[ sonus70 @ 03.03.2020. 18:01 ] @
Carevi po JKP


Forum trtmtr sekjuriti i niko da prokomentariše vest. Doduše sve vesti iz Srbije su za MadZone

[ zrachko @ 03.03.2020. 18:57 ] @
Još jedan dan i još jedna vest o nesposobnosti ovih što su u javnim preduzećima. Neće niko odgovarati, kao što niko nije odgovarao kada je, recimo, baza onih koji su aplicirali za besplatne akcije bila dostupna "na izvol'te" svima na internetu(u njoj su bili vrlo detaljni lični podaci nekoliko miliona građana Srbije).
On topic:
Interesuje me da li su ciljane te ustanove(ako sam dobro razumeo, Informatika, matičari, itd.) ili je neko od zaposlenih slučajno zapatio ransomware, koji se kasnije proširio na čitavu mrežu.
Drugo, kakvo je stanje sa backup-om? Neko se možda ponada da će mu dugovi biti oprošteni... :D
I treće, neki pišu da "hakeri" traže otkup u bitkoinima, "više miliona eura". Nisu valjda blesavi da plate? Ako jesu, neka plate ti koji su zayebali, a ne narod.
[ ademare @ 03.03.2020. 19:07 ] @
Jeste evo malo opsirnije , traze Bitcoine . Vucevic potvrdio , takav je naslov rezimskog tabloida .

https://www.novosti.rs/vesti/n...informacioni-sistem-Novog-Sada

E sad bice pre da je neko od radnika zeznuo sistem

Najbolji deo je gde " gradonacelnik " tvrdi da su svi podaci gradjana zasticeni ? Valjda misli sifrovani

Cirkus od drzave .
[ dejanet @ 03.03.2020. 19:19 ] @
De bre, pa pre godinu-dve odem na sajt da proverim zdravstvenu knjizicu, tras, error sa sve debug podacima i connection string-om.
Vreme leci sve...
[ since1986BC @ 03.03.2020. 20:41 ] @
S obzirom na to da sadasnja vlast, SNS, ima mutnu proslost: organizovanje botova za pisanje i ddos napade , na druge licnosti/sajtove...
Ne treba da nas cudi ako su ovo oni sami sebi organizovali.

@zrachko
I naravno da ce se platiti od narodnih para jer vlast sa drzavnim institucijama nema nista. :D
[ mjanjic @ 04.03.2020. 11:24 ] @
A možda je ovo osveta zbog tužbe za Jovanjicu :sarcasm:


I kod mene na poslu dvoje kolega zapatilo neki ransomware, bio običan JS zapakovan u ZIP arhivu - kako je to prošlo server ne znam, ja prošle godine nisam mogao ni preko gmail-a ni preko outlook online da pošaljem neki crack, čak ni u RAR arhivi koja je enkriptovana (uključujući nazive fajlova) i kojoj je promenjena ekstenzija... valjda imaju skener koji "vidi" da je to RAR arhiva i samo vrati upozorenje da je attachment "nebezbedan".

Dakle, tu se radi o 2 uzroka:
1. administrator koji održava mail server ne radi svoj posao kako treba, odnosno nije instalirao sve potrebne zaštite da takvi mejlovi jednostavno ne prolaze
2. zaposleni pojma nemaju šta rade, stigne im e-mail od "Petar Petrović" i oni pomisle da je nešto za njih, vide ZIP arhivu, otvore, unutra vide neki fajl i odmah dvoklik bez sekunde razmišljanja ŠTA je to i KO je stvarno to njima poslao - ovde organizacija nije uradila adekvatnu obuku zaposlenih niti se iko time bavio; kod nas se više puta dešavalo da neki iz administracije pošalju lične podatke od e-mail naloga u odgovoru na mejl u kome su im ti podaci traženi kako bi im bila povećana kvota, itd. (klasičan phishing).

U NS nisam siguran da su uspeli da zaraze server i zaključaju bazu, ali svašta je moguće, međutim ako se radi redovan backup, onda je dovoljno da vrate taj backup i ponovo unesu podatke koji su bili uneti posle tog backup-a (a imaju sve kroz duplikate priznanica i sl.).
[ popusicko @ 04.03.2020. 11:53 ] @
Zarazen im je i Veeam backup na cloudu
[ Branimir Maksimovic @ 04.03.2020. 12:02 ] @
Ima se, moze se...
[ since1986BC @ 04.03.2020. 12:10 ] @
Odbili da plate.

Citat:
Mada u Gradskoj kući ne žele da kažu šta je sve nestalo i u kojoj količini, npr. šta je sa informacijama o dugovima građana za komunalne usluge, poreskim prijavama, građevinskim dozvolama i sličnim važnim podacima, kako 021.rs saznaje, zaposleni u gradskim firmama će sada ručno unositi podatke u baze, jer većina dokumentacije koja je nestala postoji i na papiru ili u drugim državnim ustanovama i javnim preduzećima čiji računari nisu zaraženi.

