kalix

Prepping av digital information såsom e-böcker, mjukvara, kartor och skydd av informationen.
Användarens profilbild
bastard
Inlägg: 10335
Blev medlem: 25 apr 2019 23:20
Ort: South of Heaven

kalix

Inlägg av bastard »

dom blev ju utsatt för ransomware den 15 december och börjar komma tillbaka nu
nästan en månad senare

ser det som löjligt dåligt

sedan ett antal år sedan så betraktar jag internet som, tja smutsigt av virus, och räknar med att allt som finns på dator som är ansluten dit kommer haverera , mobil dator med mera
innebär inte att jag slutar annvända datorer, men det personliga är offline och datorerna som är online är lätta att rensa och komma igång med igen

nuförtiden är det en hel del som kör allt på mobilen, lika utsatta dom med

men hur tänker dom i företag och organisationer med säkerheten egentligen?
kiss, keep it simple stupid
funderar om inte Thanos hadde rätt ändå
Användarens profilbild
Marie
Inlägg: 2771
Blev medlem: 29 apr 2019 21:28
Ort: Linköping

Re: kalix

Inlägg av Marie »

Jag instämmer, det är dåligt av Kalix.. kolla på coop, de löste det relativt snabbt även om det hade gått lösa snabbare.

Jag har testat ransomware i skarpt läge.. wanacry viruset när det var zerodays..
Tack vare hårt satta brandväggsregler i varje dator, så kunde inte viruset sprida sig i nätverket...
tack vare konstant övervakning av datorn kunde jag se att nu händer något och tack vare en långsam HDD istället för snabb SSD hann jag stänga av datorn innan den ens hunnit kryptera 2% av filerna..
Tack vare backupper gick jag bara miste om 3st filer av ca.15tusen som hann krypteras.
Tack vare en image backup av installationen tog det bara 20minuter att ha datorn online igen.

Så backup, backup och åter backup.... samt gör en systemavbildning av systemet efter en installationen och man gjort alla personliga inställningar och program... på så vis är datorn återställd på ca 10-15minuter och sedan 5-10 minuter med uppdateringar. :up:

För att svara på frågan: ""men hur tänker dom i företag och organisationer med säkerheten egentligen?""
De gör en riskanalys.. hur stor är chansen att just de drabbas av ett ransomvirus.. När siffran är under 5% så är det inte ekonomiskt att skapa stora backupplösningar som ständigt måste underhållas.. Detta kostar mer än nertiden.. och om risken är extremt liten så är det inte värt kostnaden. :smack:

De kan börja med att hålla sina system up to date, men detta är bara ett grässtrå högre i skydd.
Att sätta upp en brandvägg i varje client är inte svårt och bara tillåta trafik ut för vissa program och default blocka alla andra. Idag är alla datorer, smartphones, routrar default allow all outgoing trafic.
Detta är inget 100% skydd, men det är ganska säkert.
Nästa steg är det som verkligen blir dyrt... byt ut alla windows/mac datorer mot Linux clienter.
Detta är inte heller ett 100% skydd, för om det blir för vanligt så kommer ransomeware utvecklas för linux system.
Diskimage av varje klient.. snabbt återställt via PXE boot, men dyrt då det helst kräver lokal server.

Kommer de göra det?..................................... inte detta årtiondet. :lol: :lol: :lol: :lol: :lol: :lol:
Marie: Ingenting är omöjligt, det omöjliga tar bara lite längre tid att genomföra.
Under belägring: "Assumption is the mother of all fuck ups" = kolla fakta/fråga
Road House: "Always be nice..... until it's time to not be nice"
Stensture
Inlägg: 54
Blev medlem: 19 jan 2020 22:13

Re: kalix

Inlägg av Stensture »

Problemet är att det inte är så enkelt att bara köra en restore från en backup.

Först måste man
* se till att man vet hur hackarna tog sig in i nätverket
* se exakt vad de gjorde och vilka system som påverkats
* på de bekräftat hackade systemen göra ordentligt forensik

Utan att veta hur någon tog sig in i ditt nätverk är det endast tur som kan rädda dig och i värsta fall börjar allt om igen när du börjar öppna upp.

