|
31.07.2020., 15:11 | #1 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,543
|
No More Ransom
Tijela za provedbu zakona i tvrtke za IT sigurnost udružili su se kako bi onesposobili cyber kriminalne organizacije povezane sa ransomware zloćudnim računalnim programima. Web stranica "No More Ransom" rezultat je inicijative Nacionalne jedinice za visokotehnološki kriminalitet policije u Nizozemskoj, Europolovog Europskog Centra za kibernetički kriminalitet, Kaspersky i McAfee, s ciljem podrške žrtvama ransomware prijevara pri vraćanju kriptiranih podataka bez plaćanja otkupnine kriminalcima. Pošto je mnogo lakše izbjeći prijetnju nego boriti se s njom jednom kad je sustav zaražen, jedan od ciljeva projekta je i obrazovanje korisnika o načinu rada ransomware prijevara i koje protumjere možete poduzeti kako bi se učinkovito spriječila zaraza. Rezultati će biti tim bolji što više strana podrži ovaj projekt. Ova inicijativa je dostupna i drugim javnim i privatnim strankama. https://www.nomoreransom.org/
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
31.07.2020., 15:25 | #2 |
Kostolomac
Datum registracije: Jun 2006
Lokacija: Rijeka
Postovi: 1,160
|
Garmin bi prvi trebao ovo podržati. |
|
|
Oglas
|
|
01.08.2020., 01:06 | #4 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,392
|
Ovo je jedna od najbitnijih stvari, sve ostalo je neću reći nebitno, ali nije toliko vrijedno pažnje. Svaki dan se pojavi na desetke i stotine vrsta novih štetočina koje redovno prolaze ispod radara i nijedan AV ih neće imati sve u bazi.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
01.08.2020., 23:07 | #6 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,392
|
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
02.08.2020., 05:57 | #7 |
DIY DILETANT
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,055
|
Danas koriste izvjesce_kvartalno.docx.exe al je File Explorer na AninomStolu po defaultu konfiguriran da ne prikazuje ekstenzije. |
02.08.2020., 17:57 | #8 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,392
|
Ma dovoljno da pošalje i neki lažni link koji te odvede da skineš tko zna što jer piše da to banka traži, klikne na krivu reklamu, instalira inficiranu aplikaciju s MS Storea kao što je bilo s Google Photos, pokupi negdje bad USB, spoji se na krivi WiFi/captive portal itd. Ma ima toga ajme...
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
24.11.2020., 23:02 | #9 |
Registered User
Datum registracije: Dec 2006
Lokacija: Zadar
Postovi: 47
|
Da ne otvaram novu temu, a vezano je uz ransomware. Kada se skine na komp, može li ostati recimo neaktivan i onda se u petak popodne aktivira i krene s kriptiranjem kada nema nikoga u uredu? Jeste li čuli možda za takve primjere? Računalo je bilo upaljeno, ali u uredu u vrijeme kada su datoteke kriptirane nije bilo nikoga, a korisnik tvrdi da nije preuzimao ništa sumnjivo (pitanje je bi li i prepoznao da je sumnjivo). tnx |
25.11.2020., 00:42 | #10 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,392
|
Da, postoje takvi primjeri. Napadači takve korake rade kako bi prevarili antivirusni program. Žrtva skine nešto sumnjivo, to se naseli tko zna gdje na disk i ništa ne radi dok AV "ne ode dalje". Nakon nekog vremena kreće u akciju, ovisno koji je trigger, može biti timer ili neki event zapis ili nešto treće, i onda radi cirkus. Ako si u mogućnosti, svakako prvo složi SRP, a onda EDUCIRAJ KORISNIKE kako se koristiti računalom na siguran način. Social engineering je veliki problem kad je sigurnost u pitanju i broj prevara eksponencijalno raste. I na kraju, pošalji taj malware autorima svog AV-a, a ako te zanima što radi, uploadaj na https://app.any.run/ i u virtualnom okruženju gledaj što sve radi po sustavu (u free verziji je sve što radi javno dostupno i imaš samo Win 7 x86).
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
|
|
Oglas
|
|
25.11.2020., 08:15 | #11 |
tiki
Datum registracije: Sep 2007
Lokacija: Rijeka
Postovi: 2,538
|
Ne da može čučat neaktivan, nego napadači rade čuda. Najćešće provale preko RDP-a (to se da vidjeti u Event Vieweru). Onda prate tvoje ponašanje, kad si aktivan, kad si neaktivan. Pokušavaju pristupiti ostalim računalima u mreži, sakupljaju podatke itd. Koliko ti je još računala u uredu? Je li Remote desktop uključen? |
25.11.2020., 09:46 | #12 | |
...samo te gledam...