Ovo saznanja 021.rs je delimično potrdio i gradonačelnik Miloš Vučević u izjavi za RTS, jer već tri dana izbegava da se javi 021.rs i odgovori na pitanja. On je ovom beogradskom mediju rekao da je gradski informacioni sistem blokiran u nedelju, 1. marta uveče i da je Grad ucenjen na 50 bitkoina što je oko 400.000 evra. U međuvremenu je otkupnina smanjena na 20 bitkoina, ali je Grad odbio da plati i tu sumu, zbog čega su podaci i bekap, ostali zaključani.


Citat:
On je naveo i da je do upada u sistem došlo preko e-maila, dodajući da nije toliko stručan da objasni kako se to tačno dogodilo.


izvor: 021.rs
https://www.021.rs/story/Novi-...i-ostao-bez-baza-podataka.html
[ since1986BC @ 04.03.2020. 12:17 ] @
@mjanjic
Za Gmail, Google mail, me ne čudi da imaju dobar skener.
On već duže vreme posedujue virustotal.com a meni/mnogima je to često referentni skener za sumnjive fajlove.
Verovatno jako mnogo uploada/semplova/uzoraka prime iz celog sveta.
[ Shadowed @ 04.03.2020. 12:26 ] @
Ako ja rar-ujem neki fajl i ekriptujem ga sa mojom sifrom (znaci, takav rar fajl nije ranije stigao do njih i potvrdjen kao malware) i on ga prijavi kao malware, to nije dobar skener.
[ since1986BC @ 04.03.2020. 18:49 ] @
Milan Dog ima odličnu reakciju, u vidu stripa.

https://twitter.com/lekoviti/status/1234520577291046919
[ anon70939 @ 04.03.2020. 19:13 ] @
imas to vec na istoj ovoj stranici, prvi post
[ mjanjic @ 04.03.2020. 21:58 ] @
Citat:
Shadowed:
Ako ja rar-ujem neki fajl i ekriptujem ga sa mojom sifrom (znaci, takav rar fajl nije ranije stigao do njih i potvrdjen kao malware) i on ga prijavi kao malware, to nije dobar skener.

Ne prijati ŠTA je u arhivi, nego da arhiva nije sigurna - odnosno, recimo ne može uopšte da prepozna šta je i onda odbije da je prikači uz mejl.


Ali, pazi gradonačelnika
Citat:
On je naveo i da je do upada u sistem došlo preko e-maila, dodajući da nije toliko stručan da objasni kako se to tačno dogodilo.

pa ima li neko od saradnika ili iz službi ko jeste dovoljno stručan da objasni kako je ceo sistem zaražen preko mejla?
I kako je taj ransomware prošao do nečijeg inbox-a?
A da ne pominjem kako je taj ransomware uspeo da se raširi preko mreže i zarazi čak i server i backup baze? Zar backup ne treba da se baš zbog toga isključuje iz mreže čim se proces kopiranja obavi (npr. svaki dan na kraju radnog vremena)?


U normalnim zemljama ima neko ko je iznad admin-a i ko ga kontroliše, a kod nas ne postoje nikakve procedure koje omogućuju praćenje šta admini rade, da li su implementirali određene mere zaštite, da li neovlašćeno pristupaju nekim podacima ili ih čak i menjaju (audit), i da ne navodim dalje... zamislite da je takav sistem u banci i da neko recimo ubaci "crva" koji mesečno svima skida po dinar ili po 50 para i to gomila na svoj račun, ili na svakoj transakciji ukrade po 5 para :)
[ Branimir Maksimovic @ 04.03.2020. 22:01 ] @
"zamislite da je takav sistem u banci i da neko recimo ubaci "crva" koji mesečno svima skida po dinar ili po 50 para i to gomila na svoj račun, ili na svakoj transakciji ukrade po 5 para :)"

osim ako program nije javan, tj open source, i baza takodje, ne vidim kako ;)
[ DUSKEZ @ 05.03.2020. 07:28 ] @
Bice to nedeljama dana
[ bananaphone @ 05.03.2020. 08:41 ] @
Bice haos kad ovako nesto uleti u sisteme zdravstvene zastite...
[ bojan_bozovic @ 05.03.2020. 08:52 ] @
Citat:
mjanjic:
Citat:
Shadowed:
Ako ja rar-ujem neki fajl i ekriptujem ga sa mojom sifrom (znaci, takav rar fajl nije ranije stigao do njih i potvrdjen kao malware) i on ga prijavi kao malware, to nije dobar skener.