En ransomwareattack kan förberedas i flera dagar eller veckor för att krypa långt in i nätverket som möjligt. När de har fått domänadmin och kartlagt nätverket trycker de på knappen och ALLT blir krypterat på en gång.

Då har de ofta redan access till allt, brandväggar, backuper, servrar, laptops, hypervisonern, och man är totalt ägd.

I fallet Coop var det "endast" begränsat till deras kassasystem och attacken var inte riktad mot Coop.
Användarens profilbild
Marie
Inlägg: 2771
Blev medlem: 29 apr 2019 21:28
Ort: Linköping

Re: kalix

Inlägg av Marie »

Stensture skrev: 09 jan 2022 01:26 Problemet är att det inte är så enkelt att bara köra en restore från en backup.

Först måste man
* se till att man vet hur hackarna tog sig in i nätverket
* se exakt vad de gjorde och vilka system som påverkats
* på de bekräftat hackade systemen göra ordentligt forensik

Utan att veta hur någon tog sig in i ditt nätverk är det endast tur som kan rädda dig och i värsta fall börjar allt om igen när du börjar öppna upp.

En ransomwareattack kan förberedas i flera dagar eller veckor för att krypa långt in i nätverket som möjligt. När de har fått domänadmin och kartlagt nätverket trycker de på knappen och ALLT blir krypterat på en gång.

Då har de ofta redan access till allt, brandväggar, backuper, servrar, laptops, hypervisonern, och man är totalt ägd.

I fallet Coop var det "endast" begränsat till deras kassasystem och attacken var inte riktad mot Coop.
Ja, men under den tiden man undersöker, när-var-hur, kan man börja återställa klienterna och servrar om man håller dem isolerade så de inte kan återinfekteras. Effektivisera lite med att börja återuppbygga medan man undersöker.
Det är väldigt sällsynt att hackarna tagit sig in på egen hand utifrån genom brandväggar o hela alltet... oftast är det någon anställd som klickar på en länk eller bryter mot reglerna med ett usb minne/bärbara enheter.. social engineering är ju lättaste vägen in i system för att skapa en tunnel ut så man går förbi alla hinder... Trafik ut är ju helt okej 98% av fallen. :smack:

Hur ska de ha kontroll över backupperna? :hm:
Sådant har man ju offline/isolerat om man är rädd om datan.

Sedan får man välja... Vad är viktigast att snabbt få upp systemet igen eller se hur de tog sig in.
Plockar man ur alla loggar(om man loggar saker vill säga.. alla gör inte det) så kan man undersöka loggarna efteråt.
När ett klienter och servrar är återställda så finns inte hackarnas programvara och nätverksaccess kvar.. Klienter och servrars operativsystem ska man backa upp en image av en gång om året så man slipper 10 år uppdateringar, men bäst är att använda en lite äldre systemimage för att veta att det är "rent" Hypervisors har jag inte jobbat med, men det är väl en vanlig VM som man kan ha image på oxå. Databaserna innehåller ju inte ransomvirusets programvara av det jag såg med wanacry.
Brandväggarna får man ju både boota om och kolla så inga nya oönskade regler skapats och kolla programvaran, vissa switchar kan behövas kollas..

Största felet i nätverk är att känsliga system har ofta full internetaccess och nätverket är öppet att ansluta nya okända enheter till. :roll:
Känsliga system borde ligga på isolerade nätverk så anställda inte kan kolla facebook, mailen, surfa runt och allt vad de gör som de inte ska göra på arbetstid. Bärbara enheter ska inte ha access till isolerade/känsliga nätverk... Man behöver inte kunna läsa patientjournalen på paddan/laptoppen på fikarasten.
Behöver läkaren ha tillgång till webben osv så sätter man upp en klient till(ex bärbar dator) som har internetaccess men som inte access till det skyddade nätverket.
USB portar på klienter i känsliga nätverk ska vara inaktiverade och helst ska klienten vara fysiskt inlåsta i en ventilerad låda så det inte går att komma åt uttag för att ansluta enheter.
IP'n ska vara statisk och mac låsta till varje klient. så kopplas en ny enhet in uttaget så får den inget access. Så då måste man hacka klienten på plats och det har man oftast inte tid till omärkt. Och oanslutna nätverksportar ska vara inaktiverade i switchen.
Ett skyddat nätverk ska inte ha administrationsaccess utifrån.
Visst, det är en administationsmardröm men det är säkrare.
wifi har man inte i ett skyddat nätverk... min åsikt.

