Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Új hozzászólás Aktív témák

#4 Gargouille őstag CPT.Pirk #3

Új Válasz 2022-02-25 15:29:31 #4
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz CPT.Pirk #3 üzenetére

Tippre szerintem az on-premise levelezőszervereket szüntették meg és költöztették fel M365-be levelezést.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#10 Gargouille őstag Alogonomus #8

Új Válasz 2022-02-26 12:35:58 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz Alogonomus #8 üzenetére

"A zsarolóvírusok szinte mindig úgy jutnak be, hogy a munkavállaló rákattint egy (nude photo of Anna Kournikova) típusú levélre."
Nem szinte mindig így, hanem csak részben. De jönnek például exchange sebezhetőségen, nyitva hagyott RDP elérésen vagy kompromittálódott VPN hozzáférésen, eszközgyártó feltört felhős távoli hozzáférésén stb. keresztül is.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#13 Gargouille őstag Alogonomus #11

Új Válasz 2022-02-26 19:07:08 #13
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz Alogonomus #11 üzenetére

Arra utaltam, hogy az elmúlt években sokat változtak (fejlődtek) a ransomware támadások. Míg mondjuk 5 évvel ezelőtt az volt a jellemző támadási mintázat, hogy jött email-ben a kamu link vagy a preparált csatolmány, a user megnyitotta és lefutott a program. Ezzel szemben például tavaly már a legtöbb eset aminél a kármentésben részt vettünk szinte mind valamilyen sebezhetőségen keresztül érkezett, volt ahol felelőtlenül ott hagyott RDP-n keresztül, volt ahol célzott támadással egy nyomtatón (!) keresztül érkeztek (cégnevet nem mondok, de a sajtót is megjárta az ügy), de volt olyan is ahol egy NAS-nak a felhős távelérésén keresztül kapták be.
Persze nem vagyok reprezentatív minta, de a saját tapasztalatom az, hogy most már nem az emailben érkező rákattintós módszer dominál (bár ez is van bőven). Abban egyetértünk, hogy végső soron a legtöbb sikeres támadás mögött valahol emberi mulasztás van, csak ennél azért összetettebb ez a kérdés, nem csak annyi, hogy Marika átgondolatlanul odakattintott.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#15 Gargouille őstag anulu #12

Új Válasz 2022-02-26 19:17:02 #15
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz anulu #12 üzenetére

"az Exchange sebezhetőségek nagy része abból ered, hogy reverse-proxy nélkül, sima LB mögött ki van nyitva a pihe-puha hátsója a mail servernek, ami üzemeltetési fail."
Hát igen, sokan el sem hinnék, hogy még mennyi régi exchange lóg a a neten csak úgy egy az egyben kirakva. Két évvel ezelőtt jártunk például egy cégnél, ahol még SBS 2008 Server futott élesben kilógatva a netre (abban még Exchange 2007 van) ezen futott a cég levelezése. De olyan is volt még a tavalyi évben, ahol egy Windows 2003 Server volt kirakva a netre mert valami régi SAP ment rajta és annak mennie kell... Rengeteg ilyen van sajnos és ezek nagyon könnyű célpontok.
"hibázott az MS, nem vitatom, de azért kíváncsi lennék azokra az infrákra, ahova sikeresen bejutottak."
Amennyire én rálátok itt a legtöbb esetben az van a KKV szektorban, hogy a cégvezetés sóher és nem látja be, hogy mekkora a kockázat, nem akar rendes szakembert vagy szolgáltatót megfizetni, hanem rábízza a vérpistikére, aki havi 5000Ft-ért "üzemeltet" és ellátja a rendszergazdai feladatokat, mivel mindenhez is ért egy személyben. Persze előbb vagy utóbb mindig eljön az igazság pillanata, de van amikor sok évig elmegy ez így, ami csak még jobban megerősíti az adott döntéshozót, hogy milyen okos, hogy nem dobott ki egy zsák pénzt a drága IT-sokra. Persze mikor beüt a ménkű akkor kamatostul fizeti meg.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#28 Gargouille őstag Alogonomus #25

Új Válasz 2022-02-27 18:06:33 #28
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz Alogonomus #25 üzenetére

"Amelyik esetnél kármentést kérnek, az már nem a titkárnő Jucika passziánszozós, vagy a Pistike otthoni fortnájtozós gépét érinti."
Van ilyenre is példa, de általában a cég minden gépét és szervereit szokta érinteni. Nem cégmérettől függ ez, inkább arról van szó, hogy olyankor szoktak külső segítséghez fordulni mikor megtörténik a baj és az, aki addig ellátta a rendszergazda feladatkört (ha egyáltalán volt ilyen), már nem tud mit tenni. Ez ugyanúgy előfordul egy kis 3 fős irodánál mint egy 50 fős vállalkozásnál.
"A nagy értékre elkövetett támadásokat gyakrabban alapozzák valamilyen szoftveres sebezhetőségre, mert ott már megéri a szükséges szakértelmet rászánni, plusz ott már a faék egyszerűségű megoldások valószínűleg kevesek lennének."
A célzott támadások inkább valóban a nagy cégekre mennek, de a sebezhetőségeket azt kíméletlenül kihasználják minden esetben a kicsiknél is. A támadók rendszerint nem nézik, hogy kis cég vagy nagy cég, jóformán azt sem tudják kit támadtak meg, csak pásztázzák a netet nyitva hagyott portok után, elérhető SSH, RDP elérhetőségeket, webfelületeket stb. keresnek és ahol találat van, ott végigpróbálják az ismert sérülékenységekre. Az egész nagyrészt automatizáltan történik és sok esetben van is találat.
Sokan úgy gondolkodnak, hogy én olyan kicsi vagyok, ugyan minek támadnának meg... de ez nem jó megközelítés, mert a támadót egyáltalán nem érdekli, hogy ki vagy te és mekkora cég vagy, egyszerűen csak scannelik a hálót és ahol rés van, ott bemennek. A nagy számok törvénye alapján működik ez sajnos.
"Ez ugyanolyan, mint az autólopás. 25 éves F Astrát valószínűleg nem a rádiófrekvenciás kulcsa belső kódtáblájának a visszafejtésével fognak ellopni, míg egy Pagani elkötéséhez már megéri a szofisztikált módszer."
Igen, de az analógia azért nem jó mert az autólopás mindig személyesen történik, tehát odamegy a tolvaj és elhozza az autót. Nyilván nem fog aránytalan mértékű energiát belerakni egy értéktelen autó ellopásába. Ezzel szemben a ransomware támadásoknál viszont többségében automatizált a támadás, tehát mindenre érdemes rámozdulni, ami támadható, függetlenül attól, hogy ki az áldozat.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#29 Gargouille őstag VandC #26

Új Válasz 2022-02-27 19:30:56 #29
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz VandC #26 üzenetére

"Apróbb cégeknek az is megoldás hogy napi full backupot csinálnak, aztán ha fel lettek nyomva akkor full restore, hiba javítása és csak egy napi adatot vesztenek."
Na igen, ez alapvető fontosságú lenne, de ez csak akkor segít ha a backupot nem éri el a támadás. Erre is van példa elég gyakran, manapság nem ritka ezeknél a támadásoknál, hogy a backupot, snapshot-okat stb. is legyilkolják ha ezeknek a védelméről nem gondoskodnak külön és például a kompromittálódott hálózatból elérhetők vagy azon a szerveren vannak ahol az adatok is. Kisebb cégeknél erre nem mindig gondolnak.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.