Ne prijati ŠTA je u arhivi, nego da arhiva nije sigurna - odnosno, recimo ne može uopšte da prepozna šta je i onda odbije da je prikači uz mejl.


Ali, pazi gradonačelnika
Citat:
On je naveo i da je do upada u sistem došlo preko e-maila, dodajući da nije toliko stručan da objasni kako se to tačno dogodilo.

pa ima li neko od saradnika ili iz službi ko jeste dovoljno stručan da objasni kako je ceo sistem zaražen preko mejla?
I kako je taj ransomware prošao do nečijeg inbox-a?
A da ne pominjem kako je taj ransomware uspeo da se raširi preko mreže i zarazi čak i server i backup baze? Zar backup ne treba da se baš zbog toga isključuje iz mreže čim se proces kopiranja obavi (npr. svaki dan na kraju radnog vremena)?


U normalnim zemljama ima neko ko je iznad admin-a i ko ga kontroliše, a kod nas ne postoje nikakve procedure koje omogućuju praćenje šta admini rade, da li su implementirali određene mere zaštite, da li neovlašćeno pristupaju nekim podacima ili ih čak i menjaju (audit), i da ne navodim dalje... zamislite da je takav sistem u banci i da neko recimo ubaci "crva" koji mesečno svima skida po dinar ili po 50 para i to gomila na svoj račun, ili na svakoj transakciji ukrade po 5 para :)


Malware nije tesko napisati, to svaki dobri softver developer moze da uradi. Sta ako je one-of-a-kind malware, a nije nesto kupljeno za sicu bitcoina na dark webu (mada toga ima i na clearnetu)?
I vec postojeci malware moguce je malo izmeniti, tako da antivirus bude prevaren i ne prijavi ga, ako imas sors.
To uopste nije tesko.
Zato suvise verujete antivirusima, a av industrija samo zivi na strahu i neznaju korisnika, i siri dezinformacije.
[ mjanjic @ 06.03.2020. 17:20 ] @
Sve je to OK, ne pričamo mi ovde o nekom crvu ili klasičnom virusu, nego o najverovatnije JS fajlu koga je neko pokrenuo na svom računaru. Ako je admin dobar, on će na Proxy server namestiti da takve stvari ne prolaze (pošto taj JS dolazi u arhivi koja nije enkriptovana, nije problem da se na proxy serveru skenira i odmah obriše mejl sa takvim prilogom).

Nego, kao što su mnogi već rekli, tu je problem nešto drugo, a pored neobučenosti administracije, glavni problem su šefovi, i to oni za IT sektor. U komentarima na nekom od portala navodi se da je jedan od inženjera koji je završio ETF rekaoi "Ne može meni konobar da govori šta da radim", i upravo je to problem svugde, jer se na rukovodeća mesta dovode ljudi koji nisu stručni ni za šta, a kamoli za IT sektor.
Svi treba lepo da se zapitamo kako to da neki konobar nije preko noći postao rukovodilac u nekoj privatnoj IT kompaniji.
[ bojan_bozovic @ 06.03.2020. 17:39 ] @
mjanjic

Ko ima pare taj rukovodi, vec kad se o privatnim firmama radi.
[ nkrgovic @ 06.03.2020. 18:56 ] @
Citat:
mjanjic:
Sve je to OK, ne pričamo mi ovde o nekom crvu ili klasičnom virusu, nego o najverovatnije JS fajlu koga je neko pokrenuo na svom računaru. Ako je admin dobar, on će na Proxy server namestiti da takve stvari ne prolaze (pošto taj JS dolazi u arhivi koja nije enkriptovana, nije problem da se na proxy serveru skenira i odmah obriše mejl sa takvim prilogom).

Ako ti kazes... Antivirus koji skenira na proxy-ju moze samo da detektuje signature. Znas koliko je vremena potrebno da promenis js fajl da mu md5 (sha, sta god) hash bude razlicit? U sekundama? :) Veilki problem u zastiti od script language virusa je upravo beskonacna mutabilnost istih, zato signature based virusi ne prolaze.

Alternativa su blockeri koji blokiraju poznate IP adrese i domene gde se hostuje mallware (na osnovu redovno update-ovanih listi) i EDR detekcija, koja jeste post facto, ali omogucava brz odgovor. Ako klijentski racunar ima sve podatke u cloud-u steta je minimalna...
[ bojan_bozovic @ 07.03.2020. 04:31 ] @
Tako je i sa exe/dll fajlovima ima mogucnosti da se promene u hex editoru, da se izvrsavanje ne izmeni, no samo promene nebitne vrednosti (stringovi koji su nebitni poput copyrighta runtime biblioteke koja je koriscena, polja u headeru koja se ne koriste itd).