Klockan är 03:43 och visserligen är jag en nattuggla men jag kan missat att nämna något. :)
Marie: Ingenting är omöjligt, det omöjliga tar bara lite längre tid att genomföra.
Under belägring: "Assumption is the mother of all fuck ups" = kolla fakta/fråga
Road House: "Always be nice..... until it's time to not be nice"
Användarens profilbild
Marie
Inlägg: 2771
Blev medlem: 29 apr 2019 21:28
Ort: Linköping

Re: kalix

Inlägg av Marie »

Förresten... Är det någon som har tillgång till ett modernt ransomware nedzippat som jag kan dissekera på labbdatorn???
Jag är nyfiken på hur det utvecklat sig sedan jag stötte på wanacry av misstag innan det började sprida sig globalt för fem år sedan.... Det skulle vara kul att se hur det "jobbar" nu mer.
Marie: Ingenting är omöjligt, det omöjliga tar bara lite längre tid att genomföra.
Under belägring: "Assumption is the mother of all fuck ups" = kolla fakta/fråga
Road House: "Always be nice..... until it's time to not be nice"
Användarens profilbild
bastard
Inlägg: 10335
Blev medlem: 25 apr 2019 23:20
Ort: South of Heaven

Re: kalix

Inlägg av bastard »

jag funderarpå flera saker där det första är
måste jobbdatorer för känsliga saker vara uppkopplade mot internet?
och för känsligare saker uppkopplade överhuvudtaget?

val av operativsystem är fundersamt överlag

mycket hadde löst sig med att köra linux på lokalt nätverk och ha en extra dator för uppkoppling till nätet för dom saker som kräver det

skulle till och med gå att göra en helt säker envägskommunikation för att föra över begränsad mängd data från lokal tilll internet dator, tänk optiskt med en fysisk väg med data

samma saker har jag sett på många ställen, där men inte gör saker enkla nog för att det skall gå att hantera det när det strular
att man försöker göra allt i samma system, med stora problem och driftsäkerhetsproblem
kiss, keep it simple stupid
funderar om inte Thanos hadde rätt ändå
Användarens profilbild
entropi
Inlägg: 1479
Blev medlem: 06 maj 2019 05:32

Re: kalix

Inlägg av entropi »

1. Kör inte Windows. Punkt.
Tex ett anti-pattern man verkar bli inskolad till när man sätter sig vid en Windows-dator är att börja ladda ned och exekvera programvaror utan att verifiera att mjukvaran signerats av en utgivare man litar på. Sånt har andra gjort automatiskt per default i 20+ år.

Lite olika tankar. Jag gör inte allt det här överallt, och säkerhet är en avvägning mellan användbarhet och säkerhet

Hantera datorn som om den är direkt uppkopplad på internet, zero trust. Måste datorn skyddas av en brandvägg är den felkonfigurerad.

Använd multi fakor och kryptera data. Avmontera/lås storage när det inte används.

Använd lösenordshanterare, med mfa.

När den klarar av att vara på internet, skydda den med en brandvägg som extra skalskydd.

Gör indirekta anslutningar och använd en protokollgateway (dvs byt protokoll). Tex kan du ha alla portar stängda och bara tillåta din dator att ansluta via VPN mot ett fast IP och ingen DNS konfigurerad. På VPN-nätet har du en socks proxy för utgående anslutningar så din dator pratar minimalt med omvärlden via HTTPS.
ytterligare ett lager kan vara TOR och/eller i2p.

Titta på operativsystem som qubes. Kompartmentalisera (svengelska?) dina olika applikationer i olika zoner/sandboxar.

Ha koll på vilken DNS du använder. Det finns såna som blockerar spam och det värsta.

Hårdkoda din routers ARP-address

Hårdkoda mac address till din wifi AP
Survival
Honor
Liberty
Skriv svar

Återgå till "Digital prepping"