Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Új hozzászólás Aktív témák

#27 kraftxld nagyúr cog777 #26

Új Válasz 2021-05-11 08:25:11 #27
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kraftxld

nagyúr

válasz cog777 #26 üzenetére

Épp Windows Server 2003 óta, tehát kb 20 éve elérhető a Volume Shadow Copy / Previous Versions.
Csak épp semmit se ér, ha a kedves támadó admin jogot szerez, mert azzal kezdik, hogy legyalulják.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
#29 Gargouille őstag cog777 #26

Új Válasz 2021-05-11 09:23:41 #29
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz cog777 #26 üzenetére

Nagyon régóta már ilyen a Windows, de ahogyan Kraftxld kolléga is írja, az ellen nem véd, ha a szerverhez magához is hozzáfér a támadó. Ha már pillanatkép, akkor már jobb stratégia, ha virtuális gépként fut a szerver és a hypervisort elrakod egy szeparált alhálóban és a VM-ről csinálsz snapshot-okat. Persze a biztonsági mentést ez nem helyettesíti.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#31 Gargouille őstag cog777 #30

Új Válasz 2021-05-12 10:55:24 #31
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz cog777 #30 üzenetére

Nagyon sokaktól olvasom ezt, amit most tőled is, hogy a titkárnő ne nyissa meg a ppt.exe-t. Ezzel kapcsolatban (csak az informálódás végett) picit oszlatnám a "tévhitet" vagy árnyalnám a képet.
Munkámból fakadóan volt ~~szerencsém~~ lehetőségem az elmúlt kb 1 évben részt venni különböző vállalatoknál néhány ransomware támadás utáni felderítésben, helyreállításban, kármentésben. Amit láttam, az egészen megdöbbentő volt, ugyanis az utóbbi időben rendre célzott támadások történtek (főleg középvállalatokról beszélünk, de volt 20 fős kisebb cég is).
Egyáltalán nem arról volt szó, hogy rákattintott valaki egy csatolmányra vagy böngészett valami warez oldalt. Ez még pár éve volt sláger. Most sok esetben VPN sebezhetőségen, RDP sebezhetőségen, felhős managment sessionon keresztül vagy internet kapcsolattal rendelkező eszközön vagy egyéb résen érkezett a támadó (tehát személyesen egy ember vagy csapat). Több esetben hetek óta bent voltak és figyelték a hálózatot, feltérképezték, megnézték mi az ami hozzáférhető, hogy zajlik a mentés, mikor van munkaidő stb. És ez után a kellő pillanatban és ismeretek birtokában engedték ki a szellemet a palackból.
Volt olyan cég köztük, akiről biztosan te is olvastál a hírekben és igazából profi IT csapatuk volt, jó volt a rendszer is, de egy eszközön (és azon belül egy 0day-en) keresztül mókolták meg őket.
Az ilyen jellegű célzott támadások régen ritkák voltak, inkább csak a nagyon kiemelt célpontokra, igazán nagy cégekre mentek rá így. De ez megváltozott, most már széles körben és egyre bátrabban támadják ilyen módon a kisebb cégeket is.
Mindezt csak azért szerettem volna hozzáfűzni a kommentedhez, mert lehet, hogy sokan azt hiszik, hogy csak Marikát kell eltiltani a csatolmánytól és védve is vagyunk, de sajnos ez nagyon nem így van ma már. Ez hamis biztonság tudat. Most már nem csak így kapja az ember a zsaroló vírust, hanem "személyesen címezve", jóformán "letolt gatyával" találja meg azt is akinél jól felépített hálózat és rendszer van.
Persze ha valóban jó a rendszer akkor igazából adatvesztés nincs, mert helyreállítható, viszont adatszivárgás, adatlopás megvalósul ami szintén egy nagyon komoly probléma és ugyanúgy zsaroló potenciál a támadó kezében. És az ellen a legjobb mentés sem véd.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
#32 Gargouille őstag cog777 #30

Új Válasz 2021-05-12 11:14:10 #32
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz cog777 #30 üzenetére

Kiegészítésként még annyit, hogy a snapshot-olásnak igazából akkor van értelme (ilyen esetekben), ha azok elkülönülnek attól a rendszertől, amiről a pillanatkép készül. Egy sima WIndows snapshot nem ilyen, az tényleg csak az ellen véd ha véletlenül kitörölsz vagy felülírsz valamit. A VM-ek snapshot-olása kicsit más és az remekül működik, csak ugye ott is alapvető kell legyen, hogy elkülönüljön a produktív környezettől. Amúgy automatizálni simán lehet, powershellből például remekül kezelhető, scriptelhető, időzíthető.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.