Datum registracije: Mar 2007
Lokacija: Zagreb
Postovi: 2,746
|
Citiraj:
Naravno da se na početku rada gasi mreža i prekontroliraju sva mrežno dostupna mjesta na koje se zaraza mogla proširiti. Ono što sam ja kolegama tvrdio da je veliki zez u cijeloj priči da se ne smije ostaviti otvorena konekcija ili automatsko povezivanje na mrežno dostupna mjesta bez ukucavanja lozinke što je došlo do izražaja pri jednom napadu kriptolokera kada je srećom stradalo samo jedno računalo ali je ono uspjelo uništiti backup svih ostalih računala na backup mrežnom mjestu. Naravno da smo odmah morali provrtiti backup na svim računalima. Tu se otvorila rasprava da je bolje kreirati backup lokalno na računalima a onda da server sam pokupi backup sa svakog računala jer u tom smjeru računala niti ne trebaju imati pristup serveru već obrnuto. |
|
25.11.2020., 10:47 | #13 |
Premium
Datum registracije: May 2004
Lokacija: Rijeka
Postovi: 2,149
|
Centralizirani backup pomocu lokalnog agenta je uvijek najbolji. Pitanje je samo sto sa laptopima koji su naokolo. Tu ili always on VPN ili cloud sto je vec dosta skupo i rijetko tko ga ima. Opet, to je samo backup nije preventiva. Preventiva je daleko jednostavnija. Web filtering unutra (uncategorized zabranjen) i vani uz pomoc umbrella slicnih servisa (opet uncategorized zabranjen) i sanse da ti nesto prodje su minimalne. |
25.11.2020., 11:10 | #14 | |
...samo te gledam...
Datum registracije: Mar 2007
Lokacija: Zagreb
Postovi: 2,746
|
Citiraj:
|
|
25.11.2020., 12:16 | #15 | |
Premium
Datum registracije: May 2004
Lokacija: Rijeka
Postovi: 2,149
|
Citiraj:
|
|
25.11.2020., 13:31 | #16 | |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,392
|
Citiraj:
Za ovakve stvari je dosta neki NAS sa ZFS-om i odvojenim backup accountom. Za spriječiti SPoF dodati još offline backup na drugoj lokaciji i to je to, ali sad već odlazimo izvan teme.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
|
25.11.2020., 13:38 | #17 | ||
...samo te gledam...
Datum registracije: Mar 2007
Lokacija: Zagreb
Postovi: 2,746
|
Citiraj:
Citiraj:
Da, i onda NAS ima smisla u pogledu sigurnosti. Zadnje izmijenjeno od: Sinac. 25.11.2020. u 13:49. |
||
25.11.2020., 14:15 | #18 |
McG
Datum registracije: Feb 2014
Lokacija: Varaždin
Postovi: 6,769
|
Nažalost, klasična AV rješenja su beskorisna u borbi s modernim ransomwareom, a pogotovo kad se cijela stvar zapakira s fileless malwareom. Za to vrijeme dok se AV definicije ažuriraju ode baka s kolačima. NAS (Synology + QNAP) rješenja su kudikamo otpornije backup solucije, posebno kad se slože u offsite režimu uz replikaciju, a ako je riječ o nečemu što nativno nudi ZFS koji domy_os spominje, poput npr. TrueNAS Mini X uređaja - bog bogova. Roaming korisnički profili su također opcija koju većina preskoči, ali čak i bez toga, ne trebaju svi korisnici pristup glavnom mrežnom repozitoriju, pa pravo pristupa na nivou individualnog korisničkog profila itekak umanjuje potencijalno kriptiranje svega uzduž i poprijeko. Na zaražana lokalna računala se u pravilu samo vraća orginalni image, pa nema potrebe za reinstalacijama i sl. peripetijama. Kaj se tiče social engineering + spear phishing kombinacije, zabrana društvenih mreža unutar firme, tj. na nivou firewall infrastrukture i službene opreme - čuda radi s korisnicima kojima se ne može drukčije dokazati ili sve njihove edukacije padaju u vodu, ali jebiga - većina danas to doživljava kao osnovno sreCtvo za rad, neki bi rađe bez familije ostali, nego da im se uskrati Facebook, Twitter, Instagram, TikTok i sl. pa takve mjere malo teže prolaze. |
25.11.2020., 14:22 | #19 |
...samo te gledam...
Datum registracije: Mar 2007
Lokacija: Zagreb
Postovi: 2,746
|
Samo mala nadopuna, da bude jasniji moj stav oko NAS-a, ako se korisnici priključuju na NAS da iskrcaju backup datoteke, bitno je da se svaki korisnik sa svojim pristupnim podacima priključuje samo u svoju mapu u koju ima pristup jer u slučaju ransomware napada SVE datoteke u mapi na NAS-u budu kriptirane, dakle jedno računalo uništi sve datoteke kojima ima pristup preko mreže i to je banana pogotovo ako ako su u pitanju mape u koje više korisnika pohranjuje datoteke. Zajednička mapa backupa je bezvezna solucija s pogleda sigurnosti jer se u slučaju kriptiranja pobiju backupi svih mašina, najgora stvar je ako se i takve kriptirane datoteke s NAS-a opet prekopiraju na neki drugi uređaj za "dvostruku" sigurnost gdje se brišu stare backup datoteke. |
25.11.2020., 14:35 | #20 |
McG
Datum registracije: Feb 2014
Lokacija: Varaždin
Postovi: 6,769
|
Točno to, a svako od ovih NAS rješenja ima jako dobro složene mogućnosti za (individualni) višekorisnički pristup, tako da korsnici ne lutaju dalje od svojih stvari. Na kraju korisnici ni ne trebaju znati pozadinu priče. Tak je i najbolje. |
25.11.2020., 21:09 | #21 |
Registered User
Datum registracije: Dec 2006
Lokacija: Zadar
Postovi: 47
|
Ekipa, hvala vam na odgovorima i ostalim postovima vezanim uz tematiku. Od velike su koristi. |
|
|
Oglas
|
|
|
|