Lako.

A ako imas sors, samo jefinises jednu konstantu, recimo string, koji ne koristis, i on ce se pojaviti u exe/dll, pa ga samo menjas.
[ Branimir Maksimovic @ 07.03.2020. 05:31 ] @
Ne verujem, (nisam istrazivao sta tacno skeniraju)
Ali mislim da kod binary-ja skeniraju code patterne. Svakako ako skeniraju i podatke to moze lako da se izmeni
i nema smisla raditi.
To da skeniraju code patterne govori u prilog tome da uglavnom nesto pisano u assembleru ili gusto pakovano
sto ne koristi C ili C++ kompajler kao sto je recimo Forth interpreter markiraju kao virus.
[ nkrgovic @ 07.03.2020. 07:22 ] @
Ali ovo nije binary Bane, vecina ovih virusa je ili javascript ili powershell. Onda povuce sa neta binary, ali u kriptovanom obliku, sa predefinisanim kljucem - koji se stalno menja, kao i domen/IP sa koga se vuce. A "code pattern" je "download, unpack, execute", to moze da se napise na 300 nacina, plus nije sam po sebi sumnjiv.... Plus, kazem, velika vecina antivirusa radi samo hash / signature. Ovo o cemu ti pricas, neka analiza koda, to ne rade antivirusi, to su vec mnogo ozbiljniji (i skuplji) alati, koji po pravilu rade sandbox analize i slicno.... Vodi racuna, ima nacina i da se sandbox izbegne.
[ Ali Imam @ 07.03.2020. 07:55 ] @
Da li je istina da ovi što rade u Informatici mogu da falsifikuju dokumenta?
Na primer izvod iz matične knjige rodjenih/venčanih/umrlih i slično.
Tj. kakvi mehanizmi postoje u informacionom sistemu opštinskih službi da se spreče takve zloupotrebe?

[ Branimir Maksimovic @ 07.03.2020. 08:47 ] @
Citat:
nkrgovic:
Ali ovo nije binary Bane, vecina ovih virusa je ili javascript ili powershell. Onda povuce sa neta binary, ali u kriptovanom obliku, sa predefinisanim kljucem - koji se stalno menja, kao i domen/IP sa koga se vuce. A "code pattern" je "download, unpack, execute", to moze da se napise na 300 nacina, plus nije sam po sebi sumnjiv.... Plus, kazem, velika vecina antivirusa radi samo hash / signature. Ovo o cemu ti pricas, neka analiza koda, to ne rade antivirusi, to su vec mnogo ozbiljniji (i skuplji) alati, koji po pravilu rade sandbox analize i slicno.... Vodi racuna, ima nacina i da se sandbox izbegne.


Odgovarao sam Bojanu na komentar o binarnim fajlovima. Skripte svakako da lako promenis da rade istu stvar i tu svaka analiza koda tj prepoznavanje code snippeta otpada .
[ nkrgovic @ 07.03.2020. 15:08 ] @
Izvinjavam se. :)
[ mjanjic @ 08.03.2020. 23:00 ] @
Ma kakak signature, ja pričam o tome da dobro podešen e-mail server na prvom mestu ne dozovljava određene ekstenzije kao priloge, pa ni ZIP koji u sebi sadrži JS, EXE i slične.

Probajte da preko Gmail-a pošaljete JS ili EXE zapakovan u ZIP arhivu, o tome pričam. Da su ovi u NS imali bar tu zaštitu, ovo se možda ne bi dogodilo.

Drugi korak je obrazovanje zaposlenih, ali na to niko ne polaže 5%. Kod nas je muka bila da se nekoliko zaposlenih ubedi da ne treba da odgovaraju na mejlove u kojima im se traži username i pass kako bi im se proširila kvota za inbox... kaže im admin da takve poruke samo obrišu, sledeće sedmice opet ista priča, neće ljudi da uključe dve vijuge u glavi i da zapamte šta ne smeju da rade.
Iako je instaliran skener koji uklanja neželjenu i zlonamernu poštu, ipak se poneki mejl provuče, jer stalno menjaju servere sa kojih dolaze, kao i sadržaj. Neka je uspevalo po 3-4 poruke da se provuče svaki dan, sad možda jedna na 7 ili 10 dana.
Jedino da se ne propušta ništa što u tekstu poruke sadrži string "pass" :))))
[ since1986BC @ 13.03.2020. 17:39 ] @
Niko da pomene Emsisoft ponudu gradovima?

Citat:
We have developed a decryption solution for PwndLocker ransomware. Because each decryptor requires customization before use, we cannot make the tool publicly available for download and affected organizations should contact us.


https://twitter.com/fwosar/status/1235588806281007104

https://blog.emsisoft.com/en/3...ware-decryption-now-available/