nezaznělo je, že skoro 1/3 počítačů bylo bez jakéhokoliv antiviru. ;-)
A upřímně nemocnice neošetří či neprovede nějaký chirurgický zákrok bez PC? Vtipem je, že obojí jde zvládnout bez té techniky... A případné operace kde neni potřeba rentgenu jsou schopni udělat. Protože taková zařízení nejsou připojené do sítě, ale používá je jen obsluhující osoba..
Trochu úsměvné, že to šlo 30 století a najednou nikoliv...,. -
Filip JirsákStříbrný podporovatelPořád nevěřím tomu, že se Microsoftu opravdu podařilo lidi zblbnout natolik, že si myslím, že antivir má být běžnou součástí pracovního počítače. Kdyby měl uživatel právo spouštět (a třeba i instalovat) software jen z povolených repozitářů, žádný antivir na stanici nepotřebuje, protože software bude zkontrolovaný už v tom repozitáři.
-
Jan HrachStříbrný podporovatelTohle ale podle mě nebyl ten případ. Jednak se mi moc nezdá, že by na takovou věc někdo použil 0day, ale samozřejmě nevíme, jak přesně k napadení došlo. Ale především, i kdybys přes díru ve VLC napadl účet jednoho uživatele (bavíme se o doktorech na noční, ne o adminech, že?), tak to nesmí mít takovýto dopad na celou síť -- maximální dopad může být rozbití toho jednoho počítače (což se opraví za pět minut přehráním nového systému z image) a zašifrování/smazání dat na síťovém disku, ke kterým má daný uživatel přístup pro zápis (což se opraví za dalších pět minut obnovením poslední zálohy, a nejhorší dopad je, že se přijde o několik hodin práce (čas od poslední pravidelné zálohy), nikoli znefunkčnění celé nemocnice)
-
Jan HrachStříbrný podporovatel
Mimochodem takovýto ransomware se dá detekovat tím, že začne masivně přepisovat existující soubory (ideálně ještě detekovat že obsah začala být „náhodná data“), a zaříznout to. Pokud není tak chytrý, aby začal přepisovat od nejnovějších, tak ani o ta nejnovější data nepřijdeš.
No a pak je tu samozřejmě ještě možnost okamžité replikace s historií, ale to už může být v daném prostředí složité nastavit.
-
Zdaleka nemusí. Na Windows lze spouštět aplikace podepsané důvěryhodnými vydavateli. Jenže v praxi to není dosažitelné. Repozitář musí někdo spravovat a zadarmo to dělat nebude. Do repozitáře komerční platformy se jako vendor taky nedostanete zadarmo. A i do repozitářů se malware dostává, těch případů už bylo víc.
Proto je zcela na místě kombinovat více různých metod ochrany. Jednou z nich je kontrola proti hrozbám (tradičně nazývaná antivir). Firewall je ten samý případ - i Linux se v důsledku chyb dal několikrát vzdáleně minimálně shodit a v některých případech se tomu dalo zabránit firewallem.
V ideálním světě by se dalo bez antivirů i firewallů fungovat, svět ale ideální není.
-
Pokud nám jde o prevenci, ano měl by být jak antivirus, tak firewall. Tady se nebavíme o sofistikovaných útocích, ale o tom, že Franta z Horní Dolní donese doktorovi flashku, kde je rentgen který mu dali v nemocnici vedle. Protože byl zvědavý, doma strčil flashku do jeho Windows XP, kde se na ni přidalo pár dárečků, a ty odchytí právě antivir.
-
Jan HrachStříbrný podporovatel
Máš nějak podložené, jak často se 0daye šíří takovýmto způsobem, a jaká je úspěšnost jejich heuristické detekce běžnými antiviry? (ano, mluvím o 0dayích, protože pokud je ten útok už známý, vyšla na něj záplata)
11. 12. 2019, 22:10 editováno autorem komentáře
-
0day jsou problém a na ně funguje v podstatě jen kladení bariér formou kombinace ochran. 0day většinou vede vektor útoku přes nově objevenou chybu plus přes kombinaci s některou starší. Když do cesty postavíte firewall, antivirus, podnikovou proxy, odeberete uživateli možnosti správy počítače, případně omezíte i vyměnitelná média, velkou část 0day eliminujete. Jde jen o to se dožít dne 1, pak už riziko klesá.
